环境准备和部署

步骤一：创建VPC网络

如果您已在阿里云上创建了VPC，可以跳过该步骤。

1. 登录专有网络管理控制台。
2. 在顶部菜单栏处，将专有网络的地域选择为您本地IDC所在地域。
3. 在专有网络页面，单击创建专有网络。
4. 在创建专有网络页面，参考以下参数表格配置专有网络和交换机相关参数。

   参数所在区域	参数	说明
   专有网络	地域	显示要创建专有网络的地域。
   	名称	输入专有网络的名称。 名称长度为2~128个字符，以英文字母或中文开头，可包含数字、下划线（_）和短划线（-）。
   	IPv4网段	填写专有网络的IPv4网段。建议将网段设置为10.0.0.0/8。
   	IPv6网段	选择是否为专有网络分配IPv6网段，默认不分配IPv6网段。
   	描述	输入专有网络的描述信息。
   	资源组	选择专有网络所属的资源组。保持默认值default resource group即可。
   交换机	名称	输入交换机的名称。 名称长度为2~128个字符，以英文字母或中文开头，可包含数字、下划线（_）和短划线（-）。
   	可用区	选择交换机的可用区。同一专有网络内不同可用区的交换机内网互通。
   	可用区资源	显示该可用区下可创建的云产品实例。
   	IPv4网段	填写交换机的IPv4网段。建议将网段设置为10.0.0.0/24。
   	可用IP数	显示可以使用的IP地址的数量。
   	描述	输入交换机的描述信息。

5. 单击确定。
   创建完成后，可在专有网络列表查看新创建的VPC实例。

步骤二：配置网络

配置VPN代理

阿里云VPC与线下IDC或者第三方云服务VPC之间，可以通过VPN隧道的方式，在互联网上基于公网IP建立点对点的VPN连接，实现混合云网络连通。VPN代理的网络架构如下图所示。

IPSec-VPN可以对流量进行加密传输，保证通信过程中的信息安全。VPN接入配置简便价格适中，推荐中小型企业或进行POC测试的用户使用该方案。

您可以参考以下步骤创建IPSec-VPN连接。

重要 由于第三方云可能不支持手工配置100.64.0.0/10网段路由到VPN网关，当前VPN代理配置方案不适用部分第三方云。

1. 创建VPN网关。
   1. 登录VPN网关管理控制台。
   2. 在VPN网关页面，单击创建VPN网关 。
   3. 在购买页面，参考以下表格中的参数说明，配置相关参数。

      参数	说明
      实例名称	输入VPN网关的实例名称。
      地域和可用区	选择VPN网关的地域。您需要确保VPN网关的地域和VPC的地域相同。
      网关类型	选择VPN网关的类型。选择普通型即可。
      VPC	选择步骤一：创建VPC网络中创建的VPC或已有的VPC。
      指定交换机	选择是否指定VPN网关所属的交换机。取值： 否：不为VPN网关实例指定交换机。创建VPN网关后，VPN网关自动关联至VPC内的任意一个交换机下。 是：为VPN网关实例指定交换机。创建VPN网关后，VPN网关会被关联至指定的交换机下。
      带宽规格	选择VPN网关的带宽规格。
      IPsec-VPN	选择开启，开启IPsec-VPN功能。
      SSL-VPN	选择关闭，关闭SSL-VPN功能。
      计费周期	选择购买时长，可选择1个月。

   4. 单击立即购买，选中服务协议并完成支付。
   5. 在支付成功页面，单击管理控制台。
      您可以在VPN网关实例列表中查看新创建的VPN实例。
2. 创建用户网关。
   1. 在左侧导航栏，选择VPN > 用户网关。
   2. 单击创建用户网关。
   3. 在创建用户网关面板，参考以下表格中的参数说明，配置相关参数。

      参数	说明
      名称	输入用户网关的名称。
      IP地址	输入第三方云VPN网关的IP地址。
      自治系统号	VPC要连接的本地数据中心网关设备的自治系统号。 说明 VPN网关启用BGP路由时，才需要配置该项。
      描述	输入用户网关的描述。

   4. 单击确定。
      创建完成后，在用户网关列表可以查看新创建的用户网关。
3. 创建IPsec连接。
   1. 在左侧导航栏，选择VPN > IPsec连接。
   2. 单击创建IPsec连接。
   3. 在创建IPsec连接页面，参考以下表格中的参数说明，配置相关参数。

      参数类型	参数	说明
      基本信息	名称	输入IPsec连接的名称。
      	VPN网关	选择已创建的VPN网关。
      	用户网关	选择已创建的用户网关。
      	路由模式	选择目的路由模式。
      	立即生效	选择是否立即生效。取值： 是：配置完成后系统立即进行IPsec协议协商。 否（默认值）：当有流量进入时系统才进行IPsec协议协商。
      	预共享密钥	输入IPsec连接的认证密钥，用于VPN网关实例或者转发路由器实例与本地数据中心之间的身份认证。 密钥长度为1~100个字符。若您未指定预共享密钥，系统会随机生成一个16位的字符串作为预共享密钥。创建IPsec连接后，您可以通过编辑按钮查看系统生成的预共享密钥。 重要 IPsec连接两侧配置的预共享密钥需一致，否则系统无法正常建立IPsec连接。
      高级配置：IKE配置	版本	选择IKE协议的版本。推荐选择ikev2。
      	协商模式	选择写上模式。推荐选择main（主模式，协商过程安全性高）。
      	加密算法	选择第一阶段协商使用的加密算法。推荐选择aes256。
      	认证算法	选择第一阶段协商使用的认证算法。推荐选择sha1。
      	DH分组	选择第一阶段协商的Diffie-Hellman密钥交换算法。推荐选择group1。
      	SA生存周期（秒）	设置第一阶段协商出的SA的生存周期。单位：秒。默认值：86400。取值范围：0~86400。
      	LocalId	作为IPsec VPN网关的标识，用于第一阶段的协商。默认为当前选取的VPN网关公网IP地址。
      	RemoteId	作为用户网关的标识，用于第一阶段的协商。默认为当前选取的用户网关公网IP地址。
      高级配置：IPsec配置	加密算法	选择第二阶段协商使用的认证算法。推荐选择aes256。
      	认证算法	选择第二阶段协商使用的认证算法。推荐选择sha1。
      	DH分组	选择第二阶段协商的Diffie-Hellman密钥交换算法。推荐选择group1。
      	SA生存周期（秒）	设置第一阶段协商出的SA的生存周期。单位：秒。默认值：86400。取值范围：0~86400。
      	DPD	选择开启或关闭对等体存活检测功能。DPD功能默认开启。使用默认配置即可。
      	NAT穿越	选择开启或关闭NAT穿越功能。NAT穿越功能默认开启。使用默认配置即可。

      说明 BGP配置和健康检查默认为关闭状态，使用默认配置即可。
   4. 单击确定。
   5. 在创建成功对话框，单击确定，发布VPN路由。
   6. 在IPsec连接页面，单击新创建的IPsec连接名称。
   7. 单击策略路由表页签。
   8. 单击策略路由表操作列的发布。
4. 创建对端网关。
   在第三方云的私有网络中，创建对端网关。将对端地址设置为阿里云的公网IP47.111.79.211，如下图所示（第三方云以腾讯云为例）。

   创建成功后的对端网络如下图所示。
5. 创建VPN通道。
   在第三方云上创建VPN通道。以下步骤以在腾讯云上的操作为例，介绍创建VPN通道的具体过程。
   1. 登录私有网络控制台。
   2. 在左侧导航栏，选择VPN连接 > VPN通道。
   3. 在VPN通道页面，单击新建。
   4. 在新建VPN通道对话框中，配置VPN通道的基本信息。
      您可以参考下图配置VPN通道的基本信息。
   5. 单击下一步。
   6. 配置SPD策略。
   7. 单击下一步。
   8. 填写IKE配置。
   9. 填写IPSec配置并单击保存。
6. 发布对端网段路由。
   在第三方云的私有网络中，把对端（阿里云侧100.100.0.0/16）网段通过策略路由，指定到VPN上，如下图所示。
7. 验证VPN连接状态。
   1. 登录VPN网关管理控制台。
   2. 在左侧导航栏，选择VPN > IPsec连接。
   3. 在IPsec连接页面，查看新创建的IPsec连接的连接状态是否正常。
      可根据连接状态判断VPN连接是否正常。

      • VPN连接正常：连接状态显示第二阶段协商成功。
      • VPN连接正常：连接状态显示第一阶段协商失败或第二阶段协商失败。协商失败的处理方法，请参见IPsec-VPN连接常见问题。

配置专线接入

您可以通过专线方式直接打通内网。专线方式打通的内网质量和安全性更好。以下是专线方式的网络架构图。

专线网络的架构一般为：IDC----VPN----VBR----CEN----VPC，IDC与阿里云BGP对接，在IDC到VPN段的网络配置请参考上文配置VPN代理。

您在IDC下的任意设备上执行telnet jsrv2.aegis.aliyun.com 443/80和telnet update2.aegis.aliyun.com 443/80，telnet成功建立连接，说明正常访问。

如果不能正常访问，使用以下方案进行排查。

用tracert寻找，首先客户内网要进行路由宣告，确保100.100.0.0/16的可以在内网走通，边界VBR需要添加100.100.0.0/16的路由。以下是具体操作步骤。

1. 登录云企业网管理控制台。
2. 单击云企业网实例名称。
3. 在该云企业网详细信息页面，单击云服务页签。
4. 单击设置云服务。
5. 在设置云服务面板，参考以下参数表格配置相关参数。

   参数	说明
   云服务IP或地址段	输入云服务的IP地址或地址段。您需要输入100.100.0.0/16（云安全中心的地址段）。
   服务所在地	选择云安全中心服务所在地域。您需要选择华北2（北京）。
   服务VPC	选择线下IDC使用的专有网络VPC。
   访问所在地	选择需要访问该云服务的VBR或CCN所在的地域。
   描述	输入云服务的描述信息。

6. 单击确定。

步骤三：验证网络连通性

验证网络连通性时，你需要分别验证服务器和外网、云安全中心服务的连通性。

验证服务器外网连通性

查看您的服务器是否可以访问外网，一般情况下您的服务器应该无法访问外网。

1. 登录服务器。
   如果您的服务器是IDC服务器，可以通过本地终端登录服务器；如果是第三方的云服务器，可以通过控制台的VNC登录服务器。
2. 执行ping www.aliyun.com命令。
   查看服务器是否能访问公网。VPN接入和专线接入只确保您的服务器和云安全中心服务之间的网络连通性，不会打通您服务器和公网之间的网络连接。您的服务器不能访问公网为正常的验证结果。以下截图是以第三方云上的服务器为例。该服务器没有公网地址，无法访问外网。

验证第三方云服务器与云安全中心服务之间的连通性

正常情况下，第三方的云服务器通过内网可以直接访问云安全中心服务，这是建立IPsec VPN的目的。请参考以下步骤验证您的服务器是否可以正常访问云安全中心服务。

1. 登录服务器。
   如果您的服务器是IDC服务器，可以通过本地终端登录服务器；如果是第三方的云服务器，可以通过控制台的VNC登录服务器。
2. 执行yum install -y telnet安装telnet。
3. 执行以下telnet命令验证服务器是否可以通过内网访问云安全中心服务。

   telnet jsrv2.aegis.aliyun.com 443/80
   
   telnet update2.aegis.aliyun.com 443/80

   

   jsrv2.aegis.aliyun.com和update2.aegis.aliyun.com都是内网地址的域名。telnet能建立连接，说明可以正常访问。

4. 执行telnet jsrv.aegis.aliyun.com 443/80命令验证服务器是否可以通过外网访问云安全中心服务。
   jsrv.aegis.aliyun.com是公网地址的域名。Telnet不能建立连接，说明服务器不能访问公网的域名，符合预期。

云安全中心域名说明

jsrv2.aegis.aliyun.com对应的A记录（IP地址记录）是内网地址，发布到了对外的DNS上，便于Agent访问云安全中心服务。可以通过nslookup命令来查看。您可以参考以下步骤查看jsrv2.aegis.aliyun.com对应的A记录和NS记录（域名服务器记录）。

1. 执行yum install -y bind-utils命令安装nslookup。
2. 执行nslookup jsrv2.aegis.aliyun.com命令，查询A记录和NS记录。

步骤四：安装云安全中心Agent

您可以参考以下步骤为您的IDC服务器安装Agent。

1. 如需安装Agent的服务器曾安装过Agent，您必须先卸载Agent并删除Agent安装目录下的所有文件。如未安装过Agent，请跳过该步骤。

   Agent文件目录如下：

   • Windows：C:\Program Files (x86)\Alibaba\Aegis

   • Linux：/usr/local/aegis

2. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

3. 在左侧导航栏，选择系统配置 > 功能设置。

4. 在客户端页签的安装命令子页签，查看手动安装Agent插件的命令。

   • 使用默认命令

     云安全中心为您提供4条默认命令。如果您无需生成命令镜像或不需要自动添加服务器到指定的资产分组，您可以按照自己服务器和操作系统类型选择对应的安装命令，直接复制并在服务器中执行该命令安装客户端。

   • 新增安装命令

     如果您需要生成命令镜像或需要将应用该命令的服务器自动添加到指定的资产分组中，你可以通过新增安装命令，手动创建安装Agent的命令。

     单击新增安装命令，在新增安装命令对话框中，配置命令的基本信息，然后单击确定生成一条Agent安装命令，并复制该命令。

     配置项	说明
     过期时间	该命令过期的时间。
     服务商	在下拉列表中选择服务器所属的服务提供商。
     默认分组	选择需要安装Agent的服务器所属的服务器分组。
     操作系统	选择需要安装Agent的服务器的操作系统。
     制作镜像系统	选择否为单台服务器安装Agent。 如果您需要通过镜像批量部署预装云安全中心Agent的服务器时，请选择是。批量安装Agent的具体操作，请参见通过生成镜像批量安装Agent。
     代理选择	选择服务器是否通过代理接入。可选项： 不接入代理 自建代理集群：无法连接公网的服务器可以通过代理方式接入云安全中心进行安全防护。选择该项时，您需要选择接入的代理集群。关于代理接入的详细配置，请参见代理接入。

     您可以在安装命令子页签，查看已创建的Agent安装命令。

5. 使用有管理员权限的账号登录需要安装Agent的服务器，根据服务器的操作系统类型，执行安装命令。

   • Windows系统：在命令提示符（CMD）中，执行已复制的安装命令，即可完成Agent插件的下载及安装。

   • Linux系统：在服务器的命令行界面，执行已复制的安装命令，即可完成Agent插件的下载及安装。

   重要

   该安装命令执行过程中会从阿里云站点下载最新的Agent插件，如您使用的是非阿里云服务器请确认您的服务器已连接公网。

安装Agent后，您可以参照以下步骤验证Agent是否已成功安装。

1. 检查您服务器上云安全中心Agent的AliYunDun和AliYunDunUpdate进程是否正常运行。云安全中心Agent进程说明，请参见Agent说明。

2. 在您的服务器上执行以下telnet命令，检查您的服务器是否能正常连通云安全中心服务端。

   说明

   确保您的服务器同时能够连通至少一个jsrv和一个update服务域名。jsrv域名用来下发指令（例如漏洞扫描、病毒检测等），update域名用来下载和更新Agent插件。

   • telnet jsrv.aegis.aliyun.com 443/80

   • telnet jsrv2.aegis.aliyun.com 443/80

   • telnet jsrv3.aegis.aliyun.com 443/80

   • telnet update.aegis.aliyun.com 443/80

   • telnet update2.aegis.aliyun.com 443/80

   • telnet update3.aegis.aliyun.com 443/80

如果某个服务器无需云安全中心防护，您可以在云安全中心控制台卸载Agent。具体操作，请参见卸载Agent。