使用静态路由方式实现物理专线私网流量加密传输

第1步：部署物理专线

部署物理专线将本地IDC连接至阿里云。

1. 创建物理专线。

   在华东1（杭州）地域申请一条物理专线。具体操作，请参见申请经典模式或共享专线接入流程。本文选择创建独享专线连接。

2. 创建VBR实例。

   1. 登录高速通道管理控制台。

   2. 在左侧导航栏，单击边界路由器（VBR）。

   3. 在顶部菜单栏，选择华东1（杭州）地域。

      VBR实例的地域需和物理专线所属地域相同。

   4. 在边界路由器（VBR）页面，单击创建边界路由器。

   5. 在创建边界路由器面板，根据以下信息进行配置，然后单击确定。

      以下仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见创建和管理边界路由器。

      配置项	说明
      名称	本文输入VBR。
      物理专线接口	本文选择独享专线类型，然后选择已创建的物理专线接口。
      VLAN ID	本文输入0。
      阿里云侧IPv4互联IP	本文输入10.0.0.1。
      客户侧IPv4互联IP	本文输入10.0.0.2。
      IPv4子网掩码	本文输入255.255.255.252。

3. 在VBR实例中添加去往本地IDC的路由。

   1. 在边界路由器（VBR）页面，单击VBR实例ID。

   2. 单击路由条目页签，在自定义路由条目页签下单击添加路由条目。

   3. 在添加路由条目面板，根据以下信息进行配置，然后单击确定。

      配置项	路由条目
      下一跳类型	选择物理专线。
      目标网段	输入本地IDC的网段192.168.0.0/16。
      下一跳	选择已创建的物理专线。

      重要

      在VBR实例中添加本地IDC路由时，建议添加大网段，以确保后续转发路由器通过私网IPsec-VPN连接学习的本地IDC路由比当前路由更明细，路由优先级更高。

4. 在本地网关设备中添加去往VPC的路由。

   说明

   本文以思科防火墙ASA（软件版本9.19.1）作为配置示例。不同软件版本的配置命令可能会有所差异，操作时请根据您的实际环境查询对应文档或咨询相关厂商。更多本地网关设备配置示例，请参见本地网关设备配置示例。

   以下内容包含的第三方产品信息仅供参考。阿里云对第三方产品的性能、可靠性以及操作可能带来的潜在影响，不做任何暗示或其他形式的承诺。

   ciscoasa> enable
   Password: ********             #输入进入enable模式的密码。
   ciscoasa# configure terminal   #进入配置模式。
   ciscoasa(config)#   
   
   #思科防火墙已完成了接口配置，并已开启接口。以下为本文的接口配置示例。
   ciscoasa(config)# show running-config interface 
   !
   interface GigabitEthernet0/0                #连接VBR的接口。
    nameif VBR                                 #GigabitEthernet0/0接口名称。
    security-level 0
    ip address 10.0.0.1 255.255.255.252        #GigabitEthernet0/0接口配置的IP地址。
   !
   interface GigabitEthernet0/2                #连接本地IDC的接口。
    nameif private                             #GigabitEthernet0/2接口名称。
    security-level 100                         #指定连接本地IDC的接口的security-level低于对接阿里云的接口。
    ip address 192.168.50.215 255.255.255.0    #GigabitEthernet0/2接口配置的IP地址。
   !
   interface GigabitEthernet0/3                #对接私网IPsec-VPN隧道1的接口
    nameif VPN-IP1                             #GigabitEthernet0/3接口名称。
    security-level 0
    ip address 192.168.10.136 255.255.255.0    #GigabitEthernet0/3接口配置的私网IP地址。
   !
   interface GigabitEthernet0/4                #对接私网IPsec-VPN隧道2的接口
    nameif VPN-IP2                             #GigabitEthernet0/4接口名称。
    security-level 0
    ip address 192.168.40.159  255.255.255.0   #GigabitEthernet0/4接口配置的私网IP地址。
   !
   
   #配置去往阿里云VPC（172.16.0.0/16）的静态路由。
   route VBR 172.16.0.0 255.255.0.0 10.0.0.2     
      
   #配置去往本地IDC客户端的路由。
   route private 192.168.0.0 255.255.0.0 192.168.50.216   

第2步：配置转发路由器

本地IDC通过物理专线连接至阿里云后，开始配置转发路由器，通过转发路由器实现本地IDC与VPC间的私网互通。

1. 创建云企业网实例。

   在创建云企业网实例对话框选择单独创建，然后自定义云企业网实例名称，其余配置项保持默认状态。

2. 创建转发路由器实例。

   在华东1（杭州）地域创建一个转发路由器实例，用于连接VBR实例和VPC实例。其余配置项保持默认状态。

3. 创建VPC连接。

   1. 在云企业网实例详情页面的基本信息 > 转发路由器页签，找到华东1（杭州）地域的转发路由器实例，在操作列单击创建网络实例连接。

   2. 在连接网络实例页面，根据以下信息进行配置，然后单击确定创建，将VPC实例连接至转发路由器。

      以下仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见使用企业版转发路由器创建VPC连接。

      配置项	说明
      实例类型	选择专有网络（VPC）。
      地域	选择华东1（杭州）。
      连接名称	自定义名称为VPC-Attachment。
      网络实例	选择VPC。
      交换机	在转发路由器支持的可用区选择交换机实例。 本文选择交换机2和交换机3。在支持多可用区的地域，需在至少2个可用区中各选择一个交换机实例。推荐使用未承载业务的交换机创建VPC连接。
      高级配置	使用默认路由配置，即开启三种高级配置。

   3. 单击继续创建连接，返回连接网络实例页面。

4. 创建VBR连接。

   在连接网络实例页面，根据以下信息进行配置，然后单击确定创建，将VBR实例连接至转发路由器。以下仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见使用企业版转发路由器创建VBR连接。

   配置项	配置项说明
   实例类型	选择边界路由器（VBR）。
   地域	选择华东1（杭州）。
   连接名称	自定义名称为VBR-Attachment。
   网络实例	选择VBR。
   高级配置	使用默认路由配置，即开启三种高级配置。

第3步：测试私网连通性

完成上述配置后，本地IDC与VPC间已经实现私网互通，您可以通过以下步骤测试私网连通性。

1. 登录VPC中的ECS1实例。具体操作，请参见ECS远程连接操作指南。

2. 执行ping命令，访问本地IDC网段下的任意一台客户端。

   ping <本地IDC客户端IP地址>

   

   如上图所示，如果ECS1可以收到响应报文，则表示本地IDC与VPC间已实现私网互通。

第1步：建立私网IPsec-VPN连接

1. 为转发路由器添加转发路由器地址段10.10.10.0/24。具体操作，请参见创建转发路由器后添加地址段。

   转发路由器地址段用于为IPsec连接分配网关IP地址，以便建立私网IPsec-VPN连接。转发路由器地址段不能与本地IDC、VPC中要参与网络互通的网段冲突。

2. 创建2个用户网关，将本地网关设备的2个VPN IP地址注册至阿里云。

   1. 登录VPN网关管理控制台。

   2. 在左侧导航栏，选择网间互联 > VPN > 用户网关。

   3. 在用户网关页面，单击创建用户网关。

   4. 在创建用户网关面板，根据以下信息进行配置，然后单击确定。

      以下仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见创建和管理用户网关。

      • 用户网关1

        • 名称：定义用户网关名称为Customer-Gateway1。

        • IP地址：输入本地网关设备的VPN IP地址1192.168.10.136。

      • 用户网关2

        • 名称：定义用户网关名称为Customer-Gateway2。

        • IP地址：输入本地网关设备的VPN IP地址2192.168.40.159。

3. 创建IPsec连接。

   1. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。

   2. 在IPsec连接页面，单击绑定云企业网。

   3. 在创建IPsec连接(CEN)页面，根据以下信息配置IPsec连接，然后单击确定。

      以下内容仅列举本文强相关的配置项，其余配置项保持默认状态。更多信息，请参见创建和管理IPsec连接（双隧道模式）。

      配置项	IPsec连接
      IPsec连接名称	定义为IPsec连接。
      地域	选择待绑定的转发路由器所属的地域。 IPsec连接创建完成后所属地域与转发路由器地域相同。
      网关类型	选择私网。
      绑定云企业网	本账号绑定
      云企业网实例ID	选择在第2步中已创建的云企业网实例。 系统将会一并展示云企业网实例在该地域创建的转发路由器实例ID和转发路由器地址段，IPsec连接将会被绑定至该转发路由器。
      路由模式	本文使用目的路由模式，后续通过路由控制传输的流量。
      Tunnel 1
      用户网关	关联Customer-Gateway1。
      预共享密钥	fddsFF111****。 重要 IPsec连接及其对端网关设备配置的预共享密钥需一致，否则系统无法正常建立IPsec-VPN连接。
      加密配置	除以下参数外，其余配置项保持默认值。 IKE配置的DH分组选择group14。 IPsec配置的DH分组选择group14。 说明 您需要根据本地网关设备的支持情况选择加密配置参数，确保IPsec连接和本地网关设备的加密配置保持一致。
      Tunnel 2
      用户网关	关联Customer-Gateway2。
      预共享密钥	fddsFF222****。
      加密配置	除以下参数外，其余配置项保持默认值。 IKE配置的DH分组选择group14。 IPsec配置的DH分组选择group14。 说明 您需要根据本地网关设备的支持情况选择加密配置参数，确保IPsec连接和本地网关设备的加密配置保持一致。
      高级配置	使用默认路由配置，即开启所有高级配置选项。

      IPsec连接创建完成后，您可以在IPsec连接详情页面查看IPsec连接的网关IP地址，IPsec连接将使用这2个网关IP地址与本地网关设备建立私网IPsec-VPN连接。

4. 返回IPsec连接页面，找到创建的IPsec连接，在操作列单击生成对端配置。

   对端配置是指需要在IPsec连接对端添加的VPN配置。本文场景中您需要将这些配置添加在本地网关设备上。

5. 在IPsec连接配置对话框，复制配置并保存在您的本地，用于后续配置本地网关设备。

6. 配置本地网关设备。

   创建IPsec连接后，您需要在本地网关设备上添加VPN配置，使本地网关设备与阿里云之间成功建立私网IPsec-VPN连接。

   单击查看本地网关设备配置。

   1. 登录思科防火墙的命令行窗口并进入配置模式。

      ciscoasa> enable
      Password: ********             #输入进入enable模式的密码。
      ciscoasa# configure terminal   #进入配置模式。
      ciscoasa(config)#     

   2. 查看接口配置和路由配置。

      思科防火墙已完成了接口配置，并已开启接口。以下为本文的接口配置示例。

      ciscoasa(config)# show running-config interface 
      !
      interface GigabitEthernet0/3               #对接私网IPsec-VPN隧道1的接口
       nameif VPN-IP1                            #GigabitEthernet0/3接口名称。
       security-level 0
       ip address 192.168.10.136 255.255.255.0   #GigabitEthernet0/3接口配置的私网IP地址。
      !
      interface GigabitEthernet0/4               #对接私网IPsec-VPN隧道2的接口
       nameif VPN-IP2                            #GigabitEthernet0/4接口名称。
       security-level 0
       ip address 192.168.40.159  255.255.255.0  #GigabitEthernet0/4接口配置的私网IP地址。
      !
      
      #配置访问转发路由器地址段（IPsec连接网关IP地址）的路由，以便建立私网IPsec-VPN连接。
      route VBR 10.10.10.49 255.255.255.255 10.0.0.2   #配置访问阿里云侧隧道1私网IP地址的路由
      route VBR 10.10.10.50 255.255.255.255 10.0.0.2   #配置访问阿里云侧隧道2私网IP地址的路由

   3. 为接口开启IKEv2功能。

      crypto ikev2 enable VPN-IP1
      crypto ikev2 enable VPN-IP2

   4. 创建IKEv2 Policy，指定IKE阶段认证算法、加密算法、DH分组和SA生存周期，需和阿里云侧保持一致。

      重要

      阿里云侧配置IPsec连接时，IKE配置阶段的加密算法、认证算法和DH分组均只支持指定一个值，不支持指定多个值。建议在思科防火墙中IKE配置阶段的加密算法、认证算法和DH分组也均只指定一个值，该值需与阿里云侧保持一致。

      crypto ikev2 policy 10     
       encryption aes             #指定加密算法。
       integrity sha              #指定认证算法。
       group 14                   #指定DH分组。
       prf sha                    #prf和integrity保持一致，阿里云侧prf与认证算法默认保持一致。
       lifetime seconds 86400     #指定SA生存周期。

   5. 创建IPsec proposal和profile，指定思科防火墙侧的IPsec阶段加密算法、认证算法、DH分组和SA生存周期，需和阿里云侧保持一致。

      重要

      阿里云侧配置IPsec连接时，IPsec配置阶段的加密算法、认证算法和DH分组均只支持指定一个值，不支持指定多个值。建议在思科防火墙中IPsec配置阶段的加密算法、认证算法和DH分组也均只指定一个值，该值需与阿里云侧保持一致。

      crypto ipsec ikev2 ipsec-proposal ALIYUN-PROPOSAL    #创建ipsec proposal。
       protocol esp encryption aes                         #指定加密算法，协议使用ESP，阿里云侧固定使用ESP协议。
       protocol esp integrity sha-1                        #指定认证算法，协议使用ESP，阿里云侧固定使用ESP协议。
      crypto ipsec profile ALIYUN-PROFILE                  
       set ikev2 ipsec-proposal ALIYUN-PROPOSAL            #创建ipsec profile并应用已创建的proposal。 
       set ikev2 local-identity address                    #指定本端ID使用IP地址格式，与阿里云侧RemoteId格式保持一致。
       set pfs group14                                     #指定pfs和DH分组。
       set security-association lifetime seconds 86400     #指定基于时间的SA生存周期。
       set security-association lifetime kilobytes unlimited #关闭基于流量的SA生存周期。

   6. 创建tunnel group，指定隧道的预共享密钥，需和阿里云侧保持一致。

      tunnel-group 10.10.10.49 type ipsec-l2l                    #指定隧道1的封装模式为l2l。
      tunnel-group 10.10.10.49 ipsec-attributes             
       ikev2 remote-authentication pre-shared-key fddsFF111****  #指定隧道1对端的预共享密钥，即阿里云侧的预共享密钥。
       ikev2 local-authentication pre-shared-key fddsFF111****   #指定隧道1本段的预共享密钥，需和阿里云侧的保持一致。
      !
      tunnel-group 10.10.10.50 type ipsec-l2l                    #指定隧道2的封装模式为l2l。
      tunnel-group 10.10.10.50 ipsec-attributes
       ikev2 remote-authentication pre-shared-key fddsFF222****  #指定隧道2对端的预共享密钥，即阿里云侧的预共享密钥。
       ikev2 local-authentication pre-shared-key fddsFF222****   #指定隧道2本段的预共享密钥，需和阿里云侧的保持一致。
      !

   7. 创建tunnel接口。

      interface Tunnel1                                  #创建隧道1的接口。
       nameif ALIYUN1
       ip address 169.254.10.2 255.255.255.252           #指定接口的IP地址。
       tunnel source interface VPN-IP1                   #指定隧道1源地址为接口GigabitEthernet0/3。
       tunnel destination 10.10.10.49                    #指定隧道1目的地址为阿里云侧隧道1的私网IP地址。
       tunnel mode ipsec ipv4
       tunnel protection ipsec profile ALIYUN-PROFILE    #指定隧道1应用ipsec profile ALIYUN-PROFILE。
       no shutdown                                       #开启隧道1接口。
      !
      interface Tunnel2                                  #创建隧道2的接口。
       nameif ALIYUN2                
       ip address 169.254.20.2 255.255.255.252           #指定接口的IP地址。
       tunnel source interface VPN-IP2                   #指定隧道2源地址为接口GigabitEthernet0/4。
       tunnel destination 10.10.10.50                    #指定隧道2目的地址为阿里云侧隧道2的私网IP地址。
       tunnel mode ipsec ipv4                            
       tunnel protection ipsec profile ALIYUN-PROFILE    #指定隧道2应用ipsec profile ALIYUN-PROFILE。
       no shutdown                                       #开启隧道2接口。
      !

   完成上述配置后，本地数据中心已经可以与阿里云成功建立私网IPsec-VPN连接，您可以在阿里云IPsec连接实例详情页面查看私网IPsec-VPN连接状态。如果您的环境中未成功建立私网IPsec-VPN连接，请尝试自助排查问题。具体操作，请参见IPsec-VPN自助诊断。

第2步：配置路由

私网IPsec-VPN连接创建完成后，本地IDC与VPC之间的流量依旧是通过物理专线传输，还未进行加密。需要添加相关路由使本地IDC与VPC之间的流量通过私网IPsec-VPN连接进行传输。

1. 在本地网关设备上修改路由配置。

   #配置去往VPC的路由，使流量通过私网IPsec-VPN连接传输
   route ALIYUN1 172.16.0.0 255.255.0.0 10.10.10.49 4        
   route ALIYUN2 172.16.0.0 255.255.0.0 10.10.10.50 5 
   
   #修改指向物理专线的静态路由的优先级，使该静态路由的优先级低于指向私网IPsec-VPN连接的静态路由。
   route VBR 172.16.0.0 255.255.0.0 10.0.0.2  10

   重要

   本场景中从本地IDC去往VPC的流量优先通过隧道1传输，在隧道1中断后，自动通过隧道2传输。从VPC去往本地IDC的流量随机通过两条隧道传输。

2. 为IPsec连接添加本地IDC的路由条目。

   1. 登录VPN网关管理控制台。

   2. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。

   3. 在顶部状态栏处，选择华东1（杭州）地域。

   4. 在IPsec连接页面，找到目标IPsec连接实例，单击IPsec连接实例ID。

   5. 在目的路由表页签，单击添加路由条目。

   6. 在添加路由条目面板，根据以下信息配置目的路由，然后单击确定。

      重要

      添加本地IDC路由时需确保目标网段比VBR实例中添加的网段更明细，以确保转发路由器通过私网IPsec-VPN连接学习到的本地IDC路由更优。

      配置项	网段1	网段2	网段3
      目标网段	输入192.168.10.0/24。	输入192.168.20.0/24。	输入192.168.40.0/24。
      下一跳类型	选择IPsec连接。
      下一跳	选择已创建的IPsec连接。

3. 为转发路由器添加自定义路由条目。

   上述路由配置完成后，私网IPsec-VPN连接会中断，需要在转发路由器路由表中添加去往本地网关设备VPN IP地址的明细路由，下一跳指向VBR实例，重新建立私网IPsec-VPN连接。

   1. 保持在转发路由器路由表页签，单击路由条目页签，然后单击创建路由条目。

   2. 在添加路由条目对话框，配置路由条目信息，然后单击确定。

      配置项	网段1	网段2
      目的地址CIDR	输入本地网关设备VPN IP地址1192.168.10.136/32。	输入本地网关设备VPN IP地址2192.168.40.159/32。
      是否为黑洞路由	选择否。
      下一跳连接	选择VBR-Attachment。

步骤三：验证加密效果

完成上述配置后，如果您可以在IPsec连接详情页面查看到流量传输监控数据，则证明物理专线的私网流量已经过加密处理。

1. 登录VPC中的ECS1实例。执行ping命令，持续访问本地IDC网段下的任意一台客户端。

   ping <本地IDC客户端IP地址> -s 1000 -c 10000

   • -s 1000：指定发送1000字节的数据包。

   • -c 10000：持续发送10000个请求包。

2. 登录VPN网关管理控制台。

3. 在顶部状态栏处，选择华东1（杭州）地域。

4. 在左侧导航栏，选择网间互联 > VPN > IPsec连接。

5. 在IPsec连接页面，找到已创建的IPsec连接，单击IPsec连接ID。

   在IPsec连接详情页面查看流量传输监控数据。