888
VPN網關最佳實踐係列(二)配置山石防火牆,安全連接雲上VPC與雲下IDC
在構建混合雲時,保證雲上雲下的通信安全,實現雲上網絡和企業IDC現有防火牆設備的有效互通,是混合雲安全的一個不可忽略的重要環節。山石網科的下一代防火牆係列是企業廣泛使用的一款網絡安全產品。該產品以其優秀的性能入選Gartner的下一代防火牆魔力象限。權威安全測評機構NSS Labs將山石防火牆列為推薦級產品。 經過我們的測試,阿裏雲VPC完全兼容與山石網關防火牆設備之間的互聯。今天,我們學習一下配置阿裏雲VPN網關和山石防火牆的正確姿勢,實現雲上雲下互通,構建安全可靠的混合雲網絡。
規劃和準備
在部署 VPN 網關前,請您先做好以下準備:
-
為雲下 IDC 和雲上 VPC 規劃兩個私網IP地址段。
-
為雲下 IDC 的網關設備即山石網科防火牆準備靜態公網IP,否則無法和雲上 VPN 網關對接。
-
創建 VPC 和交換機。
應用場景
本操作以雲上 VPC 的私網網段是192.168.10.0/24,雲下 IDC 的私網網段是10.90.5.0/24,山石網科防火牆的公網IP地址是222.92.194.18為例介紹配置過程。通過 VPN 網關實現雲上 VPC 和雲下 IDC互通,使 VPC 內雲資源和 IDC 內的服務器可以通過私網進行通信。
本例中,山石防火牆的公網網口為VlanIf 100,私網網口為E 0/3。
阿裏雲VPN配置
步驟一 創建VPN網關
-
打開 專有網絡管理控製台。
-
單擊創建VPN網關。
-
在VPN網關購買頁麵,配置如下信息,然後單擊立即購買,完成支付。
-
地域: 選擇該您的 VPC 所在的地域。
-
專有網絡: 選擇要連接的 VPC。
-
帶寬規格:選擇帶寬規格,帶寬規格是 VPN 網關所具備的公網帶寬。
-
-
返回 專有網絡管理控製台,選擇 VPC所在的地域,查看創建的 VPN 網關。
剛創建好的 VPN 網關的狀態是準備中,約兩分鍾左右會變為正常,表明 VPN 網關已完成初始化,可正常使用。如下圖所示,新建的VPN網關的公網IP地址為118.31.79.25。
步驟二 創建用戶網關
-
打開用戶網關頁麵。
-
選擇 VPC 所在的地域。
-
單擊創建用戶網關。
-
在創建用戶網關對話框,輸入山石網科防火牆的公網IP地址222.92.194.18,然後單擊提交。
步驟三 創建VPN連接
-
打開VPN連接頁麵.
-
選擇 VPC 所在的地域。
-
單擊創建VPN連接。
-
在創建VPN連接對話框,輸入以下信息,然後單擊提交。
-
VPN網關:選擇新建的VPN網關。
-
用戶網關:選擇新建的用戶網關,代表雲下 IDC 的網關。
-
本端網段:雲上 VPC 的私網網段,本操作中為192.168.10.0/24。
-
對端網段:雲下 IDC 的私網網段,本操作中為10.90.5.0/24。
-
步驟四 導出雲端VPN網關配置
-
打開VPN連接頁麵。
-
選擇 VPC 所在的地域。
-
找到目標 VPN 連接,然後單擊下載配置。
-
根據山石網科防火牆的配置要求,將上述配置加載到防火牆中。
注意:下載配置中的RemotSubnet和LocalSubnet與創建 VPN 連接時的本端網段和對端網段正好是相反的。因為從雲上VPN網關角度看,對端是用戶 IDC 的網段,本端是 VPC 網段;而從線下 IDC 的 網關設備角度看,LocalSubnet就是指線下 IDC 的網段,RemotSubnet則是指雲上 VPC 的網段。
步驟五 設置路由
-
登錄專有網絡管理控製台。
-
在專有網絡列表頁麵,找到 VPN 網關所屬的 VPC ,單擊該 VPC 的ID鏈接。
-
在 VPC 詳情頁麵,單擊路由器,然後單擊添加路由。
-
在添加路由對話框,配置如下信息,單擊確定。
-
目標網段:防火牆的私網網段,本教程中是10.90.5.0/24。
-
下一跳類型:選擇 VPN 網關。
-
VPN網關:選擇創建好的 VPN 網關。
-
山石網科防火牆操作步驟
根據雲上 VPC 導出的 VPN 網關配置,在防火牆上做相應適配,具體信息如下表。
IPSec協議信息
| 協議 | 配置 | 取值 |
|---|---|---|
| IKE | 認證算法 | sha1 |
| 加密算法 | aes | |
| DH分組 | group2 | |
| IKE版本 | ikev1 | |
| 生命周期 | 86400 | |
| 協商模式 | main | |
| PSK | hillstone | |
| IPSec | 認證算法 | sha1 |
| 加密算法 | aes | |
| DH分組 | group2 | |
| IKE版本 | ikev1 | |
| 生命周期 | 86400 | |
| 協商模式 | esp |
網絡連接信息
| 配置 | 取值 | |
|---|---|---|
| VPC信息 | 私網CIDR | 192.168.10.0/24 |
| 網關公網IP | 118.31.79.25 | |
| IDC信息 | 私網CIDR | 10.90.5.0/24 |
| 網關公網IP | 222.92.194.18 | |
| 上行公網網口 | vlan100 | |
| 下行私網網口 | E 0/3 |
登錄防火牆WEB界麵,完成基本網絡配置。包括接口、IP、VLAN和上行公網網口IP配置並加入到untrust域,下行私網網口IP匹配並加入到trust域。
步驟一 IPSec P1配置
登錄防火牆WEB界麵,單擊 網絡 - VPN - IPsecVPN - P1提議 - P1提議 - 新建。
對照上表中雲端IKE協議信息配置雲下IKE協議。
步驟二 IPSec P2配置
單擊 P2提議 - 新建。參考上表中雲端IPSec協議信息配置雲下IPSec協議。
步驟三 新建VPN對端
單擊 VPN對端列表 - 新建。其中接口選擇防火牆上出方向公網口,對端IP地址填寫雲端公網IP地址,提議為步驟1創建的p1提議,預共享秘鑰和雲端的PSK一致,如果要打開NAT穿越,可以在高級配置中單擊啟用。
步驟四 新建IKE VPN
單擊 IKE VPN列表 - 新建。其中對端選項選擇步驟三創建的VPN對端,P2提議為步驟二創建的P2提議,代理ID選擇手工,並在代理ID列表中輸入本地IP/掩碼,即雲下 IDC私網網段10.90.5.0/24,在遠程IP/掩碼中輸入為雲上 VPC 的私網地址192.168.10.0/24,然後單擊添加。
步驟五 新建安全域
單擊 網絡 - 安全域 - 新建 。在安全域名稱中輸入安全域的名稱,並在類型中選擇“三層安全域”。
步驟六 新建隧道口
單擊 網絡 - 接口 - 新建 。在接口名稱中輸入”tunnelX”,x的取值範圍為1~512,例如“tunnel5”。安全域選擇之前創建的安全域,隧道類型選擇“IPSec VPN”,VPN 名稱選擇之前創建的VPN。
步驟七 放行策略
單擊策略 - 安全策略 - 新建 。參考下圖創建雙向放行策略。
步驟八 添加路由
單擊 網絡 - 路由 - 新建 。分別添加上行和下行路由:
上行路由:目的地址為雲端 VPC 的私網網段,下一跳為新建的隧道接口。
下行路由:由於本例中防火牆下行口地址10.90.5.1/24,屬於雲下 IDC 的私網網段10.90.5.0/24,所以已經存在本地直連路由。
驗證
-
打開VPN連接頁麵,查看鏈接狀態是否為第二階段協商成功。
-
登錄到雲上 VPC 內一台無公網IP的ECS實例,並執行
ping命令測試通信是否正常。
最後更新:2017-09-15 11:03:36