建立多條公網(wǎng)IPsec-VPN連接實現(xiàn)流量的負載分擔
本文介紹如何在本地數(shù)據(jù)中心IDC(Internet Data Center)和專有網(wǎng)絡VPC(Virtual Private Cloud)之間建立多條公網(wǎng)IPsec-VPN連接,組成ECMP(Equal-Cost Multipath Routing)鏈路實現(xiàn)本地IDC和VPC之間流量的負載分擔。
場景示例
本文以上圖場景為例。某企業(yè)在中國杭州擁有一個本地IDC,在阿里云華東2(上海)地域擁有一個VPC實例,VPC實例中已通過云服務器ECS(Elastic Compute Service)部署了相關(guān)業(yè)務。企業(yè)希望本地IDC可以通過VPN網(wǎng)關(guān)產(chǎn)品加密上云,實現(xiàn)和VPC實例之間的相互通信,同時希望本地IDC和VPC實例之間可以通過多條加密隧道互相通信,多條加密隧道組成ECMP鏈路,實現(xiàn)流量的負載分擔。
企業(yè)可以在本地IDC和阿里云之間建立多條IPsec-VPN連接,實現(xiàn)本地IDC加密上云,然后通過云企業(yè)網(wǎng)產(chǎn)品將多條IPsec-VPN連接和VPC實例連接起來,多條IPsec-VPN連接加入云企業(yè)網(wǎng)后可以自動組成ECMP鏈路,實現(xiàn)本地IDC和VPC實例之間的相互通信以及流量的負載分擔。
網(wǎng)絡規(guī)劃
網(wǎng)絡功能規(guī)劃
在本文場景中使用的網(wǎng)絡功能如下:
通過互聯(lián)網(wǎng)在本地IDC和阿里云之間建立IPsec-VPN連接,即IPsec連接的網(wǎng)關(guān)類型為公網(wǎng)。
IPsec連接綁定的資源類型需為云企業(yè)網(wǎng),以實現(xiàn)多條IPsec-VPN連接組成ECMP鏈路。
IPsec連接和本地IDC之間使用BGP動態(tài)路由協(xié)議。
網(wǎng)段規(guī)劃
在您規(guī)劃網(wǎng)段時,請確保本地IDC和VPC之間要互通的網(wǎng)段沒有重疊。
資源 | 網(wǎng)段及IP地址 |
VPC | 主網(wǎng)段:10.0.0.0/16
|
IPsec連接 | BGP配置:
|
本地網(wǎng)關(guān)設備 | 本地網(wǎng)關(guān)設備公網(wǎng)IP地址:
|
本地網(wǎng)關(guān)設備BGP配置:
| |
本地IDC | 待和VPC互通的網(wǎng)段:
|
準備工作
在開始配置前,請確保您已完成以下操作:
您已經(jīng)在阿里云華東2(上海)地域創(chuàng)建了一個VPC實例,并使用ECS部署了相關(guān)業(yè)務。具體操作,請參見搭建IPv4專有網(wǎng)絡。
您已經(jīng)創(chuàng)建了云企業(yè)網(wǎng)實例,并在華東1(杭州)和華東2(上海)地域分別創(chuàng)建了企業(yè)版轉(zhuǎn)發(fā)路由器。具體操作,請參見創(chuàng)建云企業(yè)網(wǎng)實例和創(chuàng)建轉(zhuǎn)發(fā)路由器實例。
重要創(chuàng)建轉(zhuǎn)發(fā)路由器實例時,需為轉(zhuǎn)發(fā)路由器實例配置轉(zhuǎn)發(fā)路由器地址段,否則IPsec連接無法成功綁定轉(zhuǎn)發(fā)路由器實例。
如果您已經(jīng)創(chuàng)建了轉(zhuǎn)發(fā)路由器實例,您可以單獨為轉(zhuǎn)發(fā)路由器實例添加轉(zhuǎn)發(fā)路由器地址段。具體操作,請參見添加轉(zhuǎn)發(fā)路由器地址段。
您已經(jīng)了解VPC中ECS實例所應用的安全組規(guī)則,并確保安全組規(guī)則允許本地IDC和ECS實例互相通信。具體操作,請參見查詢安全組規(guī)則和添加安全組規(guī)則。
配置流程
步驟一:創(chuàng)建用戶網(wǎng)關(guān)
在建立IPsec-VPN連接前,您需要先創(chuàng)建用戶網(wǎng)關(guān),將本地網(wǎng)關(guān)設備的信息注冊至阿里云上。
在左側(cè)導航欄,選擇。
在頂部菜單欄,選擇用戶網(wǎng)關(guān)的地域。
VPN網(wǎng)關(guān)產(chǎn)品不支持建立跨境的IPsec-VPN連接,因此在您選擇用戶網(wǎng)關(guān)所屬的地域時,需遵循就近原則,即選擇離您本地IDC最近的阿里云地域。本文中選擇華東1(杭州)。
關(guān)于跨境連接和非跨境連接的更多信息,請參見非跨境連接。
在用戶網(wǎng)關(guān)頁面,單擊創(chuàng)建用戶網(wǎng)關(guān)。
在創(chuàng)建用戶網(wǎng)關(guān)面板,根據(jù)以下信息進行配置,然后單擊確定。
請根據(jù)以下配置在華東1(杭州)地域分別創(chuàng)建3個用戶網(wǎng)關(guān),其余配置項保持默認狀態(tài)。更多信息,請參見創(chuàng)建和管理用戶網(wǎng)關(guān)。
配置項
配置項說明
用戶網(wǎng)關(guān)1
用戶網(wǎng)關(guān)2
用戶網(wǎng)關(guān)3
名稱
輸入用戶網(wǎng)關(guān)的名稱。
本文輸入Customer-Gateway1。
本文輸入Customer-Gateway2。
本文輸入Customer-Gateway3。
IP地址
輸入阿里云側(cè)待連接的本地網(wǎng)關(guān)設備的公網(wǎng)IP地址。
本文輸入本地網(wǎng)關(guān)設備1的公網(wǎng)IP地址11.XX.XX.1。
本文輸入本地網(wǎng)關(guān)設備2的公網(wǎng)IP地址11.XX.XX.2。
本文輸入本地網(wǎng)關(guān)設備3的公網(wǎng)IP地址11.XX.XX.3。
自治系統(tǒng)號
輸入本地網(wǎng)關(guān)設備使用的BGP AS號。
本文輸入65530。
步驟二:創(chuàng)建IPsec連接
創(chuàng)建用戶網(wǎng)關(guān)后,您需要在阿里云側(cè)創(chuàng)建IPsec連接,以便本地IDC和阿里云之間建立IPsec-VPN連接。
在左側(cè)導航欄,選擇。
在頂部菜單欄,選擇IPsec連接的地域。
IPsec連接所屬的地域需和用戶網(wǎng)關(guān)所屬的地域一致。本文選擇華東1(杭州)。
在IPsec連接頁面,單擊創(chuàng)建IPsec連接。
在創(chuàng)建IPsec連接頁面,根據(jù)以下信息配置IPsec連接,然后單擊確定。
請根據(jù)以下配置信息,在華東1(杭州)地域分別創(chuàng)建3個IPsec連接,其余配置項保持默認狀態(tài)。更多信息,請參見創(chuàng)建和管理IPsec連接(單隧道模式)。
配置項
配置項說明
IPsec連接1
IPsec連接2
IPsec連接3
名稱
輸入IPsec連接的名稱。
本文輸入IPsec連接1。
本文輸入IPsec連接2。
本文輸入IPsec連接3。
綁定資源
選擇IPsec連接綁定的資源類型。
本文選擇云企業(yè)網(wǎng)。
網(wǎng)關(guān)類型
選擇IPsec連接的網(wǎng)絡類型。
本文選擇公網(wǎng)。
云企業(yè)網(wǎng)實例ID
選擇云企業(yè)網(wǎng)實例。
本文選擇在準備工作中已創(chuàng)建的云企業(yè)網(wǎng)實例。
轉(zhuǎn)發(fā)路由器
選擇IPsec連接待綁定的轉(zhuǎn)發(fā)路由器實例。
系統(tǒng)依據(jù)IPsec連接所在的地域自動選擇當前地域下的轉(zhuǎn)發(fā)路由器實例。
可用區(qū)
在轉(zhuǎn)發(fā)路由器支持的可用區(qū)中選擇部署IPsec連接的可用區(qū)。
本文選擇杭州可用區(qū)H。
路由模式
選擇路由模式。
本文選擇目的路由模式。
說明在使用BGP動態(tài)路由協(xié)議的情況下,推薦使用目的路由模式。
立即生效
選擇IPsec連接的配置是否立即生效。取值:
是:配置完成后立即進行協(xié)商。
否:當有流量進入時進行協(xié)商。
本文選擇是。
用戶網(wǎng)關(guān)
選擇IPsec連接關(guān)聯(lián)的用戶網(wǎng)關(guān)。
本文選擇Customer-Gateway1。
本文選擇Customer-Gateway2。
本文選擇Customer-Gateway3。
預共享密鑰
輸入IPsec連接的認證密鑰,用于本地網(wǎng)關(guān)設備和IPsec連接之間的身份認證。
密鑰長度為1~100個字符,支持數(shù)字、大小寫英文字母及右側(cè)字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。若您未指定預共享密鑰,系統(tǒng)會隨機生成一個16位的字符串作為預共享密鑰。創(chuàng)建IPsec連接后,您可以通過編輯按鈕查看系統(tǒng)生成的預共享密鑰。具體操作,請參見修改IPsec連接。
重要IPsec連接及其對端網(wǎng)關(guān)設備配置的預共享密鑰需一致,否則系統(tǒng)無法正常建立IPsec-VPN連接。
本文輸入fddsFF123****。
本文輸入fddsFF456****。
本文輸入fddsFF789****。
啟用BGP
選擇是否開啟BGP功能。BGP功能默認為關(guān)閉狀態(tài)。
本文開啟BGP功能。
本端自治系統(tǒng)號
輸入IPsec連接的自治系統(tǒng)號。
本文輸入65531。
本文輸入65531。
本文輸入65531。
加密配置
添加IKE配置、IPsec配置等加密配置。
除以下參數(shù)外,其余配置項保持默認值。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說明您需要根據(jù)本地網(wǎng)關(guān)設備的支持情況選擇加密配置參數(shù),確保IPsec連接和本地網(wǎng)關(guān)設備的加密配置保持一致。
BGP配置
隧道網(wǎng)段
輸入建立加密隧道時使用的網(wǎng)段。
隧道網(wǎng)段需要是在169.254.0.0/16內(nèi)的子網(wǎng)掩碼為30的網(wǎng)段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
本文輸入169.254.10.0/30。
本文輸入169.254.11.0/30。
本文輸入169.254.12.0/30。
本端BGP地址
輸入IPsec連接的BGP IP地址。
該地址為隧道網(wǎng)段內(nèi)的一個IP地址。
本文輸入169.254.10.1。
本文輸入169.254.11.1。
本文輸入169.254.12.1。
高級配置
選擇是否啟用高級配置,實現(xiàn)IPsec連接路由的自動分發(fā)和學習。系統(tǒng)默認啟用高級配置。
本文保持默認值,即開啟所有高級配置。
IPsec連接創(chuàng)建成功后,系統(tǒng)將自動為每個IPsec連接分配一個網(wǎng)關(guān)IP地址,用于IPsec連接和本地網(wǎng)關(guān)設備之間建立IPsec-VPN連接。您可以在IPsec連接詳情頁面查看網(wǎng)關(guān)IP地址,如下圖所示。
本文中,系統(tǒng)為IPsec連接1、IPsec連接2、IPsec連接3分配的網(wǎng)關(guān)IP地址如下表所示。
IPsec連接
網(wǎng)關(guān)IP地址
IPsec連接1
120.XX.XX.191
IPsec連接2
47.XX.XX.213
IPsec連接3
47.XX.XX.161
說明IPsec連接只有綁定轉(zhuǎn)發(fā)路由器實例后系統(tǒng)才會為其分配網(wǎng)關(guān)IP地址。如果在您創(chuàng)建IPsec連接時,IPsec連接的綁定資源類型為不綁定或者為VPN網(wǎng)關(guān),則系統(tǒng)并不會為其分配網(wǎng)關(guān)IP地址。
返回到IPsec連接頁面,找到剛剛創(chuàng)建的IPsec連接,在操作列選擇生成對端配置。
請分別下載3個IPsec連接的配置并將配置保存在您的本地電腦,用于后續(xù)在本地網(wǎng)關(guān)設備中添加VPN配置。
步驟三:配置本地網(wǎng)關(guān)設備
創(chuàng)建IPsec連接后,請依據(jù)下載的IPsec連接配置以及下述步驟,分別在本地網(wǎng)關(guān)設備1、本地網(wǎng)關(guān)設備2、本地網(wǎng)關(guān)設備3中添加VPN配置和BGP配置,以便本地IDC和阿里云之間建立IPsec-VPN連接。
本文以思科防火墻ASA(軟件版本9.19.1)作為配置示例。不同軟件版本的配置命令可能會有所差異,操作時請根據(jù)您的實際環(huán)境查詢對應文檔或咨詢相關(guān)廠商。更多本地網(wǎng)關(guān)設備配置示例,請參見本地網(wǎng)關(guān)設備配置示例。
以下內(nèi)容包含的第三方產(chǎn)品信息僅供參考。阿里云對第三方產(chǎn)品的性能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
配置本地網(wǎng)關(guān)設備。
本地網(wǎng)關(guān)設備1配置示例
登錄思科防火墻的命令行窗口并進入配置模式。
ciscoasa> enable Password: ******** #輸入進入enable模式的密碼。 ciscoasa# configure terminal #進入配置模式。 ciscoasa(config)#查看接口配置。
請確保思科防火墻已完成了接口配置,并已開啟接口。以下為本文的接口配置示例。
#查看本地網(wǎng)關(guān)設備1的接口配置 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 #連接公網(wǎng)的接口。 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 11.XX.XX.1 255.255.255.255 #GigabitEthernet0/0接口配置的公網(wǎng)IP地址。 ! interface GigabitEthernet0/1 #連接本地數(shù)據(jù)中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地數(shù)據(jù)中心接口(私網(wǎng)接口)的security-level低于公網(wǎng)接口。 ip address 192.168.50.216 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 !為公網(wǎng)接口開啟IKEv2功能。
#在本地網(wǎng)關(guān)設備1上添加如下配置 crypto ikev2 enable outside1 #為本地網(wǎng)關(guān)設備1的outside1接口(公網(wǎng)接口)開啟IKEv2功能。創(chuàng)建IKEv2 Policy,指定IKE階段認證算法、加密算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
#在本地網(wǎng)關(guān)設備1上添加如下配置 crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側(cè)prf與認證算法默認保持一致。 lifetime seconds 86400 #指定SA生存周期。創(chuàng)建IPsec proposal和profile,指定思科防火墻側(cè)的IPsec階段加密算法、認證算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
#在本地網(wǎng)關(guān)設備1上添加如下配置 crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec proposal。 protocol esp encryption aes #指定加密算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 protocol esp integrity sha-1 #指定認證算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec profile并應用已創(chuàng)建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側(cè)RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時間的SA生存周期。 set security-association lifetime kilobytes unlimited #關(guān)閉基于流量的SA生存周期。創(chuàng)建tunnel group,指定隧道的預共享密鑰,需和阿里云側(cè)保持一致。
#在本地網(wǎng)關(guān)設備1上添加如下配置 tunnel-group 120.XX.XX.191 type ipsec-l2l #指定隧道的封裝模式為l2l。 tunnel-group 120.XX.XX.191 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF123**** #指定隧道對端的預共享密鑰,即阿里云側(cè)的預共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF123**** #指定隧道本端的預共享密鑰,需和阿里云側(cè)的保持一致。 !創(chuàng)建tunnel接口。
#在本地網(wǎng)關(guān)設備1上添加如下配置 interface Tunnel1 #創(chuàng)建隧道接口。 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道源地址為公網(wǎng)接口GigabitEthernet0/0。 tunnel destination 120.XX.XX.191 #指定隧道目的地址為阿里云側(cè)IPsec連接1的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道應用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道接口。 !配置路由。
#在本地網(wǎng)關(guān)設備1上添加如下配置 route outside1 120.XX.XX.191 255.255.255.255 192.XX.XX.172 #配置訪問阿里云側(cè)IPsec連接1公網(wǎng)IP地址的路由,下一跳為外網(wǎng)地址。 route private 192.168.0.0 255.255.255.0 192.168.50.215 #配置去往本地數(shù)據(jù)中心的路由。 route private 192.168.1.0 255.255.255.0 192.168.50.215 route private 192.168.2.0 255.255.255.0 192.168.50.215 router bgp 65530 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 65531 #指定BGP鄰居,即阿里云側(cè)IPsec連接1的BGP IP地址。 neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate #激活BGP鄰居。 network 192.168.0.0 mask 255.255.255.0 #宣告本地數(shù)據(jù)中心的網(wǎng)段。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
本地網(wǎng)關(guān)設備2配置示例
登錄思科防火墻的命令行窗口并進入配置模式。
ciscoasa> enable Password: ******** #輸入進入enable模式的密碼。 ciscoasa# configure terminal #進入配置模式。 ciscoasa(config)#查看接口配置。
請確保思科防火墻已完成了接口配置,并已開啟接口。以下為本文的接口配置示例。
#查看本地網(wǎng)關(guān)設備2的接口配置 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 #連接公網(wǎng)的接口。 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 11.XX.XX.2 255.255.255.255 #GigabitEthernet0/0接口配置的公網(wǎng)IP地址。 ! interface GigabitEthernet0/1 #連接本地數(shù)據(jù)中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地數(shù)據(jù)中心接口(私網(wǎng)接口)的security-level低于公網(wǎng)接口。 ip address 192.168.50.218 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 !為公網(wǎng)接口開啟IKEv2功能。
#在本地網(wǎng)關(guān)設備2上添加如下配置 crypto ikev2 enable outside1 #為本地網(wǎng)關(guān)設備2的outside1接口(公網(wǎng)接口)開啟IKEv2功能。創(chuàng)建IKEv2 Policy,指定IKE階段認證算法、加密算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
#在本地網(wǎng)關(guān)設備2上添加如下配置 crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側(cè)prf與認證算法默認保持一致。 lifetime seconds 86400 #指定SA生存周期。創(chuàng)建IPsec proposal和profile,指定思科防火墻側(cè)的IPsec階段加密算法、認證算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
#在本地網(wǎng)關(guān)設備2上添加如下配置 crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec proposal。 protocol esp encryption aes #指定加密算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 protocol esp integrity sha-1 #指定認證算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec profile并應用已創(chuàng)建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側(cè)RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時間的SA生存周期。 set security-association lifetime kilobytes unlimited #關(guān)閉基于流量的SA生存周期。創(chuàng)建tunnel group,指定隧道的預共享密鑰,需和阿里云側(cè)保持一致。
#在本地網(wǎng)關(guān)設備2上添加如下配置 tunnel-group 47.XX.XX.213 type ipsec-l2l #指定隧道的封裝模式為l2l。 tunnel-group 47.XX.XX.213 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF456**** #指定隧道對端的預共享密鑰,即阿里云側(cè)的預共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF456**** #指定隧道本端的預共享密鑰,需和阿里云側(cè)的保持一致。 !創(chuàng)建tunnel接口。
#在本地網(wǎng)關(guān)設備2上添加如下配置 interface Tunnel1 #創(chuàng)建隧道接口。 nameif ALIYUN1 ip address 169.254.11.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道源地址為公網(wǎng)接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.213 #指定隧道目的地址為阿里云側(cè)IPsec連接2的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道應用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道接口。 !配置路由。
#在本地網(wǎng)關(guān)設備2上添加如下配置 route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.173 #配置訪問阿里云側(cè)IPsec連接2公網(wǎng)IP地址的路由,下一跳為外網(wǎng)地址。 route private 192.168.0.0 255.255.255.0 192.168.50.217 #配置去往本地數(shù)據(jù)中心的路由。 route private 192.168.1.0 255.255.255.0 192.168.50.217 route private 192.168.2.0 255.255.255.0 192.168.50.217 router bgp 65530 address-family ipv4 unicast neighbor 169.254.11.1 remote-as 65531 #指定BGP鄰居,即阿里云側(cè)IPsec連接2的BGP IP地址。 neighbor 169.254.11.1 ebgp-multihop 255 neighbor 169.254.11.1 activate #激活BGP鄰居。 network 192.168.0.0 mask 255.255.255.0 #宣告本地數(shù)據(jù)中心的網(wǎng)段。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
本地網(wǎng)關(guān)設備3配置示例
登錄思科防火墻的命令行窗口并進入配置模式。
ciscoasa> enable Password: ******** #輸入進入enable模式的密碼。 ciscoasa# configure terminal #進入配置模式。 ciscoasa(config)#查看接口配置。
請確保思科防火墻已完成了接口配置,并已開啟接口。以下為本文的接口配置示例。
#查看本地網(wǎng)關(guān)設備3的接口配置 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 #連接公網(wǎng)的接口。 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 11.XX.XX.3 255.255.255.255 #GigabitEthernet0/0接口配置的公網(wǎng)IP地址。 ! interface GigabitEthernet0/1 #連接本地數(shù)據(jù)中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地數(shù)據(jù)中心接口(私網(wǎng)接口)的security-level低于公網(wǎng)接口。 ip address 192.168.50.213 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 !為公網(wǎng)接口開啟IKEv2功能。
#在本地網(wǎng)關(guān)設備3上添加如下配置 crypto ikev2 enable outside1 #為本地網(wǎng)關(guān)設備3的outside1接口(公網(wǎng)接口)開啟IKEv2功能。創(chuàng)建IKEv2 Policy,指定IKE階段認證算法、加密算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
#在本地網(wǎng)關(guān)設備3上添加如下配置 crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側(cè)prf與認證算法默認保持一致。 lifetime seconds 86400 #指定SA生存周期。創(chuàng)建IPsec proposal和profile,指定思科防火墻側(cè)的IPsec階段加密算法、認證算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
#在本地網(wǎng)關(guān)設備3上添加如下配置 crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec proposal。 protocol esp encryption aes #指定加密算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 protocol esp integrity sha-1 #指定認證算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec profile并應用已創(chuàng)建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側(cè)RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時間的SA生存周期。 set security-association lifetime kilobytes unlimited #關(guān)閉基于流量的SA生存周期。創(chuàng)建tunnel group,指定隧道的預共享密鑰,需和阿里云側(cè)保持一致。
#在本地網(wǎng)關(guān)設備3上添加如下配置 tunnel-group 47.XX.XX.161 type ipsec-l2l #指定隧道的封裝模式為l2l。 tunnel-group 47.XX.XX.161 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF789**** #指定隧道對端的預共享密鑰,即阿里云側(cè)的預共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF789**** #指定隧道本端的預共享密鑰,需和阿里云側(cè)的保持一致。 !創(chuàng)建tunnel接口。
#在本地網(wǎng)關(guān)設備3上添加如下配置 interface Tunnel1 #創(chuàng)建隧道接口。 nameif ALIYUN1 ip address 169.254.12.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道源地址為公網(wǎng)接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.161 #指定隧道目的地址為阿里云側(cè)IPsec連接3的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道應用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道接口。 !配置路由。
#在本地網(wǎng)關(guān)設備3上添加如下配置 route outside1 47.XX.XX.161 255.255.255.255 192.XX.XX.174 #配置訪問阿里云側(cè)IPsec連接3公網(wǎng)IP地址的路由,下一跳為外網(wǎng)地址。 route private 192.168.0.0 255.255.255.0 192.168.50.214 #配置去往本地數(shù)據(jù)中心的路由。 route private 192.168.1.0 255.255.255.0 192.168.50.214 route private 192.168.2.0 255.255.255.0 192.168.50.214 router bgp 65530 address-family ipv4 unicast neighbor 169.254.12.1 remote-as 65531 #指定BGP鄰居,即阿里云側(cè)IPsec連接3的BGP IP地址。 neighbor 169.254.12.1 ebgp-multihop 255 neighbor 169.254.12.1 activate #激活BGP鄰居。 network 192.168.0.0 mask 255.255.255.0 #宣告本地數(shù)據(jù)中心的網(wǎng)段。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 exit-address-family
完成上述配置后,本地數(shù)據(jù)中心和阿里云之間可以成功建立IPsec-VPN連接,本地數(shù)據(jù)中心的路由將會通過BGP動態(tài)路由協(xié)議傳播至IPsec連接的BGP路由表中。
請根據(jù)您的實際網(wǎng)絡環(huán)境按需在本地數(shù)據(jù)中心添加路由配置,使本地數(shù)據(jù)中心客戶端去往VPC的流量可以同時通過本地網(wǎng)關(guān)設備1、本地網(wǎng)關(guān)設備2和本地網(wǎng)關(guān)設備3傳輸。具體命令,請咨詢相關(guān)設備廠商。
步驟四:創(chuàng)建VPC連接
創(chuàng)建IPsec連接后,IPsec連接會自動綁定至轉(zhuǎn)發(fā)路由器實例,您需要在云企業(yè)網(wǎng)管理控制臺創(chuàng)建VPC連接,將VPC實例也綁定至轉(zhuǎn)發(fā)路由器實例上,用于實現(xiàn)本地IDC和VPC之間的相互通信。
- 登錄云企業(yè)網(wǎng)管理控制臺。
- 在云企業(yè)網(wǎng)實例頁面,找到目標云企業(yè)網(wǎng)實例,單擊目標實例ID。
在頁簽,找到華東2(上海)地域的轉(zhuǎn)發(fā)路由器實例,在操作列單擊創(chuàng)建網(wǎng)絡實例連接。
在連接網(wǎng)絡實例頁面,根據(jù)以下信息進行配置,然后單擊確定創(chuàng)建。
請根據(jù)以下信息將華東2(上海)的VPC實例連接至轉(zhuǎn)發(fā)路由器,其余配置項保持默認狀態(tài)。更多信息,請參見創(chuàng)建VPC連接。
配置項
配置項說明
VPC連接
實例類型
選擇網(wǎng)絡實例類型。
本文選擇專有網(wǎng)絡(VPC)。
地域
選擇網(wǎng)絡實例所屬的地域。
本文選擇華東2(上海)。
轉(zhuǎn)發(fā)路由器
系統(tǒng)自動顯示當前地域已創(chuàng)建的轉(zhuǎn)發(fā)路由器實例ID。
資源歸屬UID
選擇網(wǎng)絡實例所屬的阿里云賬號和當前登錄的賬號是否為同一個賬號。
本文選擇同賬號。
付費方式
VPC連接的付費方式。默認值為按量付費。關(guān)于轉(zhuǎn)發(fā)路由器的計費規(guī)則,請參見計費說明。
連接名稱
輸入VPC連接的名稱。
本文輸入VPC連接。
網(wǎng)絡實例
選擇網(wǎng)絡實例。
本文選擇華東2(上海)的VPC實例。
交換機
在轉(zhuǎn)發(fā)路由器支持的可用區(qū)選擇交換機實例。
如果轉(zhuǎn)發(fā)路由器在當前地域僅支持一個可用區(qū),則您需要在當前可用區(qū)選擇一個交換機實例。
如果轉(zhuǎn)發(fā)路由器在當前地域支持多個可用區(qū),則您需要在至少2個可用區(qū)中各選擇一個交換機實例。在VPC和轉(zhuǎn)發(fā)路由器流量互通的過程中,這2個交換機實例可以實現(xiàn)可用區(qū)級別的容災。
推薦您在每個可用區(qū)中都選擇一個交換機實例,以減少流量繞行,體驗更低傳輸時延以及更高性能。
請確保選擇的每個交換機實例下?lián)碛幸粋€空閑的IP地址。如果VPC實例在轉(zhuǎn)發(fā)路由器支持的可用區(qū)中并沒有交換機實例或者交換機實例下沒有空閑的IP地址,您需要新建一個交換機實例。 具體操作,請參見創(chuàng)建和管理交換機。
本文在可用區(qū)F下選擇交換機1、在可用區(qū)G選擇交換機2。
高級配置
選擇是否開啟所有高級配置選項。系統(tǒng)默認選擇開啟所有高級配置選項。
保持默認配置,即開啟所有高級配置選項。
步驟五:創(chuàng)建跨地域連接
由于IPsec連接綁定的轉(zhuǎn)發(fā)路由器實例和VPC實例綁定的轉(zhuǎn)發(fā)路由器實例位于不同的地域,本地IDC和VPC實例之間默認無法通信。您需要在華東1(杭州)和華東2(上海)地域的轉(zhuǎn)發(fā)路由器實例之間創(chuàng)建跨地域連接,實現(xiàn)本地IDC和VPC實例之間的跨地域互通。
在云企業(yè)網(wǎng)實例頁面,找到目標云企業(yè)網(wǎng)實例,單擊云企業(yè)網(wǎng)實例ID。
在頁簽,單擊設置跨地域帶寬。
在連接網(wǎng)絡實例頁面,根據(jù)以下信息配置跨地域連接,然后單擊確定創(chuàng)建。
請根據(jù)以下信息創(chuàng)建跨地域連接,其余配置項保持默認狀態(tài)。更多信息,請參見創(chuàng)建跨地域連接。
配置項
說明
實例類型
選擇跨地域連接。
地域
選擇要互通的地域。
本文選擇華東1(杭州)。
轉(zhuǎn)發(fā)路由器
系統(tǒng)自動顯示當前地域下轉(zhuǎn)發(fā)路由器的實例ID。
連接名稱
輸入跨地域連接的名稱。
本文輸入跨地域連接。
對端地域
選擇要互通的對端地域。
本文選擇華東2(上海)。
轉(zhuǎn)發(fā)路由器
系統(tǒng)自動顯示當前地域下轉(zhuǎn)發(fā)路由器的實例ID。
帶寬分配方式
跨地域連接支持以下帶寬分配方式:
從帶寬包分配:從已經(jīng)購買的帶寬包中分配帶寬。
按流量付費:按照跨地域連接實際使用的流量計費。
本文選擇按流量付費。
帶寬
輸入跨地域連接的帶寬值。單位:Mbps。
默認鏈路類型
使用默認鏈路類型。
高級配置
保持默認配置,即選中全部高級配置選項。
創(chuàng)建跨地域連接后,系統(tǒng)自動完成路由的分發(fā)和學習,IPsec連接會通過BGP動態(tài)路由協(xié)議將VPC實例的路由傳播至本地數(shù)據(jù)中心,同時也會將本地數(shù)據(jù)中心的路由傳播至轉(zhuǎn)發(fā)路由器中,實現(xiàn)本地IDC和VPC實例間的網(wǎng)絡互通。具體的路由信息,請參見文末路由說明。
步驟六:驗證測試
創(chuàng)建跨地域連接后,本地IDC和VPC實例間已可以通過3條IPsec-VPN連接實現(xiàn)流量的負載分擔。以下內(nèi)容介紹如何測試網(wǎng)絡連通性以及如何驗證流量已通過3條IPsec-VPN連接實現(xiàn)負載分擔。
測試網(wǎng)絡連通性。
登錄VPC實例下的ECS實例。具體操作,請參見ECS遠程連接操作指南。
在ECS實例中執(zhí)行ping命令,嘗試訪問本地IDC中的客戶端。
ping <本地IDC客戶端的IP地址>如果可以收到響應報文,則表示本地IDC和VPC實例之間的網(wǎng)絡已連通,可以實現(xiàn)資源互訪。
驗證流量的負載分擔。
在本地IDC的多個客戶端中持續(xù)向ECS實例發(fā)送訪問請求,如果您可以分別在IPsec連接1、IPsec連接2、IPsec連接3的詳情頁面查看到流量監(jiān)控數(shù)據(jù),則證明本地IDC和VPC實例之間的流量已通過3條IPsec-VPN連接實現(xiàn)流量的負載分擔。
在頂部狀態(tài)欄處,選擇IPsec連接所屬的地域。
在左側(cè)導航欄,選擇。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
進入IPsec連接詳情頁面在監(jiān)控頁簽下查看流量監(jiān)控數(shù)據(jù)。
路由說明
在本文中,創(chuàng)建IPsec連接、創(chuàng)建VPC連接、創(chuàng)建跨地域連接時均采用默認路由配置,默認路由配置下云企業(yè)網(wǎng)會自動完成路由的分發(fā)和學習以實現(xiàn)本地IDC和VPC實例之間的相互通信。默認路由配置說明如下:
IPsec連接
在創(chuàng)建IPsec連接時直接綁定轉(zhuǎn)發(fā)路由器實例,且啟用所有高級配置,系統(tǒng)會自動對IPsec連接進行以下路由配置:
IPsec連接默認被關(guān)聯(lián)至轉(zhuǎn)發(fā)路由器實例的默認路由表,轉(zhuǎn)發(fā)路由器實例將通過查詢默認路由表轉(zhuǎn)發(fā)來自IPsec連接的流量。
您為IPsec連接添加的目的路由或者IPsec連接通過BGP動態(tài)路由協(xié)議學習到的云下路由,均會被自動傳播至轉(zhuǎn)發(fā)路由器實例的默認路由表。
轉(zhuǎn)發(fā)路由器實例會將默認路由表下的其他路由條目自動傳播至IPsec連接的BGP路由表中。
IPsec連接會通過BGP動態(tài)路由協(xié)議將學習到的云上路由自動傳播至本地IDC中。
VPC實例
創(chuàng)建VPC連接時如果開啟所有高級配置,則系統(tǒng)會自動對VPC實例進行以下路由配置:
自動關(guān)聯(lián)至轉(zhuǎn)發(fā)路由器的默認路由表
開啟本功能后,VPC連接會自動關(guān)聯(lián)至轉(zhuǎn)發(fā)路由器的默認路由表,轉(zhuǎn)發(fā)路由器通過查詢默認路由表轉(zhuǎn)發(fā)VPC實例的流量。
自動傳播系統(tǒng)路由至轉(zhuǎn)發(fā)路由器的默認路由表
開啟本功能后,VPC實例會將自身的系統(tǒng)路由傳播至轉(zhuǎn)發(fā)路由器的默認路由表中,用于網(wǎng)絡實例的互通。
自動為VPC的所有路由表配置指向轉(zhuǎn)發(fā)路由器的路由
開啟本功能后,系統(tǒng)將在VPC實例的所有路由表內(nèi)自動配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC連接。
重要如果VPC的路由表中已經(jīng)存在目標網(wǎng)段為10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由條目,則系統(tǒng)無法再自動下發(fā)該路由條目,您需要在VPC路由表中手動添加指向VPC連接的路由條目以實現(xiàn)VPC和轉(zhuǎn)發(fā)路由器之間的流量互通。
您可以單擊發(fā)起路由檢查查看網(wǎng)絡實例內(nèi)是否存在上述路由。
跨地域連接
創(chuàng)建跨地域連接時如果開啟所有高級配置,則系統(tǒng)會自動對跨地域連接進行以下路由配置:
自動關(guān)聯(lián)至轉(zhuǎn)發(fā)路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉(zhuǎn)發(fā)路由器的默認路由表建立關(guān)聯(lián)轉(zhuǎn)發(fā)關(guān)系,兩個地域的轉(zhuǎn)發(fā)路由器將會通過查詢默認路由表轉(zhuǎn)發(fā)跨地域間的流量。
自動傳播系統(tǒng)路由至轉(zhuǎn)發(fā)路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉(zhuǎn)發(fā)路由器的默認路由表建立路由學習關(guān)系。
自動發(fā)布路由到對端地域
開啟本功能后,即允許跨地域連接將本端轉(zhuǎn)發(fā)路由器路由表(指與跨地域連接建立關(guān)聯(lián)轉(zhuǎn)發(fā)關(guān)系的路由表)下的路由自動傳播至對端轉(zhuǎn)發(fā)路由器的路由表(指與跨地域連接建立路由學習關(guān)系的路由表)中,用于網(wǎng)絡實例跨地域互通。
路由條目展示
以下內(nèi)容為您展示本文中轉(zhuǎn)發(fā)路由器實例、IPsec連接、VPC實例和本地網(wǎng)關(guān)設備的路由條目信息。您可以在阿里云控制臺查看對應實例的路由條目信息:
查看轉(zhuǎn)發(fā)路由器實例路由條目信息,請參見查看企業(yè)版轉(zhuǎn)發(fā)路由器路由條目。
查看VPC實例路由條目信息,請參見創(chuàng)建和管理路由表。
查看IPsec連接的路由條目信息,請進入IPsec連接詳情頁面:
在頂部狀態(tài)欄處,選擇IPsec連接所屬的地域。
在左側(cè)導航欄,選擇。
在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
進入IPsec連接詳情頁面在BGP路由表頁簽下查看IPsec連接的路由條目信息。
目標網(wǎng)段 | 下一跳 | 路由類型 |
10.0.0.0/24 | 跨地域連接 | 自動學習 |
10.0.1.0/24 | 跨地域連接 | 自動學習 |
192.168.0.0/24 | VPN連接1(IPsec連接1) | 自動學習 |
192.168.0.0/24 | VPN連接2(IPsec連接2) | 自動學習 |
192.168.0.0/24 | VPN連接3(IPsec連接3) | 自動學習 |
192.168.1.0/24 | VPN連接1(IPsec連接1) | 自動學習 |
192.168.1.0/24 | VPN連接2(IPsec連接2) | 自動學習 |
192.168.1.0/24 | VPN連接3(IPsec連接3) | 自動學習 |
192.168.2.0/24 | VPN連接1(IPsec連接1) | 自動學習 |
192.168.2.0/24 | VPN連接2(IPsec連接2) | 自動學習 |
192.168.2.0/24 | VPN連接3(IPsec連接3) | 自動學習 |
目標網(wǎng)段 | 下一跳 | 路由類型 |
10.0.0.0/24 | VPC連接 | 自動學習 |
10.0.1.0/24 | VPC連接 | 自動學習 |
192.168.0.0/24 | 跨地域連接 | 自動學習 |
192.168.0.0/24 | 跨地域連接 | 自動學習 |
192.168.0.0/24 | 跨地域連接 | 自動學習 |
192.168.1.0/24 | 跨地域連接 | 自動學習 |
192.168.1.0/24 | 跨地域連接 | 自動學習 |
192.168.1.0/24 | 跨地域連接 | 自動學習 |
192.168.2.0/24 | 跨地域連接 | 自動學習 |
192.168.2.0/24 | 跨地域連接 | 自動學習 |
192.168.2.0/24 | 跨地域連接 | 自動學習 |
目標網(wǎng)段 | 下一跳 | 路由類型 |
10.0.0.0/24 | 本地 | 系統(tǒng) |
10.0.1.0/24 | 本地 | 系統(tǒng) |
10.0.0.0/8 | VPC連接 | 自定義 |
172.16.0.0/12 | VPC連接 | 自定義 |
192.168.0.0/16 | VPC連接 | 自定義 |
目標網(wǎng)段 | 來源說明 |
IPsec連接1中BGP路由表的路由條目 | |
10.0.0.0/24 | 從阿里云側(cè)學習來的路由 |
10.0.1.0/24 | 從阿里云側(cè)學習來的路由 |
192.168.0.0/24 | 從本地IDC側(cè)學習來的路由 |
192.168.1.0/24 | 從本地IDC側(cè)學習來的路由 |
192.168.2.0/24 | 從本地IDC側(cè)學習來的路由 |
IPsec連接2中BGP路由表的路由條目 | |
10.0.0.0/24 | 從阿里云側(cè)學習來的路由 |
10.0.1.0/24 | 從阿里云側(cè)學習來的路由 |
192.168.0.0/24 | 從本地IDC側(cè)學習來的路由 |
192.168.1.0/24 | 從本地IDC側(cè)學習來的路由 |
192.168.2.0/24 | 從本地IDC側(cè)學習來的路由 |
IPsec連接3中BGP路由表的路由條目 | |
10.0.0.0/24 | 從阿里云側(cè)學習來的路由 |
10.0.1.0/24 | 從阿里云側(cè)學習來的路由 |
192.168.0.0/24 | 從本地IDC側(cè)學習來的路由 |
192.168.1.0/24 | 從本地IDC側(cè)學習來的路由 |
192.168.2.0/24 | 從本地IDC側(cè)學習來的路由 |
目標網(wǎng)段 | 下一跳 |
本地網(wǎng)關(guān)設備1學習到的云上路由條目 | |
10.0.0.0/24 | IPsec連接1 |
10.0.1.0/24 | IPsec連接1 |
本地網(wǎng)關(guān)設備2學習到的云上路由條目 | |
10.0.0.0/24 | IPsec連接2 |
10.0.1.0/24 | IPsec連接2 |
本地網(wǎng)關(guān)設備3學習到的云上路由條目 | |
10.0.0.0/24 | IPsec連接3 |
10.0.1.0/24 | IPsec連接3 |