操作場景

默認情況下，在Virtual Private Cloud (VPC) 中的彈性云主機無法與您自己的數據中心或私有網絡進行通信。如果您需要將VPC中的彈性云主機和您的數據中心或私有網絡連通，可以啟用VPN功能。申請VPN后，用戶需要配置安全組并檢查子網的連通性，以確保VPN功能可用。主要場景分為兩類：

• 點對點VPN：本端為處于云服務平臺上的一個VPC，對端為一個數據中心，通過VPN建立用戶數據中心與VPC之間的通信隧道。
• 點對多點VPN：本端為處于云服務平臺上的一個VPC，對端為多個數據中心，通過VPN建立不同用戶數據中心與VPC之間的通信隧道。

配置VPN時需要注意以下幾點：

• 本端子網與對端子網不能重復。
• 本端和對端的IKE策略、IPsec策略、PSK相同。
• 本端和對端子網，網關等參數對稱。
• VPC內彈性云服務器安全組允許訪問對端和被對端訪問。
• VPN對接成功后兩端的云主機或者物理設備之間需要進行通信，VPN的狀態才會刷新為正常。

前提條件

已創建VPN所需的虛擬私有云和子網。

操作步驟

1. 在管理控制臺上，創建VPN網關、用戶網關，選擇合適的IKE策略和IPsec策略創建VPN連接。
2. 檢查本端和對端子網的IP地址池。
3. 為彈性云主機配置安全組規則，允許通過VPN進出本地數據中心的報文。
4. 檢查VPC安全組。
5. 檢查遠端LAN配置（即對端數據中心網絡配置）。

假設您在云中已經申請了VPC，并申請了2個子網（192.168.1.0/24，192.168.2.0/24），您在自己的數據中心Router下也有2個子網（192.168.3.0/24，192.168.4.0/24）。您可以通過VPN使VPC內的子網與數據中心的子網互相通信。

本端和對端子網IP池不能重合。例如，本端VPC有兩個子網，分別為：192.168.1.0/24和192.168.2.0/24，那么對端子網的IP地址池不能包含本端VPC的這兩個子網。

從本地數據中心ping云主機，驗證安全組是否允許通過VPN進出本地數據中心的報文。

在遠程LAN（對端數據中心網絡）配置中有可以將VPN流量轉發到LAN中網絡設備的路由。如果VPN流量無法正常通信，請檢查遠程LAN是否存在拒絕策略。