需求場景：    

對於大型企業，通常在多個地域有多個分支分佈在世界各地, 同時在雲上也有資源，各個分支需要安全可靠地連線起來，形成多地域企業辦公內網。如圖1：

圖1

   針對這種場景，可以通過阿里雲VPN閘道器VPN-HUB功能來實現，VPN-HUB功能隨VPN閘道器預設開啟，您只需要正常配置各個辦公點到雲上的VPN連線，不需要額外付款或者額外的配置，每個VPN閘道器最多可以支援10個連線，即購買一個VPN閘道器，就可以將10個不同地域的辦公點連線起來，實現方式如圖2所示。需要注意的是所有的IP地址段不能衝突，否則無法通訊。

圖2

配置步驟

    step1 ：配置上海辦公點和阿里雲VPN閘道器對接，配置方法參考官網最佳實踐，需要注意的是，多個分支之間對接強烈建議將VPN連線阿里雲側網段設定為0.0.0.0/0，這樣每個辦公點只需要建立一條到雲端的VPN連線，且後續增加新的辦公點不需要修改已有的配置。

    step2 : 同上配置美國辦公點到阿里雲的VPN連結。

    step3 : 同step1配置新加坡站點辦公點到阿里雲的VPN連結。

    step4 : 配置雲端VPC路由，如表1所示VPC內設定到所有辦公點的下一跳為對應的VPN閘道器。

實現原理

     阿里雲VPN閘道器通過興趣流來控制流量走向，興趣流通過step1-3VPN連線中本端網段+對端網段配置,本例中生成的興趣流如表2所示，報文進入VPN閘道器後首先匹配上興趣流，匹配到以後發往對應的VPN連線（隧道）。比如上海辦公點訪問美國辦公點時，流量經過IPSEC隧道加密發往雲端VPN閘道器，在雲端解密後需要經過路由匹配，下一跳指向VPN閘道器，則會繼續匹配到阿里雲到美國的的VPN興趣流，經過IPSEC隧道加密發往美國的辦公點。