前提条件
云侧
请确认虚拟私有云VPC已经创建完成。
请确认虚拟私有云VPC的安全组规则已经配置,ECS通信正常。
如果通过企业路由器ER关联VPN网关,请确认企业路由器ER已经创建完成。
数据中心侧
用户数据中心的VPN设备已经完成IPsec连接相关配置。
操作步骤
VPN服务支持静态路由模式、BGP路由模式和策略模式三种连接模式。本示例以静态路由模式进行配置讲解。
登录管理控制台,单击“网络 > VPN”进入VPN控制台。
配置VPN网关:
在左侧导航栏,单击“虚拟专用网络 > 企业版-VPN网关”。
在“VPN网关”界面,单击“创建VPN网关”,并根据界面提示配置参数。
VPN网关参数说明如表1-1所示。
表-VPN网关参数说明
参数 说明 取值参数 名称 VPN网关的名称。 vpngw-001 网络类型 选择“公网”。 公网 关联模式 选择“虚拟私有云”。
关联ER场景时,请选择“企业路由器”。
虚拟私有云 企业路由器 仅关联场景为“企业路由器”时需要选择。 er-001 虚拟私有云 选择用于分配互联子网的VPC。
关联场景为“企业路由器”时,该VPC可以对接ER,也可以不对接ER。vpc-001(192.168.0.0/16) 互联子网 用于VPN网关和VPC通信,请确保选择的互联子网存在4个及以上可分配的IP地址。 192.168.2.0/24 本端子网 仅关联场景为“虚拟私有云”时需要配置。
输入网段
输入需要和用户数据中心通信的子网,该子网可以在关联VPC内,也可以不在关联VPC内。选择子网
选择关联VPC内的子网信息,用于和用户数据中心通信。
192.168.0.0/24,192.168.1.0/24 BGP ASN BGP自治系统编号。 64512 HA模式 选择“双活”。 双活 主EIP VPN网关和用户数据中心通信的公网IP1。 1.1.1.2 主EIP2 VPN网关和用户数据中心通信的公网IP2。 2.2.2.2
配置对端网关:
在左侧导航栏,单击“虚拟专用网络 > 企业版-对端网关”。
在“VPN对端网关”界面,单击“创建对端网关”,并根据界面提示配置参数。
表-对端网关参数说明
参数 说明 取值参数 名称 对端网关的名称。 cgw-fw 路由模式 选择“静态路由”。 静态路由 网关IP 对端网关和VPN网关通信的IP地址。
请确认数据中心的对端网关已经放通UDP端口4500。
1.1.1.1
配置VPN连接:
在左侧导航栏,单击“虚拟专用网络 > 企业版-VPN连接”。
在“VPN”连接界面,单击“创建VPN连接”。
配置第一条VPN连接参数,然后单击“提交”。
表-第一条VPN连接参数说明
参数 说明 取值参数 名称 VPN连接的名称。 vpn-001 VPN网关 选择VPN网关。 vpngw-001 网关IP 选择VPN网关已绑定的主EIP。 1.1.1.2 对端网关 选择对端网关。 cgw-fw 连接模式 选择“静态路由模式”。 静态路由模式 对端子网 用户数据中心中需要和VPC通信的子网。
对端子网与本端子网可以重叠,不能重合;对端子网不能被本网关关联的VPC内已有子网所包含。
部分网段是VPC预留网段,不能作为对端子网,例如:100.64.0.0/10,214.0.0.0/8。
172.16.0.0/16 接口分配方式 - 手动分配
本示例以“手动分配”为例。 自动分配
手动分配 本端隧道接口地址 配置在VPN网关上的tunnel接口地址。 169.254.70.1 对端隧道接口地址 配置在对端网关上的tunnel接口地址,该接口地址需要和对端网关实际配置的tunnel接口地址保持一致。 169.254.70.2 检测机制 用于多链路场景下路由可靠性检测,通过ICMP报文检测实现;使能NQA,您的对端设备需要允许ICMP响应请求。 勾选“使能NQA” 预共享密钥、确认密钥 和对端网关的预共享密钥需要保持一致。 Test@123 策略配置 和对端网关的策略配置需要保持一致。 保持默认 配置第二条VPN连接参数,然后单击“提交”。
说明
此处仅对和第一条VPN连接配置不同的参数,未提及参数建议和第一条VPN连接配置保持一致。
表-第二条VPN连接参数说明
参数 说明 取值参数 名称 VPN连接的名称。 vpn-002 网关IP 选择VPN网关已绑定的主EIP2。 2.2.2.2 本端隧道接口地址 VPN网关的Tunnel隧道IP地址。 169.254.71.1 对端隧道接口地址 对端网关的Tunnel隧道IP地址。 169.254.71.2
配置对端网关信息。
根据对端网关类型不同,配置操作可能存在差异。
结果验证
大约5分钟后,查看VPN连接状态。
选择“虚拟专用网络 > 企业版-VPN连接”,两条VPN连接状态显示为正常。
用户数据中心内服务器和VPC子网内服务器可以相互Ping通。
