阿里云VPN网关部署实践

摘要:

2017年5月23日,在云栖大会·成都峰会上,阿里云推出VPN网关,为企业构建混合云提供了新选择。在VPN网关的支持下,企业可以在几分钟内完成企业数据中心与阿里云VPC之间的互联,大幅降低了企业成本的同时,还获得数据传输安全性。

 

VPN网关是很常用的网络服务,不管是Site-to-Site VPN,还是Client-to-site
VPN都经常用到。阿里云本次发布的VPN网关是IPSec VPN,支持Site-to-Site,非常适合用户线下IDC和云上VPN构建混合云。本文介绍阿里云VPN网关的基本配置和使用。

 

部署前规划和准备

主要考虑如下几点:

  • 一是线下IDC和云上VPC的私网IP地址段规划,注意不能相同,否则无法通信。
  • 二是规划VPN网关所在的VPC和虚拟交换机,即云上VPN网关的网络环境。
  • 三是确定线下IDC的网关设备,用哪个设备和云上VPC互联。阿里云VPN网关支持标准的IKEv1和IKEv2,因此,只要支持这两种协议的设备都可以和云上VPN网关互联,比如Cisco ASA、Juniper、SonicWall、Nokia、IBM、Ixia等

 

如下图所示,本次实验在阿里云上的VPC网段是192.168.0.0/16,用户线下IDC的网段是172.16.0.0/12,用户线下IDC的网关设备公网IP地址假设是211.167.68.68。现在需要通过VPN网关将云上VPC和线下IDC打通,使VPC内云资源和IDC内的服务器可以私网通信。

 

基本配置流程为:

  • 创建 VPN 网关
  • 创建用户网关
  • 创建 VPN 连接
  • 在线下IDC网关设备中加载配置
  • 设置路由
  • 测试访问

 

详细说明如下:

 

 创建 VPN 网关

注:需要先在华东1地域创建好VPC和交换机。

在VPN网关的产品详情页https://www.aliyun.com/product/vpn 点击“立即购买”

选择华东1(杭州)地域,然后选择专有网络和虚拟交换机,再选择带宽规格。带宽规格指的是VPN网关所具备的公网带宽。

 

购买成功后进入VPN控制台

 

一开始状态是准备中,约2分钟左右会变成正常状态。正常状态就表明VPN网关完成了初始化,可以正常使用了。

 

创建用户网关

用户网关是对线下IDC网关设备的一个简单抽象,就是把线下IDC网关设备的公网IP地址注册到系统中便于后续建立VPN连接。

 


VPN控制台中点击“用户网关”,在右上角点击“创建用户网关”,如下图

 

 

创建成功,如下图

 

 

创建VPN连接

VPN连接将云上VPN网关和线下IDC的用户网关进行关联,并设置连接相关参数。如下图

 

特别注意,这里本端网段指的是云上VPC的网段,对端网段指的是线下IDC的网段,在本实验中是172.16.0.0/12。另外,如果需要对连接进行更高级的配置,可以展开高级配置进行详细设置。

 

创建成功后如下图所示

在线下IDC网关设备中加载配置

首先,下载VPN连接的配置。在
VPN控制台中点击“VPN连接”,找到所需的VPN连接,点击“下载配置”,如下图

 

 

然后,根据线下IDC网关设备的配置要求,将上述配置加载到IDC网关设备中。由于试验条件所限,这里不详细描述。

 

注意:下载配置中得RemotSubnet和LocalSubnet和创建VPN连接时得本段网段和对端网段正好是反的。因为从云上VPN网关角度看,对端是用户IDC的网段,本端是VPC网段,而从线下IDC的网关设备角度看,LocalSubnet就是指线下IDC的网段,而RemotSubnet则是指云上VPC的网段。

设置路由

到这里VPN网关基本配置完毕,但是要让云上VPC内的ECS可以直接访问线下IDC内的服务器,还需要在云上VPC设置路由。

 

进入
VPC控制台,找到VPN网关所在的VPC,点击该VPC,然后点击“路由器”,在右上角点击“添加路由”,如下图

注意:这里的目标网段是线下IDC的网段,即172.16.0.0/12,下一跳类型选择 VPN网关,并选择所使用的VPN网关实例。这个配置的意思是上,去往172.16.0.0/12 网段的访问请求都经过VPN网关转发。

测试访问

登陆到云上VPC内找一台不带公网ECS,并通过 ping 命令ping线下IDC内一台服务器的私网IP地址,验证通信是否正常。

补充:线下IDC内服务器如何访问云上资源

如果线下IDC内服务器要访问云上VPC的资源,对于ECS,RDS,SLB等实例型云产品(这种云产品的VPC类型实例使用的是VPC内的一个私网IP地址),可以直接访问,对于OSS等非实例型云产品(这类云产品的VPC访问地址一般使用100.64.0.0/10网段的一个地址,属于阿里云内部保留地址),还需要把 100.64.0.0/10 的网段添加到边界路由上,指向 VPC 方向。

展望

未来阿里云VPN网关会提供SSL协议的支持,并支持VPN网关作为专线的备份链路,当专线链路不可用时切换到VPN链路。同时,我们也会考虑支持HUB&SPOKE等高级功能。

时间: 2024-08-08 00:52:58

阿里云VPN网关部署实践的相关文章

阿里云VPN网关常见问题与解决方法

阿里云VPN网关产品2017年5月20日正式对外公测(相关介绍可参考:link),至今已经上线半年多的时间,在这段时间内我们也收到了很多用户的问题反馈及建议,对于用户提出的建议我们们归纳整理,并且会在接下来的时间里排期改进. 在这篇文章里,我们会重点关注用户在使用过程中遇到的问题以及相应的解决方法.需要说明的是,目前的阿里云VPN网关只支持IPsec VPN功能,SSL VPN功能近期将会推出. IPsec(Internet Protocol Security)协议是一个协议组合,包括IKE密钥

从此,国际站用户也能使用阿里云VPN网关服务

11月,阿里云VPN 网关(VPN Gateway)服务正式对国际站用户发布,也就是说以后阿里云国际站用户,也可以便捷使用VPN网关服务了. 阿里云VPN 网关是一款基于 Internet,通过加密通道将企业数据中心和阿里云专有网络(VPC)安全可靠连接起来的服务.阿里云VPN网关支持IPSec加密协议,可满足绝大多数VPN连接的需求. VPN网关服务主包含以下组件:一是VPN 网关,是客户在VPC中创建的IPSec VPN网关.一个 VPN 网关可以有多个VPN连接.二是用户网关,是客户在本地

VPN网关最佳实践系列(一)如何让VPC之间互通

话题引入 VPN网关是阿里云新推出的一项网络服务,可以帮助你的企业轻松构建安全.稳定.高可用的网络互联方案.相比传统VPN软件和自建VPN,阿里云VPN网关部署方便,即开即用,售后支持专业. 今天,我们来谈一谈如何如何部署和配置VPN网关,使两个VPC之间能够私网互通,把你的云上网络连接起来. 提示:VPN网关是基于Internet建立加密隧道进行通信,通信质量依赖Internet.如果有更高要求的VPC互通,可以使用高速通道,详情参考跨账号VPC互通和跨地域VPC互通. 本操作以同一个账号下的

VPN网关最佳实践系列(二)配置山石防火墙,安全连接云上VPC与云下IDC

在构建混合云时,保证云上云下的通信安全,实现云上网络和企业IDC现有防火墙设备的有效互通,是混合云安全的一个不可忽略的重要环节.山石网科的下一代防火墙系列是企业广泛使用的一款网络安全产品.该产品以其优秀的性能入选Gartner的下一代防火墙魔力象限.权威安全测评机构NSS Labs将山石防火墙列为推荐级产品. 经过我们的测试,阿里云VPC完全兼容与山石网关防火墙设备之间的互联.今天,我们学习一下配置阿里云VPN网关和山石防火墙的正确姿势,实现云上云下互通,构建安全可靠的混合云网络. 顺便提一下,

VPN网关最佳实践系列(三)如何配置与华三H3C防火墙连接,构建混合云网络

新华三公司拥有诸多系列的网络安全产品,其中的防火墙产品系列是目前广泛被企业采用的数据中心安全产品.经过测试,阿里云VPN网关完全兼容H3C的企业防火墙产品.通过配置这两款产品,企业能够快速打通从云下到云上的数据通信,安全构建混合云的网络基础架构.本文罗列了从头到尾的产品配置步骤,供大家参考. 顺便提一下,阿里云VPN网关9月到11月推出半价体验优惠活动,详情请见 https://promotion.aliyun.com/ntms/act/vpngateway.html 规划和准备 部署VPN网关

VPN网关部署之VPC与 Strongswan互通

通过在 VPC 内部署 VPN 网关,对接线下 IDC 软件使 VPC 和 IDC 私网互通,不需要部署专用 VPN 硬件实现. 本文以 Strongswan 软件为例介绍部署 VPN 网关的操作步骤. 备注: 1.本身线下IDC也是通过 VPC 网络进行模拟. 2.在部署之前要注意线下 IDC 和 VPC 的网段不能相同.并且线下IDC必须要有静态公网IP,目前不支持动态拨号接入. 应用场景 线下 IDC 通过自建的 Strongswan 环境和 VPN 网关建立 IPSEC VPN ,实现线

阿里云智能语音交互技术实践干货分享

阿里云技术总监/研发总监陈一宁博士通过直播分享了<阿里云智能语音交互技术实践>.他首先介绍了智能语音面临的技术挑战,然后对智能语音技术做了详细介绍.其中,他主要分享了阿里云使用的BLSTM & LFR声学模型的优化过程,并对基于深度学习的自然语言理解的不同场景进行了详细分享.   以下内容根据直播视频整理而成.   阿里云智能语音概述 阿里云智能语音交互=语音+自然语言处理,语音包括语音识别.语音合成.声纹等,自然语言处理包括自然语言理解.对话系统.问答系统等.阿里云智能语音团队不是一

利用Docker和阿里云容器服务部署高可用Ghost博客集群

简介 Ghost是一个流行的开源博客平台(Open source blogging platform),基于 Node.js 构建,博客内容默认采用 Markdown 语法书写,给用户提供一种更加纯粹的内容写作与发布平台. Ghost的部署和运维需要一定的Web开发基础,利用Docker技术可以大大简化Ghost的部署和更新.Docker Hub上面也提供了Ghost官方镜像 使用Docker镜像,不懂得Node.Js的同学也可以分分钟在本地或阿里云容器服务上搭建起一个单节点的Ghost博客,但

初探阿里云存储网关(多图慎入)

初探阿里云存储网关 有幸第一时间拿到阿里云存储团队提供的存储网关内部测试版本,我第一时间进行了尝鲜,分享给大家,相信不久大家就能看到这款新产品.          大家都知道阿里云对象存储OSS,它不同于ECS的云盘,既能提供低廉的成本又能提供海量吞吐,高并发的访问.最重要的是利用对象存储oss,能搭建动静分离的系统架构,系统的扩展性和健壮性都比直接使用云盘高.但对象存储使用RESTful的接口才能使用,有一定的动手成本,而且如果原本的应用已经基于文件系统开发好,无法修改的话.就无法享受对象存储