云下网络通过VPN网关访问阿里云DNS

背景

DNS服务的作用是通过域名找到对应IP。对于一家科技企业来说,搭建一套内网DNS是很有必要的。当企业将服务整体搬迁到阿里云上后,就面临着办公网络环境和阿里云互联互通的问题。这里面,DNS扮演着企业内部寻址服务的关键角色,如何在办公网环境下也能利用阿里云DNS完成内部域名解析,成了很多客户上云后的难点。

本文介绍一种在VPN互联互通场景下,利用阿里云DNS解析内部域名的实践方案。

应用场景

适用场景

阿里云VPC内提供的DNS server支持PrivateZone功能,通过VPN网关可以使用ipsec协议把线下的网络(如本地数据中心/分支机构)和VPC进行互通。本教程介绍通过VPN网关访问阿里云上PrivateZone的方法。

资源准备

  • 阿里云PrivateZone的DNS服务器地址如下:

序号

PrivateZone服务器IP地址

1

100.100.2.136/32

2

100.100.2.138/32

具体配置:

第一步 在VPN网关上配置访问DNS服务器的ipsec连接

  • 在现有的VPN网关上创建新的ipsec连接:创建IPsec

  • 点击“编辑”,注意点开“高级配置”,配置信息如下:

配置项

配置内容

名称

自定义

VPN网关

系统自动生成

用户网关

系统自动生成

本端网段

192.168.0.0/16(根据实际网段进行替换)

对端网段

10.0.0.0/24(根据实际网段进行替换)

立即生效

预共享密钥

自定义

版本

ikev1

协商模式

main

加密算法

aes

认证算法

sha1

DH分组

group2

SA生存周期(秒)

86400

LocalId

39.96.2.138(根据实际进行替换)

Remoteld

39.96.0.248(根据实际进行替换)

  • IPsec配置信息

配置项

配置内容

加密算法

aes

认证算法

sha1

DH分组

group2

SA生存周期(秒)

86400

第二步 新建从线下网络到VPN网关的IPSec

  • 点击创建IPSec连接,在相同的VPN网关上新建ipsec连接,除了本地网段换为100.100.2.136/32以外,其它参数保持完全一致。否则ipsec的第一阶段协商可能会失败.

配置项

配置内容

名称

自定义

VPN网关

自定义

用户网关

自定义

本端网段

100.100.2.128/25(DNS服务网段)

对端网段

192.168.0.0/16(根据实际网段进行替换)

立即生效

预共享密钥

自定义

版本

ikev1

协商模式

main

加密算法

aes

认证算法

sha1

DH分组

group2

SA生存周期(秒)

86400

LocalId

39.96.0.248(根据实际进行替换)

Remoteld

39.96.2.128(根据实际进行替换)

  • IPSec配置

配置项

配置内容

加密算法

aes

认证算法

sha1

DH分组

group2

SA生存周期(秒)

86400

第三步 线下网络配置(联系公司网工)

  • VPN网关配置对应的ipsec连接,参数跟上面一致,请参考具体设备产商说明书配置;

  • 配置线下网络路由,把100.100.2.136/32的路由指向线下VPN网关上的ipsec隧道

第四步 观察ipsec隧道

如果一切配置正确,应该能观察到ipsec隧道协商成功。如果还有问题,请联系阿里云网络技术支持,或者公司网工;状态

第五步 域名解析验证

  • 先ping验证到DNS连通性,时延取决于从idc到vpn网关的公网质量网络联通验证

  • 使用100.100.2.136解析Privatezone域名域名解析验证

验证成功后,即可完成线下网络和阿里云VPC通过VPN网关共享DNS解析的方案