主要考虑如下几点:

一是线下IDC和云上VPC的私网IP地址段规划,注意不能相同,否则无法通信。
二是规划VXN网关所在的VPC和虚拟交换机,即云上VXN网关的网络环境。
三是确定线下IDC的网关设备,用哪个设备和云上VPC互联。阿里云VXN网关支持标准的IKEv1和IKEv2,因此,只要支持这两种协议的设备都可以和云上VXN网关互联,比如Cisco ASA、Juniper、SonicWall、Nokia、IBM、Ixia等

如下图所示,本次实验在
阿里云上的VPC网段是192.168.0.0/16
用户线下IDC的网段是172.16.0.0/12
用户线下IDC的网关设备公网IP地址假设是211.167.68.68
现在需要通过VXN网关将云上VPC和线下IDC打通,使VPC内云资源和IDC内的服务器可以私网通信。



基本配置流程为:

创建 VXN 网关
创建用户网关
创建 VXN 连接
在线下IDC网关设备中加载配置
设置路由
测试访问

详细说明如下:

创建 VXN 网关

注:需要先在华东1地域创建好VPC和交换机。

在VXN网关的产品详情页点击“立即购买”

选择华东1(杭州)地域,然后选择专有网络和虚拟交换机,再选择带宽规格。带宽规格指的是VXN网关所具备的公网带宽。

购买成功后进入VXN控制台

一开始状态是准备中,约2分钟左右会变成正常状态。正常状态就表明VXN网关完成了初始化,可以正常使用了。

创建用户网关

用户网关是对线下IDC网关设备的一个简单抽象,就是把线下IDC网关设备的公网IP地址注册到系统中便于后续建立连接。

在VXN控制台中点击“用户网关”,在右上角点击“创建用户网关”,如下图

创建成功,如下图

创建VXN连接

VXN连接将云上网关和线下IDC的用户网关进行关联,并设置连接相关参数。如下图

特别注意,这里本端网段指的是云上VPC的网段,对端网段指的是线下IDC的网段,在本实验中是172.16.0.0/12。另外,如果需要对连接进行更高级的配置,可以展开高级配置进行详细设置。

创建成功后如下图所示

在线下IDC网关设备中加载配置
首先,下载VXN连接的配置。在VXN控制台中点击“VXN连接”,找到所需的VXN连接,点击“下载配置”,如下图

然后,根据线下IDC网关设备的配置要求,将上述配置加载到IDC网关设备中。由于试验条件所限,这里不详细描述。

注意:下载配置中得RemotSubnet和LocalSubnet和创建连接时得本段网段和对端网段正好是反的。因为从云上网关角度看,对端是用户IDC的网段,本端是VPC网段,而从线下IDC的网关设备角度看,LocalSubnet就是指线下IDC的网段,而RemotSubnet则是指云上VPC的网段。

设置路由

到这里网关基本配置完毕,但是要让云上VPC内的ECS可以直接访问线下IDC内的服务器,还需要在云上VPC设置路由。

进入VPC控制台,找到网关所在的VPC,点击该VPC,然后点击“路由器”,在右上角点击“添加路由”,如下图

注意:这里的目标网段是线下IDC的网段,即172.16.0.0/12,下一跳类型选择 VXN网关,并选择所使用的网关实例。这个配置的意思是上,去往172.16.0.0/12 网段的访问请求都经过网关转发。

测试访问

登陆到云上VPC内找一台不带公网ECS,并通过 ping 命令ping线下IDC内一台服务器的私网IP地址,验证通信是否正常。