VPN閘道器連線多地域線下辦公網路(VPN-HUB)

奈玟發表於2017-12-04

需求場景:    

對於大型企業,通常在多個地域有多個分支分佈在世界各地, 同時在雲上也有資源,各個分支需要安全可靠地連線起來,形成多地域企業辦公內網。如圖1:

TB1SixdgbYI8KJjy0FaXXbAiVXa-1442-912.png

圖1

   針對這種場景,可以通過阿里雲VPN閘道器VPN-HUB功能來實現,VPN-HUB功能隨VPN閘道器預設開啟,您只需要正常配置各個辦公點到雲上的VPN連線,不需要額外付款或者額外的配置,每個VPN閘道器最多可以支援10個連線,即購買一個VPN閘道器,就可以將10個不同地域的辦公點連線起來,實現方式如圖2所示。需要注意的是所有的IP地址段不能衝突,否則無法通訊。

TB1ASsWf9_I8KJjy0FoXXaFnVXa-1292-978.png

圖2

配置步驟

    step1 :配置上海辦公點和阿里雲VPN閘道器對接,配置方法參考官網最佳實踐,需要注意的是,多個分支之間對接強烈建議將VPN連線阿里雲側網段設定為0.0.0.0/0,這樣每個辦公點只需要建立一條到雲端的VPN連線,且後續增加新的辦公點不需要修改已有的配置。

    step2 : 同上配置美國辦公點到阿里雲的VPN連結。

    step3 : 同step1配置新加坡站點辦公點到阿里雲的VPN連結。

    step4 : 配置雲端VPC路由,如表1所示VPC內設定到所有辦公點的下一跳為對應的VPN閘道器。

destination next-hop
10.10.10.0/24 VPN Gateway
10.10.20.0/24 VPN Gateway
10.10.30.0/24 VPN Gateway
表1


實現原理

     阿里雲VPN閘道器通過興趣流來控制流量走向,興趣流通過step1-3VPN連線中本端網段+對端網段配置,本例中生成的興趣流如表2所示,報文進入VPN閘道器後首先匹配上興趣流,匹配到以後發往對應的VPN連線(隧道)。比如上海辦公點訪問美國辦公點時,流量經過IPSEC隧道加密發往雲端VPN閘道器,在雲端解密後需要經過路由匹配,下一跳指向VPN閘道器,則會繼續匹配到阿里雲到美國的的VPN興趣流,經過IPSEC隧道加密發往美國的辦公點。

VPN連線 本端網段 對端網段
阿里雲-上海辦公點 0.0.0.0/0 10.10.10.0/24
阿里雲-美國辦公點 0.0.0.0/0 10.10.20.0/24
阿里雲-新加坡辦公點 0.0.0.0/0 10.10.30.0/24
表2

   
     但是需要注意的是,VPN連線是基於Internet建立VPN隧道,網路質量會收到internet質量影響,那麼如何提升跨國分支互連的網路質量?歡迎關注本人將會在後續持續更新


相關文章