文档章节

阿里云VPN网关部署实践

AllenOR灵感
 AllenOR灵感
发布于 2017/09/10 01:08
字数 1438
阅读 1
收藏 0

摘要:

2017年5月23日,在云栖大会·成都峰会上,阿里云推出VPN网关,为企业构建混合云提供了新选择。在VPN网关的支持下,企业可以在几分钟内完成企业数据中心与阿里云VPC之间的互联,大幅降低了企业成本的同时,还获得数据传输安全性。


VPN网关是很常用的网络服务,不管是Site-to-Site VPN,还是Client-to-site VPN都经常用到。阿里云本次发布的VPN网关是IPSec VPN,支持Site-to-Site,非常适合用户线下IDC和云上VPN构建混合云。本文介绍阿里云VPN网关的基本配置和使用。

部署前规划和准备

主要考虑如下几点:

一是线下IDC和云上VPC的私网IP地址段规划,注意不能相同,否则无法通信。

二是规划VPN网关所在的VPC和虚拟交换机,即云上VPN网关的网络环境。

三是确定线下IDC的网关设备,用哪个设备和云上VPC互联。阿里云VPN网关支持标准的IKEv1和IKEv2,因此,只要支持这两种协议的设备都可以和云上VPN网关互联,比如Cisco ASA、Juniper、SonicWall、Nokia、IBM、Ixia等

如下图所示,本次实验在阿里云上的VPC网段是192.168.0.0/16,用户线下IDC的网段是172.16.0.0/12,用户线下IDC的网关设备公网IP地址假设是211.167.68.68。现在需要通过VPN网关将云上VPC和线下IDC打通,使VPC内云资源和IDC内的服务器可以私网通信。


基本配置流程为:

创建 VPN 网关

创建用户网关

创建 VPN 连接

在线下IDC网关设备中加载配置

设置路由

测试访问

详细说明如下:

创建 VPN 网关

注:需要先在华东1地域创建好VPC和交换机。

在VPN网关的产品详情页https://www.aliyun.com/product/vpn点击“立即购买”

选择华东1(杭州)地域,然后选择专有网络和虚拟交换机,再选择带宽规格。带宽规格指的是VPN网关所具备的公网带宽。


购买成功后进入VPN控制台


一开始状态是准备中,约2分钟左右会变成正常状态。正常状态就表明VPN网关完成了初始化,可以正常使用了。

创建用户网关

用户网关是对线下IDC网关设备的一个简单抽象,就是把线下IDC网关设备的公网IP地址注册到系统中便于后续建立VPN连接。

VPN控制台中点击“用户网关”,在右上角点击“创建用户网关”,如下图


创建成功,如下图


创建VPN连接

VPN连接将云上VPN网关和线下IDC的用户网关进行关联,并设置连接相关参数。如下图


特别注意,这里本端网段指的是云上VPC的网段,对端网段指的是线下IDC的网段,在本实验中是172.16.0.0/12。另外,如果需要对连接进行更高级的配置,可以展开高级配置进行详细设置。

创建成功后如下图所示


在线下IDC网关设备中加载配置

首先,下载VPN连接的配置。在VPN控制台中点击“VPN连接”,找到所需的VPN连接,点击“下载配置”,如下图


然后,根据线下IDC网关设备的配置要求,将上述配置加载到IDC网关设备中。由于试验条件所限,这里不详细描述。

注意:下载配置中得RemotSubnet和LocalSubnet和创建VPN连接时得本段网段和对端网段正好是反的。因为从云上VPN网关角度看,对端是用户IDC的网段,本端是VPC网段,而从线下IDC的网关设备角度看,LocalSubnet就是指线下IDC的网段,而RemotSubnet则是指云上VPC的网段。

设置路由

到这里VPN网关基本配置完毕,但是要让云上VPC内的ECS可以直接访问线下IDC内的服务器,还需要在云上VPC设置路由。

进入VPC控制台,找到VPN网关所在的VPC,点击该VPC,然后点击“路由器”,在右上角点击“添加路由”,如下图


注意:这里的目标网段是线下IDC的网段,即172.16.0.0/12,下一跳类型选择 VPN网关,并选择所使用的VPN网关实例。这个配置的意思是上,去往172.16.0.0/12 网段的访问请求都经过VPN网关转发。

测试访问

登陆到云上VPC内找一台不带公网ECS,并通过 ping 命令ping线下IDC内一台服务器的私网IP地址,验证通信是否正常。

补充:线下IDC内服务器如何访问云上资源

如果线下IDC内服务器要访问云上VPC的资源,对于ECS,RDS,SLB等实例型云产品(这种云产品的VPC类型实例使用的是VPC内的一个私网IP地址),可以直接访问,对于OSS等非实例型云产品(这类云产品的VPC访问地址一般使用100.64.0.0/10网段的一个地址,属于阿里云内部保留地址),还需要把 100.64.0.0/10 的网段添加到边界路由上,指向 VPC 方向。

展望

未来阿里云VPN网关会提供SSL协议的支持,并支持VPN网关作为专线的备份链路,当专线链路不可用时切换到VPN链路。同时,我们也会考虑支持HUB&SPOKE等高级功能。

本文转载自:http://www.jianshu.com/p/6c00235f162f

AllenOR灵感
粉丝 11
博文 2635
码字总数 83001
作品 0
程序员
私信 提问
阿里云VPC私网连接技术白皮书

概要 阿里云专有网络VPC(Virtual Private Cloud)是您基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离。您能够在自己定义的虚拟网络中使用阿里云资源,例如选择自己的IP地...

乐乎无趣
2017/11/01
32
0
VPN网关SSL-VPN产品介绍

在5月22日的网络动态直播中,由阿里云产品经理奈玟带来了“VPN网关SSL-VPN产品介绍”。本次主题分享主要从SSL-VPN和IPsec-VPN网关的功能和产品优势开始引入,对VPN网关的几个经典应用场景进行...

smile小太阳
2018/05/29
0
0
详解混合云数据安全传输两大解决方案

详解混合云数据安全传输两大解决方案 阿里云高级安全专家 安忍 引言 Gartner称,云计算的使用正在不断增加,到2016年这一增长将占据大量新增IT开支。2016年将是云计算决定性的一年,私有云开...

阿里云官方博客
2016/02/24
476
0
阿里云网络产品常见架构场景及问题

阿里云的网络和弹性计算类产品很多,使用场景也多种多样,本文是一些使用场景的集锦。主要思路是从使用特定场景中发生的典型问题出发,总结网络产品使用中的关键点。 场景1: 使用VPN打通多个...

怀知
05/16
0
0
VPC网络架构助力媒体数字化转型

在2018云栖大会-南京峰会上,阿里云技术专家胡茂庐讲述了阿里云网络架构VPC的概念,并对比经典网络详细分析了VPC及其产品的核心优势,以及讲述了全球网络的实现方式。在最后由新华报业传媒集...

wanwlxmmd
2018/05/14
0
0

没有更多内容

加载失败,请刷新页面

加载更多

CentOS7.6中安装使用fcitx框架

内容目录 一、为什么要使用fcitx?二、安装fcitx框架三、安装搜狗输入法 一、为什么要使用fcitx? Gnome3桌面自带的输入法框架为ibus,而在使用ibus时会时不时出现卡顿无法输入的现象。 搜狗和...

技术训练营
昨天
5
0
《Designing.Data-Intensive.Applications》笔记 四

第九章 一致性与共识 分布式系统最重要的的抽象之一是共识(consensus):让所有的节点对某件事达成一致。 最终一致性(eventual consistency)只提供较弱的保证,需要探索更高的一致性保证(stro...

丰田破产标志
昨天
8
0
docker 使用mysql

1, 进入容器 比如 myslq1 里面进行操作 docker exec -it mysql1 /bin/bash 2. 退出 容器 交互: exit 3. mysql 启动在容器里面,并且 可以本地连接mysql docker run --name mysql1 --env MY...

之渊
昨天
10
0
python数据结构

1、字符串及其方法(案例来自Python-100-Days) def main(): str1 = 'hello, world!' # 通过len函数计算字符串的长度 print(len(str1)) # 13 # 获得字符串首字母大写的...

huijue
昨天
6
0
PHP+Ajax微信手机端九宫格抽奖实例

PHP+Ajax结合lottery.js制作的一款微信手机端九宫格抽奖实例,抽奖完成后有收货地址添加表单出现。支持可以设置中奖概率等。 奖品列表 <div class="lottery_list clearfix" id="lottery"> ......

ymkjs1990
昨天
5
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部