关闭
尊敬的极客用户,您好!
感谢您一直关注并使用极客头条,为了给您带来良好的体验效果及性能,极客头条将于2018年04月27日关闭,您可以在 我的博客 中继续使用发布文章功能并看到已经发布成功的文章。
返回 登录
0

VPN网关连接多地域线下办公网络(VPN-HUB)

摘要: 本文介绍了通过阿里云VPN网关,实现大型企业或者多分支机构实现互连的原理和方法

需求场景
对于大型企业,通常在多个地域有多个分支分布在世界各地, 同时在云上也有资源,各个分支需要安全可靠地连接起来,形成多地域企业办公内网。如图1:
图片描述

图1

针对这种场景,可以通过阿里云VPN网关VPN-HUB功能来实现,VPN-HUB功能随VPN网关默认开启,您只需要正常配置各个办公点到云上的VPN连接,不需要额外付款或者额外的配置,每个VPN网关最多可以支持10个连接,即购买一个VPN网关,就可以将10个不同地域的办公点连接起来,实现方式如图2所示。需要注意的是所有的IP地址段不能冲突,否则无法通信。

图片描述

图2

配置步骤
step1 :配置上海办公点和阿里云VPN网关对接,配置方法参考官网最佳实践,需要注意的是,多个分支之间对接强烈建议将VPN连接阿里云侧网段设置为0.0.0.0/0,这样每个办公点只需要建立一条到云端的VPN连接,且后续增加新的办公点不需要修改已有的配置。

step2 : 同上配置美国办公点到阿里云的VPN链接。

step3 : 同step1配置新加坡站点办公点到阿里云的VPN链接。

step4 : 配置云端VPC路由,如表1所示VPC内设置到所有办公点的下一跳为对应的VPN网关。

图片描述

实现原理
阿里云VPN网关通过兴趣流来控制流量走向,兴趣流通过step1-3VPN连接中本端网段+对端网段配置,本例中生成的兴趣流如表2所示,报文进入VPN网关后首先匹配上兴趣流,匹配到以后发往对应的VPN连接(隧道)。比如上海办公点访问美国办公点时,流量经过IPSEC隧道加密发往云端VPN网关,在云端解密后需要经过路由匹配,下一跳指向VPN网关,则会继续匹配到阿里云到美国的的VPN兴趣流,经过IPSEC隧道加密发往美国的办公点。

图片描述

评论