在本地数据中心 IDC 通过物理专线、云联网、云上不同 VPC 实现私网通信,私网 VPN 网关可通过已建立的私网链路与本地网关设备建立加密通信通道。您可以通过相关路由配置引导本地 IDC 和 VPC 要互通的流量进入加密通信通道,实现私网流量加密通信。
业务场景
您的云上资源在多个 VPC 内且有流量加密需求,且云上云下互通可以采用本方案。
使用限制
私网 VPN 暂不支持动态 BGP 路由。
仅 VPN4.0 IPSec VPN 支持。
专线网关须为 CCN型专线网关。
协商类型不支持流量模式协商,请使用主动协商和被动协商。
暂不支持网关级监控,支持通道级监控。
网关接入网段范围&&限制:网段范围
10.0.0.0/12~10.0.0.0/28、172.16.0.0/12~172.16.0.0/28、192.168.0.0/16~192.168.0.0/28。同时网关间 IP 不可冲突,也不可与自身业务IP冲突。暂不支持包年包月。
网络规划
| 配置对象 | 网段规划 | IP地址和说明 |
云上 | 业务VPC | 10.120.0.0/16 | CVM:10.120.1.2 |
| 私网VPN网关 | 10.224.210.0/24 | 私网 VPN 网关IP:10.224.210.2 |
| 专线网关 | 192.168.0.0/29 | VLAN ID:998 腾讯云边界 IP1:192.168.0.1 腾讯云边界 IP2:192.168.0.2 |
客户侧 | 本地网关(VPN) | 10.16.133.134/32 | VPN本地网关 IP:10.16.133.134 |
| 本地网关(专线) | 192.168.0.0/29 | 专线本地网段:192.168.0.3 |
| 本地 IDC 服务器 | 192.168.254.249/30 | 192.168.254.249 |
前提条件
已 创建 VPC 网络。
物理专线 已建设完成并连通。
已创建CCN云联网实例,并将VPC关联至CCN。
已申请私网 VPN 使用权限,如需使用,请 提交工单 申请。
IDC 侧设备已准备就绪。
配置流程
部署专线网关
本处仅简介描述专线业务部署过程,具体详情请单击步骤上的链接前往查看。
步骤1. 创建 CCN 型专线网关
1. 登录 专线接入控制台 ,并在左侧导航栏单击专线网关。
2. 在专线网关页面上方选择地域和私有网络,然后单击新建。
3. 在新建专线网关对话框中配置网关详情,完成后单击确定。具体操作详情请参见:创建专线网关。
字段 | 含义 |
名称 | 专线网关的名称。 |
可用区 | 选择地域所在可用区。 |
关联网络 | 选择云联网。 |
所在网络 | 关联创建好的云联网实例,ccn-o2twy6xt。 |
步骤2. 创建专线专用通道
1. 登录 专线接入 - 专用通道 控制台。
2. 在左侧导航栏,单击专用通道 > 独享专用通道,在页面上方单击新建,并配置名称、专线类型、接入网络、地域、关联的专线网关等基本配置,完成后单击下一步:高级配置。
字段 | 含义 |
专用通道名称 | 专用通道名称。 |
专线类型 | 选“我的专线” |
物理专线 | 选择已经就绪的物理专线。 |
接入网络 | 选择私有网络。 |
网关地域 | 选择目标私有网络实例所在地域,如广州。 |
专线网关 |
3. 在高级配置页面配置以下参数,更多详情请参见 创建独享专用通道。
字段 | 含义 |
VLAN ID | 配置规划好的 VLAN,例如998。 一个 VLAN 对应一个通道,取值范围[0,3000)。 |
带宽 | 专用通道的最大带宽值,不可超过关联的物理专线的带宽值。月95后付费的计费模式下,“带宽”参数不代表计费带宽。 |
腾讯云边界 IP1 | 配置规划好的物理专线腾讯云侧的边界互联 IP,例如 193.168.0.1/29 请勿使用以下网段或网络地址: 169.254.0.0/16、127.0.0.0/8、255.255.255.255/32、224.0.0.0/8- 239.255.255.255/32、240.0.0.0/8 - 255.255.255.254/32。 |
腾讯云边界 IP2 | 配置规划好的备用边界互联 IP,例如 193.168.0.2/29。 在主边界 IP 发生故障不可用时,自动启用备用 IP,以确保您的业务正常运行。 若配置腾讯云边界 IP 掩码为30、31时,则不支持配置腾讯云边界备 IP。 |
用户边界 IP | 配置 IDC 侧用于与专线互通的云上 IP,例如 193.168.0.3/29。 |
路由方式 | 选择 BGP 路由。 |
健康检查 | 默认不开启健康检查。 |
检测模式 | 选择 BFD 模式。 |
健康检查间隔 | 两次健康检查间隔时间。 |
健康检查次数 | 如果连续执行设定次数的健康检查失败后,则执行路由切换。 |
BGP ASN | 输入 CPE 侧的 BGP 邻居的 AS 号,腾讯云 ASN 为 45090。若不输入将由系统随机分配。 |
BGP 密钥 | 输入 BGP 邻居的 MD5 值。默认“Tencent”,留空表示不需要 BGP 密钥。BGP 密钥不支持 ? & 空格" \\ +六种特殊字符。 |
4. 单击提交。
5. 本地IDC配置。
部署 VPN 业务
步骤1. 创建私网 VPN 网关
1. 登录 私有网络控制台。
2. 在左侧目录中选择 VPN 连接 > VPN 网关,进入管理页。
3. 在 VPN 网关管理页面,单击新建。
4. 在弹出的新建 VPN 网关对话框中,配置如下网关参数。
参数名称 | 参数说明 |
计费方式 | 选择按流量计费,私网 VPN 暂不支持包年包月。 |
网关名称 | 填写 VPN 网关名称,不超过60个字符。 |
所在地域 | 展示 VPN 网关所在地域。 |
协议类型 | 选择 IPSec。 |
网络类型 | 选择“私网”。 |
关联网络 | 此处选择云联网。 |
接入网段 | 云上 VPN 网关对外互联网段。网段范围 10.0.0.0/12~10.0.0.0/28、172.16.0.0/12~172.16.0.0/28、192.168.0.0/16~192.168.0.0/28。同时网关间 IP 不可冲突,也不可与自身业务 IP 冲突。举例: 10.224.210.0/24。 |
带宽上限 | 选择所需带宽,例如200M。 |
标签 | 标签是对 VPN 网关资源的标识,目的是为了方便更快速的查询和管理 VPN 网关资源,非必选配置,您可按需定义。 |
5. 完成网关参数设置后,单击创建,更多操作信息请参见 创建 IPSec VPN 网关。
6. 单击实例名称进入详情页面,在所属网络位置关联创建好的CCN云联网实例。
步骤2. 创建对端网关
1. 在左侧导航栏选择 VPN 连接 > 对端网关。
2. 在对端网关管理页面,选择地域,单击新建。
3. 填写对端网关名称,私网 IP 填写 IDC 侧本地网关设备的私网 IP(本文举例
10.16.133.134)。4. 单击确定即可。
步骤3. 创建 VPN 通道
1. 在左侧导航栏选择 VPN 连接 > VPN 通道。
2. 在 VPN 通道管理页面,选择地域,单击新建。
3. 在弹出的页面中填写 VPN 通道信息。
4. 单击创建。
步骤4. IDC 本地配置
完成前三步骤后,腾讯云上 VPN 网关和 VPN 通道的配置已经完成,需要继续在 IDC 侧的本地网关上配置另一侧的 VPN 通道信息,具体请参见 本地网关配置。IDC 侧的“本地网关”即为 IDC 侧的 IPsec VPN 设备,该设备的私网 IP 记录在 步骤2 的“对端网关”中。
配置网关路由
步骤1. 配置 VPN 网关路由
1. 登录 私有网络控制台。
2. 单击左导航栏中 私有网络 > VPN 网关,然后单击具体网关实例并在路由表页签。
3. 单击新增路由,在弹出框中配置 VPN 网关的路由。
参数名称 | 说明 |
目的端 | 填写本地 IDC 网段,例如 193.168.0.0/24。 |
下一跳类型 | 选择“私网 VPN 网关”。 |
下一跳 |
4. 单击确定。
步骤2. 发布专线网关至 CCN 的路由
1. 单击左导航栏中 私有网络 > 专线网关。
2. 在 专线网关页面,单击网关实例 ID 进入详情页。
3. 在实例详情页面,单击发布网段页签,然后单击新建。
配置项 | 说明 |
输入网段 | 填写向 CCN 发布的网段,即云下 IDC 侧网段。 举例: 10.16.133.134/32 |
4. 完成路由策略的配置后,单击确定。
业务验证
完成上述配置后,本地 IDC 和 VPC 之间已经可以进行私网加密通信。测试本地 IDC 和 VPC 之间的私网连通性以及验证流量是否经过 VPN 网关加密。
1. 测试连通性
登录 CVM 实例,使用 Ping 命令访问本地 IDC 网段内服务器。
2. 加密验证
在 VPN 控制台,查看 VPN 通道监控流量情况,有流量表示加密成功。
