背景信息

本文介紹如何使用IPsec VPN在多站點之間、多站點與VPC之間建立連接。

場景示例

以本文圖中場景為例。某企業在溫州、杭州、寧波有辦公點，在天翼云華東1地域擁有VPC1，VPC1中使用彈性云主機部署了業務。因業務發展需要，企業需要快速實現溫州辦公點、杭州辦公點、寧波辦公點和VPC1之間相互通信。

出于網絡安全環境考慮，企業計劃使用VPN網關。創建VPN網關實例后，系統自動開啟VPN網關實例的Hub功能。您只需要配置各個站點的用戶網關以及各個站點到云上的IPsec連接，即可實現多站點之間、多站點與VPC之間的相互通信。

本示例VPC1和各辦公點的網段規劃如下所示。

前提條件

• 已經在天翼云華東1地域創建了一個VPC1，VPC1中使用彈性云主機部署了相關業務。
• 已經獲取各個辦公點本地網關設備的公網IP地址。
• 已經了解VPC1中彈性云主機實例所應用的安全組規則以及各辦公點所應用的安全組規則，并確保安全組規則允許彈性云主機實例、各個辦公點、VPC1之間相互通信。

配置流程

步驟一：創建VPN網關

1. 登錄。
2. 單擊控制中心左上角的，選擇目標資源池。
3. 在廣域云網產品中選擇“VPN連接”，進入VPN連接頁面。
4. 在VPN網關頁面，單擊“創建VPN網關”，進入訂購頁面，按照提示配置參數。

5. 單擊“下一步”。
6. 在購買確認頁，勾選服務協議，點擊“確認下單”，進入訂單列表。
7. 在訂單頁面，單擊“立即支付”，支付成功后，VPN網關創建成功。

步驟二：創建用戶網關

1. 登錄控制中心。
2. 單擊控制中心左上角的，選擇VPN網關實例所在地域。
3. 在廣域云網產品中選擇“VPN連接”，進入VPN連接頁面。
4. 在左側網絡控制臺，選擇“IPsec VPN”，進入用戶網關列表頁面。
5. 單擊“創建用戶網關”。
6. 按照提示配置用戶網關參數，單擊“確定”，創建成功。

您需要為每個辦公點創建一個用戶網關，用戶網關的配置參考下表。

步驟三：創建IPsec連接

1. 登錄控制中心。
2. 單擊控制中心左上角的，選擇VPN網關實例所在地域。
3. 在廣域云網產品中選擇“VPN連接”，進入VPN連接頁面。
4. 在左側網絡控制臺，選擇“IPsec VPN”，進入IPsec VPN頁面。
5. 單擊“IPsec連接”，進入“IPsec連接”頁簽。
6. 單擊“創建IPsec連接”，按照提示配置參數。單擊“確認”，完成IPsec連接創建。

需要為溫州辦公點、杭州辦公點、寧波辦公點各創建一條IPsec連接，IPsec連接將用戶網關與VPN網關關聯起來，進而將各個辦公點連接至天翼云。

步驟四： 配置路由

1. 登錄控制中心。
2. 單擊控制中心左上角的，選擇VPN網關實例所在地域。
3. 在廣域云網產品中選擇“VPN連接”，進入VPN連接頁面。
4. 在VPN網關頁面，單擊目標VPN網關實例進入實例詳情頁。
5. 在VPN網關實例詳情頁面，在“目的路由”頁簽，單擊“添加路由條目”。
6. 在添加路由條目頁面，根據以下信息配置路由條目，單擊“確定”。在VPN網關實例的目的路由表中添加并發布溫州、杭州以及寧波辦公點的網段，配置信息如下表所示。

步驟五：測試連通性

完成上述配置后，溫州辦公點、杭州辦公點、寧波辦公點和VPC1之間可以相互通信。按照以下步驟測試連通性：

• 測試辦公點與VPC1之間的連通性。

1. 登錄VPC1內的彈性云主機實例。
2. 執行ping命令，分別訪問溫州辦公點、杭州辦公點、寧波辦公點的一臺客戶端。

ping <客戶端IP地址>

能收到回復報文，則各個辦公點與VPC1之間可以互相通信。

• 測試辦公點之間的連通性。

1. 打開溫州辦公點一臺客戶端的CMD命令行窗口。
2. 執行ping命令，分別訪問杭州辦公點和寧波辦公點的一臺客戶端。

ping <客戶端IP地址>

如果均能夠收到回復報文，則溫州辦公點與杭州辦公點、溫州辦公點與寧波辦公點之間可以互相通信。

按照上面的測試方法，再依次測試杭州辦公點、寧波辦公點與其他辦公點的連通性。