當您需要實現私網流量加密通信時,您可以先創建專線網關ECR連接VBR和云上VPC,再通過創建VPN網關與VBR運行BGP動態路由來實現。
場景示例
本示例以下圖場景為示例,某企業在杭州擁有一個本地IDC,在阿里云華東1(杭州)地域擁有一個VPC,VPC中使用云服務器ECS部署了相關服務。因業務發展,企業計劃使用物理專線和專線網關ECR實現本地IDC和VPC的相互通信。同時,為了提高企業網絡的安全性,企業希望本地IDC和VPC之間的流量可以經過加密后再進行傳輸。
在本地IDC已和VPC實現私網通信的情況下,企業可以在VPC中創建私網VPN網關,與本地網關設備建立IPsec連接,同時為VBR實例和VPN網關配置BGP動態路由協議,實現私網流量的加密傳輸。
準備工作
私網VPN網關正在邀測中,您已經向您的客戶經理申請使用權限。
您需要為本地IDC和網絡實例規劃網段,需確保要互通的網段之間沒有重疊。本示例網段規劃如下:
配置目標
網段規劃
IP地址
VPC
主網段:10.0.0.0/16
交換機1所屬的子網段:10.0.0.0/24
交換機2所屬的子網段:10.0.1.0/24
ECS1:10.0.1.1
ECS2:10.0.1.2
VBR
10.0.0.0/30
VLAN ID:201
阿里云側IPv4互聯IP:10.0.0.2/30
客戶側IPv4互聯IP:10.0.0.1/30
本示例中客戶側指本地網關設備。
ECR
-
自治系統號:45104
本地IDC
10.0.0.0/30
192.168.0.0/24
VPN IP地址:192.168.0.251
VPN IP地址是指本地網關設備上待與阿里云VPN網關建立IPsec連接的接口的IP地址。
與物理專線連接的接口IP地址:10.0.0.1
自治系統號:65530
您已經在阿里云華東1(杭州)地域創建了VPC并使用ECS部署了相關服務。具體操作,請參見創建和管理專有網絡。
在本示例中,VPC中包含2個交換機實例,交換機1位于可用區H,交換機2位于可用區I。交換機2用于部署ECS,交換機1僅用于后續關聯VPN網關。
說明在您創建VPC實例時,建議您在VPC實例中單獨創建一個交換機實例用于后續關聯VPN網關,以便交換機實例可以分配私網IP地址至VPN網關。
請檢查本地網關設備,確保本地網關設備支持標準的IKEv1和IKEv2協議,以便和阿里云VPN網關建立連接。關于本地網關設備是否支持標準的IKEv1和IKEv2協議,請咨詢本地網關設備廠商。
您已經了解VPC中的ECS實例所應用的安全組規則以及本地IDC中客戶端所應用的訪問控制規則,并確保ECS實例的安全組規則以及本地IDC客戶端的訪問控制規則允許本地IDC客戶端與VPC中的ECS實例互通。具體操作,請參見查詢安全組規則和添加安全組規則。
配置流程
步驟一:部署物理專線
您需要部署物理專線將本地IDC連接至阿里云。
創建物理專線。
您需要在華東1(杭州)地域申請一條物理專線。具體操作,請參見創建和管理獨享專線連接或共享專線連接概述。
本示例選擇創建獨享專線連接。
創建VBR實例。
登錄高速通道管理控制臺。
在左側導航欄,單擊邊界路由器(VBR)。
在頂部狀態欄,選擇待創建的VBR實例的地域。
本示例選擇華東1(杭州)地域。
在邊界路由器(VBR)頁面,單擊創建邊界路由器。
在創建邊界路由器面板,根據以下信息進行配置,然后單擊確定。
下表僅列舉本示例強相關的配置項。如果您想要了解更多信息,請參見創建和管理邊界路由器。
配置項
說明
賬號類型
本示例選擇當前賬號。
名稱
本示例輸入VBR。
物理專線接口
本示例選擇獨享專線類型,然后選擇在步驟1中創建的物理專線接口。
VLAN ID
本示例輸入0。
設置VBR帶寬值
選擇VBR實例的帶寬峰值。
阿里云側IPv4互聯IP
本示例輸入10.0.0.2。
客戶側IPv4互聯IP
本示例輸入10.0.0.1。
IPv4子網掩碼
本示例輸入255.255.255.252。
為VBR實例添加自定義路由條目將本地IDC的網段發布至阿里云。
在邊界路由器(VBR)頁面,單擊VBR實例ID。
單擊路由條目頁簽,然后單擊添加路由條目。
在添加路由條目面板,根據以下信息進行配置,然后單擊確定。
配置項
說明
下一跳類型
選擇物理專線接口。
目標網段
輸入本地IDC的網段。
本示例輸入192.168.0.0/16。
下一跳
選擇步驟1中創建的物理專線接口。
配置本地網關設備。
您需要在本地網關設備上配置以下路由條目,引導本地IDC訪問VPC的流量進入物理專線。
以下配置示例僅供參考,不同廠商的設備配置命令可能會有所不同。具體命令,請咨詢相關設備廠商。
ip route 10.0.0.0 255.255.0.0 10.0.0.2
步驟二:配置專線網關ECR
您需要將VPC和VBR實例連接至專線網關ECR,連接后,本地IDC和VPC可以通過專線網關ECR實現私網互通。
創建專線網關ECR實例。
登錄高速通道管理控制臺。
在左側導航欄,單擊專線網關,然后在專線網關頁面,單擊創建專線網關。
在創建專線網關對話框,根據以下信息進行配置,選中我已閱讀并知曉計費規則,然后單擊確定。
配置
說明
名稱
輸入專線網關的名稱。
本示例輸入ECR。
ASN
輸入專線網關的ASN號。
本示例輸入45104。
描述
輸入專線網關的描述信息。
本示例輸入ECR-for-test-private-VPN-Gateway。
連接VPC實例。
連接VBR實例。
步驟三:部署VPN網關
完成上述步驟后,本地IDC和VPC之間可以實現私網互通,但在通信過程中,信息未經過加密。您還需要在VPC中部署VPN網關,與本地網關設備建立IPsec連接,才能實現私網流量加密通信。
創建VPN網關。
登錄VPN網關管理控制臺。
在頂部菜單欄,選擇VPN網關的地域。
VPN網關的地域需和待關聯的VPC實例的地域相同。本示例選擇華東1(杭州)地域。
在VPN網關頁面,單擊創建VPN網關。
購買頁面,根據以下信息配置VPN網關,然后單擊立即購買并完成支付。
配置項
說明
實例名稱
輸入VPN網關的名稱。
本示例輸入VPN網關1。
地域和可用區
選擇VPN網關所屬的地域。
本示例選擇華東1(杭州)。
網關類型
選擇VPN網關的類型。
本示例選擇普通型。
網絡類型
選擇VPN網關的網絡類型。
本示例選擇私網。
隧道
系統直接展示當前地域IPsec-VPN連接支持的隧道模式。
VPC
選擇VPN網關待關聯的VPC實例。
本示例選擇VPC。
虛擬交換機
從VPC中選擇一個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
說明系統默認幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認的交換機實例。
創建VPN網關實例后,不支持修改VPN網關實例關聯的交換機實例,您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機以及交換機所屬可用區的信息。
虛擬交換機2
從VPC中選擇第二個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,無需配置該項。
帶寬規格
選擇VPN網關的帶寬峰值。單位:Mbps。
IPsec-VPN
私網類型的VPN網關僅支持IPsec-VPN功能。
本示例保持默認值,即開啟IPsec-VPN功能。
計費周期
選擇購買時長。
您可以選擇是否自動續費:
按月購買:自動續費周期為1個月。
按年購買:自動續費周期為1年。
VPN網關的計費周期。默認值:按小時計費。
服務關聯角色
單擊創建關聯角色,系統自動創建服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他云產品中的資源,更多信息,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已創建,則表示您的賬號下已創建了該角色,無需重復創建。
返回VPN網關頁面,查看已創建的VPN網關并記錄VPN網關的私網IP地址,用于后續IPsec連接的配置。
剛創建好的VPN網關的狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關完成了初始化,可以正常使用。
創建用戶網關。
在左側導航欄,選擇。
在用戶網關頁面,單擊創建用戶網關。
在創建用戶網關面板,根據以下信息進行配置,然后單擊確定。
以下內容僅列舉本示例強相關的配置項及示例值。如果您想要了解更多信息,請參見創建和管理用戶網關。
名稱:輸入用戶網關的名稱。
本示例輸入Customer-Gateway。
IP地址:輸入VPN網關待連接的本地網關設備的VPN IP地址。
本示例輸入192.168.0.251。
自治系統號:輸入本地網關設備的自治系統號。
本示例輸入65530。
創建IPsec連接。
在左側導航欄,選擇。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
以下內容僅列舉本示例強相關的配置項及示例值。如果您想要了解更多信息,請參見創建和管理IPsec連接(單隧道模式)。
配置項
配置項說明
名稱
輸入IPsec連接的名稱。
本示例輸入IPsec連接1。
VPN網關
選擇已創建的VPN網關實例。
本示例選擇VPN網關1。
用戶網關
選擇已創建的用戶網關實例。
本示例選擇Customer-Gateway。
路由模式
選擇路由模式。
本示例選擇目的路由模式。
立即生效
選擇是否立即生效。
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
本示例選擇是。
預共享密鑰
輸入預共享密鑰。
如果不輸入該值,系統默認生成一個16位的隨機字符串。
重要本地網關設備的預共享密鑰需和IPsec連接的預共享密鑰一致。
本示例輸入fddsFF123****。
加密配置
本示例IKE配置的版本選擇ikev2,其余配置項保持默認配置。
BGP配置
本示例開啟BGP配置。各配置項如下:
隧道網段:輸入IPsec隧道的網段。
該網段應是一個在169.254.0.0/16內的掩碼長度為30的網段。
本示例輸入169.254.10.0/30。
本端BGP地址:輸入VPN網關側的BGP IP地址。
該地址為隧道網段內的一個IP地址。
本示例輸入169.254.10.1,則本地IDC側的BGP IP地址為169.254.10.2。
本端自治系統號:輸入VPN網關側的自治系統號。默認值:45104。
本示例使用默認值45104。
重要如果VBR實例和VPN網關均運行BGP動態路由協議,VPN網關側的自治系統號和VBR實例的自治系統號需一致,以便后續做路由控制。
健康檢查
本示例保持默認配置。
IPsec連接創建成功后,在創建成功對話框,單擊確定。
開啟VPN網關的BGP路由自動傳播功能。
開啟BGP路由自動傳播功能后,在VPN網關與本地網關設備成功建立BGP鄰居的情況下,VPN網關會將學習到的本地IDC的網段傳播至VPC中,同時也會將VPC中系統路由表下的路由傳播至本地網關設備。
在左側導航欄,選擇。
在VPN網關頁面,找到VPN網關1,在操作列選擇
> 開啟路由自動傳播。在開啟路由自動傳播對話框,單擊確定。
下載本地網關設備的IPsec連接配置。
在左側導航欄,選擇。
在IPsec連接頁面,找到IPsec連接1,在操作列單擊下載對端配置。
將下載的IPsec連接配置保存在您本地客戶端。
在本地網關設備中添加VPN配置、BGP配置和靜態路由。
依據下載的IPsec連接配置,在本地網關設備中完成VPN配置,并在本地網關設備上添加BGP配置和靜態路由。
以下配置示例僅供參考,不同廠商的設備配置命令可能會有所不同。具體命令,請咨詢相關設備廠商。
登錄本地網關設備的命令行配置界面。
執行以下命令,配置ikev2 proposal和policy。
crypto ikev2 proposal alicloud encryption aes-cbc-128 //配置加密算法,本示例為aes-cbc-128。 integrity sha1 //配置認證算法,本示例為sha1。 group 2 //配置DH分組,本示例為group2。 exit ! crypto ikev2 policy Pureport_Pol_ikev2 proposal alicloud exit !執行以下命令,配置ikev2 keyring。
crypto ikev2 keyring alicloud peer alicloud address 10.0.0.167 //配置云上VPN網關的私網IP地址,本示例為10.0.0.167。 pre-shared-key fddsFF123**** //配置預共享密鑰,本示例為fddsFF123****。 exit !執行以下命令,配置ikev2 profile。
crypto ikev2 profile alicloud match identity remote address 10.0.0.167 255.255.255.255 //匹配云上VPN網關的私網IP地址,本示例為10.0.0.167。 identity local address 192.168.0.251 //本地IDC的VPN IP地址,本示例為192.168.0.251。 authentication remote pre-share //認證對端的方式為PSK(預共享密鑰的方式)。 authentication local pre-share //認證本端的方式為PSK。 keyring local alicloud //調用密鑰串。 exit !執行以下命令,配置transform。
crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode tunnel exit !執行以下命令,配置IPsec Profile,并調用transform、pfs和ikev2 profile。
crypto ipsec profile alicloud set transform-set TSET set pfs group2 set ikev2-profile alicloud exit !執行以下命令,配置IPsec隧道。
interface Tunnel100 ip address 169.254.10.2 255.255.255.252 //配置本地IDC的隧道地址,本示例為169.254.10.2。 tunnel source GigabitEthernet1 tunnel mode ipsec ipv4 tunnel destination 10.0.0.167 //隧道對端的云上VPN網關私網IP地址,本示例為10.0.0.167。 tunnel protection ipsec profile alicloud no shutdown exit ! interface GigabitEthernet1 //配置與云上VPN網關建立IPsec連接的接口IP地址。 ip address 192.168.0.251 255.255.255.0 negotiation auto !執行以下命令,配置BGP路由協議。
重要為了引導VPC去往云下的流量進入VPN網關加密通信通道,在確保通信正常的情況下,您需要在本地網關設備的BGP路由協議中宣告比本地IDC網段更明細的路由。
例如,本示例中本地IDC的網段為192.168.0.0/16,則在本地網關設備的BGP路由協議中宣告的網段需比該網段小,本示例本地網關設備的BGP路由協議宣告的網段為192.168.1.0/24。
router bgp 65530 //開啟BGP路由協議,并配置本地IDC的自治系統號。本示例為65530。 neighbor 169.254.10.1 remote-as 45104 //配置BGP鄰居的AS號,本示例為云上VPN網關的自治系統號45104。 neighbor 169.254.10.1 ebgp-multihop 10 //配置EBGP跳數為10。 ! address-family ipv4 network 192.168.1.0 mask 255.255.255.0 //宣告本地IDC的網段,本示例配置為192.168.1.0/24。 neighbor 169.254.10.1 activate //激活BGP鄰居。 exit-address-family !執行以下命令,配置靜態路由。
ip route 10.0.0.167 255.255.255.255 10.0.0.2 //引導從本地IDC去往云上VPN網關的流量進入物理專線。
步驟四:配置云上路由和路由策略
完成以上配置,本地網關設備和VPN網關之間已經建立了加密通信通道。您還需要為云上網絡實例配置路由,引導云上和云下流量通信時進入加密通信通道。
為VPC添加自定義路由條目。
登錄專有網絡管理控制臺。
在左側導航欄,單擊路由表。
在頂部狀態欄處,選擇路由表所屬的地域。
本示例選擇華東1(杭州)地域。
在路由表頁面,找到目標路由表,單擊路由表實例ID。
本示例找到VPC的系統路由表。
在路由條目列表頁簽下單擊自定義路由條目頁簽,然后單擊添加路由條目。
在添加路由條目面板,配置以下信息,然后單擊確定。
配置項
說明
名稱
輸入自定義路由條目的名稱。
目標網段
輸入自定義路由條目的目標網段。
本示例選擇IPv4網段并輸入本地網關設備VPN IP地址192.168.0.251/32。
下一跳類型
選擇自定義路由條目的下一跳類型。
本示例選擇專線網關。
專線網關
選擇自定義路由條目的下一跳。
本示例選擇ECR。
為VBR實例添加自定義路由條目。
步驟五:測試驗證
完成上述配置后,本地IDC和VPC之間已經可以進行私網加密通信。以下內容為您介紹如何測試本地IDC和VPC之間的私網連通性以及如何驗證流量是否經過VPN網關加密。
測試私網連通性。
登錄ECS1實例。具體操作,請參見ECS遠程連接操作指南。
執行ping命令,訪問本地IDC網段下的任意一臺客戶端,測試本地IDC和VPC之間的私網連通性。
ping <本地IDC客戶端私網IP地址>如果收到回復報文,則證明本地IDC和VPC之間已經實現私網互通。
驗證加密是否生效。
登錄VPN網關管理控制臺。
在頂部狀態欄處,選擇VPN網關所屬的地域。
本示例選擇華東1(杭州)地域。
在左側導航欄,選擇。
在IPsec連接頁面,找到在步驟3中創建的IPsec連接,單擊連接ID。
單擊監控頁簽,查看流量監控數據。