文档首页/ 虚拟专用网络 VPN/ 快速入门/ 通过站点入云VPN企业版实现数据中心和VPC互通/ 入门指引
更新时间:2025-07-10 GMT+08:00
查看PDF
分享

入门指引

功能支持区域

以管理控制台实际上线区域为准。

场景描述

由于业务发展,企业A需要将数据中心和VPC的数据进行互通。此时企业A可以通过VPN服务创建数据中心和VPC的连接,实现云上和云下数据互通。

  • 如果用户数据中心仅有一个对端网关,且对端网关只能配置一个IP地址,推荐VPN网关使用双活模式,组网如图 双活模式所示。

    双活模式下,如果连接1链路故障,流量自动切换至连接2进行传输,企业业务不受影响。

    图1 双活模式
  • 如果用户数据中心存在两个对端网关,或一个对端网关可以配置两个IP地址,推荐VPN网关使用主备模式,组网如图 主备模式所示。

    主备模式下,连接1和连接2互为主备,主链路为连接1,备链路为连接2。默认情况下流量仅通过主链路进行传输,如果主链路故障,流量自动切换至备链路进行传输,企业业务不受影响;主链路恢复正常后,VPN回切至主链路进行数据交互。

    图2 主备模式

约束与限制

  • 对端网关需要支持标准IKE和IPsec协议。
  • 本地数据中心和VPC间互通的子网需要没有重叠,且数据中心待互通的子网中不能包含100.64.0.0/10、100.64.0.0/12和214.0.0.0/8等预留网段。不同region的预留网段不同,实际使用以控制台显示为准。
    • 如果需要使用100.64.0.0/10或100.64.0.0/12,请提交工单申请。
    • 如果VPC使用DC/CC服务和其他VPC互通,则本地数据中心的子网也不能和其他VPC包含的子网存在重叠。

数据规划

表1 规划数据

类别

规划项

规划值

VPC

待互通子网

192.168.0.0/16

VPN网关

互联子网

用于VPN网关和VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。

192.168.2.0/24

HA模式

双活

EIP地址

EIP地址在购买EIP时由系统自动生成,VPN网关默认使用2个EIP。本示例假设EIP地址生成如下:

  • 主EIP:11.xx.xx.11
  • 主EIP2:11.xx.xx.12

VPN连接

“连接1配置”中的Tunnel接口地址

用于VPN网关和对端网关建立IPsec隧道,配置时两边需要互为镜像。

  • 本端隧道接口地址:169.254.70.1/30
  • 对端隧道接口地址:169.254.70.2/30

“连接2配置”中的Tunnel接口地址
  • 本端隧道接口地址:169.254.71.1/30
  • 对端隧道接口地址:169.254.71.2/30

数据中心

待互通子网

172.16.0.0/16

对端网关

网关IP地址

网关IP地址由运营商统一分配。本示例假设网关IP地址如下:

22.xx.xx.22

操作流程

通过VPN实现数据中心和VPC互通的操作流程如图3所示。

图3 操作流程
表2 操作流程说明

序号

步骤

说明

1

步骤一:创建VPN网关

VPN网关需要绑定两个EIP作为出口公网IP。

如果您已经购买EIP,则此处可以直接绑定使用。

2

步骤二:创建对端网关

添加数据中心的VPN设备为对端网关。

3

步骤三:创建VPN连接
  • VPN网关的主EIP、主EIP2和对端网关组建两条VPN连接。
  • 连接2的连接模式、预共享密钥、IKE/IPsec策略需要和连接1的配置保持一致。

4

步骤四:配置对端网关设备
  • 对端网关配置的本端隧道接口地址/对端隧道接口地址需要和华为云VPN连接配置互为镜像配置。
  • 对端网关配置的连接模式、预共享密钥、IKE/IPsec策略需要和华为云VPN连接配置保持一致。

5

步骤五:验证网络互通情况

登录ECS,执行ping命令,验证网络互通情况。