VPN网关最佳实践系列（一）如何让VPC之间互通

摘要： 话题引入 VPN网关是阿里云新推出的一项网络服务，可以帮助你的企业轻松构建安全、稳定、高可用的网络互联方案。相比传统VPN软件和自建VPN，阿里云VPN网关部署方便，即开即用，售后支持专业。 今天，我们来谈一谈如何如何部署和配置VPN网关，使两个VPC之间能够私网互通，把你的云上网络连接起来。

话题引入

VPN网关是阿里云新推出的一项网络服务，可以帮助你的企业轻松构建安全、稳定、高可用的网络互联方案。相比传统VPN软件和自建VPN，阿里云VPN网关部署方便，即开即用，售后支持专业。

今天，我们来谈一谈如何如何部署和配置VPN网关，使两个VPC之间能够私网互通，把你的云上网络连接起来。

提示：VPN网关是基于Internet建立加密隧道进行通信，通信质量依赖Internet。如果有更高要求的VPC互通，可以使用高速通道，详情参考跨账号VPC互通和跨地域VPC互通。

本操作以同一个账号下的两个VPC为例介绍如何通过部署VPN网关实现VPC互通。如果是跨账号VPC互通，操作步骤和同账号VPC互通一样。只是在创建用户网关前，需要获取对方账号的VPN网关的公网IP地址，然后使用获取的对方账号的公网IP地址创建用户网关。

VPC名称 网段 VPC ID 云产品实例

VPC1	172.16.0.0/12	vpc-xxxxl8	ECS1
VPC2	10.0.0.0/8	vpc-xxxnkf	ECS2

步骤一 创建VPN网关

首先您需要为两个VPC分别创建一个VPN网关。

1. 登录专有网络管理控制台。

2. 在左侧导航栏，单击VPN > VPN网关。

3. 单击创建VPN网关。

4. 提供以下信息，然后单击立即购买，完成创建。

   配置 说明

   地域	选择VPN网关的所属地域。 确保和VPC的地域相同。 扫描二维码关注公众号，回复： 255722 查看本文章
   专有网络	选择部署VPN网关的专有网络。
   虚拟交换机	选择VPN网关的所属交换机。
   带宽规格	选择VPN网关的公网带宽。
   购买数量	使用默认值，即创建一个VPN网关。
   购买时长	选择VPN网关的使用时长。

5. 重复上述步骤，为另外一个VPC创建一个VPN网关。

   VPN网关创建后，系统会自动分配两个公网IP。

   

   本操作中分配的IP地址为116.XX.XX.142和116.XX.XX.2，VPC与VPN网关之间的对应关系如下表所示。

   VPC VPN网关 IP地址

   名称：VPC1 ID：vpc-xxxxl8 网段：172.16.0.0/12	vpn-xxxxxq70	116.XX.XX.2
   名称：VPC2 ID：vpc-xxxnkf 网段：10.0.0.0/8	vpn-xxxxxlg3	116.XX.XX.142

步骤二 创建用户网关

创建完两个VPN网关后，您可以使用系统分配的IP地址，分别创建两个用户网关。

1. 登录专有网络管理控制台。

2. 在左侧导航栏，单击VPN > 用户网关。

3. 单击创建用户网关。

4. 提供以下信息，然后单击提交。

   配置 说明

   用户网关名称	输入用户网关的名称。
   IP地址	输入VPN网关的公网IP地址。

5. 重复上述步骤，使用另外一个IP地址再创建一个用户网关。

   

   本操作后，VPC与VPN网关、用户网关之间的对应关系如下表所示。

   VPC VPN网关 IP地址 用户网关

   名称：VPC1 ID：vpc-xxxxl8 网段：172.16.0.0/12	vpn-xxxxxq70	116.XX.XX.2	user_VPC1
   名称：VPC2 ID：vpc-xxxnkf 网段：10.0.0.0/8	vpn-xxxxxlg3	116.XX.XX.142	user_VPC2

步骤三 创建VPN连接

创建好VPN网关和用户网关后，您需要分别创建两个VPN连接建立VPN通道。

1. 登录专有网络管理控制台。

2. 在左侧导航栏，单击VPN > VPN连接。

3. 单击创建VPN连接。

4. 在创建VPN连接对话框，提供以下信息，然后单击提交。

   配置 说明

   VPN网关	选择其中一个VPC的VPN网关。 本操作中选择VPC1的网关vpn-xxxxxq70。
   用户网关	选择使用对端VPN网关的IP地址创建的用户网关。 本操作中选择VPC2的用户网关user_VPC2。
   本端网段	输入已选VPN网关所属VPC的网段。 本操作中输入VPC1的网段172.16.0.0/12。
   对端网段	输入对端VPC的网段。 本操作中输入VPC2的网段10.0.0.0/8。
   预共享密钥	展开高级配置，输入一个共享密钥。

5. 重复上述步骤，为另外一个VPC添加一个VPN连接。

   本操作中，VPC1的VPN连接配置如下图所示。

   

   本操作中，VPC2的VPN连接配置如下图所示。

   

步骤四 添加路由

最后，您需要在两个VPC中分别添加一条自定义路由。

1. 登录专有网络管理控制台。

2. 在左侧导航栏，单击专有网络。

3. 在专有网络列表页面，找到VPC1，然后单击实例ID的链接进入专有网络详情页面。

4. 在专有网络详情导航栏，单击路由器，然后单击添加路由。

5. 在添加路由对话框，提供以下信息，然后单击确定。

   配置 说明

   目标网段	输入要连接的对端VPC的网段。 本操作中输入VPC2的网段，即10.0.0.0/8。
   下一跳实例	选择VPN网关。
   VPN网关	选择本VPC部署的VPN网关。 本操作中选择VPC1创建的VPN网关。

6. 重复上述步骤，为VPC2添加一条目标网段为172.16.0.0/12，下一跳为VPC2的VPN网关的路由条目。

   本操作中，VPC1的路由配置如下图所示。

   

   本操作中，VPC2的路由配置如下图所示。

   

步骤五 测试私网通信

在专有网络VPC1内的ECS1实例上ping ECS2的私网IP，测试两个VPC的私网通信。