阅读745 返回首页    go 阿里云 go 技术社区[云栖]

阿里云VPN网关部署实践

摘要:

2017年5月23日,在云栖大会·成都峰会上,阿里云推出VPN网关,为企业构建混合云提供了新选择。在VPN网关的支持下,企业可以在几分钟内完成企业数据中心与阿里云VPC之间的互联,大幅降低了企业成本的同时,还获得数据传输安全性。



72fca0a18a16bb34adb27f1f97f33174f1ec0de3

 

VPN网关是很常用的网络服务,不管是Site-to-Site VPN,还是Client-to-site VPN都经常用到。阿里云本次发布的VPN网关是IPSec VPN,支持Site-to-Site,非常适合用户线下IDC和云上VPN构建混合云。本文介绍阿里云VPN网关的基本配置和使用。

 

部署前规划和准备

主要考虑如下几点:


  • 一是线下IDC和云上VPC的私网IP地址段规划,注意不能相同,否则无法通信。
  • 二是规划VPN网关所在的VPC和虚拟交换机,即云上VPN网关的网络环境。
  • 三是确定线下IDC的网关设备,用哪个设备和云上VPC互联。阿里云VPN网关支持标准的IKEv1和IKEv2,因此,只要支持这两种协议的设备都可以和云上VPN网关互联,比如Cisco ASA、Juniper、SonicWall、Nokia、IBM、Ixia等

 

如下图所示,本次实验在阿里云上的VPC网段是192.168.0.0/16,用户线下IDC的网段是172.16.0.0/12,用户线下IDC的网关设备公网IP地址假设是211.167.68.68。现在需要通过VPN网关将云上VPC和线下IDC打通,使VPC内云资源和IDC内的服务器可以私网通信。


9ffc341be10501d2419dee5b262294d9d701a55a

 

基本配置流程为:

  • 创建 VPN 网关
  • 创建用户网关
  • 创建 VPN 连接
  • 在线下IDC网关设备中加载配置
  • 设置路由
  • 测试访问

 

详细说明如下:

 

 创建 VPN 网关

注:需要先在华东1地域创建好VPC和交换机。

VPN网关的产品详情页https://www.aliyun.com/product/vpn 点击“立即购买”

选择华东1(杭州)地域,然后选择专有网络和虚拟交换机,再选择带宽规格。带宽规格指的是VPN网关所具备的公网带宽。


15b1fd7e498d0e851510ed16a01e0af7f7b115bb


 

购买成功后进入VPN控制台


64df9c273782033639b38dc64a0b59b41fc80588

 


一开始状态是准备中,约2分钟左右会变成正常状态。正常状态就表明VPN网关完成了初始化,可以正常使用了。

 

创建用户网关

用户网关是对线下IDC网关设备的一个简单抽象,就是把线下IDC网关设备的公网IP地址注册到系统中便于后续建立VPN连接。

 

VPN控制台 中点击“用户网关”,在右上角点击“创建用户网关”,如下图


6feca3c57743f1b6cce6182f48669a099037e625

 


 

创建成功,如下图

 


 28b1e12e77ebd13049723c1c99a9878bb663c1aa

创建VPN连接

VPN连接将云上VPN网关和线下IDC的用户网关进行关联,并设置连接相关参数。如下图


b4b793d15771271d7ef951e089069a90517504e1

 


特别注意,这里本端网段指的是云上VPC的网段,对端网段指的是线下IDC的网段,在本实验中是172.16.0.0/12。另外,如果需要对连接进行更高级的配置,可以展开高级配置进行详细设置。

 

创建成功后如下图所示



d465fc18868238623068a79652e1927577784263

在线下IDC网关设备中加载配置

首先,下载VPN连接的配置。在 VPN控制台 中点击“VPN连接”,找到所需的VPN连接,点击“下载配置”,如下图

 


 e1235bc717484195d57ef1c49c19094d00229f5b


然后,根据线下IDC网关设备的配置要求,将上述配置加载到IDC网关设备中。由于试验条件所限,这里不详细描述。

 

注意:下载配置中得RemotSubnet和LocalSubnet和创建VPN连接时得本段网段和对端网段正好是反的。因为从云上VPN网关角度看,对端是用户IDC的网段,本端是VPC网段,而从线下IDC的网关设备角度看,LocalSubnet就是指线下IDC的网段,而RemotSubnet则是指云上VPC的网段。

设置路由

到这里VPN网关基本配置完毕,但是要让云上VPC内的ECS可以直接访问线下IDC内的服务器,还需要在云上VPC设置路由。

 

进入 VPC控制台,找到VPN网关所在的VPC,点击该VPC,然后点击“路由器”,在右上角点击“添加路由”,如下图


00373448872624036c79efe8169c5395ced5c7b1




注意:这里的目标网段是线下IDC的网段,即172.16.0.0/12,下一跳类型选择 VPN网关,并选择所使用的VPN网关实例。这个配置的意思是上,去往172.16.0.0/12 网段的访问请求都经过VPN网关转发。

测试访问

登陆到云上VPC内找一台不带公网ECS,并通过 ping 命令ping线下IDC内一台服务器的私网IP地址,验证通信是否正常。

补充:线下IDC内服务器如何访问云上资源

如果线下IDC内服务器要访问云上VPC的资源,对于ECS,RDS,SLB等实例型云产品(这种云产品的VPC类型实例使用的是VPC内的一个私网IP地址),可以直接访问,对于OSS等非实例型云产品(这类云产品的VPC访问地址一般使用100.64.0.0/10网段的一个地址,属于阿里云内部保留地址),还需要把 100.64.0.0/10 的网段添加到边界路由上,指向 VPC 方向。

展望

未来阿里云VPN网关会提供SSL协议的支持,并支持VPN网关作为专线的备份链路,当专线链路不可用时切换到VPN链路。同时,我们也会考虑支持HUB&SPOKE等高级功能。

最后更新:2017-05-24 20:01:27

  上一篇:go  python基础(一)列表与元组
  下一篇:go  Java中的==、equals及hashCode