摘要: 本文介绍了通过阿里云VPN网关,实现大型企业或者多分支机构实现互连的原理和方法
需求场景:
对于大型企业,通常在多个地域有多个分支分布在世界各地, 同时在云上也有资源,各个分支需要安全可靠地连接起来,形成多地域企业办公内网。如图1:
图1
针对这种场景,可以通过阿里云VPN网关VPN-HUB功能来实现,VPN-HUB功能随VPN网关默认开启,您只需要正常配置各个办公点到云上的VPN连接,不需要额外付款或者额外的配置,每个VPN网关最多可以支持10个连接,即购买一个VPN网关,就可以将10个不同地域的办公点连接起来,实现方式如图2所示。需要注意的是所有的IP地址段不能冲突,否则无法通信。
图2
配置步骤
step1 :配置上海办公点和阿里云VPN网关对接,配置方法参考官网最佳实践,需要注意的是,多个分支之间对接强烈建议将VPN连接阿里云侧网段设置为0.0.0.0/0,这样每个办公点只需要建立一条到云端的VPN连接,且后续增加新的办公点不需要修改已有的配置。
step2 : 同上配置美国办公点到阿里云的VPN链接。
step3 : 同step1配置新加坡站点办公点到阿里云的VPN链接。
step4 : 配置云端VPC路由,如表1所示VPC内设置到所有办公点的下一跳为对应的VPN网关。
表1
实现原理
阿里云VPN网关通过兴趣流来控制流量走向,兴趣流通过step1-3VPN连接中本端网段+对端网段配置,本例中生成的兴趣流如表2所示,报文进入VPN网关后首先匹配上兴趣流,匹配到以后发往对应的VPN连接(隧道)。比如上海办公点访问美国办公点时,流量经过IPSEC隧道加密发往云端VPN网关,在云端解密后需要经过路由匹配,下一跳指向VPN网关,则会继续匹配到阿里云到美国的的VPN兴趣流,经过IPSEC隧道加密发往美国的办公点。
表2
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。