阿里云与线下IDC对接IPsec VPN
需求: 阿里云服务器对接下线IDC机房服务器 VPN。
环境: 阿里云ECS(网络-vpc专有网络) IDC机房山石防火墙(支持IKEv1)
前提条件:
(阿里云方面)
1.IDC机房的VPN网关设备是否支持IKEv1和IKEv2协议?
2.IDC机房的VPN网关是否已经配置静态公网ip?
3.IDC机房的感兴趣流多少?不能阿里云服务器的vpc网段(172.17.80.0/24)不能与其重复
(IDC方面)
1.只支持IKEv1
2.已经配置静态公网IP,我们这边有两个机房,北京的IP为11.11.11.111,张家口的IP为22.22.22.22
3.VPN网段是指感兴趣流吧 北京网段为 192.168.16.0/24, 张家口网段为130.101.16.0/24
注意:
阿里云VPN网关支持标准的IKEv1和IKEv2协议。因此,只要支持这两种协议的设备都可以和云上VPN网关互连,比如华为、华三、山石、深信服、Cisco ASA、Juniper、SonicWall、Nokia、IBM 和 Ixia等。
架构图:
操作步骤:
-
购买vpn网关(开启ipsec-vpn)
带宽以后不足需求可以升级,但是不支持降配。 -
配置用户网关
选择华北2地域,创建用户网关。
输入用户网关名称,本地数据中心IDC机房得vpn公网ip
(可添加多个)
-
创建ipsec连接
选择华北2地区 创建ipsec连接
选择之前创建得vpn和阿里云得vpn网段及要连接得IDC得用户网关和网段,切记要一一对应。
输入共享密钥 是必须要与本地网关配置匹配得(或者随机一个)。
以下配置,要和机房配置一致。否者不通。
-
IDC方面根据以上配置来配置本地IDC机房vpn设备得配置。
具体配置参数可参考 下载阿里云角度得配置文件
参考阿里云链接:https://help.aliyun.com/document_detail/65373.html?spm=a2c4g.11186623.6.571.2dcc4026OYbs2R -
配置路由
阿里云控制台配置。
选择华北2地区 找到对应得vpc管理路由。
添加路由配置 目标网段为IDC机房网段,下一条类型为vpn 选择1中得vpn
(多个地区IDC 需要配置多次路由。) -
登录对应得ECS ping IDC机房对应ip测试。
注意:IDC机房配置内部互访的策略
参考链接:
https://help.aliyun.com/document_detail/65072.html?spm=a2c4g.11186623.6.551.6c76a22a3x4rhP #阿里云配置站点到站点连接
https://help.aliyun.com/document_detail/65373.html?spm=a2c4g.11186623.6.571.2dcc4026OYbs2R #山石防火墙配置参考