需求场景：    

对于大型企业，通常在多个地域有多个分支分布在世界各地, 同时在云上也有资源，各个分支需要安全可靠地连接起来，形成多地域企业办公内网。如图1：

图1

   针对这种场景，可以通过阿里云VPN网关VPN-HUB功能来实现，VPN-HUB功能随VPN网关默认开启，您只需要正常配置各个办公点到云上的VPN连接，不需要额外付款或者额外的配置，每个VPN网关最多可以支持10个连接，即购买一个VPN网关，就可以将10个不同地域的办公点连接起来，实现方式如图2所示。需要注意的是所有的IP地址段不能冲突，否则无法通信。

图2

配置步骤

    step1 ：配置上海办公点和阿里云VPN网关对接，配置方法参考官网最佳实践，需要注意的是，多个分支之间对接强烈建议将VPN连接阿里云侧网段设置为0.0.0.0/0，这样每个办公点只需要建立一条到云端的VPN连接，且后续增加新的办公点不需要修改已有的配置。

    step2 : 同上配置美国办公点到阿里云的VPN链接。

    step3 : 同step1配置新加坡站点办公点到阿里云的VPN链接。

    step4 : 配置云端VPC路由，如表1所示VPC内设置到所有办公点的下一跳为对应的VPN网关。

表1

实现原理

     阿里云VPN网关通过兴趣流来控制流量走向，兴趣流通过step1-3VPN连接中本端网段+对端网段配置,本例中生成的兴趣流如表2所示，报文进入VPN网关后首先匹配上兴趣流，匹配到以后发往对应的VPN连接（隧道）。比如上海办公点访问美国办公点时，流量经过IPSEC隧道加密发往云端VPN网关，在云端解密后需要经过路由匹配，下一跳指向VPN网关，则会继续匹配到阿里云到美国的的VPN兴趣流，经过IPSEC隧道加密发往美国的办公点。

表2

     但是需要注意的是，VPN连接是基于Internet建立VPN隧道，网络质量会收到internet质量影响，那么如何提升跨国分支互连的网络质量？欢迎关注本人将会在后续持续更新