綁定轉發路由器快速入門
在IPsec連接綁定轉發路由器實例的場景下,IPsec-VPN可以在本地數據中心與轉發路由器間建立網絡連接,使本地數據中心可以通過轉發路由器訪問其他網絡。
環境要求
使用IPsec-VPN功能建立本地數據中心與轉發路由器的網絡連接前,請確保您的環境滿足以下條件:
公網網絡類型的IPsec連接綁定轉發路由器實例時,本地數據中心的網關設備必須配置公網IP地址。
對于支持IPsec-VPN連接雙隧道模式的地域,推薦本地數據中心的網關設備配置2個公網IP地址或者本地數據中心擁有兩個本地網關設備,每個本地網關設備均擁有一個公網IP地址,以建立高可用的IPsec-VPN連接。關于支持IPsec-VPN連接雙隧道模式的地域信息,請參見綁定VPN網關場景雙隧道IPsec-VPN連接說明。
本地數據中心的網關設備必須支持IKEv1或IKEv2協議,支持任意一種協議的設備均可以和轉發路由器建立IPsec-VPN連接。
本地數據中心的網段與待訪問的網段沒有重疊。
本地數據中心要訪問的網絡內如果存在訪問控制等安全策略,需要調整安全策略允許本地數據中心的訪問。
使用限制
目前,多個地域下的IPsec連接支持綁定轉發路由器實例。關于支持的地域詳情,請參見IPsec-VPN功能支持的地域。
在IPsec連接綁定轉發路由器的場景下,IPsec連接僅支持綁定企業版轉發路由器實例。
使用流程
配置步驟序號 | 配置步驟及操作文檔鏈接 | 配置步驟說明 |
1 | 云企業網實例是轉發路由器實例的載體,創建轉發路由器實例前需要創建一個云企業網實例。 | |
2 | 轉發路由器實例是地域范圍內的核心轉發網元,您需要在本地數據中心所在的阿里云地域或者本地數據中心臨近的阿里云地域創建轉發路由器實例。 重要 創建轉發路由器實例時,需為轉發路由器實例配置轉發路由器地址段,否則IPsec連接無法成功綁定轉發路由器實例。 如果您已經創建了轉發路由器實例,您可以單獨為轉發路由器實例添加轉發路由器地址段。具體操作,請參見添加轉發路由器地址段。 | |
3 | 通過創建用戶網關,將本地網關設備的信息(例如IP地址、BGP AS號)注冊到阿里云上。 | |
4 | 一個IPsec連接表示一條本地數據中心和轉發路由器之間的加密通信通道。 創建IPsec連接時,綁定資源需選擇為云企業網或者不綁定。 | |
5 | 本地網關設備需添加VPN配置,以便和IPsec連接協商建立IPsec-VPN連接。 | |
6 | 您需要在IPsec連接中配置去往本地數據中心的路由,并將路由發布至轉發路由器實例的路由表中以實現本地數據中心和轉發路由器之間的流量互通。 | |
7 | 測試連通性 | 登錄本地數據中心的一臺服務器,通過ping命令,ping目標網絡內的一臺服務器的私網IP地址,驗證通信是否正常。 |