阿里云VPN网关部署实践

摘要：

2017年5月23日，在云栖大会·成都峰会上，阿里云推出VPN网关，为企业构建混合云提供了新选择。在VPN网关的支持下，企业可以在几分钟内完成企业数据中心与阿里云VPC之间的互联，大幅降低了企业成本的同时，还获得数据传输安全性。

VPN网关是很常用的网络服务，不管是Site-to-Site VPN，还是Client-to-site VPN都经常用到。阿里云本次发布的VPN网关是IPSec VPN，支持Site-to-Site，非常适合用户线下IDC和云上VPN构建混合云。本文介绍阿里云VPN网关的基本配置和使用。

部署前规划和准备

主要考虑如下几点：

一是线下IDC和云上VPC的私网IP地址段规划，注意不能相同，否则无法通信。

二是规划VPN网关所在的VPC和虚拟交换机，即云上VPN网关的网络环境。

三是确定线下IDC的网关设备，用哪个设备和云上VPC互联。阿里云VPN网关支持标准的IKEv1和IKEv2，因此，只要支持这两种协议的设备都可以和云上VPN网关互联，比如Cisco ASA、Juniper、SonicWall、Nokia、IBM、Ixia等

如下图所示，本次实验在阿里云上的VPC网段是192.168.0.0/16，用户线下IDC的网段是172.16.0.0/12，用户线下IDC的网关设备公网IP地址假设是211.167.68.68。现在需要通过VPN网关将云上VPC和线下IDC打通，使VPC内云资源和IDC内的服务器可以私网通信。

基本配置流程为：

创建 VPN 网关

创建用户网关

创建 VPN 连接

在线下IDC网关设备中加载配置

设置路由

测试访问

详细说明如下:

创建 VPN 网关

注：需要先在华东1地域创建好VPC和交换机。

在VPN网关的产品详情页https://www.aliyun.com/product/vpn点击“立即购买”

选择华东1（杭州）地域，然后选择专有网络和虚拟交换机，再选择带宽规格。带宽规格指的是VPN网关所具备的公网带宽。

购买成功后进入VPN控制台

一开始状态是准备中，约2分钟左右会变成正常状态。正常状态就表明VPN网关完成了初始化，可以正常使用了。

创建用户网关

用户网关是对线下IDC网关设备的一个简单抽象，就是把线下IDC网关设备的公网IP地址注册到系统中便于后续建立VPN连接。

在VPN控制台中点击“用户网关”，在右上角点击“创建用户网关”，如下图

创建成功，如下图

创建VPN连接

VPN连接将云上VPN网关和线下IDC的用户网关进行关联，并设置连接相关参数。如下图

特别注意，这里本端网段指的是云上VPC的网段，对端网段指的是线下IDC的网段，在本实验中是172.16.0.0/12。另外，如果需要对连接进行更高级的配置，可以展开高级配置进行详细设置。

创建成功后如下图所示

在线下IDC网关设备中加载配置

首先，下载VPN连接的配置。在VPN控制台中点击“VPN连接”，找到所需的VPN连接，点击“下载配置”，如下图

然后，根据线下IDC网关设备的配置要求，将上述配置加载到IDC网关设备中。由于试验条件所限，这里不详细描述。

注意：下载配置中得RemotSubnet和LocalSubnet和创建VPN连接时得本段网段和对端网段正好是反的。因为从云上VPN网关角度看，对端是用户IDC的网段，本端是VPC网段，而从线下IDC的网关设备角度看，LocalSubnet就是指线下IDC的网段，而RemotSubnet则是指云上VPC的网段。

设置路由

到这里VPN网关基本配置完毕，但是要让云上VPC内的ECS可以直接访问线下IDC内的服务器，还需要在云上VPC设置路由。

进入VPC控制台，找到VPN网关所在的VPC，点击该VPC，然后点击“路由器”，在右上角点击“添加路由”，如下图

注意：这里的目标网段是线下IDC的网段，即172.16.0.0/12，下一跳类型选择 VPN网关，并选择所使用的VPN网关实例。这个配置的意思是上，去往172.16.0.0/12 网段的访问请求都经过VPN网关转发。

测试访问

登陆到云上VPC内找一台不带公网ECS，并通过 ping 命令ping线下IDC内一台服务器的私网IP地址，验证通信是否正常。

补充：线下IDC内服务器如何访问云上资源

如果线下IDC内服务器要访问云上VPC的资源，对于ECS，RDS，SLB等实例型云产品（这种云产品的VPC类型实例使用的是VPC内的一个私网IP地址），可以直接访问，对于OSS等非实例型云产品（这类云产品的VPC访问地址一般使用100.64.0.0/10网段的一个地址，属于阿里云内部保留地址），还需要把 100.64.0.0/10 的网段添加到边界路由上，指向 VPC 方向。

展望

未来阿里云VPN网关会提供SSL协议的支持，并支持VPN网关作为专线的备份链路，当专线链路不可用时切换到VPN链路。同时，我们也会考虑支持HUB&SPOKE等高级功能。