在本地数据中心 IDC 通过物理专线和云上 VPC 实现私网通信后,私网 VPN 网关可通过已建立的私网连接与本地网关设备建立加密通信通道。您可以通过相关路由配置引导本地 IDC 和 VPC 要互通的流量进入加密通信通道,实现私网流量加密通信。
业务场景
您的云上资源在单个 VPC 内且有流量加密需求,并云上云下互通可以采用本方案。
使用限制
私网 VPN 目前仅支持 IPsec VPN。
私网 VPN 暂不支持动态 BGP 路由。
仅 VPN4.0版本支持。
网络规划
配置对象 | 网段规划 | IP 地址和说明 |
VPC | 10.7.0.0/16 | CVM: 10.7.6.10私网 VPN 网关IP: 10.7.6.15说明: 私网 VPN 网关 IP 归属租户 VPC。 |
专线网关 | 195.168.0.0/29 | VLAN ID:1234 腾讯云边界 IP1: 195.168.0.3/29腾讯云边界 IP2: 195.168.0.2/29客户边界 IP: 195.168.0.1/29。 |
本地网关 | 195.168.0.0/24 | 与云上 VPN 连接的本地网关 IP: 195.168.0.6与云上专线网关连接的网段: 195.168.0.1/29 |
本地 IDC 服务器 | 133.168.0.0/16 | 客户端地址: 133.168.0.3/32 |
前提条件
已 创建 VPC 网络。
物理专线 已建立完成并连通。
已申请私网 VPN 使用权限,如需使用,请 提交工单 申请。
IDC 侧设备已准备就绪。
配置流程
部署专线网关
步骤1. 创建 VPC 型专线网关
1. 登录 专线接入控制台 ,并在左侧导航栏单击专线网关。
2. 在专线网关页面上方选择地域和私有网络,然后单击新建。
3. 在新建专线网关对话框中配置网关详情,完成后单击确定,更多详情请参见 创建 VPC 型专线网关。
字段 | 含义 |
名称 | 专线网关的名称。 |
可用区 | 选择地域所在可用区。 |
关联网络 | 选择私有网络。 |
所在网络 | 关联创建好的私有网络实例,vpc-xxx。 |
步骤2. 创建专线专用通道
1. 登录 专线接入 - 专用通道 控制台。
2. 在左侧导航栏,单击专用通道 > 独享专用通道,在页面上方单击新建,并配置名称、专线类型、接入网络、地域、关联的专线网关等基本名称配置,完成后单击下一步。
字段 | 含义 |
专用通道名称 | 专用通道名称。 |
专线类型 | 选“我的专线” |
物理专线 | 选择已经就绪的物理专线。 |
接入网络 | 选择私有网络。 |
网关地域 | 选择目标私有网络实例所在地域,如广州。 |
专线网关 |
3. 在高级配置页面配置以下参数,更多详情请参见 创建专用通道。
字段 | 含义 |
VLAN ID | 配置规划好的 VLAN,例如1234。 一个 VLAN 对应一个通道,取值范围[0,3000)。 |
带宽 | 专用通道的最大带宽值,不可超过关联的物理专线的带宽值。月95后付费的计费模式下,“带宽”参数不代表计费带宽。 |
腾讯云边界 IP1 | 配置规划好的物理专线腾讯云侧的边界互联 IP,例如 195.168.0.3/29请勿使用以下网段或网络地址: 169.254.0.0/16、127.0.0.0/8、255.255.255.255/32、224.0.0.0/8- 239.255.255.255/32、240.0.0.0/8 - 255.255.255.254/32。 |
腾讯云边界 IP2 | 配置规划好的备用边界互联 IP,例如 195.168.0.2/29。在主边界 IP 发生故障不可用时,自动启用备用 IP,来确保您的业务正常运行。 若配置腾讯云边界 IP 掩码为30、31时,则不支持配置腾讯云边界备 IP。 |
用户边界 IP | 配置 IDC 侧用于与专线互通的云上 IP,例如 195.168.0.1/29。 |
路由方式 | 选择 BGP 路由。 |
健康检查 | |
检测模式 | 选择 BFD 模式。 |
健康检查间隔 | 两次健康检查间隔时间。 |
健康检查次数 | 如果连续执行设定次数的健康检查失败后,则执行路由切换。 |
BGP ASN | 输入 CPE 侧的 BGP 邻居的 AS 号,腾讯云 ASN 为 45090。若不输入将由系统随机分配。 |
BGP 密钥 | 输入 BGP 邻居的 MD5 值。默认“tencent”,留空表示不需要 BGP 密钥。BGP 密钥不支持 ? & 空格" \\ +六种特殊字符。 |
4. 单击提交。
部署 VPN 业务
步骤1. 创建私网 VPN 网关
1. 登录 私有网络控制台。
2. 在左侧目录中选择 VPN 连接 > VPN 网关,进入管理页。
3. 在 VPN 网关管理页面,单击新建。
4. 在弹出的新建 VPN 网关对话框中,配置如下网关参数。
参数名称 | 参数说明 |
计费方式 | 选择按流量计费。私网 VPN 暂不支持包年包月。 |
网关名称 | 填写 VPN 网关名称,不超过60个字符。 |
所在地域 | 展示 VPN 网关所在地域。 |
协议类型 | 选择 IPsec。 |
网络类型 | 选择“私网”。 |
关联网络 | 此处选择私有网络。私网 VPN 暂不支持云联网。 |
云上子网 | 选择 VPC 侧创建的子网。 私网 VPN 网关 IP 地址归属租户 VPC,从该子网中分配。 |
带宽上限 | 选择5M。 |
所属网络 | 仅当关联网络为私有网络时,此处需要选择 VPN 网关将要关联的具体私有网络。 |
标签 | 标签是对 VPN 网关资源的标识,目的是为了方便更快速的查询和管理 VPN 网关资源,非必选配置,您可按需定义。 |
5. 完成网关参数设置后,单击创建启动 VPN 网关的创建,更多操作信息请参见 创建 IPSec VPN 网关。
步骤2. 创建对端网关
1. 在左侧导航栏选择 VPN 连接 > 对端网关。
2. 在对端网关管理页面,选择地域,单击新建。
3. 填写对端网关名称,私网 IP 填写 IDC 侧本地网关设备的私网 IP(
195.168.0.6)。4. 单击创建。
步骤3. 创建 VPN 通道
1. 在左侧导航栏选择 VPN 连接 > VPN 通道。
2. 在 VPN 通道管理页面,选择地域,单击新建。
3. 在弹出的页面中填写 VPN 通道信息。
4. 单击创建。
步骤4. IDC 本地配置
完成前三步骤后,腾讯云上 VPN 网关和 VPN 通道的配置已经完成,需要继续在 IDC 侧的本地网关上配置另一侧的 VPN 通道信息,具体请参见 本地网关配置。IDC 侧的“本地网关”即为 IDC 侧的 IPsec VPN 设备,该设备的私网 IP 记录在 步骤2 的“对端网关”中。
配置云上路由
完成上述配置后,本地网关设备和 VPN 网关之间已经可以建立加密通信通道了。您还需要为云上网络实例配置路由,将云上和云下流量引导进入 VPN 加密通信通道。
步骤1. 配置云上 VPC 自定义路由
1. 登录 私有网络控制台。
2. 在左侧目录中单击子网,选择对应的地域和私有网络,单击子网所关联的路由表 ID,进入详情页。
3. 单击新增路由策略,在弹出框中配置到VPN网关的路由。
参数名称 | 说明 |
目的端地址 | 填写本地 IDC 网段,例如 133.168.0.3/32。 |
下一跳类型 | 选择“私网 VPN 网关”。 |
下一跳 |
4. 单击+新增一行,配置到专线网关的路由策略。
参数名称 | 说明 |
目的端地址 | 填写本地网关设备 VPN IP 地址,例如 195.168.0.6。 |
下一跳类型 | 选择专线网关。 |
下一跳 |
5. 单击创建。
步骤2. 配置 VPN 网关路由
注意:
为了引导 VPC 去往云下的流量进入 VPN 网关加密通信通道,需要在 VPN 网关中添加本地 IDC 网段的路由。
1. 单击左导航栏中 VPN 连接 > VPN 网关。
2. 在 VPN 网关页面,选择地域和私有网络,单击 VPN 网关实例 ID 进入详情页。
3. 在实例详情页面,单击路由表页签,然后单击新增路由配置路由策略。
说明:
VPN 网关路由表新增路由时,列表默认显示 VPN 网关下所有 VPN 通道(即 VPN 网关下所有 SPD 策略型和路由型 VPN 通道)。
配置项 | 说明 |
目的端 | 填写本地 IDC 网段,例如 133.168.0.3/32。 |
下一跳类型 | 不可选,默认“VPN 通道”。 |
下一跳 | |
权重 | 通道的权重值选择0。 0:优先级高。 100:优先级低。 |
4. 完成路由策略的配置后,单击确定。
业务验证
完成上述配置后,本地 IDC 和 VPC 之间已经可以进行私网加密通信。测试本地 IDC 和 VPC 之间的私网连通性以及验证流量是否经过 VPN 网关加密。
1. 测试连通性
登录 CVM 实例,使用 Ping 命令访问本地 IDC 网段内服务器。
2. 加密验证
在 VPN 控制台,查看 VPN 通道监控流量情况,有流量表示加密成功。
