建立VPC到本地数据中心的连接（单隧道模式）

环境要求

• IPsec连接绑定公网网络类型的VPN网关实例时，本地数据中心的网关设备必须配置公网IP地址。

• 本地数据中心的网关设备必须支持IKEv1或IKEv2协议，支持任意一种协议的设备均可以和转发路由器建立IPsec-VPN连接。

• 本地数据中心的网段与待访问的网段没有重叠。

场景示例

本文以下图场景示例。某公司在阿里云创建了VPC，网段为192.168.0.0/16。本地数据中心的网段为172.16.0.0/12，本地网关设备的公网IP为211.XX.XX.68。公司因业务发展，需要本地数据中心与云上VPC互通。您可以通过IPsec-VPN，建立本地数据中心与云上VPC的连接，实现云上和云下的加密通信。

准备工作

• 您已经在阿里云创建了VPC，VPC中使用云服务器ECS（Elastic Compute Service）部署了相关业务。具体操作，请参见搭建IPv4专有网络。

• 您已经了解VPC中的ECS实例所应用的安全组规则，并确保安全组规则允许本地数据中心的网关设备访问云上资源。具体操作，请参见查询安全组规则和添加安全组规则。

步骤一：创建VPN网关

1. 登录VPN网关管理控制台。

2. 在顶部菜单栏，选择VPN网关的地域。

   VPN网关的地域需和待关联的VPC实例的地域相同。

3. 在VPN网关页面，单击创建VPN网关。

4. 在购买页面，根据以下信息配置VPN网关，然后单击立即购买并完成支付。

   配置项	说明
   实例名称	输入VPN网关实例的名称。 本文输入VPN网关1。
   资源组	选择VPN网关实例所属的资源组。如果不选择，VPN网关实例创建后将归属于默认资源组。 本文保持为空。
   地域和可用区	选择VPN网关实例所属的地域。 说明 请确保VPN网关实例的地域和VPC实例的地域相同。
   网关类型	选择VPN网关实例的类型。 本文选择普通型。
   网络类型	选择VPN网关实例的网络类型。 本文选择公网。
   隧道	系统直接展示当前地域支持的IPsec-VPN连接的隧道模式。 单隧道 双隧道 关于IPsec-VPN连接隧道模式的说明，请参见绑定VPN网关。
   VPC	选择VPN网关实例关联的VPC实例。
   虚拟交换机	从VPC实例中选择一个交换机实例。 IPsec-VPN连接的隧道模式为单隧道时，您仅需要指定一个交换机实例。 IPsec-VPN连接的隧道模式为双隧道时，您需要指定两个交换机实例。 IPsec-VPN功能开启后，系统会在两个交换机实例下各创建一个弹性网卡ENI（Elastic Network Interfaces），作为使用IPsec-VPN连接与VPC流量互通的接口。每个ENI会占用交换机下的一个IP地址。 说明 系统默认帮您选择第一个交换机实例，您可以手动修改或者直接使用默认的交换机实例。 创建VPN网关实例后，不支持修改VPN网关实例关联的交换机实例，您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机、交换机所属可用区以及交换机下ENI的信息。
   虚拟交换机2	IPsec-VPN连接的隧道模式为单隧道时，无需配置该项。
   带宽规格	选择VPN网关实例的公网带宽峰值。单位：Mbps。
   IPsec-VPN	选择开启或关闭IPsec-VPN功能。 本文选择开启。
   SSL-VPN	选择开启或关闭SSL-VPN功能。 本文选择关闭。
   计费周期	选择购买时长。 您可以选择是否自动续费： 按月购买：自动续费周期为1个月。 按年购买：自动续费周期为1年。
   服务关联角色	单击创建关联角色，系统自动创建服务关联角色AliyunServiceRoleForVpn。 VPN网关使用此角色来访问其他云产品中的资源，更多信息，请参见AliyunServiceRoleForVpn。 若本配置项显示为已创建，则表示您的账号下已创建了该角色，无需重复创建。

   更多参数信息，请参见创建VPN网关实例。

5. 返回VPN网关页面，查看创建的VPN网关。

   刚创建好的VPN网关的状态是准备中，约1~5分钟左右会变成正常状态。正常状态表明VPN网关已经完成了初始化，可以正常使用。

步骤二：创建用户网关

1. 在左侧导航栏，选择网间互联 > VPN > 用户网关。

2. 在顶部菜单栏，选择用户网关的地域。

   说明

   用户网关的地域必须和要连接的VPN网关的地域相同。

3. 在用户网关页面，单击创建用户网关。

4. 在创建用户网关面板，根据以下信息配置用户网关，然后单击确定。

   以下仅列举本文强相关配置项，其余配置保持默认值或为空。更多信息，请参见创建和管理用户网关。

   • 名称：输入用户网关的名称。

     本文输入用户网关1。

   • IP地址：输入VPC要连接的本地数据中心的网关设备的公网IP。

     本文输入211.XX.XX.68。

步骤三：创建IPsec连接

1. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。

2. 在IPsec连接页面，单击绑定VPN网关。

3. 在创建IPsec连接(VPN)页面，根据以下信息配置IPsec连接，然后单击确定。

   配置项	配置项说明
   IPsec连接名称	输入IPsec连接的名称。 本文输入IPsec连接1。
   地域	选择IPsec连接要绑定的VPN网关实例的地域。 IPsec连接创建完成后所属地域与VPN网关实例地域相同。
   资源组筛选	选择VPN网关实例所属的资源组。 本文选择默认资源组。
   绑定VPN网关	选择已创建的VPN网关实例。 本文选择VPN网关1。
   路由模式	选择路由模式。 本文选择目的路由模式。
   立即生效	选择是否立即生效。 是：配置完成后立即进行协商。 否：当有流量进入时进行协商。 本文选择是。
   用户网关	选择已创建的用户网关实例。 本文选择用户网关1。
   预共享密钥	输入预共享密钥。 密钥长度为1~100个字符，支持数字、大小写英文字母及右侧字符~`!@#$%^&*()_-+={}[]\|;:',.<>/?。 若您未指定预共享密钥，系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后，您可以通过编辑按钮查看系统生成的预共享密钥。具体操作，请参见修改IPsec连接。 重要 IPsec连接及其对端网关设备配置的预共享密钥需一致，否则系统无法正常建立IPsec-VPN连接。
   启用BGP	如果IPsec连接需要使用BGP路由协议，需要打开BGP功能的开关，系统默认关闭BGP功能。 本文不开启BGP功能。
   加密配置	本文使用IKEv1版本，其他选项使用默认配置。更多信息，请参见创建和管理IPsec连接（单隧道模式）。
   健康检查	本文保持默认值，不为IPsec连接配置健康检查。
   标签	为IPsec连接添加标签。 本文保持为空。

4. 在创建成功对话框中，单击取消。

步骤四：在本地网关设备中加载VPN配置

1. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。

2. 在IPsec连接页面，找到目标IPsec连接实例，然后在操作列单击生成对端配置。

3. 根据本地网关设备的配置要求，将下载的配置添加到本地网关设备中。具体操作，请参见本地网关配置。

步骤五：配置VPN网关路由

1. 在左侧导航栏，选择网间互联 > VPN > VPN网关。

2. 在VPN网关页面，找到目标VPN网关实例，单击实例ID。

3. 在目的路由表页签，单击添加路由条目。

4. 在添加路由条目面板，根据以下信息配置目的路由，然后单击确定。

   配置项	配置说明
   目标网段	输入待互通的目标网段。 本文输入172.16.0.0/12。
   下一跳类型	选择下一跳的类型。 本文选择IPsec连接。
   下一跳	选择IPsec连接。
   发布到VPC	选择是否将新添加的路由条目发布到VPN网关关联的VPC路由表。 本文选择是。
   权重	选择路由条目的权重值。 100：高优先级。 0：低优先级。 本文保持默认值100。

步骤六：测试连通性

1. 登录到VPC内一台无公网IP的ECS实例。关于如何登录ECS实例，请参见ECS远程连接方式概述。

2. 执行ping命令，访问本地数据中心内的一台服务器，验证通信是否正常。

   如果能够收到回复报文，则证明通信正常。