首页新闻招聘找找看知识库
  • 需求场景:    

    对于大型企业,通常在多个地域有多个分支分布在世界各地, 同时在云上也有资源,各个分支需要安全可靠地连接起来,形成多地域企业办公内网。如图1:

    TB1SixdgbYI8KJjy0FaXXbAiVXa-1442-912.png

    图1

       针对这种场景,可以通过阿里云VPN网关VPN-HUB功能来实现,VPN-HUB功能随VPN网关默认开启,您只需要正常配置各个办公点到云上的VPN连接,不需要额外付款或者额外的配置,每个VPN网关最多可以支持10个连接,即购买一个VPN网关,就可以将10个不同地域的办公点连接起来,实现方式如图2所示。需要注意的是所有的IP地址段不能冲突,否则无法通信。

    TB1ASsWf9_I8KJjy0FoXXaFnVXa-1292-978.png

    图2

     配置步骤

        step1 :配置上海办公点和阿里云VPN网关对接,配置方法参考官网最佳实践,需要注意的是,多个分支之间对接强烈建议将VPN连接阿里云侧网段设置为0.0.0.0/0,这样每个办公点只需要建立一条到云端的VPN连接,且后续增加新的办公点不需要修改已有的配置。

        step2 : 同上配置美国办公点到阿里云的VPN链接。

        step3 : 同step1配置新加坡站点办公点到阿里云的VPN链接。

        step4 : 配置云端VPC路由,如表1所示VPC内设置到所有办公点的下一跳为对应的VPN网关。 

    destination next-hop
    10.10.10.0/24 VPN Gateway
    10.10.20.0/24 VPN Gateway
    10.10.30.0/24 VPN Gateway
    表1

    实现原理

         阿里云VPN网关通过兴趣流来控制流量走向,兴趣流通过step1-3VPN连接中本端网段+对端网段配置,本例中生成的兴趣流如表2所示,报文进入VPN网关后首先匹配上兴趣流,匹配到以后发往对应的VPN连接(隧道)。比如上海办公点访问美国办公点时,流量经过IPSEC隧道加密发往云端VPN网关,在云端解密后需要经过路由匹配,下一跳指向VPN网关,则会继续匹配到阿里云到美国的的VPN兴趣流,经过IPSEC隧道加密发往美国的办公点。

    VPN连接 本端网段 对端网段
    阿里云-上海办公点 0.0.0.0/0 10.10.10.0/24
    阿里云-美国办公点 0.0.0.0/0 10.10.20.0/24
    阿里云-新加坡办公点 0.0.0.0/0 10.10.30.0/24
    表2

         但是需要注意的是,VPN连接是基于Internet建立VPN隧道,网络质量会收到internet质量影响,那么如何提升跨国分支互连的网络质量?

登录后才能评论,请先登录注册