IPsec-VPN聯(lián)合物理專線實現(xiàn)主備鏈路上云(綁定轉發(fā)路由器)
本文為您介紹如何組合使用IPsec-VPN連接(其中IPsec連接綁定轉發(fā)路由器)和物理專線,實現(xiàn)本地數(shù)據(jù)中心IDC(Internet Data Center)通過主備鏈路上云并和云上專有網(wǎng)絡VPC(Virtual Private Cloud)互通。
場景示例
本文以下圖場景為例,為您介紹IPsec-VPN連接(其中IPsec連接綁定轉發(fā)路由器)聯(lián)合物理專線實現(xiàn)主備鏈路上云方案。某企業(yè)在上海擁有一個本地IDC,且企業(yè)已經(jīng)在阿里云華東1(杭州)地域部署了業(yè)務VPC,VPC中通過云服務器ECS(Elastic Compute Service)等云產(chǎn)品部署了應用業(yè)務和數(shù)據(jù)分析服務,用于后續(xù)業(yè)務交互和數(shù)據(jù)分析。企業(yè)現(xiàn)在需要部署上云的主備鏈路,以實現(xiàn)云下IDC和云上VPC的高可靠連接。
網(wǎng)絡規(guī)劃
網(wǎng)絡功能規(guī)劃
在本文場景中使用的網(wǎng)絡功能如下:
本地IDC同時通過物理專線和IPsec-VPN連接接入阿里云。
在物理專線和IPsec-VPN連接都正常的情況下,本地IDC與VPC之間的所有流量優(yōu)先通過物理專線進行傳輸;當物理專線異常時,本地IDC與VPC之間的所有流量可以自動切換至IPsec-VPN連接進行傳輸。
建立IPsec-VPN連接時,IPsec連接的網(wǎng)關類型為公網(wǎng),IPsec連接綁定的資源類型為云企業(yè)網(wǎng)。
本地IDC、邊界路由器VBR(Virtual border router)實例和IPsec連接均使用BGP動態(tài)路由協(xié)議,實現(xiàn)路由的自動分發(fā)和學習,簡化路由配置。
目前僅部分地域的IPsec連接支持BGP動態(tài)路由協(xié)議。關于地域的詳細信息, 請參見配置IPsec連接路由。
重要本場景流量傳輸說明如下:
在物理專線、IPsec-VPN連接、BGP動態(tài)路由協(xié)議均正常運行的情況下,云企業(yè)網(wǎng)可以通過物理專線和IPsec-VPN連接同時學習到本地IDC的網(wǎng)段,本地IDC也可以通過物理專線和IPsec-VPN連接同時學習到云企業(yè)網(wǎng)傳播的VPC實例的路由。云企業(yè)網(wǎng)默認通過物理專線學習到的路由的優(yōu)先級高于通過IPsec-VPN連接學習到的路由,因此VPC實例和本地IDC之間的流量優(yōu)先通過物理專線傳輸。
當本地IDC和VBR實例之間的BGP鄰居中斷時,云企業(yè)網(wǎng)會自動撤銷通過物理專線學習到的路由,通過IPsec-VPN連接學習到的路由會自動生效,VPC實例和本地IDC之間的流量將會自動通過IPsec-VPN連接進行傳輸;當本地IDC和VBR實例之間的BGP鄰居恢復正常后,VPC實例和本地IDC之間的流量會重新通過物理專線進行傳輸,IPsec-VPN連接會重新成為備用鏈路。
網(wǎng)段規(guī)劃
在您規(guī)劃網(wǎng)段時,請確保本地IDC和VPC之間要互通的網(wǎng)段沒有重疊。
資源 | 網(wǎng)段及IP地址 |
VPC | 主網(wǎng)段:172.16.0.0/16
|
IPsec連接 | BGP配置:隧道網(wǎng)段為169.254.10.0/30,本端BGP地址為169.254.10.1,本端自治系統(tǒng)號使用默認值45104 |
VBR | VBR的配置:
|
本地網(wǎng)關設備 | 本地網(wǎng)關設備的公網(wǎng)IP地址:211.XX.XX.68 |
本地網(wǎng)關設備BGP配置:隧道網(wǎng)段為169.254.10.0/30,本端BGP地址為169.254.10.2,本端自治系統(tǒng)號為65530 | |
本地IDC | 待和VPC互通的網(wǎng)段:
|
準備工作
在開始配置前,請確保您已完成以下操作:
您已經(jīng)在阿里云華東1(杭州)地域創(chuàng)建了一個VPC實例,并使用ECS部署了相關業(yè)務。具體操作,請參見搭建IPv4專有網(wǎng)絡。
您已經(jīng)創(chuàng)建了云企業(yè)網(wǎng)實例,并在華東1(杭州)和華東2(上海)地域分別創(chuàng)建了企業(yè)版轉發(fā)路由器。具體操作,請參見創(chuàng)建云企業(yè)網(wǎng)實例和創(chuàng)建轉發(fā)路由器實例。
重要創(chuàng)建轉發(fā)路由器實例時,需為轉發(fā)路由器實例配置轉發(fā)路由器地址段,否則IPsec連接無法成功綁定轉發(fā)路由器實例。
如果您已經(jīng)創(chuàng)建了轉發(fā)路由器實例,您可以單獨為轉發(fā)路由器實例添加轉發(fā)路由器地址段。具體操作,請參見添加轉發(fā)路由器地址段。
配置流程
步驟一:部署物理專線
您需要部署物理專線將本地IDC連接至阿里云。
創(chuàng)建獨享物理專線。
本文使用獨享專線方式在華東2(上海)地域自主創(chuàng)建1條物理專線連接,命名為物理專線。具體操作,請參見創(chuàng)建和管理獨享專線連接。
創(chuàng)建VBR實例。
登錄高速通道管理控制臺。
在左側導航欄,單擊邊界路由器(VBR)。
在頂部狀態(tài)欄,選擇待創(chuàng)建VBR實例的地域。
本文選擇華東2(上海)地域。
在邊界路由器(VBR)頁面,單擊創(chuàng)建邊界路由器。
在創(chuàng)建邊界路由器面板,根據(jù)以下信息進行配置,然后單擊確定。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態(tài)。如果您需要了解更多信息,請參見創(chuàng)建和管理邊界路由器。
配置項
說明
VBR
賬號類型
選擇VBR實例的賬號類型。
本文選擇當前賬號。
名稱
輸入VBR實例的名稱。
本文輸入VBR。
物理專線接口
選擇VBR實例需要綁定的物理專線接口。
VLAN ID
輸入VBR實例的VLAN ID。
說明請確保VBR實例的VLAN ID與本地網(wǎng)關設備接口(物理專線連接的接口)劃分的VLAN ID一致。
本文輸入201。
設置VBR帶寬值
選擇VBR實例的帶寬峰值。
請依據(jù)您的實際需求選擇適合的帶寬峰值。
阿里云側IPv4互聯(lián)IP
輸入VPC通往本地IDC的路由網(wǎng)關IPv4地址。
本文輸入10.0.0.2。
客戶側IPv4互聯(lián)IP
輸入本地IDC通往VPC的路由網(wǎng)關IPv4地址。
本文輸入10.0.0.1。
IPv4子網(wǎng)掩碼
輸入阿里云側和客戶側IPv4地址的子網(wǎng)掩碼。
本文輸入255.255.255.252。
為VBR實例配置BGP組。
在邊界路由器(VBR)頁面,單擊目標VBR實例ID。
在邊界路由器實例詳情頁面,單擊BGP組頁簽。
在BGP組頁簽下,單擊創(chuàng)建BGP組,并根據(jù)以下信息進行BGP組配置,然后單擊確定。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態(tài)。如果您想要了解更多信息,請參見創(chuàng)建BGP組。
配置項
說明
VBR
名稱
輸入BGP組的名稱。
本文輸入VBR-BGP。
Peer AS號
輸入本地網(wǎng)關設備的自治系統(tǒng)號。
本文輸入本地網(wǎng)關設備的自治系統(tǒng)號65530。
本端AS號
輸入VBR實例的自治系統(tǒng)號。
本文輸入VBR的自治系統(tǒng)號45104。
為VBR實例配置BGP鄰居。
在邊界路由器實例詳情頁面,單擊BGP鄰居頁簽。
在BGP鄰居頁簽下,單擊創(chuàng)建BGP鄰居。
在創(chuàng)建BGP鄰居面板,配置BGP鄰居信息,然后單擊確定。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態(tài)。如果您想要了解更多信息,請參見創(chuàng)建BGP鄰居。
配置項
說明
VBR
BGP組
選擇要加入的BGP組。
本文選擇VBR-BGP。
BGP鄰居IP
輸入BGP鄰居的IP地址。
本文輸入本地網(wǎng)關設備連接物理專線的接口的IP地址10.0.0.1。
為本地網(wǎng)關設備配置BGP路由協(xié)議。
為本地網(wǎng)關設備配置BGP路由協(xié)議后,本地網(wǎng)關設備和VBR實例之間可以建立BGP鄰居關系,實現(xiàn)路由的自動學習和傳播。
說明本文以思科防火墻ASA(軟件版本9.19.1)作為配置示例。不同軟件版本的配置命令可能會有所差異,操作時請根據(jù)您的實際環(huán)境查詢對應文檔或咨詢相關廠商。更多本地網(wǎng)關設備配置示例,請參見本地網(wǎng)關設備配置示例。
以下內(nèi)容包含的第三方產(chǎn)品信息僅供參考。阿里云對第三方產(chǎn)品的性能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
interface GigabitEthernet0/3 nameif VBR1 #配置連接VBR1的接口名稱。 security-level 0 ip address 10.0.0.1 255.255.255.0 #GigabitEthernet0/3接口配置的私網(wǎng)IP地址。 no shutdown #開啟接口。 ! router bgp 65530 #開啟BGP路由協(xié)議,并配置本地IDC的自治系統(tǒng)號。本文為65530。 bgp router-id 10.0.0.1 #BGP路由器ID,本文設置為10.0.0.1。 bgp log-neighbor-changes address-family ipv4 unicast neighbor 10.0.0.2 remote-as 45104 #和VBR實例建立BGP鄰居關系。 network 192.168.0.0 mask 255.255.255.0 #宣告本地IDC的網(wǎng)段。 network 192.168.1.0 mask 255.255.255.0 network 192.168.2.0 mask 255.255.255.0 neighbor 10.0.0.2 activate #激活BGP鄰居。 neighbor 10.0.0.2 weight 1000 #指定通過物理專線學習到的路由的權重值為1000。 exit-address-family !
步驟二:配置云企業(yè)網(wǎng)
部署物理專線后,本地IDC可以通過物理專線接入阿里云,但本地IDC和VPC之間還無法通信,您需要將VBR實例和VPC實例連接至云企業(yè)網(wǎng),通過云企業(yè)網(wǎng)實現(xiàn)本地IDC和VPC之間的相互通信。
創(chuàng)建VPC連接。
在云企業(yè)網(wǎng)實例頁面,找到在準備工作中創(chuàng)建的云企業(yè)網(wǎng)實例,單擊云企業(yè)網(wǎng)實例ID。
在 頁簽,找到華東1(杭州)地域的轉發(fā)路由器實例,在操作列單擊創(chuàng)建網(wǎng)絡實例連接。
在連接網(wǎng)絡實例頁面,根據(jù)以下信息進行配置,然后單擊確定創(chuàng)建。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態(tài)。如果您想要了解更多信息,請參見創(chuàng)建VPC連接。
配置項
配置項說明
VPC連接
實例類型
選擇網(wǎng)絡實例類型。
本文選擇專有網(wǎng)絡(VPC)。
地域
選擇網(wǎng)絡實例所屬的地域。
本文選擇華東1(杭州)。
轉發(fā)路由器
系統(tǒng)自動顯示當前地域已創(chuàng)建的轉發(fā)路由器實例ID。
資源歸屬UID
選擇網(wǎng)絡實例所屬的阿里云賬號和當前登錄的賬號是否為同一個賬號。
本文選擇同賬號。
付費方式
VPC連接的付費方式。默認值為按量付費。關于轉發(fā)路由器的計費規(guī)則,請參見計費說明。
連接名稱
輸入VPC連接的名稱。
本文輸入VPC-Attachment。
網(wǎng)絡實例
選擇網(wǎng)絡實例。
本文選擇已創(chuàng)建的VPC實例。
交換機
在轉發(fā)路由器支持的可用區(qū)選擇交換機實例。
如果轉發(fā)路由器在當前地域僅支持一個可用區(qū),則您需要在當前可用區(qū)選擇一個交換機實例。
如果轉發(fā)路由器在當前地域支持多個可用區(qū),則您需要在至少2個可用區(qū)中各選擇一個交換機實例。在VPC和轉發(fā)路由器流量互通的過程中,這2個交換機實例可以實現(xiàn)可用區(qū)級別的容災。
推薦您在每個可用區(qū)中都選擇一個交換機實例,以減少流量繞行,體驗更低傳輸時延以及更高性能。
請確保選擇的每個交換機實例下?lián)碛幸粋€空閑的IP地址。如果VPC實例在轉發(fā)路由器支持的可用區(qū)中并沒有交換機實例或者交換機實例下沒有空閑的IP地址,您需要新建一個交換機實例。 具體操作,請參見創(chuàng)建和管理交換機。
本文在可用區(qū)H下選擇交換機1、在可用區(qū)I選擇交換機2。
高級配置
選擇是否開啟所有高級配置選項。系統(tǒng)默認選擇開啟所有高級配置選項。
保持默認配置,即開啟所有高級配置選項。
創(chuàng)建VBR連接。
返回 頁簽,找到華東2(上海)地域的轉發(fā)路由器實例,在操作列單擊創(chuàng)建網(wǎng)絡實例連接。
在連接網(wǎng)絡實例頁面,根據(jù)以下信息進行配置,然后單擊確定創(chuàng)建。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態(tài)。如果您想要了解更多信息,請參見使用企業(yè)版轉發(fā)路由器創(chuàng)建VBR連接。
配置項
配置項說明
VBR
實例類型
選擇網(wǎng)絡實例類型。
本文選擇邊界路由器(VBR)。
地域
選擇網(wǎng)絡實例所屬的地域。
本文選擇華東2(上海)。
轉發(fā)路由器
系統(tǒng)自動顯示當前地域已創(chuàng)建的轉發(fā)路由器實例。
資源歸屬UID
選擇網(wǎng)絡實例所屬的阿里云賬號和當前登錄的賬號是否為同一個賬號。
本文選擇同賬號。
連接名稱
輸入網(wǎng)絡實例連接的名稱。
本文輸入VBR-Attachment。
網(wǎng)絡實例
選擇網(wǎng)絡實例。
本文選擇VBR。
高級配置
選擇是否開啟所有高級配置選項。系統(tǒng)默認選擇開啟所有高級配置選項。
保持默認配置,即開啟所有高級配置選項。
創(chuàng)建跨地域連接。
由于VBR實例綁定的轉發(fā)路由器實例和VPC實例綁定的轉發(fā)路由器實例位于不同的地域,VBR實例和VPC實例之間默認無法通信。您需要在華東1(杭州)和華東2(上海)地域的轉發(fā)路由器實例之間創(chuàng)建跨地域連接,實現(xiàn)VBR實例和VPC實例之間的跨地域互通。
在云企業(yè)網(wǎng)實例頁面,找到目標云企業(yè)網(wǎng)實例,單擊云企業(yè)網(wǎng)實例ID。
在
頁簽,單擊設置跨地域帶寬。在連接網(wǎng)絡實例頁面,根據(jù)以下信息配置跨地域連接,然后單擊確定創(chuàng)建。
請根據(jù)以下信息創(chuàng)建跨地域連接,其余配置項保持默認狀態(tài)。更多信息,請參見創(chuàng)建跨地域連接。
配置項
說明
實例類型
選擇跨地域連接。
地域
選擇要互通的地域。
本文選擇華東1(杭州)。
轉發(fā)路由器
系統(tǒng)自動顯示當前地域下轉發(fā)路由器的實例ID。
連接名稱
輸入跨地域連接的名稱。
本文輸入跨地域連接。
對端地域
選擇要互通的對端地域。
本文選擇華東2(上海)。
轉發(fā)路由器
系統(tǒng)自動顯示當前地域下轉發(fā)路由器的實例ID。
帶寬分配方式
跨地域連接支持以下帶寬分配方式:
從帶寬包分配:從已經(jīng)購買的帶寬包中分配帶寬。
按流量付費:按照跨地域連接實際使用的流量計費。
本文選擇按流量付費。
帶寬
輸入跨地域連接的帶寬值。單位:Mbps。
默認鏈路類型
使用默認鏈路類型。
高級配置
保持默認配置,即選中全部高級配置選項。
步驟三:部署IPsec-VPN連接
完成上述步驟后,本地IDC和VPC之間可以通過物理專線實現(xiàn)互通。您可以開始部署IPsec-VPN連接。
創(chuàng)建用戶網(wǎng)關。
在建立IPsec-VPN連接前,您需要先創(chuàng)建用戶網(wǎng)關,將本地網(wǎng)關設備的信息注冊至阿里云上。
在左側導航欄,選擇 。
在頂部菜單欄,選擇用戶網(wǎng)關的地域。
VPN網(wǎng)關產(chǎn)品不支持建立跨境的IPsec-VPN連接,因此在您選擇用戶網(wǎng)關所屬的地域時,需遵循就近原則,即選擇離您本地IDC最近的阿里云地域。本文中選擇華東2(上海)。
關于跨境連接和非跨境連接的更多信息,請參見非跨境連接。
在用戶網(wǎng)關頁面,單擊創(chuàng)建用戶網(wǎng)關。
在創(chuàng)建用戶網(wǎng)關面板,根據(jù)以下信息進行配置,然后單擊確定。
下表僅列舉本文強相關的配置項,其余配置項保持默認狀態(tài)。如果您想要了解更多信息,請參見創(chuàng)建和管理用戶網(wǎng)關。
配置項
配置項說明
用戶網(wǎng)關
名稱
輸入用戶網(wǎng)關的名稱。
本文輸入Customer-Gateway。
IP地址
輸入阿里云側待連接的本地網(wǎng)關設備的公網(wǎng)IP地址。
本文輸入本地網(wǎng)關設備的公網(wǎng)IP地址211.XX.XX.68。
自治系統(tǒng)號
輸入本地網(wǎng)關設備使用的BGP AS號。
本文輸入65530。
創(chuàng)建IPsec連接。
創(chuàng)建用戶網(wǎng)關后,您需要在阿里云側創(chuàng)建IPsec連接,阿里云側將通過IPsec連接與本地IDC之間建立IPsec-VPN連接。
在左側導航欄,選擇 。
在頂部菜單欄,選擇IPsec連接的地域。
IPsec連接的地域需和用戶網(wǎng)關的地域一致。本文選擇華東2(上海)。
在IPsec連接頁面,單擊創(chuàng)建IPsec連接。
在創(chuàng)建IPsec連接頁面,根據(jù)以下信息配置IPsec連接,然后單擊確定。
創(chuàng)建IPsec連接會產(chǎn)生計費,關于IPsec連接的計費說明,請參見計費說明。
配置項
配置項說明
IPsec連接
名稱
輸入IPsec連接的名稱。
本文輸入IPsec連接。
綁定資源
選擇IPsec連接綁定的資源類型。
本文選擇云企業(yè)網(wǎng)。
網(wǎng)關類型
選擇IPsec連接的網(wǎng)絡類型。
本文選擇公網(wǎng)。
CEN實例ID
選擇云企業(yè)網(wǎng)實例。
本文選擇在準備工作中已創(chuàng)建的云企業(yè)網(wǎng)實例。
轉發(fā)路由器
選擇IPsec連接待綁定的轉發(fā)路由器實例。
系統(tǒng)根據(jù)IPsec連接所在的地域自動選擇當前地域下的轉發(fā)路由器實例。
可用區(qū)
在轉發(fā)路由器支持的可用區(qū)中選擇部署IPsec連接的可用區(qū)。
本文選擇上海 可用區(qū)F。
路由模式
選擇路由模式。
本文選擇目的路由模式。
立即生效
選擇IPsec連接的配置是否立即生效。取值:
是:配置完成后立即進行協(xié)商。
否:當有流量進入時進行協(xié)商。
本文選擇是。
用戶網(wǎng)關
選擇IPsec連接關聯(lián)的用戶網(wǎng)關。
本文選擇Customer-Gateway。
預共享密鑰
輸入IPsec連接的認證密鑰,用于本地網(wǎng)關設備和IPsec連接之間的身份認證。
密鑰長度為1~100個字符,支持數(shù)字、大小寫英文字母及右側字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?
,不能包含空格。若您未指定預共享密鑰,系統(tǒng)會隨機生成一個16位的字符串作為預共享密鑰。創(chuàng)建IPsec連接后,您可以通過編輯按鈕查看系統(tǒng)生成的預共享密鑰。具體操作,請參見修改IPsec連接。
重要IPsec連接及其對端網(wǎng)關設備配置的預共享密鑰需一致,否則系統(tǒng)無法正常建立IPsec-VPN連接。
本文輸入fddsFF123****。
啟用BGP
選擇是否開啟BGP功能。BGP功能默認為關閉狀態(tài)。
本文開啟BGP功能。
本端自治系統(tǒng)號
輸入IPsec連接的自治系統(tǒng)號。
本文輸入45104。
加密配置
添加IKE配置、IPsec配置等加密配置。
除以下參數(shù)外,其余配置項保持默認值。更多信息,請參見創(chuàng)建和管理IPsec連接(單隧道模式)。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說明您需要根據(jù)本地網(wǎng)關設備的支持情況選擇加密配置參數(shù),確保IPsec連接和本地網(wǎng)關設備的加密配置保持一致。
BGP配置
隧道網(wǎng)段
輸入建立加密隧道時使用的網(wǎng)段。
隧道網(wǎng)段需要是在169.254.0.0/16內(nèi)的子網(wǎng)掩碼為30的網(wǎng)段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
本文輸入169.254.10.0/30。
本端BGP地址
輸入IPsec連接的BGP IP地址。
該地址為隧道網(wǎng)段內(nèi)的一個IP地址。
本文輸入169.254.10.1。
高級配置
選擇是否啟用高級配置,實現(xiàn)IPsec連接路由的自動分發(fā)和學習。系統(tǒng)默認啟用高級配置。
本文保持默認值,即開啟所有高級配置。
IPsec連接創(chuàng)建成功后,系統(tǒng)將自動為IPsec連接分配一個公網(wǎng)IP地址,用于IPsec連接和本地IDC之間建立IPsec-VPN連接。您可以在IPsec連接詳情頁面查看網(wǎng)關IP地址,如下圖所示。
說明IPsec連接只有綁定轉發(fā)路由器實例后系統(tǒng)才會為其分配網(wǎng)關IP地址。如果在您創(chuàng)建IPsec連接時,IPsec連接的綁定資源類型為不綁定或者為VPN網(wǎng)關,則系統(tǒng)并不會為其分配網(wǎng)關IP地址。
下載IPsec連接對端的配置。
返回到IPsec連接頁面,找到剛剛創(chuàng)建的IPsec連接,在操作列單擊生成對端配置。
在本地網(wǎng)關設備中添加VPN配置和BGP配置。
創(chuàng)建IPsec連接后,請根據(jù)已下載的IPsec連接對端配置信息以及下述步驟,在本地網(wǎng)關設備中添加VPN配置和BGP配置,以便本地IDC和阿里云之間建立IPsec-VPN連接。
說明本文以思科防火墻ASA(軟件版本9.19.1)作為配置示例。不同軟件版本的配置命令可能會有所差異,操作時請根據(jù)您的實際環(huán)境查詢對應文檔或咨詢相關廠商。更多本地網(wǎng)關設備配置示例,請參見本地網(wǎng)關設備配置示例。
以下內(nèi)容包含的第三方產(chǎn)品信息僅供參考。阿里云對第三方產(chǎn)品的性能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
登錄思科防火墻的命令行窗口并進入配置模式。
ciscoasa> enable Password: ******** #輸入進入enable模式的密碼。 ciscoasa# configure terminal #進入配置模式。 ciscoasa(config)#
查看接口配置和路由配置。
思科防火墻已完成了接口配置,并已開啟接口。以下為本文的接口配置示例。
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 211.XX.XX.68 255.255.255.255 #GigabitEthernet0/0接口配置的公網(wǎng)IP地址。 ! interface GigabitEthernet0/2 #連接本地數(shù)據(jù)中心的接口。 nameif private #GigabitEthernet0/2接口名稱。 security-level 100 #指定連接本地數(shù)據(jù)中心接口的security-level低于連接公網(wǎng)的接口。 ip address 192.168.2.215 255.255.255.0 #GigabitEthernet0/2接口配置的私網(wǎng)IP地址。 ! route outside1 47.XX.XX.213 255.255.255.255 192.XX.XX.172 #配置訪問阿里云側IPsec連接公網(wǎng)IP地址的路由,下一跳為公網(wǎng)地址。 route private 192.168.0.0 255.255.0.0 192.168.2.216 #配置去往本地數(shù)據(jù)中心的路由。
為連接公網(wǎng)的接口開啟IKEv2功能。
crypto ikev2 enable outside1 crypto ikev2 enable outside2
創(chuàng)建IKEv2 Policy,指定IKE階段認證算法、加密算法、DH分組和SA生存周期,需和阿里云側保持一致。
重要阿里云側配置IPsec連接時,IKE配置階段的加密算法、認證算法和DH分組均只支持指定一個值,不支持指定多個值。建議在思科防火墻中IKE配置階段的加密算法、認證算法和DH分組也均只指定一個值,該值需與阿里云側保持一致。
crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側prf與認證算法默認保持一致。 lifetime seconds 86400 #指定SA生存周期。
創(chuàng)建IPsec proposal和profile,指定思科防火墻側的IPsec階段加密算法、認證算法、DH分組和SA生存周期,需和阿里云側保持一致。
重要阿里云側配置IPsec連接時,IPsec配置階段的加密算法、認證算法和DH分組均只支持指定一個值,不支持指定多個值。建議在思科防火墻中IPsec配置階段的加密算法、認證算法和DH分組也均只指定一個值,該值需與阿里云側保持一致。
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec proposal。 protocol esp encryption aes #指定加密算法,協(xié)議使用ESP,阿里云側固定使用ESP協(xié)議。 protocol esp integrity sha-1 #指定認證算法,協(xié)議使用ESP,阿里云側固定使用ESP協(xié)議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec profile并應用已創(chuàng)建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時間的SA生存周期。 set security-association lifetime kilobytes unlimited #關閉基于流量的SA生存周期。
創(chuàng)建tunnel group,指定隧道的預共享密鑰,需和阿里云側保持一致。
tunnel-group 47.XX.XX.213 type ipsec-l2l #指定隧道的封裝模式為l2l。 tunnel-group 47.XX.XX.213 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF123**** #指定隧道對端的預共享密鑰,即阿里云側的預共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF123**** #指定隧道本端的預共享密鑰,需和阿里云側的保持一致。 !
創(chuàng)建tunnel接口。
interface Tunnel1 #創(chuàng)建隧道接口。 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道源地址為外網(wǎng)接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.213 #指定隧道目的地址為阿里云側IPsec連接的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道應用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道接口。 !
添加BGP配置,使本地網(wǎng)關設備與IPsec連接建立BGP鄰居關系。
router bgp 65530 address-family ipv4 unicast neighbor 169.254.10.1 remote-as 45104 #指定BGP鄰居,即阿里云側隧道的IP地址。 neighbor 169.254.10.1 ebgp-multihop 255 neighbor 169.254.10.1 activate #激活BGP鄰居。 neighbor 169.254.10.1 weight 500 #指定通過IPsec-VPN學習到的路由的權重值為500,這些路由的權重值小于通過物理專線學習到的路由的權重值,確保本地IDC去往VPC的流量優(yōu)先通過物理專線傳輸。 exit-address-family
步驟四:驗證測試
完成上述步驟,本地IDC可通過物理專線或IPsec-VPN連接與VPC互通。在物理專線和IPsec-VPN連接都正常的情況下,本地IDC與VPC之間的所有流量默認只通過物理專線進行轉發(fā);當物理專線異常時,本地IDC與VPC之間的所有流量將自動切換至IPsec-VPN連接進行轉發(fā)。以下內(nèi)容介紹如何測試網(wǎng)絡連通性以及如何驗證物理專線和IPsec-VPN連接已實現(xiàn)主備鏈路冗余。
驗證測試前,請確保您已經(jīng)了解VPC中ECS實例所應用的安全組規(guī)則以及本地數(shù)據(jù)中心應用的訪問控制策略,需確保ECS安全組規(guī)則和本地數(shù)據(jù)中心的訪問控制策略允許本地IDC和ECS實例互相通信。關于ECS安全組規(guī)則的更多信息,請參見查詢安全組規(guī)則和添加安全組規(guī)則。
網(wǎng)絡連通性測試。
登錄VPC實例下的ECS實例。具體操作,請參見ECS遠程連接操作指南。
在ECS實例中執(zhí)行ping命令,嘗試訪問本地IDC中的客戶端。
ping <本地IDC客戶端的IP地址>
如果可以收到響應報文,則表示本地IDC和VPC實例之間的網(wǎng)絡已連通,可以實現(xiàn)資源互訪。
驗證物理專線和IPsec-VPN連接已實現(xiàn)主備鏈路冗余。
在本地IDC的多個客戶端中持續(xù)向ECS實例發(fā)送訪問請求。
ping <ECS實例 IP地址> -c 10000
登錄云企業(yè)網(wǎng)管理控制臺,查看VBR連接流量監(jiān)控數(shù)據(jù)。具體操作,請參見監(jiān)控云企業(yè)網(wǎng)資源。
正常情況下,流量默認通過物理專線進行傳輸,您可以在VBR連接監(jiān)控頁簽查看到流量監(jiān)控數(shù)據(jù)。
中斷物理專線連接。
例如,您可以在本地網(wǎng)關設備上關閉連接物理專線的接口來中斷物理專線連接。
重新登錄阿里云管理控制臺,查看VPN連接(IPsec連接)流量監(jiān)控數(shù)據(jù)。具體操作,請參見監(jiān)控云企業(yè)網(wǎng)資源。
正常情況下,物理專線中斷后,流量將自動切換至IPsec-VPN連接進行轉發(fā),您可以在VPN連接的監(jiān)控頁簽查看到流量監(jiān)控數(shù)據(jù)。
路由說明
在本文中,創(chuàng)建IPsec連接、創(chuàng)建VPC連接、創(chuàng)建VBR連接、創(chuàng)建跨地域連接時均采用默認路由配置,默認路由配置下云企業(yè)網(wǎng)會自動完成路由的分發(fā)和學習以實現(xiàn)本地IDC和VPC實例之間的相互通信。默認路由配置說明如下。
IPsec連接
在創(chuàng)建IPsec連接時如果直接綁定轉發(fā)路由器實例,則系統(tǒng)會自動對IPsec連接進行以下路由配置:
IPsec連接默認被關聯(lián)至轉發(fā)路由器實例的默認路由表,轉發(fā)路由器實例將通過查詢默認路由表轉發(fā)來自IPsec連接的流量。
您為IPsec連接添加的目的路由或者IPsec連接通過BGP動態(tài)路由協(xié)議學習到的云下路由,均會被自動傳播至轉發(fā)路由器實例的默認路由表。
轉發(fā)路由器實例會將默認路由表下的其他路由條目自動傳播至IPsec連接的BGP路由表中。
IPsec連接會通過BGP動態(tài)路由協(xié)議將學習到的云上路由自動傳播至本地IDC中。
VPC實例
創(chuàng)建VPC連接時如果采用默認路由配置(即開啟所有高級配置),則系統(tǒng)會自動對VPC實例進行以下路由配置:
自動關聯(lián)至轉發(fā)路由器的默認路由表
開啟本功能后,VPC連接會自動關聯(lián)至轉發(fā)路由器的默認路由表,轉發(fā)路由器通過查詢默認路由表轉發(fā)VPC實例的流量。
自動傳播系統(tǒng)路由至轉發(fā)路由器的默認路由表
開啟本功能后,VPC實例會將自身的系統(tǒng)路由傳播至轉發(fā)路由器的默認路由表中,用于網(wǎng)絡實例的互通。
自動為VPC的所有路由表配置指向轉發(fā)路由器的路由
開啟本功能后,系統(tǒng)將在VPC實例的所有路由表內(nèi)自動配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC連接。
重要如果VPC的路由表中已經(jīng)存在目標網(wǎng)段為10.0.0.0/8、172.16.0.0/12或192.168.0.0/16的路由條目,則系統(tǒng)無法再自動下發(fā)該路由條目,您需要在VPC路由表中手動添加指向VPC連接的路由條目以實現(xiàn)VPC和轉發(fā)路由器之間的流量互通。
您可以單擊發(fā)起路由檢查查看網(wǎng)絡實例內(nèi)是否存在上述路由。
VBR實例
創(chuàng)建VBR連接時如果采用默認路由配置(即開啟所有高級配置),則系統(tǒng)會自動對VBR實例進行以下路由配置:
自動關聯(lián)至轉發(fā)路由器的默認路由表
開啟本功能后,VBR連接會自動關聯(lián)至轉發(fā)路由器的默認路由表,轉發(fā)路由器通過查詢默認路由表轉發(fā)VBR實例的流量。
自動傳播系統(tǒng)路由至轉發(fā)路由器的默認路由表
VBR實例會將自身的系統(tǒng)路由傳播至轉發(fā)路由器的默認路由表中,用于網(wǎng)絡實例的互通。
自動發(fā)布路由到VBR
開啟本功能后,系統(tǒng)自動將VBR連接關聯(lián)的轉發(fā)路由器路由表中的路由發(fā)布到VBR實例中。
跨地域連接
創(chuàng)建跨地域連接時如果采用默認路由配置(即開啟所有高級配置),則系統(tǒng)會自動對跨地域連接進行以下路由配置:
自動關聯(lián)至轉發(fā)路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉發(fā)路由器的默認路由表建立關聯(lián)轉發(fā)關系,兩個地域的轉發(fā)路由器將會通過查詢默認路由表轉發(fā)跨地域間的流量。
自動傳播系統(tǒng)路由至轉發(fā)路由器的默認路由表
開啟本功能后,跨地域連接將與兩個地域的轉發(fā)路由器的默認路由表建立路由學習關系。
自動發(fā)布路由到對端地域
開啟本功能后,即允許跨地域連接將本端轉發(fā)路由器路由表(指與跨地域連接建立關聯(lián)轉發(fā)關系的路由表)下的路由自動傳播至對端轉發(fā)路由器的路由表(指與跨地域連接建立路由學習關系的路由表)中,用于網(wǎng)絡實例跨地域互通。
查看路由條目
您可以在阿里云管理控制臺查看對應實例的路由條目信息:
查看轉發(fā)路由器實例路由條目信息,請參見查看企業(yè)版轉發(fā)路由器路由條目。
查看VPC實例路由條目信息,請參見創(chuàng)建和管理路由表。
查看VBR實例路由條目信息,請進入VBR實例詳情頁面:
登錄高速通道管理控制臺。
在左側導航欄,單擊邊界路由器(VBR)。
在頂部狀態(tài)欄,選擇VBR實例的地域。
在邊界路由器(VBR)頁面,單擊目標VBR實例ID。
進入VBR實例詳情頁面在路由條目頁簽下分別查看VBR實例自定義路由條目、BGP路由條目和CEN路由條目的信息。
查看IPsec連接的路由條目信息,請進入IPsec連接詳情頁面:
在頂部狀態(tài)欄處,選擇IPsec連接所屬的地域。
在左側導航欄,選擇
。在IPsec連接頁面,找到目標IPsec連接,單擊IPsec連接ID。
進入IPsec連接詳情頁面在BGP路由表頁簽下查看IPsec連接的路由條目信息。