本文为您介绍在边界路由器VBR(Virtual border router)和私网VPN网关配置静态路由的场景下,如何通过私网VPN网关(以下简称VPN网关)实现私网流量加密通信。
背景信息
在您应用本方案前,建议您先了解私网加密通信原理和配置方案说明。更多信息,请参见方案概述。
场景示例
本文以上图场景为例。某企业在杭州拥有一个本地IDC,在阿里云华东1(杭州)地域拥有一个VPC1,VPC1中使用云服务器ECS(Elastic Compute Service)部署了相关服务。因业务发展,企业计划使用物理专线和云企业网实现本地IDC和VPC1的相互通信。同时,为了提高企业网络的安全性,企业希望本地IDC和VPC1之间的流量可以经过加密后再进行传输。
在本地IDC已和VPC1实现私网通信的情况下,企业可以在VPC1中创建私网VPN网关,与本地网关设备建立IPsec连接,同时为VBR实例和VPN网关配置静态路由,实现私网流量的加密传输。
准备工作
使用私网VPN网关前,请先向客户经理申请使用权限或者提交工单申请使用权限。
您需要为本地IDC和网络实例规划网段,需确保要互通的网段之间没有重叠。本示例网段规划如下:
配置目标
网段规划
IP地址
VPC1
主网段:10.0.0.0/16
交换机1所属子网段:10.0.0.0/24
交换机2所属子网段:10.0.1.0/24
ECS1:10.0.1.1
ECS2:10.0.1.2
VBR
10.0.0.0/30
VLAN ID:0
阿里云侧IPv4互联IP:10.0.0.2/30
客户侧IPv4互联IP:10.0.0.1/30
本示例中客户侧指本地网关设备。
本地IDC
主网段:192.168.0.0/16
子网段1:192.168.0.0/24
子网段2:192.168.1.0/24
客户端地址:192.168.1.1
本地网关设备
10.0.0.0/30
192.168.0.0/24
VPN IP地址:192.168.0.251
VPN IP地址是指本地网关设备上待与阿里云VPN网关建立IPsec连接的接口的IP地址。
与物理专线连接的接口IP地址:10.0.0.1
您已经在阿里云华东1(杭州)地域创建了VPC1并使用ECS部署了相关服务。具体操作,请参见创建和管理专有网络。
请确保VPC1在华东1(杭州)地域企业版转发路由器支持的可用区中均拥有至少2个交换机实例,2个交换机实例分布在不同的可用区且每个交换机实例拥有一个空闲的IP地址,以便后续云企业网连接VPC1。更多信息,请参见创建VPC连接。
在本示例中,VPC1中包含2个交换机实例,交换机1位于可用区H,交换机2位于可用区I。交换机2用于部署ECS,交换机1仅用于后续关联VPN网关。
说明在您创建VPC实例时,建议您在VPC实例中单独创建一个交换机实例用于后续关联VPN网关,以便交换机实例可以分配私网IP地址至VPN网关。
请检查本地网关设备,确保本地网关设备支持标准的IKEv1和IKEv2协议,以便和阿里云VPN网关建立连接。关于本地网关设备是否支持标准的IKEv1和IKEv2协议,请咨询本地网关设备厂商。
您已经了解VPC1中的ECS实例所应用的安全组规则以及本地IDC中客户端所应用的访问控制规则,并确保ECS实例的安全组规则以及本地IDC客户端的访问控制规则允许本地IDC客户端与VPC1中的ECS实例互通。具体操作,请参见查询安全组规则和添加安全组规则。
配置流程
步骤一:部署物理专线
您需要部署物理专线将本地IDC连接至阿里云。
创建物理专线。
您需要在华东1(杭州)地域申请一条物理专线。具体操作,请参见创建和管理独享专线连接或共享专线连接概述。
本示例选择创建独享专线连接。
创建VBR实例。
登录高速通道管理控制台。
在左侧导航栏,单击边界路由器(VBR)。
在顶部状态栏,选择待创建的VBR实例的地域。
本示例选择华东1(杭州)地域。
在边界路由器(VBR)页面,单击创建边界路由器。
在创建边界路由器面板,根据以下信息进行配置,然后单击确定。
下表仅列举本示例强相关的配置项。如果您想要了解更多信息,请参见创建和管理边界路由器。
配置项
说明
账号类型
本示例选择当前账号。
名称
本示例输入VBR。
物理专线接口
VLAN ID
本示例输入0。
设置VBR带宽值
选择VBR实例的带宽峰值。
阿里云侧IPv4互联IP
本示例输入10.0.0.2。
客户侧IPv4互联IP
本示例输入10.0.0.1。
IPv4子网掩码
本示例输入255.255.255.252。
为VBR实例添加自定义路由条目。
通过添加自定义路由条目将本地IDC的网段发布至阿里云。
在边界路由器(VBR)页面,单击VBR实例ID。
单击路由条目页签,然后单击添加路由条目。
在添加路由条目面板,根据以下信息进行配置,然后单击确定。
配置本地网关设备。
您需要在本地网关设备上配置以下路由条目,引导本地IDC访问VPC1的流量进入物理专线。
以下配置示例仅供参考,不同厂商的设备配置命令可能会有所不同。具体命令,请咨询相关设备厂商。
ip route 10.0.0.0 255.255.0.0 10.0.0.2
步骤二:配置云企业网
您需要将VPC1和VBR连接至云企业网,连接后,本地IDC和VPC1可通过云企业网实现私网互通。
创建云企业网实例。
登录云企业网管理控制台。
在云企业网实例页面,单击创建云企业网实例。
在创建云企业网实例对话框,根据以下信息进行配置,然后单击确认。
名称:输入云企业网实例的名称。
本示例输入CEN。
描述:输入云企业网实例的描述信息。
本示例输入CEN-for-test-private-VPN-Gateway。
连接VPC实例。
在基本信息页签的VPC区域,单击图标。
在连接网络实例页面,根据以下信息进行配置,然后单击确定创建。
配置项
说明
实例类型
选择待连接的网络实例类型。
本示例选择专有网络(VPC)。
地域
选择待连接的网络实例所在的地域。
本示例选择华东1(杭州)。
转发路由器
系统自动在该地域下创建转发路由器实例。
资源归属UID
选择待连接的网络实例所属的账号类型。
本示例选择同账号。
付费方式
本示例保持默认值按量付费。
按量计费规则,请参见计费说明。
连接名称
输入网络实例连接的名称。
本示例输入VPC1-test。
网络实例
选择待连接的网络实例。
本示例选择VPC1。
交换机
在转发路由器支持的可用区选择交换机实例。
如果企业版转发路由器在当前地域仅支持一个可用区,则您需要在当前可用区选择一个交换机实例。
如果企业版转发路由器在当前地域支持多个可用区,则您需要在至少2个可用区中各选择一个交换机实例。在VPC和企业版转发路由器流量互通的过程中,这2个交换机实例可以实现可用区级别的容灾。
推荐您在每个可用区中都选择一个交换机实例,以减少流量绕行,体验更低传输时延以及更高性能。
更多信息,请参见创建VPC连接。
高级配置
系统默认帮您选中以下三种高级功能。
自动关联至转发路由器的默认路由表
开启本功能后,VPC连接会自动关联至转发路由器的默认路由表,转发路由器通过查询默认路由表转发VPC实例的流量。
自动传播系统路由至转发路由器的默认路由表
开启本功能后,VPC实例会将自身的系统路由传播至转发路由器的默认路由表中,用于网络实例的互通。
自动为VPC的所有路由表配置指向转发路由器的路由
开启本功能后,系统将在VPC实例的所有路由表内自动配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三条路由条目,其下一跳均指向VPC连接,用于引导VPC实例的流量进入转发路由器。转发路由器默认不向VPC实例传播路由。
重要如果VPC的路由表中已经存在目标网段为10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由条目,则系统无法再自动下发该路由条目,您需要在VPC路由表中手动添加指向VPC连接的路由条目以实现VPC和转发路由器之间的流量互通。
您可以单击发起路由检查查看网络实例内是否存在上述路由。
本示例保持默认值。
单击继续创建连接,返回连接网络实例页面。
连接VBR实例。
在连接网络实例页面,根据以下信息进行配置,然后单击确定创建。
配置项
配置项说明
实例类型
选择待连接的网络实例类型。
本示例选择边界路由器(VBR)。
地域
选择待连接的网络实例所在的地域。
本示例选择华东1(杭州)。
转发路由器
系统自动显示当前地域已创建的转发路由器实例。
资源归属UID
选择待连接的网络实例所属的账号类型。
本示例选择同账号。
连接名称
输入网络实例连接的名称。
本示例输入VBR-test。
网络实例
选择待连接的网络实例。
本示例选择VBR。
高级配置
系统默认帮您选中以下三种高级功能。
自动关联至转发路由器的默认路由表
开启本功能后,VBR连接会自动关联至转发路由器的默认路由表,转发路由器通过查询默认路由表转发VBR实例的流量。
自动传播系统路由至转发路由器的默认路由表
VBR实例会将自身的系统路由传播至转发路由器的默认路由表中,用于网络实例的互通。
自动发布路由到VBR
开启本功能后,系统自动将VBR连接关联的转发路由器路由表中的路由发布到VBR实例中。
本示例保持默认值。
步骤三:部署VPN网关
完成上述步骤后,本地IDC和VPC1之间可以实现私网互通,但在通信过程中,信息未经过加密。您还需要在VPC1中部署VPN网关,与本地网关设备建立IPsec连接,才能实现私网流量加密通信。
创建VPN网关。
登录VPN网关管理控制台。
在顶部菜单栏,选择VPN网关的地域。
VPN网关的地域需和待关联的VPC实例的地域相同。本示例选择华东1(杭州)地域。
在VPN网关页面,单击创建VPN网关。
在购买页面,根据以下信息配置VPN网关,然后单击立即购买并完成支付。
配置项
说明
实例名称
输入VPN网关的名称。
本示例输入VPN网关1。
地域
选择VPN网关所属的地域。
本示例选择华东1(杭州)。
网关类型
选择VPN网关的类型。
本示例选择普通型。
网络类型
选择VPN网关的网络类型。
本示例选择私网。
隧道
系统直接展示当前地域IPsec-VPN连接支持的隧道模式。
专有网络
选择VPN网关待关联的VPC实例。
本示例选择VPC1。
虚拟交换机
从VPC1中选择一个交换机实例。
IPsec-VPN连接的隧道模式为单隧道时,您仅需要指定一个交换机实例。
IPsec-VPN连接的隧道模式为双隧道时,您需要指定两个交换机实例。
说明系统默认帮您选择第一个交换机实例,您可以手动修改或者直接使用默认的交换机实例。
创建VPN网关实例后,不支持修改VPN网关实例关联的交换机实例,您可以在VPN网关实例的详情页面查看VPN网关实例关联的交换机以及交换机所属可用区的信息。
虚拟交换机2
从VPC1中选择第二个交换机实例。
IPsec-VPN连接的隧道模式为单隧道时,无需配置该项。
带宽峰值
选择VPN网关的带宽峰值。单位:Mbps。
流量
VPN网关的计费方式。默认值:按流量计费。
更多信息,请参见计费说明。
IPsec-VPN
私网类型的VPN网关仅支持IPsec-VPN功能。
本示例保持默认值,即开启IPsec-VPN功能。
购买时长
VPN网关的计费周期。默认值:按小时计费。
服务关联角色
单击创建关联角色,系统自动创建服务关联角色AliyunServiceRoleForVpn。
VPN网关使用此角色来访问其他云产品中的资源,更多信息,请参见AliyunServiceRoleForVpn。
若本配置项显示为已创建,则表示您的账号下已创建了该角色,无需重复创建。
返回VPN网关页面,查看已创建的VPN网关并记录VPN网关的私网IP地址,用于后续IPsec连接的配置。
刚创建好的VPN网关的状态是准备中,约1~5分钟会变成正常状态。正常状态表明VPN网关完成了初始化,可以正常使用。
创建用户网关。
在左侧导航栏,选择 。
在用户网关页面,单击创建用户网关。
在创建用户网关面板,根据以下信息进行配置,然后单击确定。
以下内容仅列举本示例强相关的配置项及示例值。如果您想要了解更多信息,请参见创建和管理用户网关。
名称:输入用户网关的名称。
本示例输入Customer-Gateway。
IP地址:输入VPN网关待连接的本地网关设备的VPN IP地址。
本示例输入192.168.0.251。
创建IPsec连接。
在左侧导航栏,选择 。
在IPsec连接页面,单击创建IPsec连接。
在创建IPsec连接页面,根据以下信息配置IPsec连接,然后单击确定。
以下内容仅列举本示例强相关的配置项及示例值。如果您想要了解更多信息,请参见创建和管理IPsec连接(单隧道模式)。
配置项
配置项说明
名称
输入IPsec连接的名称。
本示例输入IPsec连接1。
VPN网关
选择已创建的VPN网关实例。
本示例选择VPN网关1。
用户网关
选择已创建的用户网关实例。
本示例选择Customer-Gateway。
路由模式
选择路由模式。
本示例选择目的路由模式。
立即生效
选择是否立即生效。取值:
是:配置完成后立即进行协商。
否:当有流量进入时进行协商。
本示例选择是。
预共享密钥
输入预共享密钥。
如果不输入该值,系统默认生成一个16位的随机字符串。
重要本地网关设备的预共享密钥需和IPsec连接的预共享密钥一致。
本示例输入fddsFF123****。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
本文使用IKEv1版本,其余保持默认值。
其他选项均使用默认配置。
IPsec连接创建成功后,在创建成功对话框,单击确定。
在本地网关设备中加载VPN配置。
在左侧导航栏,选择 。
在IPsec连接页面,找到目标IPsec连接,然后在操作列单击下载对端配置。
根据本地网关设备的配置要求,将下载的配置添加到本地网关设备中。具体操作,请参见本地网关配置。
步骤四:配置云上路由
完成上述配置后,本地网关设备和VPN网关之间已经可以建立加密通信通道了。您还需要为云上网络实例配置路由,引导云上和云下流量通信时进入加密通信通道。
为VPC1添加自定义路由条目。
登录专有网络管理控制台。
在左侧导航栏,单击路由表。
在顶部状态栏处,选择路由表所属的地域。
本示例选择华东1(杭州)地域。
在路由表页面,找到目标路由表,单击路由表实例ID。
本示例找到VPC1的系统路由表。
在路由条目列表页签下单击自定义路由条目页签,然后单击添加路由条目。
在添加路由条目面板,配置以下信息,然后单击确定。
配置项
说明
名称
输入自定义路由条目的名称。
目标网段
输入自定义路由条目的目标网段。
本示例选择IPv4网段并输入本地网关设备VPN IP地址192.168.0.251/32。
下一跳类型
选择自定义路由条目的下一跳类型。
本示例选择转发路由器。
转发路由器
选择自定义路由条目的下一跳。
本示例选择VPC1-test。
为VBR实例添加自定义路由条目。
登录高速通道管理控制台。
在左侧导航栏,单击边界路由器(VBR)。
在顶部状态栏处,选择VBR实例的地域。
本示例选择华东1(杭州)地域。
在边界路由器(VBR)页面,单击目标边界路由器的ID。
单击路由条目页签,然后单击添加路由条目。
在添加路由条目面板,根据以下信息配置路由条目,然后单击确定。
为VPN网关添加路由条目。
重要为了引导VPC去往云下的流量进入VPN网关加密通信通道,在确保通信正常的情况下,您需要在VPN网关中添加比本地IDC网段更明细的路由(即路由的目标网段是本地IDC网段的真子集),并将该路由发布至VPC中。
例如,本示例中本地IDC的网段为192.168.0.0/16,则VPN网关中路由条目的目标网段需比该网段小,本示例VPN网关中路由条目的目标网段输入为192.168.1.0/24。
登录VPN网关管理控制台。
在左侧导航栏,选择 。
在顶部状态栏处,选择VPN网关所属的地域。
本示例选择华东1(杭州)地域。
在VPN网关页面,找到目标VPN网关,单击目标实例ID。
在目的路由表页签,单击添加路由条目。
在添加路由条目面板,根据以下信息配置目的路由,然后单击确定。
步骤五:测试验证
完成上述配置后,本地IDC和VPC1之间已经可以进行私网加密通信。以下内容为您介绍如何测试本地IDC和VPC1之间的私网连通性以及如何验证流量是否经过VPN网关加密。
测试私网连通性。
登录ECS1实例。具体操作,请参见ECS远程连接操作指南。
执行ping命令,访问本地IDC网段下的任意一台客户端,测试本地IDC和VPC1之间的私网连通性。
ping <本地IDC客户端私网IP地址>
如果收到回复报文,则证明本地IDC和VPC1之间已经实现私网互通。
验证加密是否生效。
如果您可以在IPsec连接详情页面查看到流量监控数据,则证明私网流量传输过程已经过加密处理。
登录VPN网关管理控制台。
在顶部状态栏处,选择VPN网关所属的地域。
本示例选择华东1(杭州)地域。
在左侧导航栏,选择 。
在IPsec连接页面,找到在步骤3中创建的IPsec连接,单击连接ID。
进入IPsec连接详情页面查看流量监控数据。