對於一些大型企業使用者,如果您已經在阿里雲部署了多個Virtual Private Cloud (VPC),希望多個VPC可以與企業本機資料中心IDC(Internet Data Center)實現網路全互連,您可以通過建立IPsec-VPN串連將本機資料中心加密接入阿里雲,其中IPsec串連綁定轉寄路由器,通過轉寄路由器實現同地區或跨地區的多個VPC與本機資料中心網路全互連。
環境要求
公網網路類型的IPsec串連綁定轉寄路由器時,本機資料中心的網關裝置必須配置公網IP地址。
對於支援IPsec-VPN串連雙隧道模式的地區,推薦本機資料中心的網關裝置配置2個公網IP地址或者本機資料中心擁有兩個本地網關裝置,每個本地網關裝置均擁有一個公網IP地址,以建立高可用的IPsec-VPN串連。
本機資料中心的網關裝置必須支援IKEv1或IKEv2協議,支援任意一種協議的裝置均可以和轉寄路由器建立IPsec-VPN串連。
本機資料中心和VPC間互連的網段沒有重疊。
情境樣本
本文將以下圖情境為例。某企業已經在泰國(曼穀)地區建立了VPC1、在菲律賓(馬尼拉)地區建立了VPC2。VPC1和VPC2中使用Elastic Compute Service(Elastic Compute Service)部署了相關業務。本文將介紹如何通過IPsec-VPN串連(IPsec串連使用公網網路類型)將本機資料中心加密接入阿里雲,並通過轉寄路由器實現本機資料中心、泰國(曼穀)地區VPC1、菲律賓(馬尼拉)地區VPC2網路全互連。
本文將以雙隧道模式的IPsec-VPN串連為例進行說明,一個雙隧道模式的IPsec-VPN串連包含兩條隧道,兩條隧道分布在不同的可用性區域並自動形成ECMP(Equal-Cost Multipath Routing)鏈路,支援可用性區域層級的容災。雙隧道模式的IPsec-VPN串連功能公測中,開始操作前,請確保您已經向客戶經理申請了使用許可權。更多資訊,請參見綁定轉寄路由器情境雙隧道IPsec-VPN串連說明。
如果您的地區僅支援單隧道模式的IPsec-VPN串連,如何建立高可用的IPsec-VPN串連,請參見建立多條公網IPsec-VPN串連實現流量的負載分擔。
網段規劃
規劃網段時,請確保本機資料中心、VPC1、VPC2之間要互連的網段沒有重疊。
建立IPsec-VPN串連時,推薦使用BGP動態路由方式。如果您要使用靜態路由方式,請確保本地網關裝置支援配置靜態ECMP路由。本文將以BGP動態路由方式為例進行說明。
本機資料中心和VPC網段規劃
資源 | 網段 | IP地址 |
本機資料中心 | 待和VPC互連的網段:192.168.55.0/24 | 伺服器IP地址:192.168.55.65 |
本地網關裝置 | 不涉及 | 本地網關裝置串連公網的物理介面:
|
VPC1 | 主網段:192.168.0.0/16 交換器1:192.168.66.0/24 交換器2:192.168.20.0/24 | ECS1 IP地址:192.168.66.193 |
VPC2 | 主網段:10.0.0.0/16 交換器1:10.0.10.0/24 交換器2:10.0.20.0/24 | ECS2 IP地址:10.0.20.61 |
BGP網段規劃
BGP隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。一個IPsec串連下兩條隧道的隧道網段不能相同。
資源 | 隧道 | BGP隧道網段 | BGP IP地址 | BGP AS號(本端自治系統號) |
IPsec串連執行個體 | 隧道1 | 169.254.10.0/30 | 169.254.10.1 | 65535 |
隧道2 | 169.254.20.0/30 | 169.254.20.1 | ||
本地網關裝置 | 隧道1 | 169.254.10.0/30 | 169.254.10.2 | 65530 |
隧道2 | 169.254.20.0/30 | 169.254.20.2 |
操作步驟
步驟一:建立雲企業網執行個體和轉寄路由器執行個體
建立IPsec-VPN串連前,需要先建立雲企業網執行個體,並在雲企業網執行個體下建立轉寄路由器執行個體。
建立雲企業網執行個體。建立雲企業網執行個體時使用預設配置即可。
分別在菲律賓(馬尼拉)和泰國(曼穀)地區各建立一個轉寄路由器執行個體。具體操作,請參見建立轉寄路由器執行個體。
菲律賓(馬尼拉)地區的轉寄路由器用於串連菲律賓(馬尼拉)地區下的VPC2,在菲律賓(馬尼拉)地區建立轉寄路由器執行個體時使用預設配置即可。
泰國(曼穀)地區的轉寄路由器用於串連泰國(曼穀)地區下的VPC1以及本機資料中心。建立泰國(曼穀)地區的轉寄路由器執行個體時需要配置TR位址區段,用於建立IPsec-VPN串連,其餘配置項使用預設值即可。
說明建議您依據就近原則,在離本機資料中心最近的阿里雲地區建立轉寄路由器執行個體。
本文使用的TR位址區段為10.10.10.0/24。TR位址區段需和本機資料中心、VPC1、VPC2中要參與網路互連的網段不衝突。
步驟二:建立IPsec-VPN串連
建立轉寄路由器執行個體後,可以開始建立IPsec-VPN串連,用於將本機資料中心串連至阿里雲。
建立使用者網關
您需要通過建立使用者網關將資料中心本地網關裝置的公網IP地址註冊到阿里雲上,本機資料中心僅能使用註冊過的公網IP地址與阿里雲建立IPsec-VPN串連。
- 登入VPN網關管理主控台。
在左側導覽列,選擇。
在頂部功能表列,選擇使用者網關執行個體的地區。
說明使用者網關執行個體的地區必須和轉寄路由器執行個體的地區相同。
在使用者網關頁面,單擊建立使用者網關。
在建立使用者網關面板,根據以下資訊配置使用者網關執行個體,然後單擊確定。
根據以下資訊建立2個使用者網關執行個體,註冊本地網關裝置的2個公網IP地址。以下僅列舉本文強相關的配置項,其餘配置項保持預設狀態。更多資訊,請參見建立和系統管理使用者網關。
名稱
IP地址
自治系統號
使用者網關1
輸入本地網關裝置的公網IP地址1120.XX.XX.104。
輸入本地網關裝置自治系統號65530。
說明IPsec-VPN串連使用BGP動態路由方式時,需配置該項。
使用者網關2
輸入本地網關裝置的公網IP地址2121.XX.XX.3。
建立IPsec串連
使用者網關建立完成後,需要在阿里雲側建立IPsec串連,用於對接本機資料中心。建立IPsec串連時需要指定VPN隧道使用的密碼編譯演算法、認證演算法、預先共用金鑰等資訊。
在左側導覽列,選擇。
在頂部功能表列,選擇IPsec串連的地區。
IPsec串連的地區需和待綁定的轉寄路由器執行個體所屬的地區相同。
在IPsec串連頁面,單擊建立IPsec串連。
在建立IPsec串連頁面,根據以下資訊配置IPsec串連,然後單擊確定。
以下僅列舉本文強相關的配置項,其餘配置項保持預設狀態。更多資訊,請參見建立和管理IPsec串連(雙隧道模式)。
配置項
IPsec串連
名稱
定義為IPsec串連1。
綁定資源
選擇IPsec串連要綁定的資源。
需要選擇Cloud Enterprise Network。
網關類型
選擇IPsec串連的網路類型。
需要選擇公網。
Cloud Enterprise Network執行個體ID
選擇在步驟一中建立的雲企業網執行個體。
轉寄路由器
系統自動顯示雲企業網執行個體已在當前地區建立的轉寄路由器執行個體ID。
路由模式
選擇IPsec串連的路由模式。
如果IPsec-VPN串連計劃使用BGP動態路由,推薦使用目的路由模式。本文使用目的路由模式。
立即生效
本文使用預設值是,在IPsec串連配置完成後,會立即開始IPsec-VPN串連協商。
Tunnel 1
使用者網關
關聯使用者網關1。
預先共用金鑰
fddsFF111****。
重要IPsec串連及其對端網關裝置配置的預先共用金鑰需一致,否則系統無法正常建立IPsec-VPN串連。
加密配置
除以下參數外,其餘配置項保持預設值。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說明您需要根據本地網關裝置的支援情況選擇加密配置參數,確保IPsec串連和本地網關裝置的加密配置保持一致。
Tunnel 2
使用者網關
關聯使用者網關2。
預先共用金鑰
fddsFF222****。
加密配置
除以下參數外,其餘配置項保持預設值。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說明您需要根據本地網關裝置的支援情況選擇加密配置參數,確保IPsec串連和本地網關裝置的加密配置保持一致。
進階配置
使用預設路由配置,即開啟所有進階配置選項。
在建立成功對話方塊中,單擊取消。
保持在IPsec串連頁面,找到建立的IPsec串連,在操作列單擊產生對端配置。
對端配置是指需要在IPsec串連對端添加的VPN配置。本文情境中您需要將這些配置添加在本地網關裝置上。
在IPsec串連配置對話方塊,複製配置並儲存在您的本地,用於後續配置本地網關裝置。
配置本地網關裝置
建立IPsec串連後,您需要在本地網關裝置上添加VPN配置,使本地網關裝置與阿里雲之間成功建立IPsec-VPN串連。
說明本文以思科防火牆ASA(軟體版本9.19.1)作為配置樣本。不同軟體版本的配置命令可能會有所差異,操作時請根據您的實際環境查詢對應文檔或諮詢相關廠商。更多本地網關裝置配置樣本,請參見本地網關裝置配置樣本。
以下內容包含的第三方產品資訊僅供參考。阿里雲對第三方產品的效能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
登入思科防火牆的命令列視窗並進入配置模式。
ciscoasa> enable Password: ******** #輸入進入enable模式的密碼。 ciscoasa# configure terminal #進入配置模式。 ciscoasa(config)#查看介面配置和公網路由配置。
思科防火牆已完成了介面配置,並已開啟介面。以下為本文的介面配置樣本。
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #GigabitEthernet0/0介面名稱。 security-level 0 ip address 120.XX.XX.104 255.255.255.255 #GigabitEthernet0/0介面配置的公網IP地址。 ! interface GigabitEthernet0/1 #串連本機資料中心的介面。 nameif private #GigabitEthernet0/1介面名稱。 security-level 100 #指定串連本機資料中心介面(私網介面)的security-level低於公網介面。 ip address 192.168.55.217 255.255.255.0 #GigabitEthernet0/1介面配置的IP地址。 ! interface GigabitEthernet0/2 nameif outside2 #GigabitEthernet0/2介面名稱。 security-level 0 ip address 121.XX.XX.3 255.255.255.255 #GigabitEthernet0/2介面配置的公網IP地址。 ! route outside1 121.XX.XX.170 255.255.255.255 192.XX.XX.172 #配置訪問阿里雲側隧道1公網IP地址的路由,下一跳為公網地址。 route outside2 121.XX.XX.232 255.255.255.255 192.XX.XX.158 #配置訪問阿里雲側隧道2公網IP地址的路由,下一跳為公網地址。 route private 192.168.55.0 255.255.255.0 192.168.55.216 #配置去往本機資料中心的路由。為公網介面開啟IKEv2功能。
crypto ikev2 enable outside1 crypto ikev2 enable outside2建立IKEv2 Policy,指定IKE階段認證演算法、密碼編譯演算法、DH分組和SA生存周期,需和阿里雲側保持一致。
重要阿里雲側配置IPsec串連時,IKE配置階段的密碼編譯演算法、認證演算法和DH分組均只支援指定一個值,不支援指定多個值。建議在思科防火牆中IKE設定階段的密碼編譯演算法、認證演算法和DH分組也均只指定一個值,該值需與阿里雲側保持一致。
crypto ikev2 policy 10 encryption aes #指定密碼編譯演算法。 integrity sha #指定認證演算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里雲側prf與認證演算法預設保持一致。 lifetime seconds 86400 #指定SA生存周期。建立IPsec proposal和profile,指定思科防火牆側的IPsec階段密碼編譯演算法、認證演算法、DH分組和SA生存周期,需和阿里雲側保持一致。
重要阿里雲側配置IPsec串連時,IPsec配置階段的密碼編譯演算法、認證演算法和DH分組均只支援指定一個值,不支援指定多個值。建議在思科防火牆中IPsec設定階段的密碼編譯演算法、認證演算法和DH分組也均只指定一個值,該值需與阿里雲側保持一致。
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #建立ipsec proposal。 protocol esp encryption aes #指定密碼編譯演算法,協議使用ESP,阿里雲側固定使用ESP協議。 protocol esp integrity sha-1 #指定認證演算法,協議使用ESP,阿里雲側固定使用ESP協議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #建立ipsec profile並應用已建立的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里雲側RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基於時間的SA生存周期。 set security-association lifetime kilobytes unlimited #關閉基於流量的SA生存周期。建立tunnel group,指定隧道的預先共用金鑰,需和阿里雲側保持一致。
tunnel-group 121.XX.XX.170 type ipsec-l2l #指定隧道1的封裝模式為l2l。 tunnel-group 121.XX.XX.170 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF111**** #指定隧道1對端的預先共用金鑰,即阿里雲側的預先共用金鑰。 ikev2 local-authentication pre-shared-key fddsFF111**** #指定隧道1本段的預先共用金鑰,需和阿里雲側的保持一致。 ! tunnel-group 121.XX.XX.232 type ipsec-l2l #指定隧道2的封裝模式為l2l。 tunnel-group 121.XX.XX.232 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF222**** #指定隧道2對端的預先共用金鑰,即阿里雲側的預先共用金鑰。 ikev2 local-authentication pre-shared-key fddsFF222**** #指定隧道2本段的預先共用金鑰,需和阿里雲側的保持一致。 !建立tunnel介面。
interface Tunnel1 #建立隧道1的介面。 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 #指定介面的IP地址。 tunnel source interface outside1 #指定隧道1源地址為公網介面GigabitEthernet0/0。 tunnel destination 121.XX.XX.170 #指定隧道1目的地址為阿里雲側隧道1的公網IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道1應用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道1介面。 ! interface Tunnel2 #建立隧道2的介面。 nameif ALIYUN2 ip address 169.254.20.2 255.255.255.252 #指定介面的IP地址。 tunnel source interface outside2 #指定隧道2源地址為公網介面GigabitEthernet0/2。 tunnel destination 121.XX.XX.232 #指定隧道2目的地址為阿里雲側隧道2的公網IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道2應用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道2介面。 !完成上述配置後,本機資料中心已經可以與阿里雲成功建立IPsec-VPN串連,您可以在阿里雲IPsec串連執行個體詳情頁面查看IPsec-VPN串連狀態。如果您的環境中未成功建立IPsec-VPN串連,請嘗試自助排查問題。具體操作,請參見IPsec-VPN自助診斷概述。
配置路由
IPsec-VPN串連成功建立後,本機資料中心還無法與雲上資源進行互連,您需要在本機資料中心和IPsec串連中添加BGP路由。
說明本部分將一併提供使用靜態路由的方式,但推薦您使用BGP動態路由方式。使用靜態路由方式時,請確保本地網關裝置支援配置靜態ECMP路由,否則本機資料中心去往阿里雲的流量無法通過ECMP路徑進行傳輸,雲上的流量卻能通過ECMP路徑傳輸至本機資料中心,可能會導致流量的傳輸路徑不符合您的期望。
BGP動態路由
在本地網關裝置中配置BGP路由。
router bgp 65530 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 65535 #指定BGP鄰居,即阿里雲側隧道1的IP地址。 neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate #啟用BGP鄰居。 neighbor 169.254.20.1 remote-as 65535 #指定BGP鄰居,即阿里雲側隧道2的IP地址。 neighbor 169.254.20.1 ebgp-multihop 255 neighbor 169.254.20.1 activate #啟用BGP鄰居。 network 192.168.55.0 mask 255.255.255.0 #宣告本機資料中心的網段。 maximum-paths 5 #提升BGP ECMP等價路由條目數量。 exit-address-family請根據您的實際網路環境按需在本機資料中心添加路由配置,使本機資料中心的用戶端可以通過本地網關裝置訪問雲上資源。
為阿里雲IPsec串連執行個體配置BGP路由。
在左側導覽列,選擇。
在IPsec串連頁面,找到IPsec串連,單擊IPsec串連ID。
在IPsec串連基本資料地區,在啟用BGP右側單擊按鈕,在BGP配置對話方塊根據以下資訊進行配置,然後單擊確定。
關於配置項的說明,請參見BGP配置。
配置項
IPsec串連1配置
本端自治系統號
本文輸入65535。
Tunnel 1
隧道網段
本文輸入169.254.10.0/30。
本端BGP地址
本文輸入169.254.10.1。
Tunnel 2
隧道網段
本文輸入169.254.20.0/30。
本端BGP地址
本文輸入169.254.20.1。
BGP配置完成後,可以在阿里雲IPsec串連執行個體詳情頁面查看BGP協商狀態。BGP狀態正常後,本機資料中心和IPsec串連之間會自動開始傳播路由。IPsec串連會將雲上的路由自動傳播至本機資料中心,同時也會將學習到的本機資料中心的路由自動傳播至轉寄路由器中。
靜態路由
說明如何配置靜態路由本文僅作描述,具體配置命令請查閱本地網關裝置廠商的相關文檔。
在本地網關裝置中添加去往VPC的靜態路由。
添加去往VPC2的兩條路由。目標網段為10.0.0.0/16,下一跳分別指向隧道1和隧道2,使兩條路由群組成ECMP路徑。
添加去往VPC1的兩條路由。目標網段為192.168.66.0/24,下一跳分別指向隧道1和隧道2,使兩條路由群組成ECMP路徑。
按需在本機資料中心添加路由配置,使本機資料中心的用戶端可以通過本地網關裝置訪問雲上資源。
在阿里雲IPsec串連執行個體中添加去往本機資料中心的目的路由。目標網段為192.168.55.0/24,下一跳指向IPsec串連1。具體操作,請參見配置目的路由。
步驟三:實現本機資料中心和VPC全互連
本機資料中心成功串連至阿里雲後,您需要將VPC1和VPC2串連至轉寄路由器,通過轉寄路由器實現本機資料中心、VPC1、VPC2的全互連。
建立VPC串連。
將VPC1接入至泰國(曼穀)地區的轉寄路由器,VPC2接入至菲律賓(馬尼拉)地區的轉寄路由器。
- 登入雲企業網管理主控台。
在雲企業網執行個體詳情頁面的頁簽,找到菲律賓(馬尼拉)地區的轉寄路由器執行個體,在操作列單擊建立網路執行個體串連。
在串連網路執行個體頁面,根據以下資訊進行配置,然後單擊確定建立。
建立VPC串連的主要配置下表所示,其餘配置項保持預設狀態。更多資訊,請參見使用企業版轉寄路由器建立VPC串連。
配置項
VPC1串連
VPC2串連
執行個體類型
選擇Virtual Private Cloud。
地區
選擇泰國(曼穀)。
本文選擇菲律賓(馬尼拉)。
資源歸屬UID
選擇同帳號。
串連名稱
定義為VPC1串連。
定義為VPC2串連。
網路執行個體
選擇VPC1。
選擇VPC2。
交換器
請確保選擇的每個交換器執行個體下擁有一個閒置IP地址。如果VPC執行個體在轉寄路由器支援的可用性區域中並沒有交換器執行個體或者交換器執行個體下沒有閒置IP地址,您需要建立一個交換器執行個體。 具體操作,請參見建立和管理交換器。
進階配置
使用預設路由配置,即開啟所有進階配置選項。
串連VPC1和VPC2後,本機資料中心和VPC1位於相同地區,已經可以通過轉寄路由器實現網路互連,但VPC2與VPC1、本機資料中心位於不同地區,還需要建立跨地區串連才能實現相互連信。
建立跨地區串連。
需要在泰國(曼穀)轉寄路由器和菲律賓(馬尼拉)轉寄路由器之間建立跨地區串連,實現兩個轉寄路由器下的資源跨地區互連。
在雲企業網執行個體詳情頁面的頁簽,單擊設定跨地區頻寬。
在串連網路執行個體頁面,根據以下資訊配置跨地區串連,然後單擊確定建立。
配置項
說明
執行個體類型
選擇跨地區串連。
地區
選擇泰國(曼穀)。
對端地區
選擇菲律賓(馬尼拉)。
頻寬分配方式
選擇按流量付費,該頻寬分配方式將按照產生的流量計費,費用由CDT產品結算。
頻寬
輸入跨地區串連的頻寬值。單位:Mbps。
預設鏈路類型
鏈路類型預設為金。本文保持預設值。
進階配置
使用預設路由配置,即開啟所有進階配置選項。
查看路由。
VPC串連、跨地區串連建立完成後,轉寄路由器會根據進階配置自動完成路由的傳播和學習。您可以在轉寄路由器執行個體、IPsec串連執行個體、本機資料中心查看路由學習情況。
泰國(曼穀)地區轉寄路由器路由表
IPsec串連BGP路由表
本機資料中心路由
步驟四:測試網路連通性
完成上述操作後,本機資料中心、VPC1、VPC2之間已經可以實現任意互連。本部分介紹如何測試網路連通性,以及如何測試IPsec-VPN串連的高可用性。
測試本機資料中心、VPC1、VPC2之間網路連通性。
登入本機資料中心用戶端的命令列介面。
在用戶端中執行
ping命令,嘗試訪問VPC1下的ECS1執行個體和VPC2下的ECS2執行個體。ping <ECS IP地址>
如上圖所示,如果ECS1可以收到響應報文,則表示本機資料中心與VPC1、VPC2已實現網路互連。
登入VPC1下的ECS1執行個體。具體操作,請參見ECS遠端連線操作指南。
在ECS1執行個體中執行
ping命令,嘗試訪問VPC2的ECS2執行個體。ping <ECS2 IP地址>
如上圖所示,如果ECS1可以收到響應報文,則表示VPC1與VPC2已實現網路互連。
測試IPsec-VPN串連的高可用性。
登入VPC1的ECS1執行個體。
執行以下命令,使VPC1下的ECS1執行個體連續向本機資料中心發送訪問報文。
ping <本機資料中心伺服器IP地址> -c 10000中斷IPsec-VPN串連下的一條隧道。
您可以通過修改IPsec串連隧道的預先共用金鑰來中斷隧道,隧道兩端的預先共用金鑰不一致,則隧道會中斷。
中斷隧道後,您可以觀察到VPC1執行個體下ECS1執行個體的通訊會有短暫中斷,則表示在一條隧道中斷後,流量自動通過另一條隧道進行通訊。
您可以在IPsec串連執行個體監控頁簽查看每條隧道的流量監控資料。具體操作,請參見監控IPsec串連。
隧道1
隧道2
