閱讀745 返回首頁    go 阿裏雲 go 技術社區[雲棲]

阿裏雲VPN網關部署實踐

摘要:

2017年5月23日,在雲棲大會·成都峰會上,阿裏雲推出VPN網關,為企業構建混合雲提供了新選擇。在VPN網關的支持下,企業可以在幾分鍾內完成企業數據中心與阿裏雲VPC之間的互聯,大幅降低了企業成本的同時,還獲得數據傳輸安全性。



72fca0a18a16bb34adb27f1f97f33174f1ec0de3

 

VPN網關是很常用的網絡服務,不管是Site-to-Site VPN,還是Client-to-site VPN都經常用到。阿裏雲本次發布的VPN網關是IPSec VPN,支持Site-to-Site,非常適合用戶線下IDC和雲上VPN構建混合雲。本文介紹阿裏雲VPN網關的基本配置和使用。

 

部署前規劃和準備

主要考慮如下幾點:


  • 一是線下IDC和雲上VPC的私網IP地址段規劃,注意不能相同,否則無法通信。
  • 二是規劃VPN網關所在的VPC和虛擬交換機,即雲上VPN網關的網絡環境。
  • 三是確定線下IDC的網關設備,用哪個設備和雲上VPC互聯。阿裏雲VPN網關支持標準的IKEv1和IKEv2,因此,隻要支持這兩種協議的設備都可以和雲上VPN網關互聯,比如Cisco ASA、Juniper、SonicWall、Nokia、IBM、Ixia等

 

如下圖所示,本次實驗在阿裏雲上的VPC網段是192.168.0.0/16,用戶線下IDC的網段是172.16.0.0/12,用戶線下IDC的網關設備公網IP地址假設是211.167.68.68。現在需要通過VPN網關將雲上VPC和線下IDC打通,使VPC內雲資源和IDC內的服務器可以私網通信。


9ffc341be10501d2419dee5b262294d9d701a55a

 

基本配置流程為:

  • 創建 VPN 網關
  • 創建用戶網關
  • 創建 VPN 連接
  • 在線下IDC網關設備中加載配置
  • 設置路由
  • 測試訪問

 

詳細說明如下:

 

 創建 VPN 網關

注:需要先在華東1地域創建好VPC和交換機。

VPN網關的產品詳情頁https://www.aliyun.com/product/vpn 點擊“立即購買”

選擇華東1(杭州)地域,然後選擇專有網絡和虛擬交換機,再選擇帶寬規格。帶寬規格指的是VPN網關所具備的公網帶寬。


15b1fd7e498d0e851510ed16a01e0af7f7b115bb


 

購買成功後進入VPN控製台


64df9c273782033639b38dc64a0b59b41fc80588

 


一開始狀態是準備中,約2分鍾左右會變成正常狀態。正常狀態就表明VPN網關完成了初始化,可以正常使用了。

 

創建用戶網關

用戶網關是對線下IDC網關設備的一個簡單抽象,就是把線下IDC網關設備的公網IP地址注冊到係統中便於後續建立VPN連接。

 

VPN控製台 中點擊“用戶網關”,在右上角點擊“創建用戶網關”,如下圖


6feca3c57743f1b6cce6182f48669a099037e625

 


 

創建成功,如下圖

 


 28b1e12e77ebd13049723c1c99a9878bb663c1aa

創建VPN連接

VPN連接將雲上VPN網關和線下IDC的用戶網關進行關聯,並設置連接相關參數。如下圖


b4b793d15771271d7ef951e089069a90517504e1

 


特別注意,這裏本端網段指的是雲上VPC的網段,對端網段指的是線下IDC的網段,在本實驗中是172.16.0.0/12。另外,如果需要對連接進行更高級的配置,可以展開高級配置進行詳細設置。

 

創建成功後如下圖所示



d465fc18868238623068a79652e1927577784263

在線下IDC網關設備中加載配置

首先,下載VPN連接的配置。在 VPN控製台 中點擊“VPN連接”,找到所需的VPN連接,點擊“下載配置”,如下圖

 


 e1235bc717484195d57ef1c49c19094d00229f5b


然後,根據線下IDC網關設備的配置要求,將上述配置加載到IDC網關設備中。由於試驗條件所限,這裏不詳細描述。

 

注意:下載配置中得RemotSubnet和LocalSubnet和創建VPN連接時得本段網段和對端網段正好是反的。因為從雲上VPN網關角度看,對端是用戶IDC的網段,本端是VPC網段,而從線下IDC的網關設備角度看,LocalSubnet就是指線下IDC的網段,而RemotSubnet則是指雲上VPC的網段。

設置路由

到這裏VPN網關基本配置完畢,但是要讓雲上VPC內的ECS可以直接訪問線下IDC內的服務器,還需要在雲上VPC設置路由。

 

進入 VPC控製台,找到VPN網關所在的VPC,點擊該VPC,然後點擊“路由器”,在右上角點擊“添加路由”,如下圖


00373448872624036c79efe8169c5395ced5c7b1




注意:這裏的目標網段是線下IDC的網段,即172.16.0.0/12,下一跳類型選擇 VPN網關,並選擇所使用的VPN網關實例。這個配置的意思是上,去往172.16.0.0/12 網段的訪問請求都經過VPN網關轉發。

測試訪問

登陸到雲上VPC內找一台不帶公網ECS,並通過 ping 命令ping線下IDC內一台服務器的私網IP地址,驗證通信是否正常。

補充:線下IDC內服務器如何訪問雲上資源

如果線下IDC內服務器要訪問雲上VPC的資源,對於ECS,RDS,SLB等實例型雲產品(這種雲產品的VPC類型實例使用的是VPC內的一個私網IP地址),可以直接訪問,對於OSS等非實例型雲產品(這類雲產品的VPC訪問地址一般使用100.64.0.0/10網段的一個地址,屬於阿裏雲內部保留地址),還需要把 100.64.0.0/10 的網段添加到邊界路由上,指向 VPC 方向。

展望

未來阿裏雲VPN網關會提供SSL協議的支持,並支持VPN網關作為專線的備份鏈路,當專線鏈路不可用時切換到VPN鏈路。同時,我們也會考慮支持HUB&SPOKE等高級功能。

最後更新:2017-05-24 20:01:27

  上一篇:go  python基礎(一)列表與元組
  下一篇:go  Java中的==、equals及hashCode