IPsec連接綁定VPN網關的場景下,之前IPsec-VPN連接僅擁有一條加密隧道,在隧道故障后會直接導致網絡中斷。為提高IPsec-VPN連接的高可用性,VPN網關產品將IPsec-VPN連接升級為雙隧道模式,一個IPsec-VPN連接下將包含主備兩條隧道,且兩條隧道分布在不同的可用區,在主隧道故障后,流量可以通過備隧道進行傳輸,實現IPsec-VPN連接可用區級別的容災。
使用限制
以下地域和可用區支持雙隧道模式的IPsec-VPN連接。
地域
可用區
華東1(杭州)
K、J、I、H、G
華東2(上海)
K、L、M、N、B、D、E、F、G
華東5(南京-本地地域)
A
華東6(福州-本地地域)
A
華中1(武漢-本地地域)
A
華南1(深圳)
A(已停止售賣)、E、D、F
華南2(河源)
A、B
華南3(廣州)
A、B
華北1(青島)
B、C
華北2(北京)
F、E、H、G、A、C、J、I、L、K
華北3(張家口)
A、B、C
華北5(呼和浩特)
A、B
華北6(烏蘭察布)
A、B、C
西南1(成都)
A、B
中國香港
B、C、D
新加坡
A、B、C
泰國(曼谷)
A
日本(東京)
A、B、C
韓國(首爾)
A
菲律賓(馬尼拉)
A
印度尼西亞(雅加達)
A、B、C
馬來西亞(吉隆坡)
A、B
英國(倫敦)
A、B
德國(法蘭克福)
A、B、C
美國(硅谷)
A、B
美國(弗吉尼亞)
A、B
阿聯酋(迪拜)
A
華東1金融云
K、J、I、H
華東2金融云
F、G、Z、K
華南1金融云
D、E
華北2金融云(邀測)
K、L
新購VPN網關實例后,默認僅能創建雙隧道模式的IPsec-VPN連接,不再支持創建單隧道模式的IPsec-VPN連接。
如果您之前已經創建了VPN網關實例,則這些VPN網關實例默認只能創建單隧道模式的IPsec-VPN連接。推薦您盡快將IPsec-VPN連接升級為雙隧道模式,以體驗高可用的IPsec-VPN連接。升級后該VPN網關實例不再支持創建單隧道模式的IPsec-VPN連接。具體操作,請參見升級IPsec-VPN連接為雙隧道模式。
雙隧道模式組網說明
單隧道模式下IPsec-VPN連接僅存在一條隧道,在隧道故障后會直接導致網絡中斷。雙隧道模式下一個IPsec-VPN連接下存在兩條加密隧道,互為主備鏈路,默認情況下流量僅通過主隧道進行傳輸,在主隧道故障后,流量可以通過備隧道進行傳輸。
在雙隧道模式下,創建VPN網關實例時,您需要從VPN網關實例關聯的VPC實例下指定兩個分布在不同可用區的交換機實例,用于創建雙隧道的IPsec-VPN連接,以實現IPsec-VPN連接可用區級別的容災。
說明對于僅支持一個可用區的地域 ,不支持可用區級別的容災,建議您在該可用區下指定兩個不同的交換機實例以實現IPsec-VPN連接的高可用。支持選擇相同的交換機實例。
創建VPN網關實例后,系統會為VPN網關實例分配兩個不同的IP地址,用于建立兩條隧道。
對于公網網絡類型的VPN網關實例,當您開啟SSL-VPN功能后,系統會額外為VPN網關實例分配一個IP地址,用于客戶端和VPN網關之間建立SSL-VPN連接,SSL-VPN連接的IP地址與IPsec-VPN連接的兩個IP地址不相同。
在VPN管理控制臺創建IPsec連接時需要對兩條隧道分別進行配置,每條隧道關聯一個用戶網關(兩條隧道可以關聯相同的用戶網關)。
配置完成后,您還需要在IPsec連接對端的網關設備上添加VPN配置分別與兩條隧道建立VPN連接,以建立雙隧道的IPsec-VPN連接。
重要在創建雙隧道模式的IPsec-VPN連接時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN連接主備鏈路冗余能力以及可用區級別的容災能力。
雙隧道模式流量傳輸說明
從VPN網關側去往對端的方向(圖中綠色流量方向)
在創建IPsec-VPN連接時,如果您僅配置了一條隧道(即僅啟用一條隧道),則系統僅通過啟用的隧道傳輸從VPN網關側去往對端方向的流量,在隧道故障時,流量傳輸會中斷。
在創建IPsec-VPN連接時,如果您配置了兩條隧道(即兩條隧道均啟用),則系統優先通過主隧道傳輸從VPN網關側去往對端方向的流量,在主隧道故障時,系統會通過備隧道傳輸從VPN網關側去往對端方向的流量。在主隧道恢復后,則該方向的流量會重新切換到主隧道進行傳輸。
從對端去往VPN網關側的方向(圖中黑色流量方向)
該方向的流量路徑依賴于對端網關設備的路由配置。
例如在本地IDC通過IPsec-VPN連接與VPC互通的場景中,您可以在本地網關設備上添加路由配置使本地IDC和VPC之間雙方向的流量均通過主隧道傳輸,您也可以使VPC去往本地IDC的流量通過主隧道進行傳輸,使本地IDC去往VPC的流量通過備隧道進行傳輸。
雙隧道模式路由配置原則
在使用雙隧道模式的IPsec-VPN連接時,推薦您按照以下原則為IPsec-VPN連接添加路由配置,以提高IPsec-VPN連接的穩定性:
對于一個IPsec-VPN連接下的兩條隧道,建議配置相同的路由協議,即僅為IPsec-VPN連接配置靜態路由協議或為兩條隧道同時配置BGP動態路由協議。
在IPsec-VPN連接配置BGP動態路由協議的情況下,兩條隧道的本端自治系統號需保持相同,兩條隧道對端的BGP AS號可以不相同,但建議保持相同。
對于一個VPN網關下存在多個IPsec-VPN連接的場景:
如果為多個IPsec-VPN連接同時配置了靜態路由,則不同IPsec-VPN連接的目的路由或者策略路由的目標網段之間不能沖突,否則會影響路由生效。
如果為多個IPsec-VPN連接同時配置了BGP動態路由,則VPN網關側通過多條IPsec-VPN連接學習到的路由條目的目標網段之間不能沖突,否則會影響路由生效。
單隧道模式和多隧道模式差異對比
IPsec-VPN連接升級至雙隧道模式后,計費方式不變且無新增費用。
差異點 | 單隧道模式 | 雙隧道模式 |
單個IPsec-VPN連接下的隧道數量 | 一條 | 兩條 |
關聯的交換機數量 | 創建VPN網關實例時僅需指定一個交換機。 | 創建VPN網關實例時需指定兩個分布在不同可用區的交換機。 |
高可用性 | 需通過在VPN網關實例下創建多條IPsec-VPN連接或者創建多個VPN網關實例實現高可用。 | 通過一個IPsec-VPN連接下的兩條隧道即可實現高可用。 |
配置路由權重值 | 支持 | 不支持 |
健康檢查功能 | 支持 | 不支持 |
VPN網關的IP地址 | 創建VPN網關實例后,系統僅為VPN網關實例分配一個IP地址。 VPN網關使用該IP地址和對端建立IPsec-VPN連接或SSL-VPN連接。 | 創建VPN網關實例后,系統最多為VPN網關實例分配三個IP地址(指VPN網關實例同時開啟IPsec-VPN和SSL-VPN功能的場景),其中IPsec-VPN連接使用兩個IP地址,用于建立兩條加密隧道,SSL-VPN連接使用一個IP地址用于和客戶端建立連接。三個IP地址互不相同。 |