腾讯云 VPN 如何实现主备容灾？

腾讯云 VPN 连接具备高可用性，当用户 IDC 通过主备 VPN 通道上云，且主通道发生故障时，业务将自动切换到备用通道上，保证了业务的持续性、从而提高业务可靠性。本文以 IDC 与单个腾讯云 VPC 实现主备容灾为例。

容灾方案

用户 IDC 仅需要与单个腾讯云 VPC 实现互通，在用户 IDC 侧，用户可以部署两台 IPsec VPN 设备，分别与腾讯云私有网络型 VPN 建立 IPSec VPN 通道。VPN 网关路由表配置两条目的端一致的路由，通过优先级控制，实现主备通道效果，在发生故障时，可以实现路由自动切换。

前提条件

已在腾讯云侧 创建 VPC 网络。

配置流程

• 1创建 VPN 网关
• 2创建对端网关
• 3创建 VPN 通道（主备）
• 4IDC 侧配置
• 5配置 VPN 网关路由
• 6配置通道健康检查
• 7配置 VPC 路由策略
• 8激活 VPN 通道

操作步骤

步骤一：创建 VPN 网关

说明： 本文以3.0版本的 VPN 网关为例。

1. 登录 私有网络控制台。
2. 在左侧目录中选择 VPN 连接 > VPN 网关，进入管理页。
3. 在 VPN 网关管理页面，单击+新建。
4. 在弹出的新建 VPN 网关对话框中，配置如下网关参数。

参数名称 参数说明 网关名称 填写 VPN 网关名称，不超过60个字符。 所在地域 展示 VPN 网关所在地域。 可用区 选择当前网关所在的可用区。 协议类型 支持 IPSec 和 SSL 两种协议类型。 带宽上限 请根据业务实际情况，合理设置 VPN 网关带宽上限。 关联网络 此处选择私有网络。 所属网络 仅当关联网络为私有网络时，此处需要选择 VPN 网关将要关联的具体私有网络。 标签 标签是对 VPN 网关资源的标识，目的是为了方便更快速的查询和管理 VPN 网关资源，非必选配置，您可按需定义。 计费方式 支持按流量计费和包年包月。按流量计费适用于带宽波动较大的场景；包年包月适用于带宽较稳定的场景。

1. 完成网关参数设置后，单击创建启动 VPN 网关的创建。 此时状态为创建中，等待约1～2分钟，创建成功的 VPN 网关状态为运行中，系统为 VPN 网关分配一个公网 IP。

步骤二：创建对端网关

在腾讯云侧创建对端网关 D。

1. 在左侧导航栏选择 VPN 连接 > 对端网关。
2. 在对端网关管理页面，选择地域，单击+新建。
3. 填写对端网关名称，公网 IP 填写对端 IDC 侧的 VPN 网关设备的静态公网 IP ，根据需要设置标签。

• 名称：填写对端网关名称。
• 公网IP：填写 IDC 侧 VPN 网关所在的 公网 IP 地址。

1. 单击创建。

在腾讯云侧创建对端网关 E。

重复对端网关 A 的创建步骤1 ～ 步骤4。

步骤三：创建 VPN 通道（主备）

VPN 网关和对端网关创建完成后，需要创建两条 VPN 网关与 IDC 侧相连的 VPN 通道，一条作为主通道，一条作为备用通道。

创建主用通道 B

1. 在左侧导航栏选择 VPN 连接 > VPN 通道。
2. 在 VPN 通道管理页面，选择地域，单击+新建。
3. 在弹出的页面中填写 VPN 通道信息，具体参数配置请参考 新建 VPN 通道。通信模式选择“目的路由”。
4. 单击创建。

创建备用通道 C

重复主用通道 B 的创建步骤1 ～ 步骤4，通信模式选择“目的路由”。

步骤四：IDC 侧配置

完成前三步骤后，腾讯云上 VPN 网关和 VPN 通道的配置已经完成，需要继续在 IDC 侧的本地网关上配置另一侧的 VPN 通道信息，具体请参考 本地网关配置。IDC 侧的“本地网关”即为 IDC 侧的 IPsec VPN 设备，该设备的公网 IP 记录在 步骤二 的“对端网关”中。

注意： 配置时，主备 VPN 通道对应的 IDC 侧 VPN 网关均需配置。

步骤五：配置 VPN 网关路由

截止至步骤四，已经将主备 VPN 通道配置成功，需要在 VPN 控制台配置 VPN 网关至 VPN 通道的路由。

1. 在左侧导航栏选择 VPN 连接 > VPN 网关，并在右侧 VPN 网关列表中找到步骤一创建的 VPN 网关 A，并单击其名称。
2. 在 VPN 网关 A 详情页签，单击路由表页签，并单击新增路由。

1. 在新建路由页面配置 VPN 网关 A 至 VPN 通道 B 和 VPN 通道 C 的路由策略。

配置项 说明 目的端 填写待访问的对端网络的网段，即 IDC 侧提供对外访问的网段。 下一跳类型 系统自动填充**VPN 通道**。 下一跳 选择创建好的 VPN 通道。 权重

• VPN 通道 B 填写 0。
• VPN 通道 C 填写100。

0 表示优先级高，100表示优先级低。

1. 单击确定。

步骤六：配置通道健康检查

VPN 网关路由配置完成后，为 VPN 通道健康检查（主备通道均需配置）。

说明： 当健康检查触发主备通道切换，可能会出现短暂的业务中断，请勿担心，1～2秒后主备通道切换成功后业务恢复正常。

主用通道 B 健康检查配置

1. 在左侧导航栏选择 VPN 连接 > VPN 通道，并在右侧 VPN 通道列表中找到创建好的 VPN 通道，然后单击 VPN 通道名称。
2. 在通道基本信息页签单击编辑。

1. 打开健康检查开关，输入健康检查本端地址和健康检查对端地址，并单击保存。

说明：

• 本端地址：填写腾讯云侧向 IDC 发起健康检查的访问请求 IP 地址。该 IP 地址不能为 VPC 内 IP 地址。
• 对端地址：填写 IDC 侧用于响应腾讯云健康检查请求的 IP 地址。该 IP 地址请勿与腾讯云侧地址相同，以防 IP 冲突。
• 当腾讯云侧发起健康检查请求，访问请求通过通道到达 IDC 后，发现有健康检查响应 IP 地址，表示通道健康正常，如果没有表示异常。

备用通道 C 健康检查配置

重复主用通道健康检查配置步骤1 ～ 步骤3，其中健康检查连接不能与主用通道的健康检查连接相同。

步骤七：配置 VPC 路由策略

截止至步骤五，已经将主备 VPN 通道配置成功，需要配置 VPC 路由策略，将子网中的流量路由至 VPN 网关上，子网中的网段才能与 IDC 中的网段通信。

1. 登录 私有网络控制台。
2. 在左侧目录中单击子网，选择对应的地域和私有网络，单击子网所关联的路由表 ID，进入详情页。

1. 单击+新增路由策略。

1. 在弹出框中，输入目的端网段，下一跳类型选择VPN 网关，下一跳选择刚创建的 VPN 网关，单击创建即可。

步骤八：激活 VPN 通道

使用 VPC 内的云服务器 ping 对端网段中的 IP，以激活 VPN 隧道，可以 ping 通表示 VPC 和 IDC 可以正常通信。 当 VPN 路由表中探测 VPN 主用通道 B 路由不可达时，系统自动将流量切换至 VPN 通道 C，确保业务的高可用性。