通过全球加速服务实现站点入云VPN加速
方案概述
应用场景:站点入云VPN(Site-to-Cloud VPN,以下简称S2C VPN)基于IPsec协议,为企业用户在本地网络、数据中心与云上网络之间搭建安全、可靠、高性价比的加密连接通道,使用中可能面临如下问题:
- 不支持在中国大陆和非中国大陆之间建立VPN跨境连接
- 网络质量差:如数据传输速率慢、时延高,抖动,丢包等
GA加速站点入云VPN,可以解决上述问题,为混合云部署、跨地域VPC互联、企业多分支互联等应用场景提供高可靠、低时延的安全通道。
方案架构:GA加速站点入云VPN,即使用GA对VPN网关和对端网关之间的IPsec VPN隧道进行加速,方案架构图如图1所示。
- 将GA服务的终端节点设置成VPN网关的EIP,以便GA可以将加速流量发送到VPN网关。
- 将对端网关的远端IP设置成GA的Anycast IP,以便对端网关通过GA跟VPN网关建立VPN。
约束与限制
- 华为云VPN使用IPsec隧道,即使用UDP协议传输,使用GA加速的流量是IPsec隧道中的流量,因此均为UDP报文。
- GA加速EIP后端,数据包在GA节点会进行NAT转换,因此云上VPN网关看不到对端网关真正的IP地址,配置VPN时,需要开启VPN网关非固定IP功能。
- 本实践适用的站点入云VPN网关规格:专业型1-非固定IP、专业型2-非固定IP。
关于站点入云VPN的产品规格详细请参见站点入云VPN。
资源成本与规划
|
资源 |
资源说明 |
数量 |
费用 |
|---|---|---|---|
|
全球加速实例 |
按照每个全球加速实例的创建时长收费。 按小时计费,创建时长不满1小时按1小时收费。 实例费=实例单价*创建时长 |
2
说明:
1个站点入云VPN关联两个EIP,需要使用两个全球加速实例分别加速。 |
请参见全球加速价格详情。 |
|
数据传输 |
通过全球加速服务转发的流量费用,按GB收费。 从一个全球加速接入点到一个应用部署区域之间的流量,定义流量大的方向为主方向,按照每条流量的主方向收费。 数据传输费=流量单价*使用量 |
根据实际转发的流量 |
|
|
站点入云VPN |
使用包年/包月计费模式的专业型站点入云VPN,根据规格不同,支持的最大VPN连接组数和最大带宽不同。 |
1 |
请参见虚拟专用网络价格详情。 |
配置流程
|
步骤 |
说明 |
|---|---|
|
|
|
将已购买的2个EIP作为后端终端节点,分别配置全球加速实例。 |
|
|
配置VPN并将已购买的EIP作为VPN网关的主EIP和主EIP2。 |
|
|
基础VPN业务开通后,将云下路由设备中对端网关IP地址配置为GA的Anycast IP。 |
|
|
配置完成后,查看VPN连接状态、全球加速实例健康检查状态为正常,同时用户数据中心内的服务器和华为云上子网内的服务器可以相互Ping通。 |
步骤三:配置虚拟专用网络
- 购买站点入云VPN网关。
- 登录站点入云VPN网关控制台。
- 在页面右上角,单击“创建站点入云VPN网关”。
图4 创建站点入云VPN网关
- 根据界面提示配置VPN网关参数。
- 计费模式:包年/包月。
- 规格:选择“专业型1”或“专业型2”;开启非固定IP接入。
- 弹性公网IP:关闭“是否使用共享带宽”;主EIP和主EIP2选择“使用已有”,分别设置为已购买的两个EIP。
图5 配置VPN网关参数
- 单击“立即购买”,确认配置并完成支付。
- 创建对端网关。
- 登录对端网关列表页面。
- 在页面右上角,单击“创建对端网关”。
图6 创建对端网关
- 根据界面提示配置对端网关参数。
- 创建VPN连接。
步骤四:配置对端网关设备
相比单独使用站点入云VPN,使用GA加速站点入云VPN,在云下对端网关设备上配置IPsec VPN时,需要注意如下几点:
- IKE配置:设置本端标识类型为FQDN,使用步骤2中设置的对端网关标识作为本端标识;对端标识使用站点入云VPN的EIP,对端网关IP地址使用加速此EIP的GA Anycast IP。
- IPsec配置:开启NAT穿越。
根据对端网关类型不同,配置操作可能存在差异。详细配置方法,请参见虚拟专用网络管理员指南中在对端网关侧的操作指南。
步骤五:连通性测试
配置完成后:
- 查看VPN连接状态为正常,详细请参见查看已创建的VPN连接。
- 查看全球加速实例健康检查状态为正常,详细请参见查看终端节点。
- 云下用户数据中心的服务器和云上VPC子网内的云服务器通过可以相互Ping通。
