本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
本文為您介紹如何組合使用IPsec-VPN和物理專線,實現本地數據中心IDC(Internet Data Center)通過主備鏈路上云并和云上專有網絡VPC(Virtual Private Cloud)互通。
場景說明
本文以下圖場景為例,為您介紹IPsec-VPN聯合物理專線實現主備鏈路上云方案。某企業在杭州擁有一個本地IDC,且企業已經在阿里云華東1(杭州)地域部署了業務VPC1,VPC1中通過云服務器ECS(Elastic Compute Service)等云產品部署了應用業務和數據分析服務,用于后續業務交互和數據分析。企業現在需要部署上云的主備鏈路,以實現云下IDC和云上VPC1的互聯互通。鏈路說明如下:
創建物理專線作為第一條鏈路,本地IDC通過物理專線和云企業網連接VPC1。
創建VPN網關作為第二條鏈路,VPN網關關聯至一個獨立的VPC(VPC2),VPC2中不部署任何業務,僅作為中轉VPC為本地IDC和云上搭建IPsec-VPN鏈路,本地IDC通過IPsec-VPN連接和云企業網連接VPC1。
在物理專線和IPsec-VPN連接均正常運行的情況下,VPC1實例可以通過物理專線和IPsec-VPN連接同時學習到本地IDC的網段,系統默認通過物理專線學習到的路由的優先級高于通過IPsec-VPN連接學習到的路由,因此VPC1實例去往本地IDC的流量默認通過物理專線傳輸。
當物理專線異常時,系統會自動撤銷通過物理專線學習到的路由,通過IPsec-VPN連接學習到的路由會自動生效,VPC1實例去往本地IDC的流量會通過IPsec-VPN連接進行傳輸;當物理專線恢復后,VPC1實例去往本地IDC的流量會重新通過物理專線進行傳輸,IPsec-VPN連接會重新成為備用鏈路。
準備工作
您需要為本地IDC和網絡實例規劃路由協議。本文路由協議規劃如下:
本地IDC網關設備與VPN網關之間配置靜態路由。
本地IDC網關設備與邊界路由器VBR(Virtual border router)之間運行BGP動態路由協議。
說明在VPN網關作為物理專線備份鏈路的場景下,路由協議說明如下:
如果VPN網關關聯至一個獨立的VPC(例如本文的VPC2)中,則VBR必須使用BGP動態路由協議,VPN網關可以使用靜態路由或BGP動態路由協議。
如果VPN網關關聯至業務VPC(例如本文的VPC1)中,則VBR和VPN網關均需要使用BGP動態路由協議。
您需要為本地IDC和網絡實例規劃網段,請確保網段之間沒有重疊。本文網段規劃如下。
配置目標
網段規劃
IP地址
VPC1
192.168.0.0/16
云服務器地址:192.168.20.161
VPC2
10.0.0.0/16
不涉及
VBR
10.1.0.0/30
VLAN ID:0
阿里云側IPv4互聯IP:10.1.0.1/30
客戶側IPv4互聯IP:10.1.0.2/30
本文中客戶側指本地IDC的網關設備
本地IDC
172.16.0.0/16
客戶端地址:172.16.1.188
本地IDC的網關設備
10.1.0.0/30
公網IP地址:211.XX.XX.68
與物理專線連接的端口IP地址:10.1.0.2/30
BGP AS號:65530
您已經在阿里云華東1(杭州)地域創建了VPC1和VPC2。其中,VPC1部署有應用業務和數據分析服務;VPC2暫不部署業務,僅關聯VPN網關,作為中轉VPC為云下和云上搭建VPN鏈路。具體操作,請參見創建和管理專有網絡。
請檢查本地IDC網關設備,確保網關設備支持標準的IKEv1和IKEv2協議,以便和阿里云VPN網關建立連接。關于網關設備是否支持標準的IKEv1和IKEv2協議,請咨詢網關設備廠商。
您已經為本地IDC網關設備配置了靜態公網IP。
您已經了解VPC1中的ECS實例所應用的安全組規則,并確保安全組規則允許本地IDC訪問VPC1中的ECS實例。具體操作,請參見查詢安全組規則和添加安全組規則。
配置流程
步驟一:部署物理專線
創建物理專線。
您需要在華東1(杭州)地域申請一條物理專線。具體操作,請參見創建和管理獨享專線連接或共享專線連接。
創建VBR。
登錄高速通道管理控制臺。
在左側導航欄,單擊邊界路由器(VBR)。
在頂部狀態欄,選擇要創建的VBR的地域。
本示例選擇華東1(杭州)地域。
在邊界路由器(VBR)頁面,單擊創建邊界路由器。
在創建邊界路由器面板,根據以下信息進行配置,然后單擊確定。
賬號類型:本示例選擇當前賬號。
名稱:本示例輸入VBR。
物理專線接口:選擇已申請的物理專線接口。
VLAN ID:0。
設置VBR帶寬值:選擇VBR實例的帶寬峰值。
阿里云側IPv4互聯IP:10.1.0.1。
客戶側IPv4互聯IP:10.1.0.2。
IPv4子網掩碼:255.255.255.252。
配置BGP組。
在邊界路由器(VBR)頁面,單擊目標VBR實例ID。
在邊界路由器實例詳情頁面,單擊BGP組頁簽。
單擊創建BGP組,根據以下信息配置BGP組,然后單擊確定。
名稱:BGP組的名稱。本示例輸入test。
Peer AS號:本地IDC側網關設備的AS號。本示例輸入65530。
BGP密鑰:BGP組的密鑰。本示例不配置該項。
描述:BGP組的描述信息。本示例輸入test。
配置BGP鄰居。
在邊界路由器實例詳情頁面,單擊BGP鄰居頁簽。
在BGP鄰居頁簽下,單擊創建BGP鄰居。
在創建BGP鄰居面板,配置BGP鄰居信息,然后單擊確定。
BGP組:選擇要加入的BGP組。本示例選擇已創建的BGP組。
BGP鄰居IP:BGP鄰居的IP地址。本示例輸入本地IDC側網關設備的端口IP地址10.1.0.2。
步驟二:部署VPN網關
創建VPN網關。
登錄VPN網關管理控制臺。
在頂部菜單欄,選擇華東1(杭州)地域。
在VPN網關頁面,單擊創建VPN網關。
在購買頁面,根據以下信息配置VPN網關,然后單擊立即購買并完成支付。
實例名稱:輸入VPN網關的實例名稱。
地域和可用區:選擇VPN網關的地域。
本示例將VPN網關關聯到VPC2上,確保VPC2和VPN網關的地域相同。本示例選擇華東1(杭州)。
網關類型:選擇要創建的VPN網關類型。本示例選擇普通型。
網絡類型:選擇VPN網關實例的網絡類型。本示例選擇公網。
隧道:系統直接展示當前地域支持的IPsec-VPN連接的隧道模式。
VPC: 選擇要連接的VPC。本示例選擇VPC2。
虛擬交換機:從VPC實例中選擇一個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
IPsec-VPN功能開啟后,系統會在兩個交換機實例下各創建一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN連接與VPC流量互通的接口。每個ENI會占用交換機下的一個IP地址。
說明系統默認幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認的交換機實例。
創建VPN網關實例后,不支持修改VPN網關實例關聯的交換機實例,您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機、交換機所屬可用區以及交換機下ENI的信息。
虛擬交換機2:從VPC實例中選擇第二個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,無需配置該項。
帶寬規格:選擇VPN網關的帶寬規格,帶寬規格是VPN網關所具備的公網帶寬。
IPsec-VPN: 選擇開啟或關閉IPsec-VPN功能,IPsec-VPN功能可以在本地IDC與VPC之間或不同VPC之間建立連接。本示例選擇開啟。
SSL-VPN: 選擇開啟或關閉SSL-VPN功能,SSL-VPN功能允許您從任何位置的單臺計算機連接到VPC。本示例選擇關閉。
計費周期:選擇購買時長。
服務關聯角色:單擊創建關聯角色,系統自動創建服務關聯角色AliyunServiceRoleForVpn。
更多信息,請參見AliyunServiceRoleForVpn。若本配置項顯示為已創建,則表示您當前賬號下已創建了該角色,無需重復創建。
返回VPN網關頁面,查看創建的VPN網關并記錄VPN網關公網IP地址,用于后續本地IDC側路由配置。
剛創建好的VPN網關的狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關完成了初始化,可以正常使用。
創建用戶網關。
在左側導航欄,選擇。
在用戶網關頁面,單擊創建用戶網關。
在創建用戶網關面板,根據以下信息配置用戶網關,然后單擊確定。
名稱:輸入用戶網關的名稱。
IP地址:輸入VPC2要連接的本地IDC的網關設備的公網IP。本示例輸入211.XX.XX.68。
自治系統號:本地IDC網關設備的自治系統號。本示例無需配置該參數。
描述:輸入用戶網關的描述信息。
創建IPsec連接。
在左側導航欄,選擇。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
名稱:輸入IPsec連接的名稱。
綁定資源:選擇IPsec連接綁定的資源類型。本示例選擇VPN網關。
VPN網關:選擇已創建的VPN網關。
用戶網關:選擇已創建的用戶網關。
路由模式:選擇路由模式。本示例選擇目的路由模式。
立即生效:選擇是否立即生效。本示例選擇否。
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
預共享密鑰:輸入共享密鑰,本地IDC網關設備的預共享密鑰必須與該值一致。本示例使用默認生成的隨機值。
加密配置:本文使用IKEv1版本,其余選項使用默認配置。
更多信息,請參見創建和管理IPsec連接(單隧道模式)。
配置VPN網關路由。
您需要在VPN網關中將本地IDC的路由發布到VPC2中。
IPsec連接創建成功后,在創建成功對話框,單擊確定,去往VPN網關實例中進行路由發布。
在左側導航欄,選擇。
在VPN網關頁面,找到目標VPN網關,單擊目標實例ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下信息配置目的路由,然后單擊確定。
目標網段:輸入本地IDC的網段。本示例輸入172.16.0.0/16。
下一跳類型:選擇IPsec連接。
下一跳:選擇已創建的IPsec連接實例。
發布到專有網絡:選擇是否將新添加的路由發布到VPC2路由表。本示例選擇是。
權重:選擇路由的權重值。本示例使用默認值100,表示高優先級。
說明若VPN網關中存在相同目標網段的目的路由,目的路由的權重值不支持同時設置為100。
在本地IDC網關設備中加載VPN配置。
在左側導航欄,選擇。
在IPsec連接頁面,找到目標IPsec連接,然后在操作列單擊生成對端配置。
根據本地IDC網關設備的配置要求,將下載的配置添加到本地IDC網關設備中。具體操作,請參見本地網關設備配置示例。
步驟三:配置云企業網
VBR和VPN網關配置完成后,您需要將VPC1、VPC2和VBR加入到云企業網中,云企業網可幫您實現本地IDC和VPC1間的互連互通。
創建云企業網實例。
登錄云企業網管理控制臺。
在云企業網實例頁面,單擊創建云企業網實例。
在創建云企業網實例對話框,根據以下信息配置云企業網實例,然后單擊確認。
名稱:輸入云企業網實例的名稱。
描述:輸入云企業網實例的描述信息。
創建轉發路由器實例。
在VPC實例和VBR實例所屬的地域創建轉發路由器實例,用于將VPC實例和VBR實例連接至云企業網。
在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
在頁簽,單擊創建轉發路由器。
在創建轉發路由器對話框,配置轉發路由器實例信息,然后單擊確認。
請根據下表信息在華東1(杭州)創建轉發路由器實例。
配置項
說明
華東1(杭州)
地域
選擇轉發路由器實例所屬的地域。
本文選擇華東1(杭州)地域。
版本
轉發路由器實例的版本。
系統自動判斷并顯示當前地域下轉發路由器實例的版本。
開通組播
選擇是否打開轉發路由器實例的組播功能。
本文保持默認值,即不打開組播功能。
名稱
輸入轉發路由器實例的名稱。
請自定義轉發路由器實例的名稱。
描述
輸入轉發路由器實例的描述信息。
請自定義轉發路由器實例的描述信息。
TR地址段
輸入轉發路由器地址段。
更多信息,請參見轉發路由器地址段。
本文不輸入轉發路由器地址段。
在云企業網實例中加載VPC1和VPC2。
在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
在頁簽,找到華東1(杭州)地域的轉發路由器實例,在操作單擊創建網絡實例連接。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
下表羅列了各個配置項的說明以及VPC1、VPC2對應的參數值,請依據下表中的數據,分別將VPC1和VPC2連接至轉發路由器實例。
說明在首次連接VPC實例時,系統會自動為您創建一個服務關聯角色,角色名稱為AliyunServiceRoleForCEN。該角色將允許轉發路由器實例在VPC的交換機上創建ENI。更多信息,請參見AliyunServiceRoleForCEN。
配置項
配置項說明
VPC1
VPC2
實例類型
選擇待連接的網絡實例類型。
專有網絡(VPC)
專有網絡(VPC)
地域
選擇待連接的網絡實例所在的地域。
華東1(杭州)
華東1(杭州)
轉發路由器
系統自動顯示該地域下已創建的轉發路由器實例ID。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
同賬號
同賬號
付費方式
默認值按量付費。
按量計費規則,請參見計費說明。
連接名稱
輸入網絡實例連接的名稱。
VPC1-test
VPC2-test
網絡實例
選擇待連接的網絡實例。
選擇VPC1
選擇VPC2
交換機
在轉發路由器支持的可用區選擇交換機實例。
如果轉發路由器在當前地域僅支持一個可用區,則您需要在當前可用區選擇一個交換機實例。
如果轉發路由器在當前地域支持多個可用區,則您需要在至少2個可用區中各選擇一個交換機實例。在VPC和轉發路由器流量互通的過程中,這2個交換機實例可以實現可用區級別的容災。
推薦您在每個可用區中都選擇一個交換機實例,以減少流量繞行,體驗更低傳輸時延以及更高性能。
請確保選擇的每個交換機實例下擁有一個空閑的IP地址。如果VPC實例在轉發路由器支持的可用區中并沒有交換機實例或者交換機實例下沒有空閑的IP地址,您需要新建一個交換機實例。 具體操作,請參見創建和管理交換機。
更多信息,請參見創建VPC連接。
在華東1(杭州)可用區H和可用I各選擇一個交換機實例。
在華東1(杭州)可用區H和可用I各選擇一個交換機實例。
高級配置
系統默認幫您選中以下三種高級功能。您可以依據實際需求取消選中一個或多個配置項。
VPC1和VPC2均保持默認配置,即選中全部高級配置項。
自動關聯至轉發路由器的默認路由表
開啟本功能后,VPC連接會自動關聯至轉發路由器的默認路由表,轉發路由器通過查詢默認路由表轉發VPC實例的流量。
自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,VPC實例會將自身的系統路由傳播至轉發路由器的默認路由表中,用于網絡實例的互通。
自動為VPC的所有路由表配置指向轉發路由器的路由
開啟本功能后,系統將在VPC實例的所有路由表內自動配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC連接,用于引導VPC實例的IPv4流量進入轉發路由器。轉發路由器默認不向VPC實例傳播路由。
在云企業網實例中加載VBR實例。
在云企業網實例頁面,找到目標云企業網實例,單擊目標實例ID。
在頁簽,找到華東1(杭州)地域的轉發路由器實例,在操作單擊創建網絡實例連接。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
實例類型:選擇邊界路由器(VBR)。
地域:選擇待連接的網絡實例所在的地域。本示例選擇華東1(杭州)。
轉發路由器:系統自動顯示當前地域已創建的轉發路由器實例ID。
資源歸屬UID:選擇待連接的網絡實例所屬的賬號類型。本示例使用默認值同賬號。
連接名稱:輸入網絡實例連接名稱。本示例輸入VBR。
網絡實例:選擇待連接的網絡實例ID。本示例選擇VBR實例。
高級配置:系統默認幫您選中以下三種高級功能。本示例保持默認配置。
自動關聯至轉發路由器的默認路由表
開啟本功能后,VBR連接會自動關聯至轉發路由器的默認路由表,轉發路由器通過查詢默認路由表轉發VBR實例的流量。
自動傳播系統路由至轉發路由器的默認路由表
VBR實例會將自身的系統路由傳播至轉發路由器的默認路由表中,用于網絡實例的互通。
自動發布路由到VBR
開啟本功能后,系統自動將VBR連接關聯的轉發路由器路由表中的路由發布到VBR實例中。
發布VPC2中的本地IDC路由至云企業網。
您在VPN網關中將本地IDC路由發布到VPC2中后,VPC2中本地IDC的路由默認是未發布狀態。您需要手動將VPC2中的本地IDC路由發布到云企業網中,以便VPC1也能從VPC2學習到本地IDC的路由。
登錄云企業網管理控制臺。
在云企業網實例頁面,找到目標云企業網實例,單擊實例ID。
在云企業網實例詳情頁面,找到華東1(杭州)地域的轉發路由器實例,單擊實例ID。
在轉發路由器實例詳情頁面,單擊網絡實例路由信息頁簽。
在網絡實例路由信息頁簽下,選擇查看VPC2網絡實例的路由條目,找到本地IDC的路由,在發布狀態列單擊發布。
在發布路由對話框,單擊確認。
為物理專線配置健康檢查。
您需要為物理專線配置健康檢查,健康檢查會以您指定的發包時間間隔發送探測報文,當連續發送的所有探測報文(即您指定的探測報文個數)都丟包時,云企業網會主動將流量切換到IPsec-VPN鏈路。
登錄云企業網管理控制臺。
在左側導航欄,單擊健康檢查。
在健康檢查頁面,選擇VBR的地域,然后單擊設置健康檢查。
在設置健康檢查對話框,根據以下信息配置健康檢查,然后單擊確認。
云企業網實例:選擇VBR加載的云企業網實例。
邊界路由器(VBR):選擇要監控的VBR實例。
源IP:本示例選擇自動生成源IP。
使用自動生成源IP,系統將自動分配100.96.0.0/16地址段內的IP地址,探測鏈路的連通性。
目標IP:輸入VBR實例中客戶側IP地址。
發包時間間隔(秒):指定健康檢查時發送連續探測報文的時間間隔。單位:秒。本示例使用默認值。
探測報文個數(個):指定健康檢查時發送探測報文的個數。單位:個。本示例使用默認值。
切換路由:是否開啟健康檢查的路由切換功能。本示例保持默認值,即開啟路由切換功能。
系統默認選擇開啟本功能。健康檢查探測到物理專線鏈路故障時,如果云企業網實例中存在冗余的路由,健康檢查則會立刻觸發路由切換使用可用鏈路。
若您關閉本功能,健康檢查僅執行鏈路探測功能。若健康檢查探測到物理專線鏈路故障,并不會觸發路由切換。
警告若您選擇關閉本功能,請確保您有其他方式保證鏈路的冗余性,否則當物理專線鏈路故障后,會導致網絡中斷。
步驟四:配置本地IDC網關設備
以下配置示例僅供參考。不同廠商的設備,配置命令可能會有所不同。具體命令,請咨詢相關設備廠商。
#配置BGP動態路由協議,與VBR建立BGP鄰居關系,同時宣告本地IDC私網網段至云上
interface GigabitEthernet 0/12 #該端口為本地IDC網關設備與物理專線連接的端口
no switchport
ip address 10.1.0.2 255.255.255.252 #端口的IP地址,需和VBR客戶側IPv4互聯IP地址一致
router bgp 65530
bgp router-id 10.1.0.2
network 172.16.0.0 mask 255.255.0.0 #宣告本地IDC私網網段
neighbor 10.1.0.1 remote-as 45104 #和VBR建立BGP鄰居關系
exit
#配置通過VPN網關去往VPC1的靜態路由,使其優先級低于BGP路由
ip route 192.168.0.0 255.255.0.0 <VPN網關公網IP地址> preference 255
#配置健康檢查探測報文的回程路由
ip route <健康檢查源IP地址> 255.255.255.255 10.1.0.1
步驟五:測試連通性
在本地IDC下,打開客戶端的命令行窗口。
執行
ping命令,訪問云上VPC1 192.168.0.0/16網段下的ECS實例IP地址,如果接收到回復報文,則表示本地IDC和VPC1連接成功。在本地IDC網關設備上,關閉連接物理專線的端口,切斷物理專線連接。在客戶端再次執行
ping命令,測試本地IDC和VPC1的連通性,如果接收到回復報文,則表示備份VPN鏈路可用。