阅读91 返回首页    go 阿里云 go 技术社区[云栖]

VPN网关最佳实践系列(三)如何配置与华三H3C防火墙连接,构建混合云网络

新华三公司拥有诸多系列的网络安全产品,其中的防火墙产品系列是目前广泛被企业采用的数据中心安全产品。经过测试,阿里云VPN网关完全兼容H3C的企业防火墙产品。通过配置这两款产品,企业能够快速打通从云下到云上的数据通信,安全构建混合云的网络基础架构。本文罗列了从头到尾的产品配置步骤,供大家参考。

顺便提一下,阿里云VPN网关9月到11月推出半价体验优惠活动,详情请见 https://promotion.aliyun.com/ntms/act/vpngateway.html
59a80c8eeb55aca9d7e09e54564f9a024c7ffe17

规划和准备

部署VPN网关前,需要做好以下准备:

  • 为云下IDC和云上VPC规划两个私网IP地址段。

  • 为云下IDC的网关设备即华三防火墙配置静态公网IP,否则无法和云上VPN网关对接。

  • 创建VPC和交换机。

应用场景

本教程以以下配置为例,介绍如何通过VPN网关实现云上VPC和云下IDC互通,使VPC内云资源和IDC内的服务器可以通过私网进行通信。

  • VPC 网段:192.168.10.0/24

  • 云下IDC的私网网段:192.168.66.0/24

  • 线下H3C防火墙的公网IP地址:122.225.207.248

  • H3C防火墙的公网网口:Reth 1;私网网口:G 2/0/10

    arch

阿里云VPN配置

步骤一 创建VPN网关

  1. 登录专有网络管理控制台

  2. 单击创建VPN网关

  3. 在VPN网关购买页面,配置如下信息,然后单击立即购买,完成支付。

    • 地域: 选择您的VPC所在的地域。

    • 专有网络: 选择要连接的VPC。

    • 带宽规格:选择带宽规格。带宽规格是VPN网关所具备的公网带宽。

      buy

  4. 返回专有网络管理控制台,选择VPC所在的地域,查看创建的VPN网关。

    刚创建好的VPN网关的状态是准备中。约两分钟左右会变为正常,即VPN网关已完成初始化,可正常使用。如下图所示,新建的VPN网关的公网IP地址为101.xxx.xxx.127。

    VPN

步骤二 创建用户网关

  1. 打开用户网关页面

  2. 选择VPC所在的地域。

  3. 单击创建用户网关

  4. 创建用户网关对话框,输入H3C防火墙的公网IP地址122.225.207.248,然后单击提交

    USERVPN

步骤三 创建VPN连接

  1. 打开VPN连接页面.

  2. 选择VPC所在的地域。

  3. 单击创建VPN连接

  4. 创建VPN连接对话框,输入以下信息,然后单击提交

    • VPN网关:选择新建的VPN网关。

    • 用户网关:选择新建的用户网关,代表云下IDC的网关。

    • 本端网段:云上VPC的私网网段,本教程中为192.168.10.0/24。

    • 对端网段:云下IDC的私网网段,本教程中为192.168.66.0/24。

      connection

步骤四 导出云端VPN网关配置

  1. 打开VPN连接页面

  2. 选择VPC所在的地域。

  3. 找到目标VPN连接,然后单击下载配置

  4. 根据华三防火墙的配置要求,将上述配置加载到防火墙中。

    注意:下载配置中的RemotSubnet和LocalSubnet与创建 VPN 连接时的本端网段和对端网段正好是相反的。因为从云上VPN网关角度看,对端是用户IDC的网段,本端是VPC网段;而从线下IDC的网关设备角度看,LocalSubnet就是指线下IDC的网段,RemotSubnet则是指云上 VPC 的网段。

    download

步骤五 设置路由

  1. 登录专有网络管理控制台

  2. 专有网络列表页面,找到VPN网关所属的VPC ,单击该VPC的ID链接。

  3. 在VPC详情页面,单击路由器,然后单击添加路由

  4. 添加路由对话框,配置如下信息,单击确定

    • 目标网段:防火墙的私网网段,本教程中是192.168.66.0/24。

    • 下一跳类型:选择VPN网关。

    • VPN网关:选择创建好的VPN网关。

      route

H3C防火墙操作步骤

根据云上 VPC 导出的 VPN 网关配置,在防火墙上做相应适配,具体信息如下表。

IPSec协议信息

协议 配置 取值
IKE 认证算法 sha1
加密算法 aes
DH分组 group2
IKE版本 ikev1
生命周期 86400
协商模式 main
PSK h3c
IPSec 认证算法 sha1
加密算法 aes
DH分组 group2
IKE版本 ikev1
生命周期 86400
协商模式 esp

网络连接信息

配置 取值
VPC信息 私网CIDR 192.168.10.0/24
网关公网IP 101.xxx.xxx.127
IDC信息 私网CIDR 192.168.66.0/24
网关公网IP 122.xxx.xxx.248
上行公网网口 Reth 1
下行私网网口 G 2/0/10

登录防火墙WEB界面,完成基本网络配置。包括上下行接口的配置。

  • 上行公网口配置,配置IP地址并将接口加入untrust域:

    reth1

  • 下行私网口配置:配置IP地址并将接口加入trust域:

    G

步骤一 IPSec 策略配置

  1. 登录防火墙WEB界面,单击网络 > VPN > IPsec > 策略 > 新建

  2. 对照上表中网路配置H3C防火墙IPSec策略,在保护的数据流点击添加加入保护的兴趣流,兴趣流源IP和目的IP分别为IDC和阿里云私网地址段。

    IKE

步骤二 IKE提议配置

单击IKE提议 > 新建,配置IKE提议。协议字段需要和对应的云端IKE协议信息匹配。

p2

步骤三 IPSec高级配置

  1. 单击网络 > VPN > IPsec > 策略

  2. 选择刚刚新建的IPSec策略,单击高级配置配置IPSec协议。

    协议信息需要和云端IPSec协议字段匹配。

    ipsec

步骤四 新建安全域

单击策略 > 安全策略 > 新建。分别创建上行安全策略和下行安全策略:

  • 从阿里云到线下IDC方向:

    s4

  • 从线下IDC到阿里云方向:

    s4

步骤五 添加路由

  1. 单击网络 > 路由 > 静态路由

  2. 添加缺省路由,使出方向流量走上行接口,本例中下行接口为直连路由,无需配置:

    addRoute

验证

  • 打开VPN连接页面,查看链接状态是否为第二阶段协商成功

    status

  • 登录到云上 VPC 内一台无公网IP的ECS实例,并执行 ping 命令测试通信是否正常。

    ping

最后更新:2017-09-28 11:03:10

  上一篇:go  2016版码农跳槽指南:云架构师成香饽饽
  下一篇:go  磁盘性能压测二三事之——性能参数和指标