建立VPC到本地?cái)?shù)據(jù)中心的連接(雙隧道模式)
本文介紹如何使用公網(wǎng)網(wǎng)絡(luò)類型的VPN網(wǎng)關(guān)在專有網(wǎng)絡(luò)VPC(Virtual Private Cloud)和本地?cái)?shù)據(jù)中心之間建立IPsec-VPN連接(雙隧道模式),實(shí)現(xiàn)本地?cái)?shù)據(jù)中心與VPC之間加密通信以及IPsec-VPN連接的高可用。
環(huán)境要求
IPsec連接綁定VPN網(wǎng)關(guān)實(shí)例時(shí),本地?cái)?shù)據(jù)中心的網(wǎng)關(guān)設(shè)備必須配置公網(wǎng)IP地址。
對于支持IPsec-VPN連接雙隧道模式的地域,推薦本地?cái)?shù)據(jù)中心的網(wǎng)關(guān)設(shè)備配置2個(gè)公網(wǎng)IP地址或者本地?cái)?shù)據(jù)中心擁有兩個(gè)本地網(wǎng)關(guān)設(shè)備,每個(gè)本地網(wǎng)關(guān)設(shè)備均擁有一個(gè)公網(wǎng)IP地址,以建立高可用的IPsec-VPN連接。關(guān)于支持IPsec-VPN連接雙隧道模式的地域信息,請參見【升級公告】IPsec-VPN連接升級為雙隧道模式。
本地?cái)?shù)據(jù)中心的網(wǎng)關(guān)設(shè)備必須支持IKEv1或IKEv2協(xié)議,支持任意一種協(xié)議的設(shè)備均可以和轉(zhuǎn)發(fā)路由器建立IPsec-VPN連接。
本地?cái)?shù)據(jù)中心的網(wǎng)段與待訪問的網(wǎng)段沒有重疊。
場景示例
本文以下圖場景示例。某公司在阿里云華北5(呼和浩特)地域創(chuàng)建了VPC,VPC主網(wǎng)段為192.168.0.0/16。企業(yè)在呼和浩特地域擁有一個(gè)本地?cái)?shù)據(jù)中心,因業(yè)務(wù)發(fā)展,本地?cái)?shù)據(jù)中心172.16.0.0/16網(wǎng)段下的設(shè)備需要訪問VPC下的資源。您可以在本地?cái)?shù)據(jù)中心與云上VPC之間建立IPsec-VPN連接,實(shí)現(xiàn)云上和云下加密通信以及IPsec-VPN連接的高可用。
準(zhǔn)備工作
您已經(jīng)在阿里云華北5(呼和浩特)地域創(chuàng)建了VPC,VPC中使用云服務(wù)器ECS(Elastic Compute Service)部署了相關(guān)業(yè)務(wù)。具體操作,請參見搭建IPv4專有網(wǎng)絡(luò)。
您已經(jīng)了解VPC中ECS實(shí)例所應(yīng)用的安全組規(guī)則以及本地?cái)?shù)據(jù)中心應(yīng)用的訪問控制規(guī)則,并確保ECS安全組規(guī)則和本地?cái)?shù)據(jù)中心訪問控制規(guī)則允許本地?cái)?shù)據(jù)中心和VPC之間互相互訪。關(guān)于ECS安全組規(guī)則更多內(nèi)容,請參見查詢安全組規(guī)則和添加安全組規(guī)則。
配置流程
步驟一:創(chuàng)建VPN網(wǎng)關(guān)
在頂部菜單欄,選擇VPN網(wǎng)關(guān)的地域。
VPN網(wǎng)關(guān)的地域需和本地?cái)?shù)據(jù)中心要訪問的VPC實(shí)例的地域相同。
在VPN網(wǎng)關(guān)頁面,單擊創(chuàng)建VPN網(wǎng)關(guān)。
在購買頁面,根據(jù)以下信息配置VPN網(wǎng)關(guān),然后單擊立即購買并完成支付。
配置項(xiàng)
說明
本文示例值
實(shí)例名稱
輸入VPN網(wǎng)關(guān)實(shí)例的名稱。
輸入VPNGW。
資源組
選擇VPN網(wǎng)關(guān)實(shí)例所屬的資源組。
如果不選擇,VPN網(wǎng)關(guān)實(shí)例創(chuàng)建后將歸屬于默認(rèn)資源組。
本文保持為空。
地域和可用區(qū)
選擇VPN網(wǎng)關(guān)實(shí)例所屬的地域。
選擇華北5(呼和浩特)。
網(wǎng)關(guān)類型
選擇VPN網(wǎng)關(guān)實(shí)例的網(wǎng)關(guān)類型。
選擇普通型。
網(wǎng)絡(luò)類型
選擇VPN網(wǎng)關(guān)實(shí)例的網(wǎng)絡(luò)類型。
公網(wǎng):VPN網(wǎng)關(guān)通過公網(wǎng)建立VPN連接。
私網(wǎng):VPN網(wǎng)關(guān)通過私網(wǎng)建立VPN連接。
選擇公網(wǎng)。
隧道
系統(tǒng)直接展示當(dāng)前地域IPsec-VPN連接支持的隧道模式。
雙隧道
單隧道
關(guān)于單隧道和雙隧道的說明,請參見【升級公告】IPsec-VPN連接升級為雙隧道模式。
本文保持默認(rèn)值雙隧道。
VPC
選擇VPN網(wǎng)關(guān)實(shí)例關(guān)聯(lián)的VPC實(shí)例。
選擇阿里云華北5(呼和浩特)地域的VPC實(shí)例。
虛擬交換機(jī)
從VPC實(shí)例中選擇一個(gè)交換機(jī)實(shí)例。
IPsec-VPN連接的隧道模式為單隧道時(shí),您僅需要指定一個(gè)交換機(jī)實(shí)例。
IPsec-VPN連接的隧道模式為雙隧道時(shí),您需要指定兩個(gè)交換機(jī)實(shí)例。
IPsec-VPN功能開啟后,系統(tǒng)會在兩個(gè)交換機(jī)實(shí)例下各創(chuàng)建一個(gè)彈性網(wǎng)卡ENI(Elastic Network Interfaces),作為使用IPsec-VPN連接與VPC流量互通的接口。每個(gè)ENI會占用交換機(jī)下的一個(gè)IP地址。
說明系統(tǒng)默認(rèn)幫您選擇第一個(gè)交換機(jī)實(shí)例,您可以手動(dòng)修改或者直接使用默認(rèn)的交換機(jī)實(shí)例。
創(chuàng)建VPN網(wǎng)關(guān)實(shí)例后,不支持修改VPN網(wǎng)關(guān)實(shí)例關(guān)聯(lián)的交換機(jī)實(shí)例,您可以在VPN網(wǎng)關(guān)實(shí)例的詳情頁面查看VPN網(wǎng)關(guān)實(shí)例關(guān)聯(lián)的交換機(jī)、交換機(jī)所屬可用區(qū)以及交換機(jī)下ENI的信息。
選擇VPC實(shí)例下的一個(gè)交換機(jī)實(shí)例。
虛擬交換機(jī)2
從VPC實(shí)例中選擇第二個(gè)交換機(jī)實(shí)例。
您需要從VPN網(wǎng)關(guān)實(shí)例關(guān)聯(lián)的VPC實(shí)例下指定兩個(gè)分布在不同可用區(qū)的交換機(jī)實(shí)例,以實(shí)現(xiàn)IPsec-VPN連接可用區(qū)級別的容災(zāi)。
對于僅支持一個(gè)可用區(qū)的地域 ,不支持可用區(qū)級別的容災(zāi),建議您在該可用區(qū)下指定兩個(gè)不同的交換機(jī)實(shí)例以實(shí)現(xiàn)IPsec-VPN連接的高可用,支持選擇和第一個(gè)相同的交換機(jī)實(shí)例。
說明如果VPC實(shí)例下沒有第二個(gè)交換機(jī)實(shí)例,您可以新建交換機(jī)實(shí)例。具體操作,請參見創(chuàng)建和管理交換機(jī)。
選擇VPC實(shí)例下的第二個(gè)交換機(jī)實(shí)例。
帶寬規(guī)格
選擇VPN網(wǎng)關(guān)實(shí)例的帶寬規(guī)格。單位:Mbps。
本文使用默認(rèn)值。
IPsec-VPN
選擇開啟或關(guān)閉IPsec-VPN功能。默認(rèn)值:開啟。
選擇開啟IPsec-VPN功能。
SSL-VPN
選擇開啟或關(guān)閉SSL-VPN功能。默認(rèn)值:關(guān)閉。
選擇關(guān)閉SSL-VPN功能。
計(jì)費(fèi)周期
選擇購買時(shí)長。
您可以選擇是否自動(dòng)續(xù)費(fèi):
按月購買:自動(dòng)續(xù)費(fèi)周期為1個(gè)月。
按年購買:自動(dòng)續(xù)費(fèi)周期為1年。
本文使用默認(rèn)值。
服務(wù)關(guān)聯(lián)角色
單擊創(chuàng)建關(guān)聯(lián)角色,系統(tǒng)自動(dòng)創(chuàng)建服務(wù)關(guān)聯(lián)角色AliyunServiceRoleForVpn。
VPN網(wǎng)關(guān)使用此角色來訪問其他云產(chǎn)品中的資源,更多信息,請參見。
若本配置項(xiàng)顯示為已創(chuàng)建,則表示您當(dāng)前賬號下已創(chuàng)建了該角色,無需重復(fù)創(chuàng)建。
根據(jù)需求創(chuàng)建服務(wù)關(guān)聯(lián)角色或跳過本配置項(xiàng)。
返回VPN網(wǎng)關(guān)頁面,查看創(chuàng)建的VPN網(wǎng)關(guān)實(shí)例。
剛創(chuàng)建好的VPN網(wǎng)關(guān)實(shí)例的狀態(tài)是準(zhǔn)備中,約1~5分鐘左右會變成正常狀態(tài)。正常狀態(tài)表明VPN網(wǎng)關(guān)已經(jīng)完成了初始化,可以正常使用。
系統(tǒng)會為公網(wǎng)網(wǎng)絡(luò)類型的VPN網(wǎng)關(guān)實(shí)例分配兩個(gè)不同的公網(wǎng)IP地址,用于建立兩個(gè)加密隧道。本文中系統(tǒng)分配的兩個(gè)公網(wǎng)IP地址如下表:
IPsec-VPN連接隧道
地址
IPsec地址1(主隧道)
39.XX.XX.218
IPsec地址2(備隧道)
182.XX.XX.19
步驟二:創(chuàng)建用戶網(wǎng)關(guān)
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄選擇用戶網(wǎng)關(guān)的地域。
用戶網(wǎng)關(guān)地域需和VPN網(wǎng)關(guān)實(shí)例的地域相同。
在用戶網(wǎng)關(guān)頁面,單擊創(chuàng)建用戶網(wǎng)關(guān)。
在創(chuàng)建用戶網(wǎng)關(guān)面板,根據(jù)以下信息進(jìn)行配置,然后單擊確定。
您需要?jiǎng)?chuàng)建兩個(gè)用戶網(wǎng)關(guān)用于創(chuàng)建兩個(gè)加密隧道。以下僅列舉本文強(qiáng)相關(guān)配置項(xiàng),其余配置保持默認(rèn)值或?yàn)榭铡8嘈畔ⅲ垍⒁?a title="" class="xref" href="http://m.bestwisewords.com/zh/vpn/sub-product-ipsec-vpn/user-guide/create-a-customer-gateway">創(chuàng)建和管理用戶網(wǎng)關(guān)。
配置項(xiàng)
說明
用戶網(wǎng)關(guān)1
用戶網(wǎng)關(guān)2
名稱
輸入用戶網(wǎng)關(guān)的名稱。
輸入CustomerGW1。
輸入CustomerGW2。
IP地址
輸入本地?cái)?shù)據(jù)中心的網(wǎng)關(guān)設(shè)備的公網(wǎng)IP地址。
輸入211.XX.XX.36。
輸入211.XX.XX.71。
步驟三:創(chuàng)建IPsec連接
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄選擇IPsec連接的地域。
IPsec連接的地域需和VPN網(wǎng)關(guān)實(shí)例的地域相同。
在IPsec連接頁面,單擊創(chuàng)建IPsec連接。
在創(chuàng)建IPsec連接頁面,根據(jù)以下信息進(jìn)行配置,然后單擊確定。
配置項(xiàng)
說明
本文示例值
名稱
輸入IPsec連接的名稱。
輸入IPsec-Connection。
資源組
選擇VPN網(wǎng)關(guān)實(shí)例所屬的資源組。
選擇默認(rèn)資源組。
綁定資源
選擇IPsec連接綁定的資源類型。
選擇VPN網(wǎng)關(guān)。
VPN網(wǎng)關(guān)
選擇IPsec連接關(guān)聯(lián)的VPN網(wǎng)關(guān)實(shí)例。
選擇VPNGW。
路由模式
選擇路由模式。
目的路由模式:基于目的IP地址路由和轉(zhuǎn)發(fā)流量。
感興趣流模式:基于源IP地址和目的IP地址精確的路由和轉(zhuǎn)發(fā)流量。
選擇目的路由模式。
立即生效
選擇IPsec連接的配置是否立即生效。取值:
是:配置完成后立即進(jìn)行協(xié)商。
否:當(dāng)有流量進(jìn)入時(shí)進(jìn)行協(xié)商。
選擇是。
啟用BGP
如果IPsec連接需要使用BGP路由協(xié)議,需要打開BGP功能的開關(guān),系統(tǒng)默認(rèn)關(guān)閉BGP功能。
本文保持默認(rèn)值,即不開啟BGP功能。
Tunnel 1
為隧道1(主隧道)添加VPN相關(guān)配置。
系統(tǒng)默認(rèn)隧道1為主隧道,隧道2為備隧道,且不支持修改。
用戶網(wǎng)關(guān)
為主隧道添加待關(guān)聯(lián)的用戶網(wǎng)關(guān)實(shí)例。
選擇CustomerGW1。
預(yù)共享密鑰
輸入主隧道的認(rèn)證密鑰,用于身份認(rèn)證。
密鑰長度為1~100個(gè)字符,支持?jǐn)?shù)字、大小寫英文字母及右側(cè)字符
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。若您未指定預(yù)共享密鑰,系統(tǒng)會隨機(jī)生成一個(gè)16位的字符串作為預(yù)共享密鑰。創(chuàng)建IPsec連接后,您可以通過隧道的編輯按鈕查看系統(tǒng)生成的預(yù)共享密鑰。具體操作,請參見修改隧道的配置。
重要隧道及其對端網(wǎng)關(guān)設(shè)備配置的預(yù)共享密鑰需一致,否則系統(tǒng)無法正常建立IPsec-VPN連接。
輸入fddsFF123****。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
除以下參數(shù)外,其余配置項(xiàng)保持默認(rèn)值。關(guān)于默認(rèn)值的說明,請參見創(chuàng)建和管理IPsec連接(雙隧道模式)。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說明您需要根據(jù)本地網(wǎng)關(guān)設(shè)備的支持情況選擇加密配置參數(shù),確保IPsec連接和本地網(wǎng)關(guān)設(shè)備的加密配置保持一致。
Tunnel 2
為隧道2(備隧道)添加VPN相關(guān)配置。
用戶網(wǎng)關(guān)
為備隧道添加待關(guān)聯(lián)的用戶網(wǎng)關(guān)實(shí)例。
選擇CustomerGW2。
預(yù)共享密鑰
輸入備隧道的認(rèn)證密鑰,用于身份認(rèn)證。
輸入fddsFF456****。
加密配置
添加IKE配置、IPsec配置、DPD、NAT穿越等配置。
除以下參數(shù)外,其余配置項(xiàng)保持默認(rèn)值。關(guān)于默認(rèn)值的說明,請參見創(chuàng)建和管理IPsec連接(雙隧道模式)。
IKE配置的DH分組選擇group14。
IPsec配置的DH分組選擇group14。
說明您需要根據(jù)本地網(wǎng)關(guān)設(shè)備的支持情況選擇加密配置參數(shù),確保IPsec連接和本地網(wǎng)關(guān)設(shè)備的加密配置保持一致。
標(biāo)簽
為IPsec連接添加標(biāo)簽。
本文保持為空。
在創(chuàng)建成功對話框中,單擊取消。
保持在IPsec連接頁面,找到創(chuàng)建的IPsec連接,在操作列單擊生成對端配置。
對端配置是指需要在IPsec連接對端添加的VPN配置。本文場景中您需要將這些配置添加在本地網(wǎng)關(guān)設(shè)備上。
在IPsec連接配置對話框,復(fù)制配置并保存在您的本地,用于后續(xù)配置本地網(wǎng)關(guān)設(shè)備。
步驟四:配置本地網(wǎng)關(guān)設(shè)備
在阿里云側(cè)創(chuàng)建IPsec連接后,您需要在本地網(wǎng)關(guān)設(shè)備上添加VPN配置和路由配置,使本地網(wǎng)關(guān)設(shè)備與VPN網(wǎng)關(guān)之間成功建立IPsec-VPN連接,同時(shí)使本地?cái)?shù)據(jù)中心去往VPC的流量優(yōu)先通過主隧道進(jìn)行傳出,在主隧道中斷后自動(dòng)切換至備隧道進(jìn)行傳輸。
本文以思科防火墻ASA(軟件版本9.19.1)作為配置示例。不同軟件版本的配置命令可能會有所差異,操作時(shí)請根據(jù)您的實(shí)際環(huán)境查詢對應(yīng)文檔或咨詢相關(guān)廠商。更多本地網(wǎng)關(guān)設(shè)備配置示例,請參見本地網(wǎng)關(guān)配置。
以下內(nèi)容包含的第三方產(chǎn)品信息僅供參考。阿里云對第三方產(chǎn)品的性能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
登錄思科防火墻的命令行窗口并進(jìn)入配置模式。
ciscoasa> enable Password: ******** #輸入進(jìn)入enable模式的密碼。 ciscoasa# configure terminal #進(jìn)入配置模式。 ciscoasa(config)#查看接口配置。
請確保思科防火墻已完成了接口配置,并已開啟接口。以下為本文的接口配置示例。
#查看本地網(wǎng)關(guān)設(shè)備1的接口配置 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 211.XX.XX.36 255.255.255.255 #GigabitEthernet0/0接口配置的公網(wǎng)IP地址。 ! interface GigabitEthernet0/1 #連接本地?cái)?shù)據(jù)中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地?cái)?shù)據(jù)中心接口(私網(wǎng)接口)的security-level低于公網(wǎng)接口。 ip address 172.16.50.217 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 ! #查看本地網(wǎng)關(guān)設(shè)備2的接口配置 ciscoasa(config)# show running-config interface ! interface GigabitEthernet0/0 nameif outside1 #GigabitEthernet0/0接口名稱。 security-level 0 ip address 211.XX.XX.71 255.255.255.255 #GigabitEthernet0/0接口配置的公網(wǎng)IP地址。 ! interface GigabitEthernet0/1 #連接本地?cái)?shù)據(jù)中心的接口。 nameif private #GigabitEthernet0/1接口名稱。 security-level 100 #指定連接本地?cái)?shù)據(jù)中心接口(私網(wǎng)接口)的security-level低于公網(wǎng)接口。 ip address 172.16.40.218 255.255.255.0 #GigabitEthernet0/1接口配置的IP地址。 !為公網(wǎng)接口開啟IKEv2功能。
#分別在本地網(wǎng)關(guān)設(shè)備1和本地網(wǎng)關(guān)設(shè)備2上添加如下配置 crypto ikev2 enable outside1 #為本地網(wǎng)關(guān)設(shè)備的outside1接口(公網(wǎng)接口)開啟IKEv2功能。創(chuàng)建IKEv2 Policy,指定IKE階段認(rèn)證算法、加密算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
#分別在本地網(wǎng)關(guān)設(shè)備1和本地網(wǎng)關(guān)設(shè)備2上添加如下配置 crypto ikev2 policy 10 encryption aes #指定加密算法。 integrity sha #指定認(rèn)證算法。 group 14 #指定DH分組。 prf sha #prf和integrity保持一致,阿里云側(cè)prf與認(rèn)證算法默認(rèn)保持一致。 lifetime seconds 86400 #指定SA生存周期。創(chuàng)建IPsec proposal和profile,指定思科防火墻側(cè)的IPsec階段加密算法、認(rèn)證算法、DH分組和SA生存周期,需和阿里云側(cè)保持一致。
#分別在本地網(wǎng)關(guān)設(shè)備1和本地網(wǎng)關(guān)設(shè)備2上添加如下配置 crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec proposal。 protocol esp encryption aes #指定加密算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 protocol esp integrity sha-1 #指定認(rèn)證算法,協(xié)議使用ESP,阿里云側(cè)固定使用ESP協(xié)議。 crypto ipsec profile ALIYUN-PROFILE set ikev2 ipsec-proposal ALIYUN-PROPOSAL #創(chuàng)建ipsec profile并應(yīng)用已創(chuàng)建的proposal。 set ikev2 local-identity address #指定本端ID使用IP地址格式,與阿里云側(cè)RemoteId格式保持一致。 set pfs group14 #指定pfs和DH分組。 set security-association lifetime seconds 86400 #指定基于時(shí)間的SA生存周期。 set security-association lifetime kilobytes unlimited #關(guān)閉基于流量的SA生存周期。創(chuàng)建tunnel group,指定隧道的預(yù)共享密鑰,需和阿里云側(cè)保持一致。
#在本地網(wǎng)關(guān)設(shè)備1上添加如下配置 tunnel-group 39.XX.XX.218 type ipsec-l2l #指定隧道1的封裝模式為l2l。 tunnel-group 39.XX.XX.218 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF123**** #指定隧道1對端的預(yù)共享密鑰,即阿里云側(cè)的預(yù)共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF123**** #指定隧道1本段的預(yù)共享密鑰,需和阿里云側(cè)的保持一致。 ! #在本地網(wǎng)關(guān)設(shè)備2上添加如下配置 tunnel-group 182.XX.XX.19 type ipsec-l2l #指定隧道2的封裝模式為l2l。 tunnel-group 182.XX.XX.19 ipsec-attributes ikev2 remote-authentication pre-shared-key fddsFF456**** #指定隧道2對端的預(yù)共享密鑰,即阿里云側(cè)的預(yù)共享密鑰。 ikev2 local-authentication pre-shared-key fddsFF456**** #指定隧道2本段的預(yù)共享密鑰,需和阿里云側(cè)的保持一致。 !創(chuàng)建tunnel接口。
#在本地網(wǎng)關(guān)設(shè)備1上添加如下配置 interface Tunnel1 #創(chuàng)建隧道1的接口。 nameif ALIYUN1 ip address 169.254.10.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道1源地址為公網(wǎng)接口GigabitEthernet0/0。 tunnel destination 39.XX.XX.218 #指定隧道1目的地址為阿里云側(cè)隧道1的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道1應(yīng)用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道1接口。 ! #在本地網(wǎng)關(guān)設(shè)備2上添加如下配置 interface Tunnel1 #創(chuàng)建隧道2的接口。 nameif ALIYUN1 ip address 169.254.20.2 255.255.255.252 #指定接口的IP地址。 tunnel source interface outside1 #指定隧道2源地址為公網(wǎng)接口GigabitEthernet0/0。 tunnel destination 182.XX.XX.19 #指定隧道2目的地址為阿里云側(cè)隧道2的公網(wǎng)IP地址。 tunnel mode ipsec ipv4 tunnel protection ipsec profile ALIYUN-PROFILE #指定隧道2應(yīng)用ipsec profile ALIYUN-PROFILE。 no shutdown #開啟隧道2接口。 !配置靜態(tài)路由。
//在本地網(wǎng)關(guān)設(shè)備1上添加如下配置 route ALIYUN1 192.168.0.0 255.255.0.0 39.XX.XX.218 #配置去往阿里云VPC(192.168.0.0/16)的靜態(tài)路由。 route outside1 39.XX.XX.218 255.255.255.255 192.XX.XX.172 #配置訪問阿里云側(cè)隧道1公網(wǎng)IP地址的路由,下一跳為外網(wǎng)地址。 route private 172.16.0.0 255.255.0.0 172.16.50.216 #配置去往本地?cái)?shù)據(jù)中心的路由。 //在本地網(wǎng)關(guān)設(shè)備2上添加如下配置 route ALIYUN1 192.168.0.0 255.255.0.0 182.XX.XX.19 #配置去往阿里云VPC(192.168.0.0/16)的靜態(tài)路由。 route outside1 182.XX.XX.19 255.255.255.255 192.XX.XX.123 #配置訪問阿里云側(cè)隧道2公網(wǎng)IP地址的路由,下一跳為外網(wǎng)地址。 route private 172.16.0.0 255.255.0.0 172.16.40.219 #配置去往本地?cái)?shù)據(jù)中心的路由。請根據(jù)您的實(shí)際網(wǎng)絡(luò)環(huán)境按需在本地?cái)?shù)據(jù)中心添加路由配置,使本地?cái)?shù)據(jù)中心去往VPC的流量優(yōu)先通過本地網(wǎng)關(guān)設(shè)備1進(jìn)行傳輸,在本地網(wǎng)關(guān)設(shè)備1故障后可以自動(dòng)通過本地網(wǎng)關(guān)設(shè)備2進(jìn)行傳輸。具體命令,請咨詢相關(guān)設(shè)備廠商。
步驟五:配置VPN網(wǎng)關(guān)路由
在左側(cè)導(dǎo)航欄,選擇。
在頂部菜單欄選擇VPN網(wǎng)關(guān)實(shí)例的地域。
在VPN網(wǎng)關(guān)頁面,找到VPN網(wǎng)關(guān)實(shí)例,單擊實(shí)例ID。
單擊目的路由表頁簽,然后單擊添加路由條目。
在添加路由條目面板,根據(jù)以下信息配置路由,然后單擊確定。
配置項(xiàng)
說明
路由條目
目標(biāo)網(wǎng)段
輸入本地?cái)?shù)據(jù)中心的網(wǎng)段。
輸入172.16.0.0/16。
下一跳類型
選擇下一跳的類型。
選擇IPsec連接。
下一跳
選擇下一跳。
選擇IPsec-Connection。
發(fā)布到VPC
選擇是否將新添加的路由發(fā)布到VPN網(wǎng)關(guān)關(guān)聯(lián)的VPC中。
選擇是。
步驟六:驗(yàn)證測試
測試本地?cái)?shù)據(jù)中心和VPC之間的連通性。
登錄VPC下任意一個(gè)ECS實(shí)例。關(guān)于如何登錄ECS實(shí)例,請參見連接方式概述。
在ECS實(shí)例中執(zhí)行
ping命令,訪問本地?cái)?shù)據(jù)中心內(nèi)的服務(wù)器,驗(yàn)證通信是否正常。如果ECS實(shí)例可以收到本地?cái)?shù)據(jù)中心服務(wù)器的回復(fù)報(bào)文,則證明本地?cái)?shù)據(jù)中心和VPC之間可以正常通信。
ping <本地?cái)?shù)據(jù)中心服務(wù)器私網(wǎng)IP地址>
測試IPsec-VPN連接的高可用性。
登錄VPC下任意一個(gè)ECS實(shí)例。關(guān)于如何登錄ECS實(shí)例,請參見連接方式概述。
執(zhí)行以下命令,使VPC下的ECS實(shí)例連續(xù)向本地?cái)?shù)據(jù)中心發(fā)送訪問報(bào)文。
ping <本地?cái)?shù)據(jù)中心服務(wù)器私網(wǎng)IP地址> -c 10000中斷IPsec-VPN連接下的主隧道。
您可以通過修改IPsec連接主隧道的預(yù)共享密鑰來中斷主隧道,主隧道兩端的預(yù)共享密鑰不一致,則主隧道會中斷。
中斷主隧道后,您可以觀察VPC實(shí)例下ECS實(shí)例的通信情況,發(fā)現(xiàn)ECS實(shí)例下的流量在短暫中斷后,又重新恢復(fù)通信,則表示在主隧道中斷后,流量自動(dòng)通過備隧道進(jìn)行通信。