通过VPN连接到VPC

背景

默认情况下，云上创建vpc中的cvm等资源无法直接和云下IDC直接进行通信。如有此类需求的场景，可通过以下几种方式进行联通【VPN、专线】。

考虑VPN对接需经过公网，有很多不确定性，比如延迟、带宽、可靠性等。如对网络质量有要求的场景建议优先使用专线对接。

本次先介绍通过VPN联通云下IDC的方案

前提

云上已创建对应资源、IDC侧对应网络设备（防火墙、路由器等）或服务器且有固定公网地址。

操作步骤

确定云下IDC网段是否与云上冲突。

控制台购买VPN网关、新建对端网关、创建VPN通道。

配置云下IDC侧设备，使VPN通道建立成功。

配置VPN关联VPC的安全组与路由等信息。

配置案例

1、 确定网段是否有冲突

云上VPC网段172.16.10.0/24,IDC侧网段192.168.0.0/24,网段无冲突。

2、控制台购买VPN网关、创建对端网关、创建VPN通道。

a) 控制台购买VPN网关（所属地域与网络选择子网对应VPC）

带宽上限根据实际情况选择，计费方式可选按流量计费&包年包月

b)创建对端网关（对端网关为IDC侧公网ip）

c) 创建VPN通道

预共享密钥需两端保持一致

SPD策略添加云上VPC需要和云下IDC互通的网段（需保证网段无冲突）

IKE与ipsec相关配置为可选项，默认配置如下（）：

IKE配置

IKE版本：V1

加密算法：AES-128

认证算法：MD5

协商模式：主模式

本端标识：云上VPN网关公网地址

远端标识：对端网关公网地址

DH group：DH1

IKE SA Lifetime：86400s

Ipsec 配置：

加密算法：AES-128

认证算法：MD5

PFS：disable

IPsec sa Lifetime：3600s

IPsec sa Lifetime：1843200KB

3、配置云下IDC侧设备，使VPN通道建立成功。（此处以华为防火墙为例）

a) 配置接口IP地址和安全区域，完成网络基本参数配置

b) 配置安全策略，放通指定私网网段

参考该条安全策略配置untrust→trust、local→untrust、untrust→local的安全策略

c) 配置路由，新建如下路由条目

d) 配置ipsec隧道（网络->ipsec->新建）

本端地址：IDC侧公网对接地址

对端地址：云侧VPN网关公网地址

预共享密钥：同云侧密钥

本端ID：IDC侧公网对接地址

对端地址：云侧VPN网关公网地址

e) 待加密数据流界面填写感兴趣流信息

源地址/地址组：IDC侧私网网段 192.168.0.0/24

目的地址/地址组：云侧VPC网段 172.16.10.0/24

f) 配置安全提议信息（安全提议界面选择高级，安全策略和云侧配置保持一致）

4、配置VPN关联VPC路由等信息

目的地址：IDC侧网段

下一跳类型：VPN网关

下一跳：与IDC侧对接ipsec通道的vpn网关

如安全组未放通IDC网段访问，需在对应安全组添加对应规则

测试

可从云上cvm 测试到云下联通性（此处以ping测试为例），如测试不通可优先检查两端感兴趣流、IKE、ipsec策略是否一致。如检查参数一致仍未建立成功，可尝试重置VPN通道。