You need to enable JavaScript to run this app.
导航
VPN连接
  • 文档首页
    • /VPN连接/最佳实践/与云下数据中心互通/搭建云上VPC与云下多数据中心网络互通(动态路由)
搭建云上VPC与云下多数据中心网络互通(动态路由)
最近更新时间:2024.09.06 08:00:10首次发布时间:2024.09.06 08:00:10
我的收藏

本文介绍通过IPsec VPN连接功能,以动态路由模式在云上VPC与多个本地数据中心(IDC)之间建立IPsec通信隧道实现通信,构建灵活的混合云部署方案。

前提条件

  • 已创建VPC1及其子网,具体操作可参考创建私有网络
  • 本地IDC1和本地IDC2的网关均具备静态公网IP地址,并支持BGP路由协议。
  • 本地IDC1和本地IDC2网段无重叠,并且均与VPC1的私网网段无重叠。

说明

VPN连接动态路由传播功能为邀测功能,仅开通后可使用,如需试用请联系客户经理。

相关信息

说明

若同一地域下的两个IDC与云上VPC构建VPN连接,操作与本文相同。

已获取的信息如下图所示,VPC1及其子网以及ECS云服务器、GPU云服务器为已创建的云资源,VPN网关、用户网关为下文操作需要创建的资源。

alt

操作步骤

创建VPN网关

  1. 登录VPN网关控制台

  2. 在顶部导航栏,选择目标项目“Project-02”和地域“华北2(北京)”。

  3. 单击“创建VPN网关”按钮。

  4. 参考下表,配置VPN网关参数。

    参数
    说明
    取值样例
    基本信息
    计费类型VPN网关的计费类型。包年包月
    地域选择VPN网关所在的地域,需与VPC1的地域保持一致。华北2(北京)
    名称VPN网关的名称。VPNGW-test
    网络配置
    带宽规格设置VPN网关的带宽上限。
    此带宽是后续基于该VPN网关,创建的所有IPsec VPN连接和SSL VPN连接的共享带宽值。    		20Mbps
    私有网络VPN网关所在的私有网络。VPC1|192.168.1.0/24
    子网选择VPN网关所在的子网。Subnet1|192.168.1.128/25

    BGP ASN

    设置VPN网关的ASN(Autonomous System Number)。

    • VPN网关BGP ASN有效范围为:64512 ~ 65534 、4200000000 ~ 4294967294。
    • VPN网关BGP ASN不可与用户网关的BGP ASN重复。

    65000

    功能配置
    IPsec连接能力是否开启IPsec连接能力,开启后可使用IPsec VPN功能,可同时开启SSL连接能力。开启
    SSL连接能力是否开启SSL连接能力,开启后可使用SSL VPN功能,可同时开启IPsec连接能力。不开启
    更多信息
    购买时长购买VPN网关的时长。1个月
    自动续费是否开启自动续费。关闭
    项目资源所属项目,固定为进入创建页面前选择的项目Project-02。不同项目间,云资源不可共享。Project-02

  5. 配置完成后,单击“确认订单”按钮,并请根据控制台指引查阅并确认相关协议。

  6. 单击“立即购买”按钮进行支付,完成购买。
    VPN网关VPNGW-test创建成功后,系统分配的网关出口IP为180.XX.XX.91。

创建用户网关

  1. 登录用户网关控制台

  2. 在顶部导航栏,选择目标项目“Project-02”和地域“华北2(北京)”。

  3. 单击“创建用户网关”按钮。

  4. 参考下表配置用户网关,完成后单击“确定”按钮。

    参数
    说明
    取值样例
    地域选择用户网关所在的地域,需与VPC1和VPN网关VPNGW-test的地域保持一致。华北2(北京)
    名称设置用户网关的名称。CGW-01
    IP地址输入对端VPN网关的网关出口IP地址。27.XX.XX.42

    BGP ASN

    设置用户网关的ASN(Autonomous System Number)。仅IPsec连接使用动态路由传播模式需要配置用户网关BGP ASN,本操作演示使用静态路由传播模式,无需配置用户网关BGP ASN。

    • 用户网关BGP ASN有效范围为:1 ~ 4294967294,其中137718、65535、150436不可用。
    • 用户网关BGP ASN不可与VPN网关BGP ASN重复,也不可与另一个用户网关BGP ASN重复。

    64001

    项目用户网关所属项目,固定为进入创建页面前选择的项目Project-02。Project-02

  5. 参考步骤2~步骤4,创建另一个用户网关CGW-02,地域选择华北2(北京),IP地址设置为22.XX.XX.8,BGP ASN设置为64002。

创建IPsec连接

  1. 登录IPsec连接控制台

  2. 在顶部导航栏,选择目标项目“Project-02”和地域“华北2(北京)”。

  3. 单击“创建IPsec连接”按钮。

  4. 参考下表配置IPsec连接,完成后单击“创建”按钮。

    • 基本信息

      参数
      说明
      取值样例
      地域选择IPsec连接所在的地域。华北2(北京)
      名称IPsec连接的名称。IPsecVPN-01
      项目资源所属项目,固定为进入创建页面前选择的项目Project-02。Project-02
    • 绑定资源
      参数
      说明
      取值样例

      绑定资源类型

      选择新创建IPsec连接绑定的资源类型。

      • VPN网关:IPsec连接绑定VPN网关。
      • 中转路由器:IPsec连接绑定中转路由器。
      • 稍后绑定到中转路由器:IPsec连接暂不绑定资源,后续可单独绑定中转路由器。

      VPN网关

      VPN网关选择VPC1下创建的VPN网关VPNGW-test。VPNGW-test

    • 连接信息

      参数
      说明
      取值样例
      路由模式选择路由的模式。目的路由
      立即发起协商IPsec连接配置完成后是否立即生效。
      路由传播模式选择路由的传播模式。动态路由
      用户网关选择用户网关CGW-01。CGW-01

      隧道网段

      本端隧道IP和对端隧道IP所在网段。隧道网段必须同时满足以下3个要求:

      • 必须在169.254.0.0/16网段内。
      • 子网掩码为/30
      • 不可在169.254.255.0/24网段内。

      169.254.1.0/30

      本端隧道IP本端隧道IP是配置在VPN网关上的BGP地址。169.254.1.1
      对端隧道IP对端隧道IP是配置在用户设备上的BGP地址。169.254.1.2
      预共享密钥填写用于双方VPN设备IKE协商的密钥。
      该信息非常重要,请您妥善保存。      		test@123
      确认密钥请再次输入预共享密钥。test@123

  5. 重复步骤2 ~ 步骤4,创建IPsecVPN-02,其中连接信息参数如下,其他信息配置与IPsecVPN-02保持一致。

    参数
    说明
    取值样例
    用户网关选择用户网关CGW-02。CGW-02
    隧道网段本端隧道IP和对端隧道IP所在网段。169.254.2.0/30
    本端隧道IP本端隧道IP是配置在VPN网关上的BGP地址。169.254.2.1
    对端隧道IP对端隧道IP是配置在用户设备上的BGP地址。169.254.2.2

配置本地网关路由

IPsec配置完成后,您可下载IPsec连接配置,并分别在IDC1和IDC2的网关设备中添加VPN配置。不同设备操作的方式略有不同,本文介绍的IDC1和IDC2都使用深信服防火墙,具体操作请参考配置深信服防火墙

待VPN配置添加完成,IPsec连接建立成功后,VPC1与IDC1和IDC2之间会自动通过BGP路由协议传播路由。此时本地IDC1和本地IDC2可通过IPsec连接隧道,访问VPC1中的云服务器。