本文为您介绍云下数据中心网关的出口IP为非固定IP（只有一个IP但每次连接的IP不固定）场景下，VPN连接的配置方法。

背景信息

使用VPN连接实现本地数据中心与云上VPC之间网络互通是一种非常典型的本地上云场景，该场景一般会要求待上云的本地数据中心具备固定的静态公网IP作为本地网关的出口IP。

现某企业由于自身网络限制，企业本地网关的出口IP为非固定的静态公网IP，又考虑成本问题希望企业本地数据中心使用VPN连接实现上云，因此本文为您介绍这种特殊的非固定出口IP场景下，如何配置VPN连接实现网络互通。多个非固定出口IP场景的配置操作请参考搭建云上VPC与云下数据中心互通（多个非固定出口IP场景）。

前提条件

• 已在火山引擎上创建私有网络（名称为：VPC1）及其子网，具体操作可参考创建私有网络。
• 已合理规划网段，并确保本地数据中心待上云部分的网段与VPC1的私网网段无重叠。

相关信息

已获取的信息如下图所示，VPC1及其子网以及云服务器为已创建的云资源，VPN网关、用户网关为下文操作需要创建的资源。

操作步骤

创建VPN网关

1. 登录VPN网关控制台。

2. 在顶部导航栏，选择目标项目“Project-01”和地域“华北2（北京）”

3. 单击“创建VPN网关”按钮。

4. 参考下表，配置VPN网关参数。

   参数	说明	取值样例
   基本信息
   计费类型	VPN网关的计费类型。	包年包月
   地域	选择VPN网关所在的地域，需与VPC1的地域保持一致。	华北2(北京)
   名称	VPN网关的名称。	VPNGW-test
   网络配置
   带宽规格	设置VPN网关的带宽上限。 此带宽是后续基于该VPN网关，创建的所有IPsec VPN连接和SSL VPN连接的共享带宽值。	20Mbps
   私有网络	VPN网关所在的私有网络。	VPC1|192.168.1.0/24
   子网	选择VPN网关所在的子网。子网中需预留足够的IPv4地址用于部署VPN网关。	子网1|192.168.1.128/25
   BGP ASN	设置VPN网关的ASN（Autonomous System Number）。仅在IPsec连接使用动态路由传播模式时，需要配置VPN网关BGP ASN，本操作演示使用静态路由传播模式，无需配置VPN网关BGP ASN。 说明 VPN连接动态路由传播功能为邀测功能，仅开通后可使用，如需试用请联系客户经理。	--
   功能配置
   IPsec连接能力	是否开启IPsec连接能力，开启后可使用IPsec VPN功能，可同时开启SSL连接能力。	开启
   SSL连接能力	是否开启SSL连接能力，开启后可使用SSL VPN功能，可同时开启IPsec连接能力。	不开启
   更多信息
   购买时长	购买VPN网关的时长。	1个月
   自动续费	是否勾选启用自动续费。	不勾选
   项目	资源所属项目，固定为进入创建页面前选择的项目Project-01。不同项目间，云资源不可共享。	Project-01

5. 配置完成后，单击“确认订单”按钮，并请根据控制台指引查阅并确认相关协议。

6. 单击“立即购买”按钮进行支付，完成购买。
   VPN网关VPNGW-test创建成功后，系统分配的网关出口IP为101.XX.XX.58。

创建用户网关

1. 登录用户网关控制台。
2. 在顶部导航栏，选择目标项目“Project-01”和地域“华北2（北京）”
3. 单击“创建用户网关”按钮。
4. 参考下表配置用户网关。

   参数	说明	取值样例
   地域	选择用户网关所在的地域，需与VPC1和VPN网关VPNGW-test的地域保持一致。	华北2(北京)
   名称	设置用户网关的名称。	CGW-test
   IP地址	输入对端VPN网关的静态公网IP地址，即网关出口IP地址。本文使用场景对端无固定网关出口IP地址，因此需配置为0.0.0.0。	0.0.0.0
   BGP ASN	设置用户网关的ASN（Autonomous System Number）。仅在IPsec连接使用动态路由传播模式时，需要配置用户网关BGP ASN，本操作演示使用静态路由传播模式，无需配置用户网关BGP ASN。	--
   项目	用户网关所属项目，固定为进入创建页面前选择的项目Project-01。	Project-01

5. 配置完成后，单击“确定”按钮。

创建IPsec连接

1. 登录IPsec连接控制台。

2. 在顶部导航栏，选择目标项目“Project-01”和地域“华北2（北京）”。

3. 单击“创建IPsec连接”按钮。

4. 参考下表配置IPsec连接。

   • 基本信息

     参数	说明	取值样例
     地域	选择IPsec连接所在的地域。	华北2（北京）
     名称	IPsec连接的名称。	IPsecVPN-test
     项目	资源所属项目，固定为进入创建页面前选择的项目Project-02。	Project-01

   • 绑定资源

     参数	说明	取值样例
     绑定资源类型	选择新创建IPsec连接绑定的资源类型。	VPN网关
     VPN网关	选择上文创建VPN网关阶段创建的VPN网关。	VPNGW-test

   • 连接信息

     参数	说明	取值样例
     路由模式	选择路由的模式。	目的路由
     立即发起协商	IPsec连接配置完成后是否立即生效。本文使用场景为对端无固定网关出口IP地址，因此火山引擎侧无法主动发起协商，此处默认为“否”且不可修改。	否
     路由传播模式	选择路由的传播模式。	静态路由
     用户网关	选择上文创建用户网关阶段创建的用户网关。	CGW-test
     预共享密钥	填写用于双方VPN设备IKE协商的密钥。 该信息非常重要，请您妥善保存。	test@00000
     确认密钥	请再次输入预共享密钥。	test@00000

   • 高级配置

     说明

     此处仅体现需特别配置的参数，其他未体现参数保持默认值。

     参数		说明	取值样例
     IKE配置	版本	IKE密钥交换协议版本。本文使用场景为对端无固定网关出口IP地址，此处仅可使用“ikev1”。	ikev1
     	协商模式	选择IKE认证的协商模式。本文使用场景为对端无固定网关出口IP地址，此处仅可使用“aggressive”。	aggressive

5. 配置完成后，单击“创建”按钮。

配置VPN网关路由

1. 登录VPN网关控制台。

2. 在顶部导航栏，选择目标项目“Project-01”和地域“华北2（北京）”。

3. 单击列表中VPN网关名称“VPNGW-test”。

4. 单击“路由信息”页签，在路由信息页签下，单击“添加路由条目”按钮。

5. 参考下表配置路由。

   参数	说明	取值样例
   目标网段	输入本地数据中心的私网网段。	10.0.0.0/16
   下一跳类型	固定为“IPsec连接”。	IPsec连接
   下一跳	选择创建IPsec连接阶段创建的IPsec连接。	IPsecVPN-test

6. 单击“确定”按钮，完成VPNGW-test中本地数据中心路由条目的添加。

配置本地路由并发起连接

1. 下载IPsec连接配置文件。
   1. 登录IPsec连接控制台，选择“华北2（北京）”地域、“Project-01”项目下的IPsec连接。
   2. 在IPsec连接列表中，勾选创建IPsec连接创建的IPsec连接。
   3. 单击“下载IPsec配置”按钮。
   4. 单击“下载”按钮。
2. 配置本地网关路由。根据下载的IPsec连接配置文件进行本地网关路由的配置，确保两端IPsec配置相同，详细配置参考请参见本地网关路由。
3. 从本地数据中心发起连接。本文使用场景为对端无固定网关出口IP地址，无法从火山引擎侧发起连接，全部配置完成后需从本地数据中心发起协商请求。

   说明

   若后续已有IPsec连接出现断连后，仍需从本地数据中心发起协商请求。