全部產品
Search

搜尋本產品

    Data Transmission Service:通過IPsec-VPN隧道將本網串連到阿里雲

    文件中心

    Data Transmission Service:通過IPsec-VPN隧道將本網串連到阿里雲

    更新時間:Jul 06, 2024

    VPN網關允許您通過加密隧道將本機資料中心、商業網路、個人用戶端串連到阿里雲Virtual Private Cloud。本文介紹如何通過IPsec-VPN隧道串連本機資料中心和VPC。

    前提條件

    • 用於串連阿里雲的網關裝置支援標準的IKEv1和IKEv2協議。本案例中需要配置多個子網,因此必須支援IKEv2協議。支援的裝置廠家包括山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM和Ixia。

    • 網關裝置具備靜態公網IP地址。

    • 本網的IP位址區段與VPC的IP位址區段沒有重疊。

    背景資訊

    通過DTS配置資料移轉、資料同步或資料訂閱時,您可以將執行個體類型選擇為通過專線/VPN網關/智能網關接入的自建資料庫,然後輸入本機資料庫的私人IP地址。

    注意事項

    如果您已經將本網串連到阿里雲,您可以跳過VPN隧道設定的步驟。但是,您需要在VPN設定中將DTS伺服器列入白名單,並建立多個靜態路由。請按照以下步驟操作:

    1. 將DTS伺服器的IP位址區段添加到IPsec-VPN串連中。詳情請參見修改IPsec-VPN串連

      說明

      單擊+添加 本端網段,輸入對應地區的DTS伺服器的IP位址區段。詳情請參見添加DTS伺服器的IP位址區段

    2. 在您的網關裝置上配置靜態路由。詳情請參見步驟4:在本地網關裝置上配置IPsec-VPN串連和靜態路由

    費用說明

    VPN網關為收費服務。詳情請參見隨用隨付

    步驟1:建立VPN網關

    1. 登入專用網路控制台

    2. 在頁面左上方選擇一個地區。

    3. 在左側導覽列,單擊網間互聯 > VPN > VPN網關

    4. VPN網關頁面,單擊建立VPN網關

    5. 完成VPN網關設定。

      • 執行個體名稱:輸入VPN網關的執行個體名稱。

      • 地區:選擇VPN網關所屬的地區。

        說明

        確保VPC的地區和VPN網關的地區相同。

      • 專用網路:選擇要串連的VPC。

      • 指定交換器:是否指定VPN網關建立在VPC中的某一個交換器下。本樣本選擇

        如果您選擇了,您還需要指定具體的虛擬交換器

      • 頻寬峰值:選擇VPN網關的公網頻寬峰值。單位為Mbps。

      • 流量:VPN網關預設按使用流量計費。

      • IPsec-VPN:選擇是否開啟IPsec-VPN功能。本樣本選擇開啟

      • SSL-VPN:選擇是否開啟SSL-VPN功能。本樣本選擇關閉

      • 購買時間長度:VPN網關預設按小時計費。

    6. 單擊立即購買並按照說明完成付款。

    步驟2:建立使用者網關

    1. 登入專用網路控制台

    2. 在頁面左上方,選擇VPN網關所在的地區。

    3. 在左側導覽列,單擊網間互聯 > VPN > 使用者網關

    4. 單擊建立使用者網關

    5. 完成使用者網關設定,如下表所示。

      參數

      說明

      名稱

      輸入使用者網關的名稱。

      IP地址

      輸入本機資料中心網關裝置的靜態公網IP地址。

      自治系統號

      輸入本機資料中心網關裝置的自治系統號ASN(Autonomous System Number)。

      描述

      描述的長度必須為2到256個字元,並且不能以http://https://開頭。

    6. 單擊確定

    步驟3:建立IPsec串連並配置路由

    1. 登入專用網路控制台

    2. 在頁面左上方,選擇VPN網關所在的地區。

    3. 在左側導覽列,單擊網間互聯 > VPN > IPsec串連

    4. 單擊建立IPsec串連

    5. 建立IPsec串連對話方塊中,完成如下配置。

      配置

      說明

      名稱

      IPsec串連的名稱。

      名稱在2~128個字元之間,以大小寫字母或中文開始,可包含數字、短劃線(-)和底線(_)。

      VPN網關

      選擇待串連的普通型VPN網關。

      使用者網關

      選擇待串連的使用者網關。

      路由模式

      選擇路由模式。預設為目的路由模式

      • 目的路由模式:基於目的IP進行路由轉寄。

        您在建立IPsec串連後,需要在VPN網關目的路由表中添加目的路由。

      • 感興趣流模式:基於源IP和目的IP進行精確的路由轉寄。

        您在建立IPsec串連時,如果您選擇了感興趣流模式,您需要配置本端網段對端網段。配置完成後,系統自動在VPN網關策略路由表中添加策略路由。

        系統在VPN網關策略路由表中添加策略路由後,路由預設是未發布狀態,您需要在策略路由表中手動將路由發布至VPC中。

      說明

      • 如果您當前的VPN版本為舊版,您無需選擇路由模式。在您建立IPsec串連後,請您手動為VPN網關配置目的路由或策略路由。

      • 請勿添加目標網段為100.64.0.0/10(包含該網段下的子網段),下一跳指向IPsec串連的路由,該類路由會導致控制台無法顯示IPsec串連的狀態或者導致IPsec串連協商失敗。

      本端網段

      輸入需要和本機資料中心互連的VPC側的網段,用於第二階段協商。

      單擊文字框後面的添加表徵圖,可添加多個需要和本機資料中心互連的VPC側的網段。

      說明

      只有IKE V2版本下才可以配置多網段。

      對端網段

      輸入需要和VPC互連的本機資料中心側的網段,用於第二階段協商。

      單擊文字框後面的添加表徵圖,可添加多個需要和VPC互連的本機資料中心側的網段。

      說明

      只有IKE V2版本下才可以配置多網段。

      立即生效

      選擇是否立即生效。

      • :配置完成後立即進行協商。

      • :當有流量進入時進行協商。

      預先共用金鑰

      輸入IPsec-VPN串連的認證密鑰,用於VPN網關與本機資料中心之間的身份認證。密鑰長度為1~100個字元。

      若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後,您可以通過編輯按鈕查看系統產生的預先共用金鑰。

      重要

      IPsec串連側的預先共用金鑰需和本機資料中心側的認證密鑰一致,否則本機資料中心和VPN網關之間無法建立串連。

      進階配置:IKE配置

      版本

      選擇IKE協議的版本。

      • ikev1

      • ikev2

      目前系統支援IKE V1和IKE V2,相對於IKE V1版本,IKE V2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援,所以建議選擇IKE V2版本。

      協商模式

      選擇協商模式。

      • main:主模式,協商過程安全性高。

      • aggressive:野蠻模式,協商快速且協商成功率高。

      協商成功後兩種模式的資訊傳輸安全性相同。

      密碼編譯演算法

      選擇第一階段協商使用的密碼編譯演算法。普通型VPN網關支援aesaes192aes256des3des

      認證演算法

      第一階段協商使用的認證演算法。普通型VPN網關支援sha1md5sha256sha384sha512

      DH分組

      選擇第一階段協商的Diffie-Hellman金鑰交換演算法。普通型VPN網關支援以下DH組:

      • group1:表示DH分組中的DH1。

      • group2:表示DH分組中的DH2。

      • group5:表示DH分組中的DH5。

      • group14:表示DH分組中的DH14。

      SA生存周期(秒)

      設定第一階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400

      LocalId

      作為IPsec VPN網關的標識,用於第一階段的協商。預設值為VPN網關的公網IP地址。如果手動設定LocalId為FQDN格式,建議將協商模式改為野蠻模式(aggressive)。

      RemoteId

      作為使用者網關的標識,用於第一階段的協商。預設值為使用者網關的公網IP地址。如果手動設定RemoteId為FQDN格式,建議將協商模式改為野蠻模式(aggressive)。

      進階配置:IPSec配置

      密碼編譯演算法

      選擇第二階段協商的密碼編譯演算法。支援aesaes192aes256des3des

      認證演算法

      選擇第二階段協商的認證演算法。支援sha1md5sha256sha384sha512

      DH分組

      選擇第二階段協商的Diffie-Hellman金鑰交換演算法。普通型VPN網關以下DH組:

      • disabled:表示不使用DH金鑰交換演算法。

        • 對於不支援PFS的用戶端請選擇disabled

        • 如果選擇為非disabled的任何一個組,會預設開啟PFS功能(完美向前加密),使得每次重協商都要更新密鑰,因此,相應的用戶端也要開啟PFS功能。

      • group1:表示DH分組中的DH1。

      • group2:表示DH分組中的DH2。

      • group5:表示DH分組中的DH5。

      • group14:表示DH分組中的DH14。

      SA生存周期(秒)

      設定第二階段協商出的SA的生存周期。單位:秒。預設值:86400。取值範圍:0~86400

      DPD

      選擇開啟或關閉對等體存活檢測功能。DPD功能預設開啟。

      NAT穿越

      選擇開啟或關閉NAT穿越功能。NAT穿越功能預設開啟。

      BGP配置

      隧道網段

      輸入IPsec隧道的網段。

      該網段應是一個在169.254.0.0/16內的掩碼長度為30的網段。

      本端BGP地址

      輸入本端BGP地址。

      該地址為隧道網段內的一個IP地址。

      說明

      請確保IPsec隧道兩端的BGP地址不衝突。

      本端自治系統號

      輸入VPC側的自治系統號。取值範圍:1~4294967295。預設值:45104

      說明

      建議您使用自治系統號的私人號碼與阿里雲建立BGP串連。自治系統號的私人號碼範圍請自行查閱文檔。

      健全狀態檢查

      目標IP

      VPC側通過IPSec串連可以訪問的本機資料中心的IP地址。

      源IP

      本機資料中心通過IPSec串連可以訪問的VPC側的IP地址。

      稍候再試

      健全狀態檢查的稍候再試時間,單位:秒。

      重試次數

      健全狀態檢查的重試發包次數。

    6. 單擊確定

    7. 在彈出的建立成功對話方塊中,單擊確定,前往配置VPN網關的路由資訊。

    8. 跳轉到VPN網關頁面。 單擊目的路由表頁簽中的添加路由條目

    9. 添加路由條目對話方塊中,完成如下配置。

      配置

      說明

      目標網段

      輸入本機資料中心的私網網段。 本案例中,輸入192.168.10.0/24。

      下一跳類型

      選擇IPsec串連

      下一跳

      選擇您建立的IPsec-VPN串連執行個體。

      發布到VPC

      選擇是否將新添加的路由條目發布到VPC路由表。

      • (推薦):將新添加的路由發布到VPC路由表。

      • :不發布新添加的路由到VPC路由表。

        說明

        如果您選擇“否”,則必須在添加目標路由條目後將該路由條目發布到目標路由表中。

      權重

      選擇一個權重值:

      • 100:優先順序最高。

      • 0:優先順序最低。

      說明

      如果兩個靜態路由基於同一個目標網段,則不能將兩個路由條目的權重都設定為100。

    步驟4:在本地網關裝置上配置IPsec-VPN串連和靜態路由

    1. 登入專用網路控制台

    2. 在頁面左上方,選擇VPN網關所在的地區。

    3. 在左側導覽列,單擊網間互聯 > VPN > IPsec串連

    4. 找到目標IPsec-VPN串連,單擊對應操作列中的更多 > 下載對端配置

    5. 在彈出的IPsec串連配置對話方塊中,詳細展示了對端配置資訊。將對端配置添加到本地網關裝置中。 添加方式因裝置製造商和型號不同而有所區別。

      對端配置

    6. 將靜態路由條目添加到本地網關裝置中。目標地址為對應地區的DTS伺服器的IP位址區段。詳情請參見添加DTS伺服器的IP位址區段。下一跳為新增的IPsec-VPN隧道介面。