阿里云与办公区互通方案

简介: 本文介绍了一种典型办公网络互通场景。

本文介绍了一种典型办公网络互通场景。

作者:杭州某科技创业公司的网络工程师

场景介绍

  • 办公区到阿里云VPC网络高可用互通方案

工作中经常需要办公区和云上网络之间互通,比如测试环境、oa办公系统、财务系统等,所以针对办公区和阿里云互通有必要做一个高可用方案。

  • 非固定出口IP下的ipsec连接配置

由于公司本身的网络限制,备用出口没有固定公网IP,所以本文档将指导用户如何在没固定出口IP下做整段互通。

注意:本文档默认打通办公区和阿里云VPC,如果您需要限制某些段不通,请使用防火墙或者阿里云ACL、路由策略等功能。

相关概念

VPN网关:VPN网关是一款基于互联网的网络连接服务,通过加密通道的方式实现企业本地数据中心、企业办公网络或互联网终端与阿里云专有网络VPC(Virtual Private Cloud)之间安全可靠的连接。

IPSEC VPN:通过IPsec-VPN可建立专有网络VPC(Virtual Private Cloud)与本地数据中心间的VPN连接

策略路由:策略路由会基于流量的源IP和目的IP进行更精确的路由转发

前提条件

办公区两条公网出口

主线路:移动专线出口,有固定公网IP,可以建立ipsec IKEv2版本配置多个兴趣流网段

备线路:电信宽带出口,没有固定公网IP, 建立ipsec IKEv1版本,配置源目0.0.0.0/0

操作步骤

步骤一:阿里云创建VPN网关

参考 https://help.aliyun.com/document_detail/65290.htmlyou'sh

步骤二:阿里云创建两个用户网关

注意:备线路由于没有固定出口IP,所以需要配置用户网关的IP是0.0.0.0。然后ipsec使用IKEv1野蛮模式。

步骤三:申请一台ECS用作链路探测监控

申请一台最小规格的ECS,绑定一个辅助网卡,主网卡和辅助网卡分别分配一个VPC段内IP,分别用于探测主备链路监控。

步骤四:阿里云创建ipsec连接

主线路对端配置参考,注意替换自己的IP,这里remote和local是针对办公区说的,所以阿里云配置的时候需要反过来。

{ "LocalSubnet": "0.0.0.0/0", "RemoteSubnet": "0.0.0.0/0", "IpsecConfig": { "IpsecPfs": "group2", "IpsecEncAlg": "3des", "IpsecAuthAlg": "md5", "IpsecLifetime": 86400 }, "Remote": "101.x.x.171", "Local": "39.x.x.74", "IkeConfig": { "IkeAuthAlg": "md5", "LocalId": "yidong", "IkeEncAlg": "3des", "IkeVersion": "ikev2", "IkeMode": "main", "IkeLifetime": 86400, "RemoteId": "aly_beijing", "Psk": "xxxxxx", "IkePfs": "group2" } }

备线路配置参考

{ "LocalSubnet": "0.0.0.0/0", "RemoteSubnet": "0.0.0.0/0", "IpsecConfig": { "IpsecPfs": "group2", "IpsecEncAlg": "3des", "IpsecAuthAlg": "md5", "IpsecLifetime": 86400 }, "Remote": "101.x.x.171", "Local": "0.0.0.0", "IkeConfig": { "IkeAuthAlg": "md5", "LocalId": "dianxin", "IkeEncAlg": "3des", "IkeVersion": "ikev1", "IkeMode": "aggressive", "IkeLifetime": 86400, "RemoteId": "aly_beijing", "Psk": "xxxxxxx", "IkePfs": "group2" } }

参考 https://help.aliyun.com/document_detail/65288.html

注意:主链路需要配置健康检测,分别用{阿里云主链路探测IP}和办公区核心

备链路需要配置健康检测,分别用{阿里云备链路探测IP}和办公区核心

  1. 配置办公区设备ipsec连接

办公区对应也要配置两个ipsec连接,这里用某友商防火墙配置举例说明,具体可以参考对应厂商的文档配置。

更多设备配置可以参考 https://help.aliyun.com/document_detail/65366.html

  1. 配置路由

阿里云配置目的路由

这里是到办公区网段的两条路由,通过优先级区分主备。

目标网段

下一跳

优先级

办公区网段

ipsec_主链路

100

办公区网段

ipsec_备链路

0

阿里云配置策略路由

策略路由的目的是让两个特殊的链路监控IP分别固定走主链路和备链路,可以用于主备链路监控和健康检查。

源网段

目标网段

下一跳

优先级

阿里云主链路探测IP

办公区网段

ipsec_主链路

100

阿里云备链路探测IP

办公区网段

ipsec_备链路

100

办公区核心上配置路由

办公区核心设备需要配置到阿里云网段优先走主链路,备用走备链路,可以使用IP sla监控主链路的探测ip。

注意以下大括号中的需要替换成自己实际环境中的IP,由于不同设备配置命令可能不同,以下配置供参考原理。

type icmp-echo

destination IP {阿里云主链路探测IP}

frequency 5000

reaction 1 checked-element probe-fail threshold-type consecutive 2 action-type trigger-only

nqa schedule admin test start-time now lifetime forever

track 1 nqa entry admin test reaction 1

IP route-static {阿里云网段} {主出口网关IP} track 1 preference 40

IP route-static {阿里云网段} {备出口网关IP}

IP route-static {主链路探测IP} {主出口网关IP}

IP route-static {备链路探测IP} {备出口网关IP}

4.测试主备链路探测IP的路由路径

1.在办公区分别执行traceroute 主备链路IP观察路由是否生效

2.在阿里云分别执行traceroute -i 网卡办公区IP观察路由是否生效

模拟主链路故障迁移方案验证

禁用主线路ping探测设备回包,traceroute观察路由路径。

iptables -I INPUT -p icmp -d {阿里云主探测IP} -j DROP

启用主线路ping探测,观察路由是否切到主链路了。

iptables -D INPUT -p icmp -d {阿里云主探测IP} -j DROP

相关实践学习
使用ROS创建VPC和VSwitch
本场景主要介绍如何利用阿里云资源编排服务,定义资源编排模板,实现自动化创建阿里云专有网络和交换机。
阿里云专有网络VPC使用教程
专有网络VPC可以帮助您基于阿里云构建出一个隔离的网络环境,并可以自定义IP 地址范围、网段、路由表和网关等;此外,也可以通过专线/VPN/GRE等连接方式实现云上VPC与传统IDC的互联,构建混合云业务。 产品详情:https://www.aliyun.com/product/vpc
相关文章
|
弹性计算 监控 Linux
跨云厂商网络接入&数据迁移
从华为云、腾讯云接入/搬站到阿里云网络时,暴露数据库公网 IP 有安全隐患,使用传统的 IPSec VPN 配置 VPN 网关过程繁琐,且连接带宽和速度不稳定,传输大量数据耗时很久。通过将 SAG vCPE 镜像部署在您网络的宿主机中,使宿主机作为一个 CPE(Customer-premises equipment)设备为您提供上云服务,突破了物理的限制,更加灵活地帮您将网络接入阿里云。
跨云厂商网络接入&数据迁移
|
7月前
|
安全 算法 网络安全
阿里云转发路由器:构建企业级互联网络的强大引擎
本文探讨了阿里云转发路由器的核心功能和优势,包括同地域和跨地域的流量转发、灵活的互通和隔离策略、云数据传输服务等。通过学习评测,用户可以更好地了解如何将VPC实例连接至云企业网,实现不同VPC之间的互通,并控制流量互通。阿里云转发路由器为企业提供了一张灵活、可靠、大规模的互联网络,是构建企业级网络的重要组件。
370 0
|
负载均衡 安全 网络协议
阿里云专有云网络基础了解1
阿里云专有云网络基础了解1
238 2
|
弹性计算 网络安全 云计算
弹性计算Clouder认证:企业级云上网络构建——课时5:如何规划专有网络和交换机?
弹性计算Clouder认证:企业级云上网络构建——课时5:如何规划专有网络和交换机?
|
7月前
|
弹性计算 安全 网络安全
阿里云全球跨地域网络互通方案
随着企业客户上云的深入,越来越多的客户会选择在阿里云全球region多地部署其企业业务系统,以便其全球化业务的迅速开展。阿里云在云上有非常丰富云网络产品,来协助企业客户在全球region迅速构建云上多个地域的互联互通,帮忙企业客户快速实现业务上线。本章节为您介绍如何使用云企业网转发路由器CEN-TR(Transit Router),来实现客户本地多个不同城市数据中心IDC(Internet Data Center)和云上VPC跨地域互通互联。
980 0
阿里云全球跨地域网络互通方案
|
弹性计算 资源调度 大数据
最佳实践丨三种典型场景下的云上虚拟IDC(私有池)选购指南
业务上云常态化,业务在云上资源的选购、弹性交付、自助化成为大趋势。不同行业的不同客户,业务发展阶段不一样,云上资源的成本投入在业务整体成本占比也不一样,最小化成本投入、最大化业务收益始终是不同客户间的共同目标。阿里云面向全行业的用户提供了丰富的云上算力产品服务和灵活多样的售卖模式,帮助用户云上精确的资源容量预估和精细的资源交付管理,非常有利于客户节约云上购买资源的成本。本文是云上私有池系列的第二篇,将集中介绍不同场景下私有池的选购指南。
最佳实践丨三种典型场景下的云上虚拟IDC(私有池)选购指南
|
存储 Serverless 网络安全
阿里云-云开发平台网络篇——扩展应用提供的网络链路
阿里云-云开发平台网络篇——扩展应用提供的网络链路
251 0
阿里云-云开发平台网络篇——扩展应用提供的网络链路
|
安全 网络安全 网络架构
多账号多VPC企业组网最佳实践
针对一些刚开始上云的企业,他们往往业务先行,需要在很短的时间内完成业务系统的搬迁,在迁移过程中,账号体系的设计和网络的规划必不可少。账号是资源的容器,对于有多个法律实体分公司的集团,各个分公司有差异化的结算关系,只有一个账号无法满足集团管理需求,拥有多个阿里云账号,能够很好的应对这些问题。网络架构,关系到企业业务的运行、应用之间的调用、业务的扩展等,我们根据多家企业云上的实践,总结了多账号多VPC企业组网方案。
多账号多VPC企业组网最佳实践
|
弹性计算 前端开发 安全
阿里云多账号网络互通最佳实践
在企业起步阶段,规模较小,一般采用单账号模式。随着企业的发展,单账号的缺陷越来越明显,因此中大型企业上云时通常选择多账号,但是多账号间往往存在着大量的网络互通场景,如何解决多账号的网络互通问题呢? VPC 作为云上最常用的网络环境,不同账号的 VPC 之间默认是无法互通的,多账号网络互通常用的解决方案是 CEN(云企业网)和 VPN 网关。
阿里云多账号网络互通最佳实践
|
弹性计算 运维 网络安全
简单高效的跨账号网络互通方案 - 方案实操
基于资源目录场景下,企业将多账号有序组织起来后,如何快速实现它们之间的网络互通。
简单高效的跨账号网络互通方案 - 方案实操