更新时间:2024-12-20 GMT+08:00

操作步骤

前提条件

  • 云侧
    • 请确认虚拟私有云VPC已经创建完成。如何创建虚拟私有云VPC,请参见《虚拟私有云用户指南》。
    • 请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。如何配置安全组规则,请参见《虚拟私有云用户指南》。
  • 数据中心侧
    • 用户数据中心1和2的VPN设备已经完成IPsec连接相关配置。
    • 用户数据中心1的VPN设备对端网络中需要包含VPC的本端子网和用户数据中心2的待互通子网;用户数据中心2的VPN设备对端网络中需要包含VPC的本端子网和用户数据中心1的待互通子网。

操作步骤

VPN服务支持静态路由模式、BGP路由模式和策略模式三种连接模式。本示例以静态路由模式进行配置讲解。

  1. 配置VPN网关。

    1. 选择“虚拟专用网络 > 企业版-VPN网关”,单击“创建VPN网关”。
    2. 根据界面提示配置参数。

      VPN网关参数说明如表1所示。

      表1 VPN网关参数说明

      参数

      说明

      取值参数

      名称

      VPN网关的名称。

      vpngw-001

      网络类型

      选择“公网”。

      公网

      关联模式

      选择“虚拟私有云”。

      虚拟私有云

      虚拟私有云

      选择需要和用户数据中心通信的VPC。

      vpc-001(192.168.0.0/16)

      本端子网

      VPC需要与用户数据中心互通的子网。

      192.168.0.0/24,192.168.1.0/24

      互联子网

      用于VPN网关和VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。

      192.168.2.0/24

      BGP ASN

      BGP自治系统编号。

      64512

      HA模式

      选择“双活”

      双活

      主EIP

      VPN网关和用户数据中心通信的公网IP1。

      1.1.1.2

      主EIP2

      VPN网关和用户数据中心通信的公网IP2。

      2.2.2.2

  2. 配置对端网关。

    1. 选择“虚拟专用网络 > 企业版-对端网关”,单击“创建对端网关”。
    2. 根据界面提示配置参数。

      对端网关参数说明如表2所示。

      表2 对端网关参数说明

      参数

      说明

      取值参数

      名称

      对端网关的名称。

      cgw-fw1

      路由模式

      选择“静态路由”。

      静态路由

      网关IP

      数据中心1下对端网关和VPN网关通信的IP地址。

      请确认数据中心的对端网关已经放通UDP端口4500。

      1.1.1.1

    3. 参见上述步骤,配置数据中心2的对端网关信息(2.2.2.1)。

  3. 配置云侧和数据中心1的VPN连接。

    1. 选择“虚拟专用网络 > 企业版-VPN连接”,单击“创建VPN连接”。
    2. 配置第一条VPN连接参数,单击“提交”。

      VPN连接参数说明如表3所示。

      表3 VPN连接参数说明

      参数

      说明

      取值参数

      名称

      VPN连接的名称。

      vpn-001

      VPN网关

      选择VPN网关。

      vpngw-001

      网关IP

      选择VPN网关已绑定的主EIP。

      1.1.1.2

      连接模式

      选择“静态路由模式”。

      静态路由模式

      对端网关

      选择对端网关。

      cgw-fw1

      对端子网

      用户数据中心1中需要和VPC通信的子网。

      • 对端子网与本端子网可以重叠,不能重合;对端子网不能被本网关关联的VPC内已有子网所包含。
      • 部分网段是VPC预留网段,不能作为对端子网,比如100.64.0.0/10,214.0.0.0/8。

      172.16.0.0/16

      接口分配方式

      • 手动分配

        本示例以“手动分配”为例。

      • 自动分配

      手动分配

      本端隧道接口地址

      配置在VPN网关上的tunnel接口地址。

      169.254.70.1

      对端隧道接口地址

      配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。

      169.254.70.2

      检测机制

      用于多链路场景下路由可靠性检测,通过ICMP报文检测实现;使能NQA,您的对端设备需要允许ICMP响应请求。

      勾选“使能NQA”

      预共享密钥、确认密钥

      和对端网关的预共享密钥需要保持一致。

      Test@123

      策略配置

      和对端网关的策略配置需要保持一致。

      保持默认

    3. 配置第二条VPN连接参数。

      此处仅对和第一条VPN连接配置不同的参数,未提及参数建议和第一条VPN连接配置保持一致。

      表4 第二条VPN连接参数说明

      参数

      说明

      取值参数

      名称

      VPN连接的名称。

      vpn-002

      网关IP

      选择VPN网关已绑定的主EIP2。

      2.2.2.2

      本端隧道接口地址

      VPN网关的Tunnel隧道IP地址。

      169.254.71.1

      对端隧道接口地址

      对端网关的Tunnel隧道IP地址。

      169.254.71.2

  4. 配置云侧和数据中心2的VPN连接。

    1. 选择“虚拟专用网络 > 企业版-VPN连接”,单击“创建VPN连接”。
    2. 根据界面提示配置第一条VPN连接参数,单击“提交”。

      VPN连接参数说明如表5所示。

      表5 VPN连接参数说明

      参数

      说明

      取值参数

      名称

      VPN连接的名称。

      vpn-003

      VPN网关

      选择VPN网关。

      vpngw-001

      网关IP

      选择VPN网关已绑定的主EIP。

      1.1.1.2

      对端网关

      选择对端网关。

      cgw-fw2

      连接模式

      选择“静态路由模式”。

      静态路由模式

      对端子网

      用户数据中心2中需要和VPC通信的子网。

      • 对端子网与本端子网可以重叠,不能重合;对端子网不能被本网关关联的VPC内已有子网所包含。
      • 部分网段是VPC预留网段,不能作为对端子网,例如:100.64.0.0/10,214.0.0.0/8。

      10.10.0.0/16

      接口分配方式

      • 手动分配

        本示例以“手动分配”为例。

      • 自动分配

      手动分配

      本端隧道接口地址

      配置在VPN网关上的tunnel接口地址。

      169.254.72.1

      对端隧道接口地址

      配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。

      169.254.72.2

      检测机制

      用于多链路场景下路由可靠性检测,通过ICMP报文检测实现;使能NQA,您的对端设备需要允许ICMP响应请求。

      勾选“使能NQA”

      预共享密钥、确认密钥

      和用户数据中心2对端网关的预共享密钥需要保持一致。

      Test@123

      策略配置

      和用户数据中心2对端网关的策略配置需要保持一致。

      保持默认

    3. 配置第二条VPN连接参数。

      此处仅对和第一条VPN连接配置不同的参数,未提及参数建议和第一条VPN连接配置保持一致。

      表6 第二条VPN连接参数说明

      参数

      说明

      取值参数

      名称

      VPN连接的名称。

      vpn-004

      网关IP

      选择VPN网关已绑定的主EIP2。

      2.2.2.2

      本端隧道接口地址

      VPN网关的Tunnel隧道IP地址。

      169.254.73.1

      对端隧道接口地址

      用户数据中心2对端网关的Tunnel隧道IP地址。

      169.254.73.2

  5. 配置数据中心1/2的对端网关信息。

    根据对端网关类型不同,配置操作可能存在差异。

结果验证

  • 大约5分钟后,查看VPN连接状态。

    选择“虚拟专用网络 > 企业版-VPN连接”,四条VPN连接状态显示为正常。

  • 用户数据中心1内的服务器和用户数据中心2内的服务器可以相互Ping通。