本文為您介紹在邊界路由器VBR(Virtual border router)和私網VPN網關配置靜態路由的場景下,如何通過私網VPN網關(以下簡稱VPN網關)實現私網流量加密通信。
背景信息
在您應用本方案前,建議您先了解私網加密通信原理和配置方案說明。更多信息,請參見通過私網VPN網關實現專線私網流量加密通信。
場景示例
本文以上圖場景為例。某企業在杭州擁有一個本地IDC,在阿里云華東1(杭州)地域擁有一個VPC1,VPC1中使用云服務器ECS(Elastic Compute Service)部署了相關服務。因業務發展,企業計劃使用物理專線和云企業網實現本地IDC和VPC1的相互通信。同時,為了提高企業網絡的安全性,企業希望本地IDC和VPC1之間的流量可以經過加密后再進行傳輸。
在本地IDC已和VPC1實現私網通信的情況下,企業可以在VPC1中創建私網VPN網關,與本地網關設備建立IPsec連接,同時為VBR實例和VPN網關配置靜態路由,實現私網流量的加密傳輸。
準備工作
使用私網VPN網關前,請先向客戶經理申請使用權限或者提交工單申請使用權限。
您需要為本地IDC和網絡實例規劃網段,需確保要互通的網段之間沒有重疊。本示例網段規劃如下:
配置目標
網段規劃
IP地址
VPC1
主網段:10.0.0.0/16
交換機1所屬子網段:10.0.0.0/24
交換機2所屬子網段:10.0.1.0/24
ECS1:10.0.1.1
ECS2:10.0.1.2
VBR
10.0.0.0/30
VLAN ID:0
阿里云側IPv4互聯IP:10.0.0.2/30
客戶側IPv4互聯IP:10.0.0.1/30
本示例中客戶側指本地網關設備。
本地IDC
主網段:192.168.0.0/16
子網段1:192.168.0.0/24
子網段2:192.168.1.0/24
客戶端地址:192.168.1.1
本地網關設備
10.0.0.0/30
192.168.0.0/24
VPN IP地址:192.168.0.251
VPN IP地址是指本地網關設備上待與阿里云VPN網關建立IPsec連接的接口的IP地址。
與物理專線連接的接口IP地址:10.0.0.1
您已經在阿里云華東1(杭州)地域創建了VPC1并使用ECS部署了相關服務。具體操作,請參見創建和管理專有網絡。
請確保VPC1在華東1(杭州)地域企業版轉發路由器支持的可用區中均擁有至少2個交換機實例,2個交換機實例分布在不同的可用區且每個交換機實例擁有一個空閑的IP地址,以便后續云企業網連接VPC1。更多信息,請參見創建VPC連接。
在本示例中,VPC1中包含2個交換機實例,交換機1位于可用區H,交換機2位于可用區I。交換機2用于部署ECS,交換機1僅用于后續關聯VPN網關。
說明在您創建VPC實例時,建議您在VPC實例中單獨創建一個交換機實例用于后續關聯VPN網關,以便交換機實例可以分配私網IP地址至VPN網關。
請檢查本地網關設備,確保本地網關設備支持標準的IKEv1和IKEv2協議,以便和阿里云VPN網關建立連接。關于本地網關設備是否支持標準的IKEv1和IKEv2協議,請咨詢本地網關設備廠商。
您已經了解VPC1中的ECS實例所應用的安全組規則以及本地IDC中客戶端所應用的訪問控制規則,并確保ECS實例的安全組規則以及本地IDC客戶端的訪問控制規則允許本地IDC客戶端與VPC1中的ECS實例互通。具體操作,請參見查詢安全組規則和添加安全組規則。
配置流程
步驟一:部署物理專線
您需要部署物理專線將本地IDC連接至阿里云。
創建物理專線。
您需要在華東1(杭州)地域申請一條物理專線。具體操作,請參見創建和管理獨享專線連接或共享專線連接。
本示例選擇創建獨享專線連接。
創建VBR實例。
登錄高速通道管理控制臺。
在左側導航欄,單擊邊界路由器(VBR)。
在頂部狀態欄,選擇待創建的VBR實例的地域。
本示例選擇華東1(杭州)地域。
在邊界路由器(VBR)頁面,單擊創建邊界路由器。
在創建邊界路由器面板,根據以下信息進行配置,然后單擊確定。
下表僅列舉本示例強相關的配置項。如果您想要了解更多信息,請參見創建和管理邊界路由器。
配置項
說明
賬號類型
本示例選擇當前賬號。
名稱
本示例輸入VBR。
物理專線接口
VLAN ID
本示例輸入0。
設置VBR帶寬值
選擇VBR實例的帶寬峰值。
阿里云側IPv4互聯IP
本示例輸入10.0.0.2。
客戶側IPv4互聯IP
本示例輸入10.0.0.1。
IPv4子網掩碼
本示例輸入255.255.255.252。
為VBR實例添加自定義路由條目。
通過添加自定義路由條目將本地IDC的網段發布至阿里云。
在邊界路由器(VBR)頁面,單擊VBR實例ID。
單擊路由條目頁簽,然后單擊添加路由條目。
在添加路由條目面板,根據以下信息進行配置,然后單擊確定。
配置本地網關設備。
您需要在本地網關設備上配置以下路由條目,引導本地IDC訪問VPC1的流量進入物理專線。
以下配置示例僅供參考,不同廠商的設備配置命令可能會有所不同。具體命令,請咨詢相關設備廠商。
ip route 10.0.0.0 255.255.0.0 10.0.0.2
步驟二:配置云企業網
您需要將VPC1和VBR連接至云企業網,連接后,本地IDC和VPC1可通過云企業網實現私網互通。
創建云企業網實例。
登錄云企業網管理控制臺。
在云企業網實例頁面,單擊創建云企業網實例。
在創建云企業網實例對話框,根據以下信息進行配置,然后單擊確認。
名稱:輸入云企業網實例的名稱。
本示例輸入CEN。
描述:輸入云企業網實例的描述信息。
本示例輸入CEN-for-test-private-VPN-Gateway。
連接VPC實例。
在基本信息頁簽的VPC區域,單擊
圖標。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
配置項
說明
實例類型
選擇待連接的網絡實例類型。
本示例選擇專有網絡(VPC)。
地域
選擇待連接的網絡實例所在的地域。
本示例選擇華東1(杭州)。
轉發路由器
系統自動在該地域下創建轉發路由器實例。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
本示例選擇同賬號。
付費方式
本示例保持默認值按量付費。
按量計費規則,請參見計費說明。
連接名稱
輸入網絡實例連接的名稱。
本示例輸入VPC1-test。
網絡實例
選擇待連接的網絡實例。
本示例選擇VPC1。
交換機
在轉發路由器支持的可用區選擇交換機實例。
如果企業版轉發路由器在當前地域僅支持一個可用區,則您需要在當前可用區選擇一個交換機實例。
如果企業版轉發路由器在當前地域支持多個可用區,則您需要在至少2個可用區中各選擇一個交換機實例。在VPC和企業版轉發路由器流量互通的過程中,這2個交換機實例可以實現可用區級別的容災。
推薦您在每個可用區中都選擇一個交換機實例,以減少流量繞行,體驗更低傳輸時延以及更高性能。
更多信息,請參見創建VPC連接。
高級配置
系統默認幫您選中以下三種高級功能。
自動關聯至轉發路由器的默認路由表
開啟本功能后,VPC連接會自動關聯至轉發路由器的默認路由表,轉發路由器通過查詢默認路由表轉發VPC實例的流量。
自動傳播系統路由至轉發路由器的默認路由表
開啟本功能后,VPC實例會將自身的系統路由傳播至轉發路由器的默認路由表中,用于網絡實例的互通。
自動為VPC的所有路由表配置指向轉發路由器的路由
開啟本功能后,系統將在VPC實例的所有路由表內自動配置10.0.0.0/8、172.16.0.0/12、192.168.0.0/16三條路由條目,其下一跳均指向VPC連接,用于引導VPC實例的IPv4流量進入轉發路由器。轉發路由器默認不向VPC實例傳播路由。
本示例保持默認值。
單擊繼續創建連接,返回連接網絡實例頁面。
連接VBR實例。
在連接網絡實例頁面,根據以下信息進行配置,然后單擊確定創建。
配置項
配置項說明
實例類型
選擇待連接的網絡實例類型。
本示例選擇邊界路由器(VBR)。
地域
選擇待連接的網絡實例所在的地域。
本示例選擇華東1(杭州)。
轉發路由器
系統自動顯示當前地域已創建的轉發路由器實例。
資源歸屬UID
選擇待連接的網絡實例所屬的賬號類型。
本示例選擇同賬號。
連接名稱
輸入網絡實例連接的名稱。
本示例輸入VBR-test。
網絡實例
選擇待連接的網絡實例。
本示例選擇VBR。
高級配置
系統默認幫您選中以下三種高級功能。
自動關聯至轉發路由器的默認路由表
開啟本功能后,VBR連接會自動關聯至轉發路由器的默認路由表,轉發路由器通過查詢默認路由表轉發VBR實例的流量。
自動傳播系統路由至轉發路由器的默認路由表
VBR實例會將自身的系統路由傳播至轉發路由器的默認路由表中,用于網絡實例的互通。
自動發布路由到VBR
開啟本功能后,系統自動將VBR連接關聯的轉發路由器路由表中的路由發布到VBR實例中。
本示例保持默認值。
步驟三:部署VPN網關
完成上述步驟后,本地IDC和VPC1之間可以實現私網互通,但在通信過程中,信息未經過加密。您還需要在VPC1中部署VPN網關,與本地網關設備建立IPsec連接,才能實現私網流量加密通信。
創建VPN網關。
登錄VPN網關管理控制臺。
在頂部菜單欄,選擇VPN網關的地域。
VPN網關的地域需和待關聯的VPC實例的地域相同。本示例選擇華東1(杭州)地域。
在VPN網關頁面,單擊創建VPN網關。
在購買頁面,根據以下信息配置VPN網關,然后單擊立即購買并完成支付。
配置項
說明
實例名稱
輸入VPN網關的名稱。
本示例輸入VPN網關1。
地域和可用區
選擇VPN網關所屬的地域。
本示例選擇華東1(杭州)。
網關類型
選擇VPN網關的類型。
本示例選擇普通型。
網絡類型
選擇VPN網關的網絡類型。
本示例選擇私網。
隧道
系統直接展示當前地域IPsec-VPN連接支持的隧道模式。
VPC
選擇VPN網關待關聯的VPC實例。
本示例選擇VPC1。
虛擬交換機
從VPC1中選擇一個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,您僅需要指定一個交換機實例。
IPsec-VPN連接的隧道模式為雙隧道時,您需要指定兩個交換機實例。
IPsec-VPN功能開啟后,系統會在兩個交換機實例下各創建一個彈性網卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN連接與VPC流量互通的接口。每個ENI會占用交換機下的一個IP地址。
說明系統默認幫您選擇第一個交換機實例,您可以手動修改或者直接使用默認的交換機實例。
創建VPN網關實例后,不支持修改VPN網關實例關聯的交換機實例,您可以在VPN網關實例的詳情頁面查看VPN網關實例關聯的交換機、交換機所屬可用區以及交換機下ENI的信息。
虛擬交換機2
從VPC1中選擇第二個交換機實例。
IPsec-VPN連接的隧道模式為單隧道時,無需配置該項。
帶寬規格
選擇VPN網關的帶寬峰值。單位:Mbps。
IPsec-VPN
私網類型的VPN網關僅支持IPsec-VPN功能。
本示例保持默認值,即開啟IPsec-VPN功能。
計費周期
選擇購買時長。
您可以選擇是否自動續費:
按月購買:自動續費周期為1個月。
按年購買:自動續費周期為1年。
服務關聯角色
單擊創建關聯角色,系統自動創建服務關聯角色AliyunServiceRoleForVpn。
VPN網關使用此角色來訪問其他云產品中的資源,更多信息,請參見AliyunServiceRoleForVpn。
若本配置項顯示為已創建,則表示您的賬號下已創建了該角色,無需重復創建。
返回VPN網關頁面,查看已創建的VPN網關并記錄VPN網關的私網IP地址,用于后續IPsec連接的配置。
剛創建好的VPN網關的狀態是準備中,約1~5分鐘會變成正常狀態。正常狀態表明VPN網關完成了初始化,可以正常使用。
創建用戶網關。
在左側導航欄,選擇。
在用戶網關頁面,單擊創建用戶網關。
在創建用戶網關面板,根據以下信息進行配置,然后單擊確定。
以下內容僅列舉本示例強相關的配置項及示例值。如果您想要了解更多信息,請參見創建和管理用戶網關。
名稱:輸入用戶網關的名稱。
本示例輸入Customer-Gateway。
IP地址:輸入VPN網關待連接的本地網關設備的VPN IP地址。
本示例輸入192.168.0.251。
創建IPsec連接。
在左側導航欄,選擇。
在IPsec連接頁面,單擊創建IPsec連接。
在創建IPsec連接頁面,根據以下信息配置IPsec連接,然后單擊確定。
以下內容僅列舉本示例強相關的配置項及示例值。如果您想要了解更多信息,請參見創建和管理IPsec連接(單隧道模式)。
配置項
配置項說明
名稱
輸入IPsec連接的名稱。
本示例輸入IPsec連接1。
VPN網關
選擇已創建的VPN網關實例。
本示例選擇VPN網關1。
用戶網關
選擇已創建的用戶網關實例。
本示例選擇Customer-Gateway。
路由模式
選擇路由模式。
本示例選擇目的路由模式。
立即生效
選擇是否立即生效。取值:
是:配置完成后立即進行協商。
否:當有流量進入時進行協商。
本示例選擇是。
預共享密鑰
輸入預共享密鑰。
如果不輸入該值,系統默認生成一個16位的隨機字符串。
重要本地網關設備的預共享密鑰需和IPsec連接的預共享密鑰一致。
本示例輸入fddsFF123****。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
本文使用IKEv1版本,其余保持默認值。
其他選項均使用默認配置。
IPsec連接創建成功后,在創建成功對話框,單擊確定。
在本地網關設備中加載VPN配置。
在左側導航欄,選擇。
在IPsec連接頁面,找到目標IPsec連接,然后在操作列單擊下載對端配置。
根據本地網關設備的配置要求,將下載的配置添加到本地網關設備中。具體操作,請參見本地網關設備配置示例。
步驟四:配置云上路由
完成上述配置后,本地網關設備和VPN網關之間已經可以建立加密通信通道了。您還需要為云上網絡實例配置路由,引導云上和云下流量通信時進入加密通信通道。
為VPC1添加自定義路由條目。
登錄專有網絡管理控制臺。
在左側導航欄,單擊路由表。
在頂部狀態欄處,選擇路由表所屬的地域。
本示例選擇華東1(杭州)地域。
在路由表頁面,找到目標路由表,單擊路由表實例ID。
本示例找到VPC1的系統路由表。
在路由條目列表頁簽下單擊自定義路由條目頁簽,然后單擊添加路由條目。
在添加路由條目面板,配置以下信息,然后單擊確定。
配置項
說明
名稱
輸入自定義路由條目的名稱。
目標網段
輸入自定義路由條目的目標網段。
本示例選擇IPv4網段并輸入本地網關設備VPN IP地址192.168.0.251/32。
下一跳類型
選擇自定義路由條目的下一跳類型。
本示例選擇轉發路由器。
轉發路由器
選擇自定義路由條目的下一跳。
本示例選擇VPC1-test。
為VBR實例添加自定義路由條目。
登錄高速通道管理控制臺。
在左側導航欄,單擊邊界路由器(VBR)。
在頂部狀態欄處,選擇VBR實例的地域。
本示例選擇華東1(杭州)地域。
在邊界路由器(VBR)頁面,單擊目標邊界路由器的ID。
單擊路由條目頁簽,然后單擊添加路由條目。
在添加路由條目面板,根據以下信息配置路由條目,然后單擊確定。
為VPN網關添加路由條目。
重要為了引導VPC去往云下的流量進入VPN網關加密通信通道,在確保通信正常的情況下,您需要在VPN網關中添加比本地IDC網段更明細的路由(即路由的目標網段是本地IDC網段的真子集),并將該路由發布至VPC中。
例如,本示例中本地IDC的網段為192.168.0.0/16,則VPN網關中路由條目的目標網段需比該網段小,本示例VPN網關中路由條目的目標網段輸入為192.168.1.0/24。
登錄VPN網關管理控制臺。
在左側導航欄,選擇。
在頂部狀態欄處,選擇VPN網關所屬的地域。
本示例選擇華東1(杭州)地域。
在VPN網關頁面,找到目標VPN網關,單擊目標實例ID。
在目的路由表頁簽,單擊添加路由條目。
在添加路由條目面板,根據以下信息配置目的路由,然后單擊確定。
步驟五:測試驗證
完成上述配置后,本地IDC和VPC1之間已經可以進行私網加密通信。以下內容為您介紹如何測試本地IDC和VPC1之間的私網連通性以及如何驗證流量是否經過VPN網關加密。
測試私網連通性。
登錄ECS1實例。具體操作,請參見ECS遠程連接操作指南。
執行ping命令,訪問本地IDC網段下的任意一臺客戶端,測試本地IDC和VPC1之間的私網連通性。
ping <本地IDC客戶端私網IP地址>如果收到回復報文,則證明本地IDC和VPC1之間已經實現私網互通。
驗證加密是否生效。
如果您可以在IPsec連接詳情頁面查看到流量監控數據,則證明私網流量傳輸過程已經過加密處理。
登錄VPN網關管理控制臺。
在頂部狀態欄處,選擇VPN網關所屬的地域。
本示例選擇華東1(杭州)地域。
在左側導航欄,選擇。
在IPsec連接頁面,找到在步驟3中創建的IPsec連接,單擊連接ID。
進入IPsec連接詳情頁面查看流量監控數據。