背景
默认情况下,云上创建vpc中的cvm等资源无法直接和云下IDC直接进行通信。如有此类需求的场景,可通过以下几种方式进行联通【VPN、专线】。
考虑VPN对接需经过公网,有很多不确定性,比如延迟、带宽、可靠性等。如对网络质量有要求的场景建议优先使用专线对接。
本次先介绍通过VPN联通云下IDC的方案
前提
云上已创建对应资源、IDC侧对应网络设备(防火墙、路由器等)或服务器且有固定公网地址。
操作步骤
确定云下IDC网段是否与云上冲突。
控制台购买VPN网关、新建对端网关、创建VPN通道。
配置云下IDC侧设备,使VPN通道建立成功。
配置VPN关联VPC的安全组与路由等信息。
配置案例
1、 确定网段是否有冲突
云上VPC网段172.16.10.0/24,IDC侧网段192.168.0.0/24,网段无冲突。
2、控制台购买VPN网关、创建对端网关、创建VPN通道。
a) 控制台购买VPN网关(所属地域与网络选择子网对应VPC)
带宽上限根据实际情况选择,计费方式可选按流量计费&包年包月b)创建对端网关(对端网关为IDC侧公网ip)
c) 创建VPN通道
预共享密钥需两端保持一致
SPD策略添加云上VPC需要和云下IDC互通的网段(需保证网段无冲突)IKE与ipsec相关配置为可选项,默认配置如下():
IKE配置
IKE版本:V1
加密算法:AES-128
认证算法:MD5
协商模式:主模式
本端标识:云上VPN网关公网地址
远端标识:对端网关公网地址
DH group:DH1
IKE SA Lifetime:86400s
Ipsec 配置:
加密算法:AES-128
认证算法:MD5
PFS:disable
IPsec sa Lifetime:3600s
IPsec sa Lifetime:1843200KB
3、配置云下IDC侧设备,使VPN通道建立成功。(此处以华为防火墙为例)
a) 配置接口IP地址和安全区域,完成网络基本参数配置
安全区域 | Untrust |
|---|---|
IP地址 | x.x.x.x |
b) 配置安全策略,放通指定私网网段
名称 | Policy_to_Qcloud |
|---|---|
源安全区域 | Trust |
目的安全区域 | Untrust |
源地址 | 192.168.0.0/24 |
目的地址 | 172.16.10.0/24 |
动作 | 允许 |
参考该条安全策略配置untrust→trust、local→untrust、untrust→local的安全策略
c) 配置路由,新建如下路由条目
目的地址/掩码 | 172.16.10.0/24 |
|---|---|
下一跳 | 默认网关 |
d) 配置ipsec隧道(网络->ipsec->新建)
本端地址:IDC侧公网对接地址
对端地址:云侧VPN网关公网地址
预共享密钥:同云侧密钥
本端ID:IDC侧公网对接地址
对端地址:云侧VPN网关公网地址
e) 待加密数据流界面填写感兴趣流信息
源地址/地址组:IDC侧私网网段 192.168.0.0/24
目的地址/地址组:云侧VPC网段 172.16.10.0/24
f) 配置安全提议信息(安全提议界面选择高级,安全策略和云侧配置保持一致)
4、配置VPN关联VPC路由等信息
目的地址:IDC侧网段
下一跳类型:VPN网关
下一跳:与IDC侧对接ipsec通道的vpn网关
如安全组未放通IDC网段访问,需在对应安全组添加对应规则测试
可从云上cvm 测试到云下联通性(此处以ping测试为例),如测试不通可优先检查两端感兴趣流、IKE、ipsec策略是否一致。如检查参数一致仍未建立成功,可尝试重置VPN通道。
