在本地数据中心 IDC 通过物理专线和云上 VPC 实现私网通信后,私网 VPN 网关可通过已建立的私网连接与本地网关设备建立加密通信通道。您可以通过相关路由配置引导本地 IDC 和 VPC 要互通的流量进入加密通信通道,实现私网流量加密通信。
业务场景
使用限制
私网 VPN 目前仅支持 VPC 型 VPN,CCN 型 VPN 暂不支持。
私网 VPN 暂不支持动态 BGP 路由。
仅 VPN4.0版本支持。
网络规划
配置对象 | 网段规划 | IP地址和说明 |
VPC | 10.7.0.0/16 | CVM:10.7.6.10 私网 VPN 网关IP:10.7.6.15 说明: 私网 VPN 网关 IP 归属租户 VPC。 |
专线网关 | 195.168.0.0/29 | VLAN ID:1234 腾讯云边界 IP1:195.168.0.3/29 腾讯云边界 IP2:195.168.0.2/29 客户边界 IP:195.168.0.1/29。 |
本地网关 | 195.168.0.0/24 | 与云上 VPN 连接的本地网关 IP:195.168.0.6 与云上专线网关连接的网段:195.168.0.1/29 |
本地 IDC 服务器 | 133.168.0.0/16 | 客户端地址:133.168.0.3/32 |
前提条件
已 创建 VPC 网络。
物理专线 已建设完成并连通。
已申请私网 VPN 使用权限,如需使用,请 提交工单 申请。
IDC 侧设备已准备就绪。
配置流程
步骤一:部署专线业务
1. 登录 专线接入控制台 ,并在左侧导航栏单击专线网关。
2. 在专线网关页面上方选择地域和私有网络,然后单击新建。
3. 在新建专线网关对话框中配置网关详情,完成后单击确定。
字段 | 含义 |
名称 | 专线网关的名称。 |
可用区 | 选择地域所在可用区。 |
关联网络 | 选择私有网络。 |
所在网络 | 关联创建好的私有网络实例,vpc-xxx。 |
1. 登录 专线接入 - 专用通道 控制台。
2. 在左侧导航栏,单击专用通道 > 独享专用通道,在页面上方单击新建,并配置名称、专线类型、接入网络、地域、关联的专线网关等基本名称配置,完成后单击下一步。
字段 | 含义 |
专用通道名称 | 专用通道名称。 |
专线类型 | 选“我的专线” |
物理专线 | 选择已经就绪的物理专线。 |
接入网络 | 选择私有网络。 |
网关地域 | 选择目标私有网络实例所在地域,如广州。 |
专线网关 |
3. 在高级配置页面配置以下参数。
字段 | 含义 |
VLAN ID | 配置规划好的 VLAN,例如1234。 一个 VLAN 对应一个通道,取值范围[0,3000)。 |
带宽 | 专用通道的最大带宽值,不可超过关联的物理专线的带宽值。月95后付费的计费模式下,“带宽”参数不代表计费带宽。 |
腾讯云边界 IP1 | 配置规划好的物理专线腾讯云侧的边界互联 IP,例如 195.168.0.3/29请勿使用以下网段或网络地址: 169.254.0.0/16、127.0.0.0/8、255.255.255.255/32、224.0.0.0/8- 239.255.255.255/32、240.0.0.0/8 - 255.255.255.254/32。 |
腾讯云边界 IP2 | 配置规划好的备用边界互联 IP,例如 195.168.0.2/29。在主边界 IP 发生故障不可用时,自动启用备用 IP,来确保您的业务正常运行。 若配置腾讯云边界 IP 掩码为30、31时,则不支持配置腾讯云边界备 IP。 |
用户边界 IP | 配置 IDC 侧用于与专线互通的云上 IP,例如 195.168.0.1/29。 |
路由方式 | 选择 BGP 路由。 |
健康检查 | |
检测模式 | 选择 BFD 模式。 |
健康检查间隔 | 两次健康检查间隔时间。 |
健康检查次数 | 如果连续执行设定次数的健康检查失败后,则执行路由切换。 |
BGP ASN | 输入 CPE 侧的 BGP 邻居的 AS 号,腾讯云 ASN 为 45090。若不输入将由系统随机分配。 |
BGP 密钥 | 输入 BGP 邻居的 MD5 值。默认“tencent”,留空表示不需要 BGP 密钥。BGP 密钥不支持 ? & 空格" \\ +六种特殊字符。 |
4. 单击提交。
步骤二:部署 VPN 业务
1. 登录 私有网络控制台。
2. 在左侧目录中选择 VPN 连接 > VPN 网关,进入管理页。
3. 在 VPN 网关管理页面,单击新建。
4. 在弹出的新建 VPN 网关对话框中,配置如下网关参数。
参数名称 | 参数说明 |
计费方式 | 选择按流量计费。私网 VPN 暂不支持包年包月。 |
网关名称 | 填写 VPN 网关名称,不超过60个字符。 |
所在地域 | 展示 VPN 网关所在地域。 |
协议类型 | 选择 IPSEC。 |
网络类型 | 选择“私网”。 |
关联网络 | 此处选择私有网络。私网 VPN 暂不支持云联网。 |
云上子网 | 选择 VPC 侧创建的子网。 私网 VPN 网关 IP 地址归属租户 VPC,从该子网中分配。 |
带宽上限 | 选择5M。 |
所属网络 | 仅当关联网络为私有网络时,此处需要选择 VPN 网关将要关联的具体私有网络。 |
标签 | 标签是对 VPN 网关资源的标识,目的是为了方便更快速的查询和管理 VPN 网关资源,非必选配置,您可按需定义。 |
5. 完成网关参数设置后,单击创建启动 VPN 网关的创建。
1. 在左侧导航栏选择 VPN 连接 > 对端网关。
2. 在对端网关管理页面,选择地域,单击新建。
3. 填写对端网关名称,私网 IP 填写 IDC 侧本地网关设备的私网 IP(195.168.0.6)。
4. 单击创建。
1. 在左侧导航栏选择 VPN 连接 > VPN 通道。
2. 在 VPN 通道管理页面,选择地域,单击新建。
3. 在弹出的页面中填写 VPN 通道信息。
4. 单击创建。
完成前三步骤后,腾讯云上 VPN 网关和 VPN 通道的配置已经完成,需要继续在 IDC 侧的本地网关上配置另一侧的 VPN 通道信息,具体请参考 本地网关配置。IDC 侧的“本地网关”即为 IDC 侧的 IPsec VPN 设备,该设备的私网 IP 记录在 步骤2 的“对端网关”中。
步骤三:配置云上路由
完成上述配置后,本地网关设备和 VPN 网关之间已经可以建立加密通信通道了。您还需要为云上网络实例配置路由,将云上和云下流量引导进入 VPN 加密通信通道。
步骤1. 配置云上 VPC 自定义路由
1. 登录 私有网络控制台。
2. 在左侧目录中单击子网,选择对应的地域和私有网络,单击子网所关联的路由表 ID,进入详情页。
3. 单击新增路由策略,在弹出框中配置到VPN网关的路由。
参数名称 | 说明 |
目的端地址 | 填写本地 IDC 网段,例如 133.168.0.3/32。 |
下一跳类型 | 选择“私网 VPN 网关”。 |
下一跳 |
4. 单击+新增一行,配置到专线网关的路由策略。
参数名称 | 说明 |
目的端地址 | 填写本地网关网关设备 VPN IP 地址,例如 195.168.0.6。 |
下一跳类型 | 选择专线网关。 |
下一跳 |
5. 单击创建。
步骤2. 配置 VPN 网关路由
注意:
为了引导 VPC 去往云下的流量进入 VPN 网关加密通信通道,需要在 VPN 网关中添加比本地 IDC 网段的路由。
1. 单击左导航栏中 VPN 连接 > VPN 网关。
2. 在 VPN 网关页面,选择地域和私有网络,单击 VPN 网关实例 ID 进入详情页。
3. 在实例详情页面,单击路由表页签,然后单击新增路由配置路由策略。
说明:
VPN 网关路由表新增路由时,列表默认显示 VPN 网关下所有 VPN 通道(即 VPN 网关下所有 SPD 策略型和路由型 VPN 通道)。
配置项 | 说明 |
目的端 | 填写本地IDC网段,例如133.168.0.3/32。 |
下一跳类型 | 不可选,默认“VPN 通道”。 |
下一跳 | |
权重 | 通道的权重值选择0。 0:优先级高。 100:优先级低。 |
4. 完成路由策略的配置后,单击确定。
步骤四:业务验证
完成上述配置后,本地 IDC 和 VPC 之间已经可以进行私网加密通信。测试本地 IDC 和 VPC 之间的私网连通性以及验证流量是否经过 VPN 网关加密。
1. 测试连通性
登录 CVM 实例,使用 Ping 命令访问本地 IDC 网段内服务器。
2. 加密验证
在 VPN 控制台,查看 VPN 通道监控流量情况,有流量表示加密成功。
是
否
本页内容是否解决了您的问题?