IPsec-VPN聯(lián)合云企業(yè)網(wǎng)搭建高速全球網(wǎng)絡(luò)
本文介紹如何組合使用IPsec-VPN(其中IPsec連接綁定VPN網(wǎng)關(guān)實(shí)例)和云企業(yè)網(wǎng)產(chǎn)品實(shí)現(xiàn)多地域本地?cái)?shù)據(jù)中心IDC(Internet Data Center)和VPC之間的任意通信,搭建高質(zhì)量、低成本的跨國(guó)企業(yè)網(wǎng)絡(luò)。
場(chǎng)景說(shuō)明
如果您的阿里云賬號(hào)下不存在公網(wǎng)網(wǎng)絡(luò)類型的VPN網(wǎng)關(guān)實(shí)例,對(duì)于實(shí)現(xiàn)全球任意站點(diǎn)網(wǎng)絡(luò)互通的場(chǎng)景,推薦您使用IPsec連接綁定轉(zhuǎn)發(fā)路由器的方式。
如果您的阿里云賬號(hào)下已經(jīng)創(chuàng)建了公網(wǎng)網(wǎng)絡(luò)類型的VPN網(wǎng)關(guān)實(shí)例,您可以參見(jiàn)本文了解在IPsec連接綁定VPN網(wǎng)關(guān)實(shí)例方式下如何實(shí)現(xiàn)全球任意站點(diǎn)網(wǎng)絡(luò)互通。
企業(yè)在全球范圍內(nèi)部署了多個(gè)本地站點(diǎn)和VPC,在企業(yè)通過(guò)IPsec-VPN連接(其中IPsec連接綁定VPN網(wǎng)關(guān)實(shí)例)將本地站點(diǎn)接入VPC后,本地站點(diǎn)僅能與VPN網(wǎng)關(guān)實(shí)例關(guān)聯(lián)的VPC互通。跨地域的VPC之間、跨地域的多個(gè)本地站點(diǎn)之間默認(rèn)無(wú)法互通。以下圖為例,各個(gè)站點(diǎn)間的網(wǎng)絡(luò)互通情況如下:
VPC1和VPC2之間不支持互通。
數(shù)據(jù)中心1與VPC1互通。數(shù)據(jù)中心1和數(shù)據(jù)中心2與同一個(gè)VPN網(wǎng)關(guān)實(shí)例建立IPsec-VPN連接后支持互通。數(shù)據(jù)中心1與數(shù)據(jù)中心3、數(shù)據(jù)中心4、VPC2不支持互通。
數(shù)據(jù)中心2與VPC1互通。數(shù)據(jù)中心1和數(shù)據(jù)中心2與同一個(gè)VPN網(wǎng)關(guān)實(shí)例建立IPsec-VPN連接后支持互通。數(shù)據(jù)中心2與數(shù)據(jù)中心3、數(shù)據(jù)中心4、VPC2不支持互通。
數(shù)據(jù)中心3與VPC2互通。數(shù)據(jù)中心3和數(shù)據(jù)中心4與同一個(gè)VPN網(wǎng)關(guān)實(shí)例建立IPsec-VPN連接后支持互通。數(shù)據(jù)中心3與數(shù)據(jù)中心1、數(shù)據(jù)中心2、VPC1不支持互通。
數(shù)據(jù)中心4與VPC2互通。數(shù)據(jù)中心3和數(shù)據(jù)中心4與同一個(gè)VPN網(wǎng)關(guān)實(shí)例建立IPsec-VPN連接后支持互通。數(shù)據(jù)中心4與數(shù)據(jù)中心1、數(shù)據(jù)中心2、VPC1不支持互通。
如果企業(yè)需要實(shí)現(xiàn)全球范圍內(nèi)任意站點(diǎn)的相互通信,可以結(jié)合使用云企業(yè)網(wǎng)產(chǎn)品。云企業(yè)網(wǎng)產(chǎn)品可以在VPC之間搭建高質(zhì)量、低時(shí)延的私網(wǎng)通信通道,并支持路由的自動(dòng)分發(fā)和學(xué)習(xí),能快速實(shí)現(xiàn)跨地域VPC的網(wǎng)絡(luò)互通,簡(jiǎn)化路由配置。多個(gè)地域的本地站點(diǎn)基于互通的VPC和云企業(yè)網(wǎng)也可以快速實(shí)現(xiàn)相互通信,從而實(shí)現(xiàn)全球任意站點(diǎn)網(wǎng)絡(luò)互通。
在實(shí)現(xiàn)網(wǎng)絡(luò)互通過(guò)程中,本地站點(diǎn)和VPN網(wǎng)關(guān)實(shí)例之間建立IPsec-VPN連接時(shí)推薦使用靜態(tài)路由方式。
場(chǎng)景示例
本文以下圖場(chǎng)景為例介紹如何組合使用IPsec-VPN(其中IPsec連接綁定VPN網(wǎng)關(guān)實(shí)例)和云企業(yè)網(wǎng)產(chǎn)品實(shí)現(xiàn)全球任意站點(diǎn)互相通信。某跨國(guó)公司在中國(guó)上海和美國(guó)硅谷各有兩個(gè)數(shù)據(jù)中心,且該公司在阿里云華東2(上海)和美國(guó)(硅谷)地域分別創(chuàng)建了VPC1和VPC2,兩個(gè)VPC中均使用云服務(wù)器ECS(Elastic Compute Service)部署了應(yīng)用系統(tǒng)。因業(yè)務(wù)發(fā)展,該公司需要中國(guó)上海的數(shù)據(jù)中心1、數(shù)據(jù)中心2、美國(guó)硅谷的數(shù)據(jù)中心3、數(shù)據(jù)中心4、VPC1、VPC2六個(gè)站點(diǎn)之間可以任意通信。
網(wǎng)段規(guī)劃
在您規(guī)劃網(wǎng)段時(shí),請(qǐng)確保各個(gè)站點(diǎn)之間要互通的網(wǎng)段沒(méi)有重疊。
VPC網(wǎng)段規(guī)劃
VPC實(shí)例名稱 | VPC實(shí)例所屬地域 | VPC實(shí)例網(wǎng)段 | ECS實(shí)例IP地址 |
VPC1 | 華東2(上海) |
| ECS1 IP地址:192.168.99.48 |
VPC2 | 美國(guó)(硅谷) |
| ECS2 IP地址:10.0.10.33 |
本地?cái)?shù)據(jù)中心網(wǎng)段規(guī)劃
數(shù)據(jù)中心名稱 | 數(shù)據(jù)中心所屬地域 | 數(shù)據(jù)中心側(cè)需和VPC互通的網(wǎng)段 | 本地網(wǎng)關(guān)設(shè)備公網(wǎng)IP地址 | 需要與其他站點(diǎn)互通的客戶端地址 |
數(shù)據(jù)中心1 | 中國(guó)上海 | 172.16.10.0/24 |
| 172.16.10.207 |
數(shù)據(jù)中心2 | 中國(guó)上海 | 172.16.40.0/24 |
| 172.16.40.60 |
數(shù)據(jù)中心3 | 美國(guó)硅谷 | 10.10.10.0/24 |
| 10.10.10.201 |
數(shù)據(jù)中心4 | 美國(guó)硅谷 | 10.30.66.0/24 |
| 10.30.66.11 |
準(zhǔn)備工作
您已經(jīng)在阿里云華東2(上海)、美國(guó)(硅谷)地域分別創(chuàng)建了VPC1和VPC2,兩個(gè)VPC中均使用ECS部署了相關(guān)業(yè)務(wù)。具體操作,請(qǐng)參見(jiàn)搭建IPv4專有網(wǎng)絡(luò)。
您已經(jīng)在阿里云華東2(上海)、美國(guó)(硅谷)地域分別創(chuàng)建了一個(gè)公網(wǎng)網(wǎng)絡(luò)類型的VPN網(wǎng)關(guān)實(shí)例,并確保2個(gè)VPN網(wǎng)關(guān)實(shí)例的IPsec-VPN功能均已開(kāi)啟。具體操作,請(qǐng)參見(jiàn)開(kāi)啟IPsec-VPN。
說(shuō)明本文將以支持雙隧道模式IPsec-VPN連接的VPN網(wǎng)關(guān)實(shí)例作為示例。如果您擁有的VPN網(wǎng)關(guān)實(shí)例僅支持單隧道模式的IPsec-VPN連接,推薦您進(jìn)行升級(jí),雙隧道模式的IPsec-VPN連接擁有可用區(qū)級(jí)別的容災(zāi)能力。具體操作,請(qǐng)參見(jiàn)升級(jí)IPsec-VPN連接為雙隧道模式。
本場(chǎng)景中,VPN網(wǎng)關(guān)實(shí)例關(guān)聯(lián)的VPC實(shí)例信息,以及系統(tǒng)為VPN網(wǎng)關(guān)實(shí)例分配的IP地址如下表所示。VPN網(wǎng)關(guān)實(shí)例IP地址后續(xù)將用于創(chuàng)建IPsec-VPN連接。
VPN網(wǎng)關(guān)實(shí)例的名稱
VPN網(wǎng)關(guān)實(shí)例所屬地域
網(wǎng)關(guān)類型
網(wǎng)絡(luò)類型
隧道
VPN網(wǎng)關(guān)實(shí)例關(guān)聯(lián)的VPC實(shí)例
VPN網(wǎng)關(guān)IP地址
VPN網(wǎng)關(guān)1
華東2(上海)
普通型
公網(wǎng)
雙隧道
VPC1
IPsec地址1:47.XX.XX.87
IPsec地址2:47.XX.XX.78
VPN網(wǎng)關(guān)2
美國(guó)(硅谷)
普通型
公網(wǎng)
雙隧道
VPC2
IPsec地址1:47.XX.XX.207
IPsec地址2:47.XX.XX.15
操作步驟
步驟一:創(chuàng)建用戶網(wǎng)關(guān)
您需要?jiǎng)?chuàng)建用戶網(wǎng)關(guān)將數(shù)據(jù)中心本地網(wǎng)關(guān)設(shè)備的公網(wǎng)IP地址注冊(cè)到阿里云上,VPN網(wǎng)關(guān)實(shí)例僅能通過(guò)注冊(cè)過(guò)的IP地址(用戶網(wǎng)關(guān))與本地?cái)?shù)據(jù)中心建立IPsec-VPN連接。
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄,選擇用戶網(wǎng)關(guān)實(shí)例的地域。
說(shuō)明用戶網(wǎng)關(guān)實(shí)例的地域必須和待連接的VPN網(wǎng)關(guān)實(shí)例的地域相同。
在用戶網(wǎng)關(guān)頁(yè)面,單擊創(chuàng)建用戶網(wǎng)關(guān)。
在創(chuàng)建用戶網(wǎng)關(guān)面板,根據(jù)以下信息配置用戶網(wǎng)關(guān)實(shí)例,然后單擊確定。
您需要?jiǎng)?chuàng)建8個(gè)用戶網(wǎng)關(guān)實(shí)例,將4個(gè)本地網(wǎng)關(guān)設(shè)備的8個(gè)公網(wǎng)IP地址注冊(cè)到阿里云上。用戶網(wǎng)關(guān)實(shí)例的配置請(qǐng)參見(jiàn)下表,其余配置項(xiàng)保持默認(rèn)狀態(tài)。更多信息,請(qǐng)參見(jiàn)創(chuàng)建和管理用戶網(wǎng)關(guān)。
用戶網(wǎng)關(guān)所屬地域
用戶網(wǎng)關(guān)的名稱
用戶網(wǎng)關(guān)的IP地址
華東2(上海)
用戶網(wǎng)關(guān)1
本文輸入本地網(wǎng)關(guān)設(shè)備1的公網(wǎng)IP地址147.XX.XX.23。
用戶網(wǎng)關(guān)2
本文輸入本地網(wǎng)關(guān)設(shè)備1的公網(wǎng)IP地址247.XX.XX.32。
用戶網(wǎng)關(guān)3
本文輸入本地網(wǎng)關(guān)設(shè)備2的公網(wǎng)IP地址147.XX.XX.69。
用戶網(wǎng)關(guān)4
本文輸入本地網(wǎng)關(guān)設(shè)備2的公網(wǎng)IP地址247.XX.XX.71。
美國(guó)(硅谷)
用戶網(wǎng)關(guān)5
本文輸入本地網(wǎng)關(guān)設(shè)備3的公網(wǎng)IP地址157.XX.XX.11。
用戶網(wǎng)關(guān)6
本文輸入本地網(wǎng)關(guān)設(shè)備3的公網(wǎng)IP地址247.XX.XX.191。
用戶網(wǎng)關(guān)7
本文輸入本地網(wǎng)關(guān)設(shè)備4的公網(wǎng)IP地址157.XX.XX.22。
用戶網(wǎng)關(guān)8
本文輸入本地網(wǎng)關(guān)設(shè)備4的公網(wǎng)IP地址247.XX.XX.234。
步驟二:創(chuàng)建IPsec連接
您需要在兩個(gè)VPN網(wǎng)關(guān)實(shí)例下各創(chuàng)建2個(gè)IPsec連接,創(chuàng)建IPsec連接時(shí)指定隧道的加密算法以及要對(duì)接的數(shù)據(jù)中心,每個(gè)IPsec連接對(duì)接一個(gè)數(shù)據(jù)中心。
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄,選擇IPsec連接的地域。
在IPsec連接頁(yè)面,單擊創(chuàng)建IPsec連接。
在創(chuàng)建IPsec連接頁(yè)面,根據(jù)以下信息配置IPsec連接,然后單擊確定。
IPsec連接的主要配置請(qǐng)參見(jiàn)下表,其余配置項(xiàng)保持默認(rèn)狀態(tài)。更多信息,請(qǐng)參見(jiàn)創(chuàng)建和管理IPsec連接(雙隧道模式)。
配置項(xiàng)
IPsec連接1
IPsec連接2
IPsec連接3
IPsec連接4
名稱
定義為IPsec連接1。
定義為IPsec連接2。
定義為IPsec連接3。
定義為IPsec連接4。
綁定資源
選擇VPN網(wǎng)關(guān)。
VPN網(wǎng)關(guān)
選擇VPN網(wǎng)關(guān)1。
選擇VPN網(wǎng)關(guān)1。
選擇VPN網(wǎng)關(guān)2。
選擇VPN網(wǎng)關(guān)2。
路由模式
當(dāng)前場(chǎng)景待互通網(wǎng)段較多,本文使用目的路由模式。
立即生效
保持默認(rèn)值是,在IPsec連接配置完成后,會(huì)立即開(kāi)始IPsec-VPN連接協(xié)商。
Tunnel 1
用戶網(wǎng)關(guān)
關(guān)聯(lián)用戶網(wǎng)關(guān)1。
關(guān)聯(lián)用戶網(wǎng)關(guān)3。
關(guān)聯(lián)用戶網(wǎng)關(guān)5。
關(guān)聯(lián)用戶網(wǎng)關(guān)7。
預(yù)共享密鑰
重要IPsec連接及其對(duì)端網(wǎng)關(guān)設(shè)備配置的預(yù)共享密鑰需一致,否則系統(tǒng)無(wú)法正常建立IPsec-VPN連接。
fddsFF111****。
fddsFF333****。
fddsFF555****。
fddsFF777****。
加密配置
除以下參數(shù)外,其余配置項(xiàng)保持默認(rèn)值。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說(shuō)明您需要根據(jù)本地網(wǎng)關(guān)設(shè)備的支持情況選擇加密配置參數(shù),確保IPsec連接和本地網(wǎng)關(guān)設(shè)備的加密配置保持一致。
Tunnel 2
用戶網(wǎng)關(guān)
關(guān)聯(lián)用戶網(wǎng)關(guān)2。
關(guān)聯(lián)用戶網(wǎng)關(guān)4。
關(guān)聯(lián)用戶網(wǎng)關(guān)6。
關(guān)聯(lián)用戶網(wǎng)關(guān)8。
預(yù)共享密鑰
fddsFF222****。
fddsFF444****。
fddsFF666****。
fddsFF888****。
加密配置
除以下參數(shù)外,其余配置項(xiàng)保持默認(rèn)值。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說(shuō)明您需要根據(jù)本地網(wǎng)關(guān)設(shè)備的支持情況選擇加密配置參數(shù),確保IPsec連接和本地網(wǎng)關(guān)設(shè)備的加密配置保持一致。
在創(chuàng)建成功對(duì)話框中,單擊取消。
保持在IPsec連接頁(yè)面,找到創(chuàng)建的IPsec連接,在操作列單擊生成對(duì)端配置。
對(duì)端配置是指需要在IPsec連接對(duì)端添加的VPN配置。本文場(chǎng)景中您需要將這些配置添加在本地網(wǎng)關(guān)設(shè)備上。
在IPsec連接配置對(duì)話框,復(fù)制配置并保存在您的本地,用于后續(xù)配置本地網(wǎng)關(guān)設(shè)備。
配置完成后,VPC實(shí)例、VPN網(wǎng)關(guān)實(shí)例、IPsec連接、用戶網(wǎng)關(guān)實(shí)例、數(shù)據(jù)中心之間的對(duì)應(yīng)關(guān)系如下表所示。
VPC實(shí)例名稱
VPN網(wǎng)關(guān)實(shí)例名稱
IPsec連接名稱
隧道
隧道關(guān)聯(lián)的用戶網(wǎng)關(guān)實(shí)例名稱
對(duì)接的數(shù)據(jù)中心
VPC1
VPN網(wǎng)關(guān)1
IPsec連接1
主隧道
用戶網(wǎng)關(guān)1
數(shù)據(jù)中心1
備隧道
用戶網(wǎng)關(guān)2
IPsec連接2
主隧道
用戶網(wǎng)關(guān)3
數(shù)據(jù)中心2
備隧道
用戶網(wǎng)關(guān)4
VPC2
VPN網(wǎng)關(guān)2
IPsec連接3
主隧道
用戶網(wǎng)關(guān)5
數(shù)據(jù)中心3
備隧道
用戶網(wǎng)關(guān)6
IPsec連接4
主隧道
用戶網(wǎng)關(guān)7
數(shù)據(jù)中心4
備隧道
用戶網(wǎng)關(guān)8
步驟三:配置VPN網(wǎng)關(guān)路由
創(chuàng)建IPsec連接后,您需要在VPN網(wǎng)關(guān)實(shí)例中添加去往數(shù)據(jù)中心的路由。本文以目的路由為例,更多路由配置方式,請(qǐng)參見(jiàn)VPN網(wǎng)關(guān)路由配置概述。
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄,選擇VPN網(wǎng)關(guān)實(shí)例的地域。
在VPN網(wǎng)關(guān)頁(yè)面,找到目標(biāo)VPN網(wǎng)關(guān)實(shí)例,單擊實(shí)例ID。
單擊目的路由表頁(yè)簽,單擊添加路由條目。
在添加路由條目面板,根據(jù)以下信息配置目的路由,然后單擊確定。
在VPN網(wǎng)關(guān)1中添加去往數(shù)據(jù)中心1和數(shù)據(jù)中心2的路由。在VPN網(wǎng)關(guān)2中添加去往數(shù)據(jù)中心3和數(shù)據(jù)中心4的路由。
配置項(xiàng)
VPN網(wǎng)關(guān)1
VPN網(wǎng)關(guān)2
目標(biāo)網(wǎng)段
輸入數(shù)據(jù)中心1的網(wǎng)段172.16.10.0/24。
輸入數(shù)據(jù)中心2的網(wǎng)段172.16.40.0/24。
輸入數(shù)據(jù)中心3的網(wǎng)段10.10.0.0/16。
輸入數(shù)據(jù)中心4的網(wǎng)段10.30.0.0/16。
下一跳類型
選擇IPsec連接。
選擇IPsec連接。
選擇IPsec連接。
選擇IPsec連接。
下一跳
選擇IPsec連接1。
選擇IPsec連接2。
選擇IPsec連接3。
選擇IPsec連接4。
發(fā)布到VPC
保持默認(rèn)值是。
目的路由條目添加完成后,VPN網(wǎng)關(guān)會(huì)自動(dòng)將數(shù)據(jù)中心1和數(shù)據(jù)中心2的路由發(fā)布到VPC1的系統(tǒng)路由表中。
保持默認(rèn)值是。
目的路由條目添加完成后,VPN網(wǎng)關(guān)會(huì)自動(dòng)將數(shù)據(jù)中心3和數(shù)據(jù)中心4的路由發(fā)布到VPC2的系統(tǒng)路由表中。
步驟四:配置本地網(wǎng)關(guān)設(shè)備
完成上述配置后,您需要在本地網(wǎng)關(guān)設(shè)備上添加VPN配置和路由配置,使本地網(wǎng)關(guān)設(shè)備與VPN網(wǎng)關(guān)之間成功建立IPsec-VPN連接,同時(shí)使數(shù)據(jù)中心去往其他站點(diǎn)的流量?jī)?yōu)先通過(guò)主隧道進(jìn)行傳出,在主隧道中斷后自動(dòng)切換至備隧道進(jìn)行傳輸。
本文以思科防火墻ASA(軟件版本9.19.1)作為配置示例。不同軟件版本的配置命令可能會(huì)有所差異,操作時(shí)請(qǐng)根據(jù)您的實(shí)際環(huán)境查詢對(duì)應(yīng)文檔或咨詢相關(guān)廠商。更多本地網(wǎng)關(guān)設(shè)備配置示例,請(qǐng)參見(jiàn)本地網(wǎng)關(guān)設(shè)備配置示例。
以下內(nèi)容包含的第三方產(chǎn)品信息僅供參考。阿里云對(duì)第三方產(chǎn)品的性能、可靠性以及操作可能帶來(lái)的潛在影響,不做任何暗示或其他形式的承諾。
本地網(wǎng)關(guān)設(shè)備1配置示例
登錄思科防火墻的命令行窗口并進(jìn)入配置模式。
ciscoasa> enable Password: ******** #輸入進(jìn)入enable模式的密碼。 ciscoasa# configure terminal #進(jìn)入配置模式。 ciscoasa(config)#查看接口配置和公網(wǎng)路由配置。
思科防火墻已完成了接口配置,并已開(kāi)啟接口。以下為本文的接口配置示例。
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 47.XX.XX.23 255.255.255.255 #GigabitEthernet0/0接口配置的公網(wǎng)IP地址。 ! interface GigabitEthernet0/1 #連接本地?cái)?shù)據(jù)中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地?cái)?shù)據(jù)中心接口(私網(wǎng)接口)的security-level低于公網(wǎng)接口。 ip address 172.16.10.217 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 ! interface GigabitEthernet0/2 nameif outside2 #GigabitEthernet0/2接口名稱。 security-level 0 ip address 47.XX.XX.32 255.255.255.255 #GigabitEthernet0/2接口配置的公網(wǎng)IP地址。 ! route outside1 47.XX.XX.87 255.255.255.255 192.XX.XX.172 #配置訪問(wèn)阿里云側(cè)隧道1公網(wǎng)IP地址的路由,下一跳為公網(wǎng)地址。 route outside2 47.XX.XX.78 255.255.255.255 192.XX.XX.158 #配置訪問(wèn)阿里云側(cè)隧道2公網(wǎng)IP地址的路由,下一跳為公網(wǎng)地址。 route private 172.16.10.0 255.255.255.0 172.16.10.216 #配置去往本地?cái)?shù)據(jù)中心的路由。為公網(wǎng)接口開(kāi)啟IKEv2功能。
crypto ikev2 enable outside1 crypto ikev2 enable outside2創(chuàng)建IKEv2 Policy,指定IKE階段認(rèn)證算法、加密算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
重要阿里云側(cè)配置IPsec連接時(shí),IKE配置階段的加密算法、認(rèn)證算法和DH分組均只支持指定一個(gè)值,不支持指定多個(gè)值。建議在思科防火墻中IKE配置階段的加密算法、認(rèn)證算法和DH分組也均只指定一個(gè)值,該值需與阿里云側(cè)保持一致。
crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認(rèn)證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側(cè)prf與認(rèn)證算法默認(rèn)保持一致。 lifetime seconds 86400 #指定SA生存周期。創(chuàng)建IPsec proposal和profile,指定思科防火墻側(cè)的IPsec階段加密算法、認(rèn)證算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
重要阿里云側(cè)配置IPsec連接時(shí),IPsec配置階段的加密算法、認(rèn)證算法和DH分組均只支持指定一個(gè)值,不支持指定多個(gè)值。建議在思科防火墻中IPsec配置階段的加密算法、認(rèn)證算法和DH分組也均只指定一個(gè)值,該值需與阿里云側(cè)保持一致。
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec proposal。 protocol esp encryption aes #指定加密算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 protocol esp integrity sha-1 #指定認(rèn)證算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec profile并應(yīng)用已創(chuàng)建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側(cè)RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時(shí)間的SA生存周期。 set security-association lifetime kilobytes unlimited #關(guān)閉基于流量的SA生存周期。創(chuàng)建tunnel group,指定隧道的預(yù)共享密鑰,需和阿里云側(cè)保持一致。
tunnel-group 47.XX.XX.87 type ipsec-l2l #指定隧道1的封裝模式為l2l。 tunnel-group 47.XX.XX.87 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF111**** #指定隧道1對(duì)端的預(yù)共享密鑰,即阿里云側(cè)的預(yù)共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF111**** #指定隧道1本段的預(yù)共享密鑰,需和阿里云側(cè)的保持一致。 ! tunnel-group 47.XX.XX.78 type ipsec-l2l #指定隧道2的封裝模式為l2l。 tunnel-group 47.XX.XX.78 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF222**** #指定隧道2對(duì)端的預(yù)共享密鑰,即阿里云側(cè)的預(yù)共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF222**** #指定隧道2本段的預(yù)共享密鑰,需和阿里云側(cè)的保持一致。 !創(chuàng)建tunnel接口。
interface Tunnel1 #創(chuàng)建隧道1的接口。 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道1源地址為公網(wǎng)接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.87 #指定隧道1目的地址為阿里云側(cè)隧道1的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道1應(yīng)用ipsec profile ALIYUN-PROFILE。 no shutdown #開(kāi)啟隧道1接口。 ! interface Tunnel2 #創(chuàng)建隧道2的接口。 nameif ALIYUN2 ip address 169.254.20.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside2 #指定隧道2源地址為公網(wǎng)接口GigabitEthernet0/2。 tunnel destination 47.XX.XX.78 #指定隧道2目的地址為阿里云側(cè)隧道2的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道2應(yīng)用ipsec profile ALIYUN-PROFILE。 no shutdown #開(kāi)啟隧道2接口。 !配置去往其他站點(diǎn)的靜態(tài)路由。
指定數(shù)據(jù)中心1去往其他站點(diǎn)的流量?jī)?yōu)先通過(guò)隧道1接口傳輸,該路由優(yōu)先級(jí)較高。 route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.87 4 #配置去往數(shù)據(jù)中心2的路由。 route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.87 4 #配置去往數(shù)據(jù)中心4的路由。 route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.87 4 #配置去往數(shù)據(jù)中心3的路由。 route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.87 4 #配置去往阿里云VPC2的路由。 route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.87 4 #配置去往阿里云VPC1的路由。 指定數(shù)據(jù)中心1去往其他站點(diǎn)的流量通過(guò)隧道2接口傳輸,該路由優(yōu)先級(jí)低于指向隧道1接口的路由。 route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.78 5 route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.78 5請(qǐng)根據(jù)您的實(shí)際網(wǎng)絡(luò)環(huán)境按需在數(shù)據(jù)中心1添加路由配置,使數(shù)據(jù)中心1中的客戶端可以通過(guò)思科防火墻訪問(wèn)其他站點(diǎn)。
本地網(wǎng)關(guān)設(shè)備2配置示例
登錄思科防火墻的命令行窗口并進(jìn)入配置模式。
ciscoasa> enable Password: ******** #輸入進(jìn)入enable模式的密碼。 ciscoasa# configure terminal #進(jìn)入配置模式。 ciscoasa(config)#查看接口配置和公網(wǎng)路由配置。
思科防火墻已完成了接口配置,并已開(kāi)啟接口。以下為本文的接口配置示例。
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 47.XX.XX.69 255.255.255.255 #GigabitEthernet0/0接口配置的公網(wǎng)IP地址。 ! interface GigabitEthernet0/1 #連接本地?cái)?shù)據(jù)中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地?cái)?shù)據(jù)中心接口(私網(wǎng)接口)的security-level低于公網(wǎng)接口。 ip address 172.16.40.217 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 ! interface GigabitEthernet0/2 nameif outside2 #GigabitEthernet0/2接口名稱。 security-level 0 ip address 47.XX.XX.71 255.255.255.255 #GigabitEthernet0/2接口配置的公網(wǎng)IP地址。 ! route outside1 47.XX.XX.87 255.255.255.255 192.XX.XX.172 #配置訪問(wèn)阿里云側(cè)隧道1公網(wǎng)IP地址的路由,下一跳為公網(wǎng)地址。 route outside2 47.XX.XX.78 255.255.255.255 192.XX.XX.158 #配置訪問(wèn)阿里云側(cè)隧道2公網(wǎng)IP地址的路由,下一跳為公網(wǎng)地址。 route private 172.16.40.0 255.255.255.0 172.16.40.216 #配置去往本地?cái)?shù)據(jù)中心的路由。為公網(wǎng)接口開(kāi)啟IKEv2功能。
crypto ikev2 enable outside1 crypto ikev2 enable outside2創(chuàng)建IKEv2 Policy,指定IKE階段認(rèn)證算法、加密算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
重要阿里云側(cè)配置IPsec連接時(shí),IKE配置階段的加密算法、認(rèn)證算法和DH分組均只支持指定一個(gè)值,不支持指定多個(gè)值。建議在思科防火墻中IKE配置階段的加密算法、認(rèn)證算法和DH分組也均只指定一個(gè)值,該值需與阿里云側(cè)保持一致。
crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認(rèn)證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側(cè)prf與認(rèn)證算法默認(rèn)保持一致。 lifetime seconds 86400 #指定SA生存周期。創(chuàng)建IPsec proposal和profile,指定思科防火墻側(cè)的IPsec階段加密算法、認(rèn)證算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
重要阿里云側(cè)配置IPsec連接時(shí),IPsec配置階段的加密算法、認(rèn)證算法和DH分組均只支持指定一個(gè)值,不支持指定多個(gè)值。建議在思科防火墻中IPsec配置階段的加密算法、認(rèn)證算法和DH分組也均只指定一個(gè)值,該值需與阿里云側(cè)保持一致。
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec proposal。 protocol esp encryption aes #指定加密算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 protocol esp integrity sha-1 #指定認(rèn)證算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec profile并應(yīng)用已創(chuàng)建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側(cè)RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時(shí)間的SA生存周期。 set security-association lifetime kilobytes unlimited #關(guān)閉基于流量的SA生存周期。創(chuàng)建tunnel group,指定隧道的預(yù)共享密鑰,需和阿里云側(cè)保持一致。
tunnel-group 47.XX.XX.87 type ipsec-l2l #指定隧道1的封裝模式為l2l。 tunnel-group 47.XX.XX.87 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF333**** #指定隧道1對(duì)端的預(yù)共享密鑰,即阿里云側(cè)的預(yù)共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF333**** #指定隧道1本段的預(yù)共享密鑰,需和阿里云側(cè)的保持一致。 ! tunnel-group 47.XX.XX.78 type ipsec-l2l #指定隧道2的封裝模式為l2l。 tunnel-group 47.XX.XX.78 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF444**** #指定隧道2對(duì)端的預(yù)共享密鑰,即阿里云側(cè)的預(yù)共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF444**** #指定隧道2本段的預(yù)共享密鑰,需和阿里云側(cè)的保持一致。 !創(chuàng)建tunnel接口。
interface Tunnel1 #創(chuàng)建隧道1的接口。 nameif ALIYUN1 ip address 169.254.11.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道1源地址為公網(wǎng)接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.87 #指定隧道1目的地址為阿里云側(cè)隧道1的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道1應(yīng)用ipsec profile ALIYUN-PROFILE。 no shutdown #開(kāi)啟隧道1接口。 ! interface Tunnel2 #創(chuàng)建隧道2的接口。 nameif ALIYUN2 ip address 169.254.21.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside2 #指定隧道2源地址為公網(wǎng)接口GigabitEthernet0/2。 tunnel destination 47.XX.XX.78 #指定隧道2目的地址為阿里云側(cè)隧道2的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道2應(yīng)用ipsec profile ALIYUN-PROFILE。 no shutdown #開(kāi)啟隧道2接口。 !配置去往其他站點(diǎn)的靜態(tài)路由。
指定數(shù)據(jù)中心2去往其他站點(diǎn)的流量?jī)?yōu)先通過(guò)隧道1接口傳輸,該路由優(yōu)先級(jí)較高。 route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.87 4 #配置去往數(shù)據(jù)中心1的路由。 route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.87 4 #配置去往數(shù)據(jù)中心4的路由。 route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.87 4 #配置去往數(shù)據(jù)中心3的路由。 route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.87 4 #配置去往阿里云VPC2的路由。 route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.87 4 #配置去往阿里云VPC1的路由。 指定數(shù)據(jù)中心2去往其他站點(diǎn)的流量通過(guò)隧道2接口傳輸,該路由優(yōu)先級(jí)低于指向隧道1接口的路由。 route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.78 5 route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.78 5 route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.78 5請(qǐng)根據(jù)您的實(shí)際網(wǎng)絡(luò)環(huán)境按需在數(shù)據(jù)中心2添加路由配置,使數(shù)據(jù)中心2中的客戶端可以通過(guò)思科防火墻訪問(wèn)其他站點(diǎn)。
本地網(wǎng)關(guān)設(shè)備3配置示例
登錄思科防火墻的命令行窗口并進(jìn)入配置模式。
ciscoasa> enable Password: ******** #輸入進(jìn)入enable模式的密碼。 ciscoasa# configure terminal #進(jìn)入配置模式。 ciscoasa(config)#查看接口配置和公網(wǎng)路由配置。
思科防火墻已完成了接口配置,并已開(kāi)啟接口。以下為本文的接口配置示例。
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 57.XX.XX.11 255.255.255.255 #GigabitEthernet0/0接口配置的公網(wǎng)IP地址。 ! interface GigabitEthernet0/1 #連接本地?cái)?shù)據(jù)中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地?cái)?shù)據(jù)中心接口(私網(wǎng)接口)的security-level低于公網(wǎng)接口。 ip address 10.10.10.217 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 ! interface GigabitEthernet0/2 nameif outside2 #GigabitEthernet0/2接口名稱。 security-level 0 ip address 57.XX.XX.191 255.255.255.255 #GigabitEthernet0/2接口配置的公網(wǎng)IP地址。 ! route outside1 47.XX.XX.207 255.255.255.255 192.XX.XX.172 #配置訪問(wèn)阿里云側(cè)隧道1公網(wǎng)IP地址的路由,下一跳為公網(wǎng)地址。 route outside2 47.XX.XX.15 255.255.255.255 192.XX.XX.158 #配置訪問(wèn)阿里云側(cè)隧道2公網(wǎng)IP地址的路由,下一跳為公網(wǎng)地址。 route private 10.10.10.0 255.255.255.0 10.10.10.216 #配置去往本地?cái)?shù)據(jù)中心的路由。為公網(wǎng)接口開(kāi)啟IKEv2功能。
crypto ikev2 enable outside1 crypto ikev2 enable outside2創(chuàng)建IKEv2 Policy,指定IKE階段認(rèn)證算法、加密算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
重要阿里云側(cè)配置IPsec連接時(shí),IKE配置階段的加密算法、認(rèn)證算法和DH分組均只支持指定一個(gè)值,不支持指定多個(gè)值。建議在思科防火墻中IKE配置階段的加密算法、認(rèn)證算法和DH分組也均只指定一個(gè)值,該值需與阿里云側(cè)保持一致。
crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認(rèn)證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側(cè)prf與認(rèn)證算法默認(rèn)保持一致。 lifetime seconds 86400 #指定SA生存周期。創(chuàng)建IPsec proposal和profile,指定思科防火墻側(cè)的IPsec階段加密算法、認(rèn)證算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
重要阿里云側(cè)配置IPsec連接時(shí),IPsec配置階段的加密算法、認(rèn)證算法和DH分組均只支持指定一個(gè)值,不支持指定多個(gè)值。建議在思科防火墻中IPsec配置階段的加密算法、認(rèn)證算法和DH分組也均只指定一個(gè)值,該值需與阿里云側(cè)保持一致。
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec proposal。 protocol esp encryption aes #指定加密算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 protocol esp integrity sha-1 #指定認(rèn)證算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec profile并應(yīng)用已創(chuàng)建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側(cè)RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時(shí)間的SA生存周期。 set security-association lifetime kilobytes unlimited #關(guān)閉基于流量的SA生存周期。創(chuàng)建tunnel group,指定隧道的預(yù)共享密鑰,需和阿里云側(cè)保持一致。
tunnel-group 47.XX.XX.207 type ipsec-l2l #指定隧道1的封裝模式為l2l。 tunnel-group 47.XX.XX.207 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF555**** #指定隧道1對(duì)端的預(yù)共享密鑰,即阿里云側(cè)的預(yù)共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF555**** #指定隧道1本段的預(yù)共享密鑰,需和阿里云側(cè)的保持一致。 ! tunnel-group 47.XX.XX.15 type ipsec-l2l #指定隧道2的封裝模式為l2l。 tunnel-group 47.XX.XX.15 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF666**** #指定隧道2對(duì)端的預(yù)共享密鑰,即阿里云側(cè)的預(yù)共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF666**** #指定隧道2本段的預(yù)共享密鑰,需和阿里云側(cè)的保持一致。 !創(chuàng)建tunnel接口。
interface Tunnel1 #創(chuàng)建隧道1的接口。 nameif ALIYUN1 ip address 169.254.12.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道1源地址為公網(wǎng)接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.207 #指定隧道1目的地址為阿里云側(cè)隧道1的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道1應(yīng)用ipsec profile ALIYUN-PROFILE。 no shutdown #開(kāi)啟隧道1接口。 ! interface Tunnel2 #創(chuàng)建隧道2的接口。 nameif ALIYUN2 ip address 169.254.22.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside2 #指定隧道2源地址為公網(wǎng)接口GigabitEthernet0/2。 tunnel destination 47.XX.XX.15 #指定隧道2目的地址為阿里云側(cè)隧道2的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道2應(yīng)用ipsec profile ALIYUN-PROFILE。 no shutdown #開(kāi)啟隧道2接口。 !配置去往其他站點(diǎn)的靜態(tài)路由。
指定數(shù)據(jù)中心3去往其他站點(diǎn)的流量?jī)?yōu)先通過(guò)隧道1接口傳輸,該路由優(yōu)先級(jí)較高。 route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.207 4 #配置去往數(shù)據(jù)中心2的路由。 route ALIYUN1 10.30.0.0 255.255.0.0 47.XX.XX.207 4 #配置去往數(shù)據(jù)中心4的路由。 route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.207 4 #配置去往數(shù)據(jù)中心1的路由。 route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.207 4 #配置去往阿里云VPC2的路由。 route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.207 4 #配置去往阿里云VPC1的路由。 指定數(shù)據(jù)中心3去往其他站點(diǎn)的流量通過(guò)隧道2接口傳輸,該路由優(yōu)先級(jí)低于指向隧道1接口的路由。 route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.15 5 route ALIYUN2 10.30.0.0 255.255.0.0 47.XX.XX.15 5 route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.15 5 route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.15 5 route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.15 5請(qǐng)根據(jù)您的實(shí)際網(wǎng)絡(luò)環(huán)境按需在數(shù)據(jù)中心3添加路由配置,使數(shù)據(jù)中心3中的客戶端可以通過(guò)思科防火墻訪問(wèn)其他站點(diǎn)。
本地網(wǎng)關(guān)設(shè)備4配置示例
登錄思科防火墻的命令行窗口并進(jìn)入配置模式。
ciscoasa> enable Password: ******** #輸入進(jìn)入enable模式的密碼。 ciscoasa# configure terminal #進(jìn)入配置模式。 ciscoasa(config)#查看接口配置和公網(wǎng)路由配置。
思科防火墻已完成了接口配置,并已開(kāi)啟接口。以下為本文的接口配置示例。
ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 57.XX.XX.22 255.255.255.255 #GigabitEthernet0/0接口配置的公網(wǎng)IP地址。 ! interface GigabitEthernet0/1 #連接本地?cái)?shù)據(jù)中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地?cái)?shù)據(jù)中心接口(私網(wǎng)接口)的security-level低于公網(wǎng)接口。 ip address 10.30.66.217 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 ! interface GigabitEthernet0/2 nameif outside2 #GigabitEthernet0/2接口名稱。 security-level 0 ip address 57.XX.XX.234 255.255.255.255 #GigabitEthernet0/2接口配置的公網(wǎng)IP地址。 ! route outside1 47.XX.XX.207 255.255.255.255 192.XX.XX.172 #配置訪問(wèn)阿里云側(cè)隧道1公網(wǎng)IP地址的路由,下一跳為公網(wǎng)地址。 route outside2 47.XX.XX.15 255.255.255.255 192.XX.XX.158 #配置訪問(wèn)阿里云側(cè)隧道2公網(wǎng)IP地址的路由,下一跳為公網(wǎng)地址。 route private 10.30.66.0 255.255.255.0 10.30.66.216 #配置去往本地?cái)?shù)據(jù)中心的路由。為公網(wǎng)接口開(kāi)啟IKEv2功能。
crypto ikev2 enable outside1 crypto ikev2 enable outside2創(chuàng)建IKEv2 Policy,指定IKE階段認(rèn)證算法、加密算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
重要阿里云側(cè)配置IPsec連接時(shí),IKE配置階段的加密算法、認(rèn)證算法和DH分組均只支持指定一個(gè)值,不支持指定多個(gè)值。建議在思科防火墻中IKE配置階段的加密算法、認(rèn)證算法和DH分組也均只指定一個(gè)值,該值需與阿里云側(cè)保持一致。
crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認(rèn)證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側(cè)prf與認(rèn)證算法默認(rèn)保持一致。 lifetime seconds 86400 #指定SA生存周期。創(chuàng)建IPsec proposal和profile,指定思科防火墻側(cè)的IPsec階段加密算法、認(rèn)證算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
重要阿里云側(cè)配置IPsec連接時(shí),IPsec配置階段的加密算法、認(rèn)證算法和DH分組均只支持指定一個(gè)值,不支持指定多個(gè)值。建議在思科防火墻中IPsec配置階段的加密算法、認(rèn)證算法和DH分組也均只指定一個(gè)值,該值需與阿里云側(cè)保持一致。
crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec proposal。 protocol esp encryption aes #指定加密算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 protocol esp integrity sha-1 #指定認(rèn)證算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec profile并應(yīng)用已創(chuàng)建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側(cè)RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時(shí)間的SA生存周期。 set security-association lifetime kilobytes unlimited #關(guān)閉基于流量的SA生存周期。創(chuàng)建tunnel group,指定隧道的預(yù)共享密鑰,需和阿里云側(cè)保持一致。
tunnel-group 47.XX.XX.207 type ipsec-l2l #指定隧道1的封裝模式為l2l。 tunnel-group 47.XX.XX.207 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF777**** #指定隧道1對(duì)端的預(yù)共享密鑰,即阿里云側(cè)的預(yù)共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF777**** #指定隧道1本段的預(yù)共享密鑰,需和阿里云側(cè)的保持一致。 ! tunnel-group 47.XX.XX.15 type ipsec-l2l #指定隧道2的封裝模式為l2l。 tunnel-group 47.XX.XX.15 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF888**** #指定隧道2對(duì)端的預(yù)共享密鑰,即阿里云側(cè)的預(yù)共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF888**** #指定隧道2本段的預(yù)共享密鑰,需和阿里云側(cè)的保持一致。 !創(chuàng)建tunnel接口。
interface Tunnel1 #創(chuàng)建隧道1的接口。 nameif ALIYUN1 ip address 169.254.13.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道1源地址為公網(wǎng)接口GigabitEthernet0/0。 tunnel destination 47.XX.XX.207 #指定隧道1目的地址為阿里云側(cè)隧道1的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道1應(yīng)用ipsec profile ALIYUN-PROFILE。 no shutdown #開(kāi)啟隧道1接口。 ! interface Tunnel2 #創(chuàng)建隧道2的接口。 nameif ALIYUN2 ip address 169.254.23.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside2 #指定隧道2源地址為公網(wǎng)接口GigabitEthernet0/2。 tunnel destination 47.XX.XX.15 #指定隧道2目的地址為阿里云側(cè)隧道2的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道2應(yīng)用ipsec profile ALIYUN-PROFILE。 no shutdown #開(kāi)啟隧道2接口。 !配置去往其他站點(diǎn)的靜態(tài)路由。
指定數(shù)據(jù)中心4去往其他站點(diǎn)的流量?jī)?yōu)先通過(guò)隧道1接口傳輸,該路由優(yōu)先級(jí)較高。 route ALIYUN1 172.16.40.0 255.255.255.0 47.XX.XX.207 4 #配置去往數(shù)據(jù)中心2的路由。 route ALIYUN1 10.10.0.0 255.255.0.0 47.XX.XX.207 4 #配置去往數(shù)據(jù)中心3的路由。 route ALIYUN1 172.16.10.0 255.255.255.0 47.XX.XX.207 4 #配置去往數(shù)據(jù)中心1的路由。 route ALIYUN1 10.0.0.0 255.255.0.0 47.XX.XX.207 4 #配置去往阿里云VPC2的路由。 route ALIYUN1 192.168.99.0 255.255.255.0 47.XX.XX.207 4 #配置去往阿里云VPC1的路由。 指定數(shù)據(jù)中心4去往其他站點(diǎn)的流量通過(guò)隧道2接口傳輸,該路由優(yōu)先級(jí)低于指向隧道1接口的路由。 route ALIYUN2 172.16.40.0 255.255.255.0 47.XX.XX.15 5 route ALIYUN2 10.10.0.0 255.255.0.0 47.XX.XX.15 5 route ALIYUN2 172.16.10.0 255.255.255.0 47.XX.XX.15 5 route ALIYUN2 10.0.0.0 255.255.0.0 47.XX.XX.15 5 route ALIYUN2 192.168.99.0 255.255.255.0 47.XX.XX.15 5請(qǐng)根據(jù)您的實(shí)際網(wǎng)絡(luò)環(huán)境按需在數(shù)據(jù)中心4添加路由配置,使數(shù)據(jù)中心4中的客戶端可以通過(guò)思科防火墻訪問(wèn)其他站點(diǎn)。
完成本地網(wǎng)關(guān)設(shè)備的配置后,數(shù)據(jù)中心1、數(shù)據(jù)中心2、VPC1之間可以互相通信,數(shù)據(jù)中心3、數(shù)據(jù)中心4、VPC2之間可以互相通信;數(shù)據(jù)中心1、數(shù)據(jù)中心2、VPC1依舊無(wú)法與數(shù)據(jù)中心3、數(shù)據(jù)中心4、VPC2互相通信。
步驟五:配置云企業(yè)網(wǎng)
使用云企業(yè)網(wǎng)產(chǎn)品,實(shí)現(xiàn)數(shù)據(jù)中心1、數(shù)據(jù)中心2、VPC1、數(shù)據(jù)中心3、數(shù)據(jù)中心4、VPC2全互通。
創(chuàng)建云企業(yè)網(wǎng)實(shí)例。具體操作,請(qǐng)參見(jiàn)云企業(yè)網(wǎng)實(shí)例。
分別在華東2(上海)和美國(guó)(硅谷)地域各創(chuàng)建一個(gè)轉(zhuǎn)發(fā)路由器實(shí)例。具體操作,請(qǐng)參見(jiàn)創(chuàng)建轉(zhuǎn)發(fā)路由器實(shí)例。
創(chuàng)建轉(zhuǎn)發(fā)路由器實(shí)例時(shí)使用默認(rèn)配置即可。
創(chuàng)建VPC連接。
將VPC1接入至華東2(上海)地域的轉(zhuǎn)發(fā)路由器,VPC2接入至美國(guó)(硅谷)地域的轉(zhuǎn)發(fā)路由器。
在云企業(yè)網(wǎng)實(shí)例詳情頁(yè)面的頁(yè)簽,找到華東2(上海)地域的轉(zhuǎn)發(fā)路由器實(shí)例,在操作列單擊創(chuàng)建網(wǎng)絡(luò)實(shí)例連接。
在連接網(wǎng)絡(luò)實(shí)例頁(yè)面,根據(jù)以下信息進(jìn)行配置,然后單擊確定創(chuàng)建。
創(chuàng)建VPC連接的主要配置下表所示,其余配置項(xiàng)保持默認(rèn)狀態(tài)。更多信息,請(qǐng)參見(jiàn)使用企業(yè)版轉(zhuǎn)發(fā)路由器創(chuàng)建VPC連接。
配置項(xiàng)
VPC1連接
VPC2連接
實(shí)例類型
選擇專有網(wǎng)絡(luò)(VPC)。
地域
選擇華東2(上海)。
本文選擇美國(guó)(硅谷)。
資源歸屬UID
選擇同賬號(hào)。
連接名稱
定義為VPC1連接。
定義為VPC2連接。
網(wǎng)絡(luò)實(shí)例
選擇VPC1。
選擇VPC2。
交換機(jī)
本文在可用區(qū)E下選擇交換機(jī)1、在可用區(qū)F選擇交換機(jī)2。
請(qǐng)確保選擇的每個(gè)交換機(jī)實(shí)例下?lián)碛幸粋€(gè)空閑的IP地址。如果VPC實(shí)例在轉(zhuǎn)發(fā)路由器支持的可用區(qū)中并沒(méi)有交換機(jī)實(shí)例或者交換機(jī)實(shí)例下沒(méi)有空閑的IP地址,您需要新建一個(gè)交換機(jī)實(shí)例。 具體操作,請(qǐng)參見(jiàn)創(chuàng)建和管理交換機(jī)。
本文在可用區(qū)A下選擇交換機(jī)1、在可用區(qū)B選擇交換機(jī)2。
請(qǐng)確保選擇的每個(gè)交換機(jī)實(shí)例下?lián)碛幸粋€(gè)空閑的IP地址。如果VPC實(shí)例在轉(zhuǎn)發(fā)路由器支持的可用區(qū)中并沒(méi)有交換機(jī)實(shí)例或者交換機(jī)實(shí)例下沒(méi)有空閑的IP地址,您需要新建一個(gè)交換機(jī)實(shí)例。 具體操作,請(qǐng)參見(jiàn)創(chuàng)建和管理交換機(jī)。
高級(jí)配置
保持默認(rèn)配置,即開(kāi)啟所有高級(jí)配置選項(xiàng)。
創(chuàng)建跨地域連接。
由于VPC1和VPC2位于不同的地域,您還需要?jiǎng)?chuàng)建跨地域連接,實(shí)現(xiàn)VPC1和VPC2跨地域互通。
在云企業(yè)網(wǎng)實(shí)例詳情頁(yè)面的頁(yè)簽,單擊設(shè)置跨地域帶寬。
在連接網(wǎng)絡(luò)實(shí)例頁(yè)面,根據(jù)以下信息配置跨地域連接,然后單擊確定創(chuàng)建。
配置項(xiàng)
說(shuō)明
實(shí)例類型
選擇跨地域連接。
地域
選擇華東2(上海)。
對(duì)端地域
選擇美國(guó)(硅谷)。
帶寬分配方式
選擇按流量付費(fèi),該帶寬分配方式產(chǎn)生的費(fèi)用由CDT產(chǎn)品計(jì)費(fèi)。
帶寬
輸入跨地域連接的帶寬值。單位:Mbps。
默認(rèn)鏈路類型
鏈路類型默認(rèn)為金。本文保持默認(rèn)值。
高級(jí)配置
保持默認(rèn)配置,即選中全部高級(jí)配置選項(xiàng)。
發(fā)布數(shù)據(jù)中心的路由至轉(zhuǎn)發(fā)路由器。
創(chuàng)建跨地域連接后,僅VPC1和VPC2可以實(shí)現(xiàn)互相通信,還需要將數(shù)據(jù)中心的路由發(fā)布至轉(zhuǎn)發(fā)路由器才能實(shí)現(xiàn)數(shù)據(jù)中心1、數(shù)據(jù)中心2、數(shù)據(jù)中心3、數(shù)據(jù)中心4的跨地域互通。
在云企業(yè)網(wǎng)實(shí)例詳情頁(yè)面的頁(yè)簽,找到華東2(上海)的轉(zhuǎn)發(fā)路由器實(shí)例,單擊目標(biāo)實(shí)例ID。
在轉(zhuǎn)發(fā)路由器實(shí)例詳情頁(yè)面,單擊網(wǎng)絡(luò)實(shí)例路由信息頁(yè)簽。
在網(wǎng)絡(luò)實(shí)例路由信息頁(yè)簽下,找到VPC1實(shí)例,然后找到指向數(shù)據(jù)中心1和數(shù)據(jù)中心2的路由條目。
在路由條目的發(fā)布狀態(tài)列單擊發(fā)布,在發(fā)布路由對(duì)話框,確認(rèn)路由信息后,單擊確認(rèn)。
重復(fù)上述操作,進(jìn)入美國(guó)(硅谷)地域轉(zhuǎn)發(fā)路由器實(shí)例詳情頁(yè)面,在VPC2實(shí)例下,將指向數(shù)據(jù)中心3和數(shù)據(jù)中心4的路由發(fā)布至轉(zhuǎn)發(fā)路由器。
發(fā)布數(shù)據(jù)中心1和數(shù)據(jù)中心2的路由
發(fā)布數(shù)據(jù)中心3和數(shù)據(jù)中心4的路由
步驟六:測(cè)試連通性
完成上述步驟后,多個(gè)地域的本地?cái)?shù)據(jù)中心和VPC之間可以實(shí)現(xiàn)任意通信。以下內(nèi)容介紹如何測(cè)試連通性。
測(cè)試連通性前,請(qǐng)確保您已經(jīng)了解VPC中ECS實(shí)例所應(yīng)用的安全組規(guī)則以及本地?cái)?shù)據(jù)中心應(yīng)用的訪問(wèn)控制規(guī)則,并確保ECS安全組規(guī)則和本地?cái)?shù)據(jù)中心訪問(wèn)控制規(guī)則允許本地?cái)?shù)據(jù)中心和VPC之間互相互訪。關(guān)于ECS安全組規(guī)則更多內(nèi)容,請(qǐng)參見(jiàn)查詢安全組規(guī)則和添加安全組規(guī)則。
登錄VPC1下的ECS1實(shí)例。具體操作,請(qǐng)參見(jiàn)ECS遠(yuǎn)程連接操作指南。
在ECS1實(shí)例中執(zhí)行
ping命令,嘗試訪問(wèn)其他站點(diǎn)下的客戶端。ping <客戶端IP地址>
如上圖所示,如果ECS1可以收到響應(yīng)報(bào)文,則表示VPC1與其他站點(diǎn)已實(shí)現(xiàn)網(wǎng)絡(luò)互通。
登錄VPC2下的ECS2實(shí)例。具體操作,請(qǐng)參見(jiàn)ECS遠(yuǎn)程連接操作指南。
在ECS2實(shí)例中執(zhí)行
ping命令,嘗試訪問(wèn)其他站點(diǎn)下的客戶端。ping <客戶端IP地址>
如上圖所示,如果ECS2可以收到響應(yīng)報(bào)文,則表示VPC2與其他站點(diǎn)已實(shí)現(xiàn)網(wǎng)絡(luò)互通。
登錄數(shù)據(jù)中心1客戶端的命令行界面。
在客戶端中執(zhí)行
ping命令,嘗試訪問(wèn)其他站點(diǎn)的客戶端。ping <客戶端IP地址>
如上圖所示,如果數(shù)據(jù)中心1下的客戶端可以收到響應(yīng)報(bào)文,則表示數(shù)據(jù)中心1與其他站點(diǎn)已實(shí)現(xiàn)網(wǎng)絡(luò)互通。
登錄數(shù)據(jù)中心2客戶端的命令行界面。
在客戶端中執(zhí)行
ping命令,嘗試訪問(wèn)其他站點(diǎn)的客戶端。ping <客戶端IP地址>
如上圖所示,如果數(shù)據(jù)中心2下的客戶端可以收到響應(yīng)報(bào)文,則表示數(shù)據(jù)中心2與其他站點(diǎn)已實(shí)現(xiàn)網(wǎng)絡(luò)互通。
登錄數(shù)據(jù)中心3客戶端的命令行界面。
在客戶端中執(zhí)行
ping命令,嘗試訪問(wèn)其他站點(diǎn)的客戶端。ping <客戶端IP地址>
如上圖所示,如果數(shù)據(jù)中心3下的客戶端可以收到響應(yīng)報(bào)文,則表示數(shù)據(jù)中心3與其他站點(diǎn)已實(shí)現(xiàn)網(wǎng)絡(luò)互通。
登錄數(shù)據(jù)中心4客戶端的命令行界面。
在客戶端中執(zhí)行
ping命令,嘗試訪問(wèn)其他站點(diǎn)的客戶端。ping <客戶端IP地址>
如上圖所示,如果數(shù)據(jù)中心4下的客戶端可以收到響應(yīng)報(bào)文,則表示數(shù)據(jù)中心4與其他站點(diǎn)已實(shí)現(xiàn)網(wǎng)絡(luò)互通。