使用IPsec-VPN实现本地数据中心IDC和阿里云VPC之间的网络互通时,在阿里云侧完成VPN网关的配置后,您还需在本地数据中心的网关设备中添加VPN配置。本文以华三(H3C)防火墙设备为例,分别介绍在双隧道模式和单隧道模式下,如何在H3C设备中添加VPN配置。
建议您优先使用双隧道模式。关于什么是双隧道,请参见【升级公告】IPsec-VPN连接升级为双隧道模式。
双隧道模式
场景示例
以上图场景为例:
某公司在本地拥有一个数据中心,本地数据中心中要与阿里云互通的网段为10.34.0.0/24。
该公司在阿里云拥有一个专有网络VPC,VPC网段为192.168.0.0/16,VPC中使用云服务器ECS部署了应用服务。
公司计划在本地数据中心与云上VPC之间建立双隧道模式的IPsec-VPN连接,实现资源互访。
地址规划
根据H3C设备的公网出口数量,本文提供2种场景示例:
单出口:H3C设备只配置了1个公网出口,对应只有1个公网IP地址。
双出口:H3C设备配置了2个公网出口,对应有2个公网IP地址。
您可以根据本地设备的实际情况,查看对应的地址规划。
单出口
地址规划如下所示。
位置 | 配置项 | 示例值 |
本地IDC | H3C设备地址 | GE2(公网出口):10.32.0.175 出口下一跳:10.32.0.173 映射公网IP:8.XX.XX.3 |
GE4(私网接口):10.34.0.20 | ||
私网网段 | 10.34.0.0/24 | |
服务器IP | 10.34.0.21 | |
阿里云 | VPN网关地址 | 主隧道:39.XX.XX.17 备隧道:39.XX.XX.10 |
VPC网段 | 192.168.0.0/16 | |
交换机网段 | 可用区J:192.168.1.0/24 可用区K:192.168.2.0/24 | |
ECS地址 | 192.168.1.11 |
双出口
地址规划如下所示。
位置 | 配置项 | 示例值 |
本地IDC | H3C设备地址 | GE2(公网出口1):10.32.0.175 出口下一跳:10.32.0.173 映射公网IP:8.XX.XX.3 |
GE3(公网出口2):10.33.0.238 出口下一跳:10.33.0.236 映射公网IP:116.XX.XX.68 | ||
GE4(私网接口):10.34.0.20 | ||
私网网段 | 10.34.0.0/24 | |
服务器IP | 10.34.0.21 | |
阿里云 | VPN网关地址 | 主隧道:39.XX.XX.17 备隧道:39.XX.XX.10 |
VPC网段 | 192.168.0.0/16 | |
交换机网段 | 可用区J:192.168.1.0/24 可用区K:192.168.2.0/24 | |
ECS地址 | 192.168.1.11 |
BGP规划
本文将分别描述IPsec-VPN连接使用静态路由方式和BGP动态路由方式下如何配置H3C防火墙。如果您不需要使用BGP动态路由方式,可以忽略本部分。以下为本文的BGP网段规划。
资源 | 隧道 | BGP隧道网段 | BGP IP地址 | BGP AS号(本端自治系统号) |
阿里云VPN网关 | 隧道1 | 169.254.10.0/30 说明 一个VPN网关实例下,每个隧道的网段需保持唯一。 | 169.254.10.1 | 65535 |
隧道2 | 169.254.20.0/30 | 169.254.20.1 | ||
H3C防火墙 | 隧道1 | 169.254.10.0/30 | 169.254.10.2 | 65500 |
隧道2 | 169.254.20.0/30 | 169.254.20.2 |
IPsec连接配置规划
双隧道模式下,隧道1(主隧道)和隧道2(备隧道)使用相同的示例值。
对于每条隧道,阿里云侧和H3C防火墙侧IPsec连接配置需保持相同。
配置项 | 示例值 | |
预共享密钥 | ChangeMe**** | |
IKE | 版本 | ikev2 |
协商模式 | main | |
加密算法 | aes256 | |
认证算法 | sha256 | |
DH分组 | group14 | |
SA生存周期(秒) | 86400 | |
IPsec | 加密算法 | aes256 |
认证算法 | sha256 | |
DH分组 | group14 | |
SA生存周期(秒) | 86400 | |
前提条件
配置H3C设备之前,请先在阿里云侧完成创建VPN网关实例、创建用户网关、创建IPsec连接、配置VPN网关路由的任务。
静态路由方式,请参见建立VPC到本地数据中心的连接(双隧道模式)。
BGP动态路由方式,请参见建立VPC到本地数据中心的连接(双隧道模式和BGP路由)。
针对单出口和双出口场景,用户网关的配置有如下区别:
单出口:只需创建1个用户网关。建立IPsec连接时,两条隧道都选择同一个用户网关。
双出口:需要创建2个用户网关。建立IPsec连接时,两条隧道选择各自对应的用户网关。
操作步骤
本文使用H3C的vFW1k E1185版本进行配置示例。不同型号版本的防火墙配置可能存在差别,您可以根据实际使用的版本,参考相应的文档或咨询防火墙厂商进行操作配置。
本文给出4种场景配置示例,您可以根据本地设备的实际情况,查看对应的配置步骤。
单出口+静态路由
单公网IP单出口场景下,您可以将H3C设备的单个出口,绑定至两个Tunnel接口,并为其配置不同的IPsec profile,以此与阿里云的主备隧道进行连接。
步骤一:接口网络配置
分别为H3C设备的公网接口和私网接口配置IP地址和安全域,并配置路由。
#公网接口
interface GigabitEthernet 2/0
ip addr 10.32.0.175 24
quit
#私网接口
interface GigabitEthernet 4/0
ip addr 10.34.0.10 24
quit
#接口加入安全域
security-zone name Untrust
import interface GigabitEthernet 2/0
quit
security-zone name Trust
import interface GigabitEthernet 4/0
quit
#配置对端阿里云的公网地址路由,下一跳指向公网
ip route-static 39.XX.XX.17 32 10.32.0.173
ip route-static 39.XX.XX.10 32 10.32.0.173
#配置本端内网网段路由,下一跳指向私网
ip route-static 10.0.0.0 8 10.34.0.253步骤二:隧道配置
新建两个Tunnel接口,以对接云端的主备隧道。
#配置tunnel口,应用IPSec安全框架到tunnel口
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
#tunnel接口加入安全域
security-zone name Untrust
import interface Tunnel 1
import interface Tunnel 2
quit步骤三:IPsec提议和策略配置
进行IPsec和IKE配置,注意和阿里云侧保持一致。
#配置IPsec安全提议
ipsec transform-set to-ali-trans
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha256
esp encryption-algorithm aes-cbc-256
pfs dh-group14
quit
#配置IKE安全提议和ike安全策略
ikev2 proposal to-ali-prop
dh group14
encryption aes-cbc-256
integrity sha256
prf sha256
quit
ikev2 policy to-ali-policy
priority 1
proposal to-ali-prop
quit
#配置IKE keychain,两个peer分别对应阿里云上两个隧道,address是阿里云上公网ip地址
ikev2 keychain to_ali_key1
peer to-ali-peer1
address 39.XX.XX.17 32
identity address 39.XX.XX.17
pre-shared-key plaintext ChangeMe****
quit
quit
ikev2 keychain to_ali_key2
peer to-ali-peer2
address 39.XX.XX.10 32
identity address 39.XX.XX.10
pre-shared-key plaintext ChangeMe****
quit
quit
#配置IKE profile,两个peer分别对应阿里云上两个隧道
ikev2 profile to-ali-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key1
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.17 32
sa duration 86400
dpd interval 30 periodic
quit
ikev2 profile to-ali-profile2
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key2
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.10 32
sa duration 86400
dpd interval 30 periodic
quit
#配置IPsec profile,引用上面创建的ikev2 profile
#建议sa duration只使用time-based;如果需要设置traffic-based,请将traffic-based设置为最大值
ipsec profile to-ali-profile1 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile1
sa duration time-based 86400
quit
ipsec profile to-ali-profile2 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile2
sa duration time-based 86400
quit
#配置tunnel口,应用IPsec策略到tunnel口
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile1
source 10.32.0.175
destination 39.XX.XX.17
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile2
source 10.32.0.175
destination 39.XX.XX.10
quit
#配置对端内网网段路由指向tunnel接口,tunnel1为主隧道路由优先级高
ip route-static 192.168.0.0 16 Tunnel 1 preference 10
ip route-static 192.168.0.0 16 Tunnel 2 preference 20步骤四:安全策略配置
配置安全策略,以允许IKE协议流量和IPsec数据流量的通过。
此处示例为简化的配置,请根据实际需要,自行补充细粒度的规则。
如果本地IDC侧有多个网段要与VPC互通,建议采用目的路由模式与H3C对接。具体操作,请参见多网段配置方案推荐。
#配置安全域,放通IKE协商报文和IPsec数据报文,这里简化了配置,如果需要细粒度的规则请自行补充
acl advanced 3001
rule 0 permit ip
quit
zone-pair security source any destination any
packet-filter 3001
quit步骤五:结果验证
在本地数据中心侧,设置本地数据中心服务器到H3C设备的路由后,您可以开始测试本地数据中心和阿里云VPC之间的网络连通性,并验证主备切换。
测试本地数据中心和VPC之间的连通性。
登录VPC下任意一个ECS实例。关于如何登录ECS实例,请参见连接方式概述。
在ECS实例中执行
ping命令,访问本地数据中心内的服务器,验证通信是否正常。如果ECS实例可以收到本地数据中心服务器的回复报文,则证明本地数据中心和VPC之间可以正常通信。
ping <本地数据中心服务器私网IP地址>
测试IPsec-VPN连接的高可用性。
登录VPC下任意一个ECS实例。关于如何登录ECS实例,请参见连接方式概述。
执行以下命令,使VPC下的ECS实例连续向本地数据中心发送访问报文。
ping <本地数据中心服务器私网IP地址> -c 10000中断IPsec-VPN连接下的主隧道。
您可以通过修改IPsec连接主隧道的预共享密钥来中断主隧道,主隧道两端的预共享密钥不一致,则主隧道会中断。
中断主隧道后,您可以观察VPC实例下ECS实例的通信情况,发现ECS实例下的流量在短暂中断后,又重新恢复通信,则表示在主隧道中断后,流量自动通过备隧道进行通信。
单出口+BGP路由
单公网IP单出口场景下,您可以将H3C设备的单个出口,绑定至两个Tunnel接口,并为其配置不同的IPsec profile,以此与阿里云的主备隧道进行连接。
步骤一:接口网络配置
分别为H3C设备的公网接口和私网接口配置IP地址和安全域,并配置路由。
#公网接口
interface GigabitEthernet 2/0
ip addr 10.32.0.175 24
quit
#私网接口
interface GigabitEthernet 4/0
ip addr 10.34.0.10 24
quit
#接口加入安全域
security-zone name Untrust
import interface GigabitEthernet 2/0
quit
security-zone name Trust
import interface GigabitEthernet 4/0
quit
#配置对端阿里云的公网地址路由,下一跳指向公网
ip route-static 39.XX.XX.17 32 10.32.0.173
ip route-static 39.XX.XX.10 32 10.32.0.173
#配置本端内网网段路由,下一跳指向私网
ip route-static 10.0.0.0 8 10.34.0.253步骤二:隧道配置
新建两个Tunnel接口,以对接云端的主备隧道。
#配置tunnel口,应用IPSec安全框架到tunnel口
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
#tunnel接口加入安全域
security-zone name Untrust
import interface Tunnel 1
import interface Tunnel 2
quit步骤三:IPsec提议和策略配置
进行IPsec和IKE配置,注意和阿里云侧保持一致。
#配置IPsec安全提议
ipsec transform-set to-ali-trans
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha256
esp encryption-algorithm aes-cbc-256
pfs dh-group14
quit
#配置IKE安全提议和ike安全策略
ikev2 proposal to-ali-prop
dh group14
encryption aes-cbc-256
integrity sha256
prf sha256
quit
ikev2 policy to-ali-policy
priority 1
proposal to-ali-prop
quit
#配置IKE keychain,两个peer分别对应阿里云上两个隧道,address是阿里云上公网ip地址
ikev2 keychain to_ali_key1
peer to-ali-peer1
address 39.XX.XX.17 32
identity address 39.XX.XX.17
pre-shared-key plaintext ChangeMe****
quit
quit
ikev2 keychain to_ali_key2
peer to-ali-peer2
address 39.XX.XX.10 32
identity address 39.XX.XX.10
pre-shared-key plaintext ChangeMe****
quit
quit
#配置IKE profile,两个peer分别对应阿里云上两个隧道
ikev2 profile to-ali-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key1
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.17 32
sa duration 86400
dpd interval 30 periodic
quit
ikev2 profile to-ali-profile2
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key2
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.10 32
sa duration 86400
dpd interval 30 periodic
quit
#配置IPsec profile,引用上面创建的ikev2 profile
#建议sa duration只使用time-based;如果需要设置traffic-based,请将traffic-based设置为最大值
ipsec profile to-ali-profile1 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile1
sa duration time-based 86400
quit
ipsec profile to-ali-profile2 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile2
sa duration time-based 86400
quit
#配置tunnel口,应用IPsec策略到tunnel口
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile1
source 10.32.0.175
destination 39.XX.XX.17
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile2
source 10.32.0.175
destination 39.XX.XX.10
quit
#配置对端内网网段路由指向tunnel接口,tunnel1为主隧道路由优先级高
ip route-static 192.168.0.0 16 Tunnel 1 preference 10
ip route-static 192.168.0.0 16 Tunnel 2 preference 20步骤四:安全策略配置
配置安全策略,以允许IKE协议流量和IPsec数据流量的通过。
此处示例为简化的配置,请根据实际需要,自行补充细粒度的规则。
如果本地IDC侧有多个网段要与VPC互通,建议采用目的路由模式与H3C对接。具体操作,请参见多网段配置方案推荐。
#配置安全域,放通IKE协商报文和IPsec数据报文,这里简化了配置,如果需要细粒度的规则请自行补充
acl advanced 3001
rule 0 permit ip
quit
zone-pair security source any destination any
packet-filter 3001
quit步骤五:BGP路由配置
#配置tunnel口的ip地址用于和阿里云VPN协商BGP
interface tunnel 1 mode ipsec
ip address 169.254.10.2 30
quit
interface tunnel 2 mode ipsec
ip address 169.254.20.2 30
quit
#删除静态路由场景的指向隧道的静态路由配置
undo ip route-static 192.168.0.0 16 Tunnel 1 preference 10
undo ip route-static 192.168.0.0 16 Tunnel 2 preference 20
#配置BGP,h3c fw发布10.0.0.0/8到阿里云VPN
bgp 65500
peer 169.254.10.1 as-number 65535
peer 169.254.20.1 as-number 65535
address-family ipv4 unicast
peer 169.254.10.1 enable
peer 169.254.20.1 enable
network 10.0.0.0 8 #宣告10.0.0.0/8配置完成后,查看BGP连接:
查看BGP路由:
查看路由表:
步骤六:结果验证
在本地数据中心侧,设置本地数据中心客户端到H3C设备的路由后,您可以开始测试本地数据中心和阿里云VPC之间的网络连通性,并验证主备切换。
测试本地数据中心和VPC之间的连通性。
登录VPC下任意一个ECS实例。关于如何登录ECS实例,请参见连接方式概述。
在ECS实例中执行
ping命令,访问本地数据中心内的服务器,验证通信是否正常。如果ECS实例可以收到本地数据中心服务器的回复报文,则证明本地数据中心和VPC之间可以正常通信。
ping <本地数据中心服务器私网IP地址>
测试IPsec-VPN连接的高可用性。
登录VPC下任意一个ECS实例。关于如何登录ECS实例,请参见连接方式概述。
执行以下命令,使VPC下的ECS实例连续向本地数据中心发送访问报文。
ping <本地数据中心服务器私网IP地址> -c 10000中断IPsec-VPN连接下的主隧道。
您可以通过修改IPsec连接主隧道的预共享密钥来中断主隧道,主隧道两端的预共享密钥不一致,则主隧道会中断。
中断主隧道后,您可以观察VPC实例下ECS实例的通信情况,发现ECS实例下的流量在短暂中断后,又重新恢复通信,则表示在主隧道中断后,流量自动通过备隧道进行通信。
双出口+静态路由
在双公网IP双出口场景下,您可以将H3C设备的两个出口,分别绑定至两个Tunnel接口,并为其配置不同的IPsec profile,以此与阿里云的主备隧道进行连接。
步骤一:接口网络配置
分别为公网接口和私网接口配置IP地址和安全域,并配置路由。
#公网接口1
interface GigabitEthernet 2/0
ip addr 10.32.0.175 24
quit
#公网接口2
interface GigabitEthernet 3/0
ip addr 10.33.0.238 24
quit
#私网接口
interface GigabitEthernet 4/0
ip addr 10.34.0.10 24
quit
#接口加入安全域
security-zone name Untrust
import interface GigabitEthernet 2/0
import interface GigabitEthernet 3/0
quit
security-zone name Trust
import interface GigabitEthernet 4/0
quit
#配置对端阿里云的公网地址32位路由,下一跳指向公网
ip route-static 39.XX.XX.17 32 10.32.0.173
ip route-static 39.XX.XX.10 32 10.33.0.236
#配置本端内网网段路由,下一跳指向私网
ip route-static 10.0.0.0 8 10.34.0.253
步骤二:隧道配置
新建两个Tunnel接口,以对接云端的主备隧道。
#配置tunnel口,应用IPsec安全框架到tunnel口
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 3/0
quit
#tunnel接口加入安全域
security-zone name Untrust
import interface Tunnel 1
import interface Tunnel 2
quit步骤三:IPsec提议和策略配置
进行IPsec和IKE配置,注意和阿里云侧保持一致。
#配置IPsec安全提议
ipsec transform-set to-ali-trans
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha256
esp encryption-algorithm aes-cbc-256
pfs dh-group14
quit
#配置IKE安全提议和ike安全策略
ikev2 proposal to-ali-prop
dh group14
encryption aes-cbc-256
integrity sha256
prf sha256
quit
ikev2 policy to-ali-policy
priority 1
proposal to-ali-prop
quit
#配置IKE keychain,两个peer分别对应阿里云上两个隧道,address是阿里云上公网ip地址
ikev2 keychain to_ali_key1
peer to-ali-peer1
address 39.XX.XX.17 32
identity address 39.XX.XX.17
pre-shared-key plaintext ChangeMe****
quit
quit
ikev2 keychain to_ali_key2
peer to-ali-peer2
address 39.XX.XX.10 32
identity address 39.XX.XX.10
pre-shared-key plaintext ChangeMe****
quit
quit
#配置IKE profile,两个peer分别对应阿里云上两个隧道
ikev2 profile to-ali-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key1
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.17 32
sa duration 86400
dpd interval 30 periodic
quit
ikev2 profile to-ali-profile2
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key2
identity local address 116.XX.XX.68
match remote identity address 39.XX.XX.10 32
sa duration 86400
dpd interval 30 periodic
quit
#配置IPsec profile,引用上面创建的ikev2 profile
#建议sa duration只使用time-based;如果需要设置traffic-based,请将traffic-based设置为最大值
ipsec profile to-ali-profile1 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile1
sa duration time-based 86400
quit
ipsec profile to-ali-profile2 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile2
sa duration time-based 86400
quit
#配置tunnel口,应用IPsec策略到tunnel口
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile1
source 10.32.0.175
destination 39.XX.XX.17
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 3/0
tunnel protection ipsec profile to-ali-profile2
source 10.33.0.238
destination 39.XX.XX.10
quit
#配置对端内网网段路由指向tunnel接口,tunnel1为主隧道路由优先级高
ip route-static 192.168.0.0 16 Tunnel 1 preference 10
ip route-static 192.168.0.0 16 Tunnel 2 preference 20步骤四:安全策略配置
配置安全策略,以允许IKE协议流量和IPsec数据流量的通过。
此处示例为简化的配置,请根据实际需要,自行补充细粒度的规则。
如果本地IDC侧有多个网段要与VPC互通,建议采用目的路由模式与H3C对接。具体操作,请参见多网段配置方案推荐。
#配置安全域,放通IKE协商报文和IPsec数据报文,这里简化了配置,如果需要细粒度的规则请自行补充
acl advanced 3001
rule 0 permit ip
quit
zone-pair security source any destination any
packet-filter 3001
quit步骤五:结果验证
在本地数据中心侧,设置本地数据中心客户端到H3C设备的路由后,您可以开始测试本地数据中心和阿里云VPC之间的网络连通性,并验证主备切换。
测试本地数据中心和VPC之间的连通性。
登录VPC下任意一个ECS实例。关于如何登录ECS实例,请参见连接方式概述。
在ECS实例中执行
ping命令,访问本地数据中心内的服务器,验证通信是否正常。如果ECS实例可以收到本地数据中心服务器的回复报文,则证明本地数据中心和VPC之间可以正常通信。
ping <本地数据中心服务器私网IP地址>
测试IPsec-VPN连接的高可用性。
登录VPC下任意一个ECS实例。关于如何登录ECS实例,请参见连接方式概述。
执行以下命令,使VPC下的ECS实例连续向本地数据中心发送访问报文。
ping <本地数据中心服务器私网IP地址> -c 10000中断IPsec-VPN连接下的主隧道。
您可以通过修改IPsec连接主隧道的预共享密钥来中断主隧道,主隧道两端的预共享密钥不一致,则主隧道会中断。
中断主隧道后,您可以观察VPC实例下ECS实例的通信情况,发现ECS实例下的流量在短暂中断后,又重新恢复通信,则表示在主隧道中断后,流量自动通过备隧道进行通信。
双出口+BGP路由
在双公网IP双出口场景下,您可以将H3C设备的两个出口,分别绑定至两个Tunnel接口,并为其配置不同的IPsec profile,以此与阿里云的主备隧道进行连接。
步骤一:接口网络配置
分别为公网接口和私网接口配置IP地址和安全域,并配置路由。
#公网接口1
interface GigabitEthernet 2/0
ip addr 10.32.0.175 24
quit
#公网接口2
interface GigabitEthernet 3/0
ip addr 10.33.0.238 24
quit
#私网接口
interface GigabitEthernet 4/0
ip addr 10.34.0.10 24
quit
#接口加入安全域
security-zone name Untrust
import interface GigabitEthernet 2/0
import interface GigabitEthernet 3/0
quit
security-zone name Trust
import interface GigabitEthernet 4/0
quit
#配置对端阿里云的公网地址32位路由,下一跳指向公网
ip route-static 39.XX.XX.17 32 10.32.0.173
ip route-static 39.XX.XX.10 32 10.33.0.236
#配置本端内网网段路由,下一跳指向私网
ip route-static 10.0.0.0 8 10.34.0.253
步骤二:隧道配置
新建两个Tunnel接口,以对接云端的主备隧道。
#配置tunnel口,应用IPsec安全框架到tunnel口
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 3/0
quit
#tunnel接口加入安全域
security-zone name Untrust
import interface Tunnel 1
import interface Tunnel 2
quit步骤三:IPsec提议和策略配置
进行IPsec和IKE配置,注意和阿里云侧保持一致。
#配置IPsec安全提议
ipsec transform-set to-ali-trans
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha256
esp encryption-algorithm aes-cbc-256
pfs dh-group14
quit
#配置IKE安全提议和ike安全策略
ikev2 proposal to-ali-prop
dh group14
encryption aes-cbc-256
integrity sha256
prf sha256
quit
ikev2 policy to-ali-policy
priority 1
proposal to-ali-prop
quit
#配置IKE keychain,两个peer分别对应阿里云上两个隧道,address是阿里云上公网ip地址
ikev2 keychain to_ali_key1
peer to-ali-peer1
address 39.XX.XX.17 32
identity address 39.XX.XX.17
pre-shared-key plaintext ChangeMe****
quit
quit
ikev2 keychain to_ali_key2
peer to-ali-peer2
address 39.XX.XX.10 32
identity address 39.XX.XX.10
pre-shared-key plaintext ChangeMe****
quit
quit
#配置IKE profile,两个peer分别对应阿里云上两个隧道
ikev2 profile to-ali-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key1
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.17 32
sa duration 86400
dpd interval 30 periodic
quit
ikev2 profile to-ali-profile2
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key2
identity local address 116.XX.XX.68
match remote identity address 39.XX.XX.10 32
sa duration 86400
dpd interval 30 periodic
quit
#配置IPsec profile,引用上面创建的ikev2 profile
#建议sa duration只使用time-based;如果需要设置traffic-based,请将traffic-based设置为最大值
ipsec profile to-ali-profile1 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile1
sa duration time-based 86400
quit
ipsec profile to-ali-profile2 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile2
sa duration time-based 86400
quit
#配置tunnel口,应用IPsec策略到tunnel口
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile1
source 10.32.0.175
destination 39.XX.XX.17
quit
interface tunnel 2 mode ipsec
ip address unnumbered interface GigabitEthernet 3/0
tunnel protection ipsec profile to-ali-profile2
source 10.33.0.238
destination 39.XX.XX.10
quit
#配置对端内网网段路由指向tunnel接口,tunnel1为主隧道路由优先级高
ip route-static 192.168.0.0 16 Tunnel 1 preference 10
ip route-static 192.168.0.0 16 Tunnel 2 preference 20步骤四:安全策略配置
配置安全策略,以允许IKE协议流量和IPsec数据流量的通过。
此处示例为简化的配置,请根据实际需要,自行补充细粒度的规则。
如果本地IDC侧有多个网段要与VPC互通,建议采用目的路由模式与H3C对接。具体操作,请参见多网段配置方案推荐。
#配置安全域,放通IKE协商报文和IPsec数据报文,这里简化了配置,如果需要细粒度的规则请自行补充
acl advanced 3001
rule 0 permit ip
quit
zone-pair security source any destination any
packet-filter 3001
quit步骤五:BGP路由配置
#配置tunnel口的ip地址用于和阿里云VPN协商BGP
interface tunnel 1 mode ipsec
ip address 169.254.10.2 30
quit
interface tunnel 2 mode ipsec
ip address 169.254.20.2 30
quit
#删除静态路由场景的指向隧道的静态路由配置
undo ip route-static 192.168.0.0 16 Tunnel 1 preference 10
undo ip route-static 192.168.0.0 16 Tunnel 2 preference 20
#配置BGP,h3c fw发布10.0.0.0/8到阿里云VPN
bgp 65500
peer 169.254.10.1 as-number 65535
peer 169.254.20.1 as-number 65535
address-family ipv4 unicast
peer 169.254.10.1 enable
peer 169.254.20.1 enable
network 10.0.0.0 8 #宣告10.0.0.0/8配置完成后,查看BGP连接:
查看BGP路由:
查看路由表:
步骤六:结果验证
在本地数据中心侧,设置本地数据中心客户端到H3C设备的路由后,您可以开始测试本地数据中心和阿里云VPC之间的网络连通性,并验证主备切换。
测试本地数据中心和VPC之间的连通性。
登录VPC下任意一个ECS实例。关于如何登录ECS实例,请参见连接方式概述。
在ECS实例中执行
ping命令,访问本地数据中心内的服务器,验证通信是否正常。如果ECS实例可以收到本地数据中心服务器的回复报文,则证明本地数据中心和VPC之间可以正常通信。
ping <本地数据中心服务器私网IP地址>
测试IPsec-VPN连接的高可用性。
登录VPC下任意一个ECS实例。关于如何登录ECS实例,请参见连接方式概述。
执行以下命令,使VPC下的ECS实例连续向本地数据中心发送访问报文。
ping <本地数据中心服务器私网IP地址> -c 10000中断IPsec-VPN连接下的主隧道。
您可以通过修改IPsec连接主隧道的预共享密钥来中断主隧道,主隧道两端的预共享密钥不一致,则主隧道会中断。
中断主隧道后,您可以观察VPC实例下ECS实例的通信情况,发现ECS实例下的流量在短暂中断后,又重新恢复通信,则表示在主隧道中断后,流量自动通过备隧道进行通信。
单隧道模式
场景示例
以上图场景为例:
某公司在本地拥有一个数据中心,本地数据中心中要与阿里云互通的网段为10.34.0.0/24。
该公司在阿里云拥有一个专有网络VPC,VPC网段为192.168.0.0/16,VPC中使用云服务器ECS部署了应用服务。
公司计划在本地数据中心与云上VPC之间建立单隧道模式的IPsec-VPN连接,实现资源互访。
针对单隧道模式,本文仅给出静态路由方式的配置示例。
地址规划
本示例涉及的网络配置详情请参见下表。
位置 | 配置项 | 示例值 |
本地IDC | H3C设备地址 | GE2(公网出口):10.32.0.175/24 出口下一跳:10.32.0.173 映射公网IP:8.XX.XX.3 |
GE4(私网接口):10.34.0.20/24 | ||
服务器IP | 10.34.0.21 | |
阿里云 | VPN网关地址 | 39.XX.XX.17 |
VPC网段 | 192.168.0.0/16 | |
交换机网段 | 192.168.1.0/24 | |
ECS地址 | 192.168.1.11 |
IPsec连接配置规划
阿里云侧和H3C防火墙侧IPsec连接配置需保持相同。
配置项 | 示例值 | |
预共享密钥 | ChangeMe**** | |
IKE | 版本 | ikev2 |
协商模式 | main | |
加密算法 | aes256 | |
认证算法 | sha256 | |
DH分组 | group14 | |
SA生存周期(秒) | 86400 | |
IPsec | 加密算法 | aes256 |
认证算法 | sha256 | |
DH分组 | group14 | |
SA生存周期(秒) | 86400 | |
前提条件
您已在阿里云侧完成创建VPN网关、创建用户网关、创建IPsec连接、配置VPN网关路由的操作。具体操作,请参见建立VPC到本地数据中心的连接(单隧道模式)。
操作步骤
本文使用H3C的vFW1k E1185版本进行配置示例。不同型号版本的防火墙配置可能存在差别,您可以根据实际使用的版本,参考相应的文档或咨询防火墙厂商进行操作配置。
静态路由方式
步骤一:接口网络配置
分别为H3C设备的公网接口和私网接口配置IP地址和安全域,并配置路由。
#公网接口
interface GigabitEthernet 2/0
ip addr 10.32.0.175 24
quit
#私网接口
interface GigabitEthernet 4/0
ip addr 10.34.0.10 24
quit
#接口加入安全域
security-zone name Untrust
import interface GigabitEthernet 2/0
quit
security-zone name Trust
import interface GigabitEthernet 4/0
quit
#配置对端阿里云的公网地址路由,下一跳指向公网
ip route-static 39.XX.XX.17 32 10.32.0.173
#配置本端内网网段路由,下一跳指向私网
ip route-static 10.0.0.0 8 10.34.0.253步骤二:隧道配置
新建1个Tunnel接口,以对接云端的隧道。
#配置1个tunnel口,应用IPSec安全框架到tunnel口
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
quit
#tunnel接口加入安全域
security-zone name Untrust
import interface Tunnel 1
quit步骤三:IPsec提议和策略配置
进行IPsec和IKE配置,注意和阿里云侧保持一致。
#配置IPsec安全提议
ipsec transform-set to-ali-trans
encapsulation-mode tunnel
protocol esp
esp authentication-algorithm sha256
esp encryption-algorithm aes-cbc-256
pfs dh-group14
quit
#配置IKE安全提议和ike安全策略
ikev2 proposal to-ali-prop
dh group14
encryption aes-cbc-256
integrity sha256
prf sha256
quit
ikev2 policy to-ali-policy
priority 1
proposal to-ali-prop
quit
#配置IKE keychain,peer对应阿里云的隧道,address是阿里云上公网ip地址
ikev2 keychain to_ali_key1
peer to-ali-peer1
address 39.XX.XX.17 32
identity address 39.XX.XX.17
pre-shared-key plaintext ChangeMe****
quit
quit
#配置IKE profile,peer对应阿里云的隧道
ikev2 profile to-ali-profile1
authentication-method local pre-share
authentication-method remote pre-share
keychain to_ali_key1
identity local address 8.XX.XX.3
match remote identity address 39.XX.XX.17 32
sa duration 86400
dpd interval 30 periodic
quit
#配置IPsec profile,引用上面创建的ikev2 profile
ipsec profile to-ali-profile1 isakmp
transform-set to-ali-trans
ikev2-profile to-ali-profile1
#建议如下sa duration只使用time-based;如果需要设置traffic-based,请将traffic-based设置为最大值
sa duration time-based 86400
quit
#配置tunnel口,应用IPsec策略到tunnel口
interface tunnel 1 mode ipsec
ip address unnumbered interface GigabitEthernet 2/0
tunnel protection ipsec profile to-ali-profile1
source 10.32.0.175
destination 39.XX.XX.17
quit
#配置对端内网网段路由指向tunnel接口
ip route-static 192.168.0.0 16 Tunnel 1 preference 10步骤四:安全策略配置
配置安全策略,以允许IKE协议流量和IPsec数据流量的通过。
此处示例为简化的配置,请根据实际需要,自行补充细粒度的规则。
如果本地IDC侧有多个网段要与VPC互通,建议采用目的路由模式与H3C对接。具体操作,请参见多网段配置方案推荐。
#配置安全域,放通IKE协商报文和IPsec数据报文,这里简化了配置,如果需要细粒度的规则请自行补充
acl advanced 3001
rule 0 permit ip
quit
zone-pair security source any destination any
packet-filter 3001
quit步骤五:结果验证
在本地数据中心侧,设置本地数据中心服务器到H3C设备的路由后,您可以开始测试本地数据中心和阿里云VPC之间的网络连通性。
登录到VPC内一台无公网IP的ECS实例。关于如何登录ECS实例,请参见连接方式概述。
执行ping命令,访问本地数据中心内的一台服务器,验证通信是否正常。
如果能够收到回复报文,则证明通信正常。