VPN網關的Hub功能可以滿足大型企業在各個站點之間、各個站點與專有網絡VPC(Virtual Private Cloud)之間建立內網通信的需求。本文為您介紹如何使用VPN網關的Hub功能在多站點之間、多站點與VPC之間建立連接。
VPN網關Hub功能介紹
創建VPN網關實例后,系統自動開啟VPN網關實例的Hub功能。您只需要配置各個站點的用戶網關以及各個站點到云上的IPsec連接,即可實現多站點之間、多站點與VPC之間的相互通信。
場景示例
本文以上圖場景為例。某大型企業在上海、杭州、寧波各擁有一個辦公點,在阿里云華東1(杭州)地域擁有一個VPC1,VPC1中使用云服務器ECS(Elastic Compute Service)部署了相關業務,當前各個辦公點之間,各個辦公點與VPC1之間互不相通。因業務發展,現在企業需要使用VPN網關產品,通過VPN網關的Hub功能快速實現上海辦公點、杭州辦公點、寧波辦公點和VPC1之間相互通信。
前提條件
您已經獲取各個辦公點本地網關設備的公網IP地址。
您已經在阿里云華東1(杭州)地域創建了一個VPC1,VPC1中使用ECS部署了相關業務。具體操作,請參見搭建IPv4專有網絡。
本示例VPC1和各個辦公點的網段規劃如下表所示。
說明您可以自行規劃網段,請確保VPC1和各個辦公點之間要互通的網段沒有重疊。
站點
VPC1
上海辦公點
杭州辦公點
寧波辦公點
待互通的網段
192.168.0.0/16
10.10.10.0/24
10.10.20.0/24
10.10.30.0/24
ECS實例IP地址
192.168.20.121
不涉及
不涉及
不涉及
本地網關設備公網IP地址
不涉及
1.XX.XX.1
2.XX.XX.2
3.XX.XX.3
您已經了解VPC1中ECS實例所應用的安全組規則及各個辦公點所應用的訪問控制規則,并確保ECS實例的安全組規則以及各個辦公點的訪問控制規則允許辦公點之間、辦公點與VPC1之間相互通信。具體操作,請參見查詢安全組規則和添加安全組規則。
配置流程
步驟一:創建VPN網關
在VPC1實例所屬的地域創建一個VPN網關實例,上海辦公點、杭州辦公點和寧波辦公點將通過該VPN網關實例實現互相通信,以及與云上VPC1的通信。
- 登錄VPN網關管理控制臺。
在頂部菜單欄,選擇VPN網關實例所屬的地域。
本示例選擇華東1(杭州)。
- 在VPN網關頁面,單擊創建VPN網關。
在購買頁面,根據以下信息配置VPN網關,然后單擊立即購買并完成支付。
配置項
說明
實例名稱
輸入VPN網關實例的名稱。本示例輸入VPN網關1。
地域和可用區
選擇VPN網關實例所屬的地域。本示例選擇華東1(杭州)。
網關類型
選擇VPN網關實例的類型。本示例選擇普通型。
網絡類型
選擇VPN網關實例的網絡類型。本示例選擇公網。
隧道
系統直接展示當前地域支持的IPsec-VPN連接的隧道模式。
VPC
選擇VPN網關實例關聯的VPC實例。本示例選擇VPC1。
虛擬交換機
從VPC實例中選擇一個交換機實例。
- IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
- IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
說明- 系統默認幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認的交換機實例。
- 創建VPN網關實例后,不支持修改VPN網關實例關聯的交換機實例,您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機以及交換機所屬可用區的信息。
虛擬交換機2
從VPC實例中選擇第二個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,無需配置該項。
帶寬規格
選擇VPN網關實例的公網帶寬峰值。單位:Mbps。
IPsec-VPN
選擇開啟或關閉IPsec-VPN功能。本示例選擇開啟。
SSL-VPN
選擇開啟或關閉SSL-VPN功能。本示例選擇關閉。
計費周期
選擇購買時長。
您可以選擇是否自動續費:
按月購買:自動續費周期為1個月。
按年購買:自動續費周期為1年。
服務關聯角色
單擊創建關聯角色,系統自動創建服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他云產品中的資源,更多信息,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已創建,則表示您的賬號下已創建了該角色,無需重復創建。
更多參數信息,請參見創建VPN網關實例。
返回VPN網關頁面,查看已創建的VPN網關實例。
創建VPN網關實例后,其狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關實例已經完成了初始化,可以正常使用。
步驟二:創建用戶網關
若要實現多個辦公點通過一個VPN網關實例相互通信,在創建VPN網關實例后,您需要創建多個用戶網關,一個用戶網關對應一個辦公點。
- 在左側導航欄,選擇。
在頂部菜單欄,選擇用戶網關的地域。
說明用戶網關的地域必須和待連接的VPN網關實例的地域相同。
在用戶網關頁面,單擊創建用戶網關。
在創建用戶網關面板,根據以下信息配置用戶網關,然后單擊確定。
您需要為每個辦公點創建一個用戶網關,用戶網關的配置請參見下表。
配置項
配置項說明
上海辦公點
杭州辦公點
寧波辦公點
名稱
輸入用戶網關的名稱。
Shanghai-customer1
Hangzhou-customer2
Ningbo-customer3
IP地址
輸入用戶網關的公網IP地址。
本示例輸入上海辦公點本地網關設備的公網IP地址1.XX.XX.1。
本示例輸入杭州辦公點本地網關設備的公網IP地址2.XX.XX.2。
本示例輸入寧波辦公點本地網關設備的公網IP地址3.XX.XX.3。
更多參數信息,請參見創建用戶網關。
步驟三:創建IPsec連接
您需要為上海辦公點、杭州辦公點、寧波辦公點各創建一條IPsec連接,IPsec連接會將用戶網關與VPN網關關聯起來,進而將各個辦公點連接至阿里云。
- 在左側導航欄,選擇。
- 在頂部菜單欄,選擇IPsec連接的地域。
- 在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
上海辦公點、杭州辦公點以及寧波辦公點IPsec連接的配置請參見下表。
配置項
配置項說明
上海辦公點
杭州辦公點
寧波辦公點
名稱
輸入IPsec連接的名稱。
IPsec連接1
IPsec連接2
IPsec連接3
VPN網關
選擇已創建的VPN網關實例。
選擇VPN網關1。
用戶網關
選擇已創建的用戶網關實例。
選擇Shanghai-customer1。
選擇Hangzhou-customer2。
選擇Ningbo-customer3。
路由模式
選擇路由模式。
選擇目的路由模式。
選擇目的路由模式。
選擇感興趣流模式。
本端網段
輸入需要和各個辦公點互通的VPC的網段,用于第二階段協商。
不涉及
不涉及
192.168.0.0/16
對端網段
輸入需要和VPC互通的辦公點的網段,用于第二階段協商。
10.10.30.0/24
立即生效
選擇是否立即生效。
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
本示例選擇是。
本示例選擇是。
本示例選擇是。
預共享密鑰
輸入預共享密鑰。
如果不輸入該值,系統默認生成一個16位的隨機字符串。
重要本地網關設備的預共享密鑰需和IPsec連接的預共享密鑰一致。
fddsFF123****
TTTddd321****
PPPttt456****
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
本文使用IKEv1版本,其他選項使用默認配置。
本文使用IKEv1版本,其他選項使用默認配置。
本文使用IKEv1版本,其他選項使用默認配置。
其他選項使用默認配置。更多參數信息,請參見創建和管理IPsec連接(單隧道模式)。
在創建成功對話框中,單擊確定。
步驟四:為VPN網關配置路由
IPsec連接創建完成后,您需要將上海辦公點和杭州辦公點待互通的網段添加至VPN網關實例的目的路由表中,并將上海辦公點、杭州辦公點和寧波辦公點待互通的網段發布至VPC1中,為實現各個辦公點之間、辦公點與VPC1之間的相互通信做準備。
寧波辦公點的IPsec連接使用的是感興趣流的路由模式,IPsec連接創建完成后,系統自動將本端路由和對端路由添加至VPN網關實例的策略路由表中,因此您只需在策略路由表中將寧波辦公點的網段直接發布至VPC1即可,無需再手動添加路由。
- 在左側導航欄,選擇。
- 在頂部菜單欄,選擇VPN網關實例的地域。
在VPN網關頁面,找到目標VPN網關實例,單擊實例ID。
在VPN網關實例的目的路由表中添加并發布上海辦公點和杭州辦公點的網段。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下信息配置目的路由條目,然后單擊確定。
配置項
配置說明
路由條目1
路由條目2
目標網段
輸入待互通的目標網段。
輸入上海辦公點的私網網段10.10.10.0/24。
輸入杭州辦公點的私網網段10.10.20.0/24。
下一跳類型
選擇下一跳的類型。
選擇IPsec連接。
選擇IPsec連接。
下一跳
選擇下一跳。
選擇IPsec連接1。
選擇IPsec連接2。
發布到VPC
選擇是否將新添加的路由條目發布到VPN網關關聯的VPC1中。
本示例選擇是。
本示例選擇是。
權重
選擇路由條目的權重值。
100:高優先級。
0:低優先級。
本示例保持默認值100。
本示例保持默認值100。
更多參數信息,請參見添加目的路由。
在VPN網關實例的策略路由表中發布寧波辦公點的網段。
在策略路由表中,找到目標網段為寧波辦公點網段的路由條目,在操作列單擊發布。
在發布路由對話框,單擊確定。
步驟五:配置本地網關設備
在阿里云側完成VPN網關的配置后,還需要配置各個辦公點的本地網關設備。您需要在IPsec連接頁面下載本地網關設備的配置,并將配置添加至本地網關設備中,以便實現各個辦公點之間、辦公點與VPC1之間的相互通信。
- 在左側導航欄,選擇。
在IPsec連接頁面,找到目標IPsec連接,然后在操作列下單擊下載對端配置。
分別找到IPsec連接1、IPsec連接2和IPsec連接3,下載對端配置。
根據本地網關設備的配置要求,將下載的配置添加到本地網關設備中。具體操作,請參見本地網關配置。
將通過IPsec連接1下載的對端配置添加至上海辦公點的本地網關設備中。
將通過IPsec連接2下載的對端配置添加至杭州辦公點的本地網關設備中。
將通過IPsec連接3下載的對端配置添加至寧波辦公點的本地網關設備中。
步驟六:測試連通性
完成上述配置后,上海辦公點、杭州辦公點、寧波辦公點和VPC1之間已經可以互相通信。以下內容介紹如何測試連通性。
測試辦公點與VPC1之間的連通性。
登錄VPC1內的ECS實例。
關于如何登錄ECS實例,請參見連接方式概述。
執行ping命令,分別訪問上海辦公點、杭州辦公點和寧波辦公點的一臺客戶端。
ping <客戶端IP地址>如果均能夠收到回復報文,則證明各個辦公點與VPC1之間可以互相通信。
測試辦公點之間的連通性。
打開上海辦公點一臺客戶端的命令行窗口。
執行ping命令,分別訪問杭州辦公點和寧波辦公點的一臺客戶端。
ping <客戶端IP地址>如果均能夠收到回復報文,則證明上海辦公點與杭州辦公點、上海辦公點與寧波辦公點之間可以互相通信。
打開杭州辦公點一臺客戶端的命令行窗口。
執行ping命令,訪問寧波辦公點的一臺客戶端。
ping <客戶端IP地址>如果收到回復報文,則證明杭州辦公點與寧波辦公點之間可以互相通信。