开发者社区> 问答> 正文

金融云专线/VPN网络接入介绍

1.网络接入架构

                      图1—专线模式


          图2—VPN模式


如果采用专线接入,请确认您的机构端是否符合下列情形:
1)机构与支付宝已有专线链路连接
阿里云原则上支持您复用该链路,需要您按照“网络接入流程”中提交工单进行ACL开通
2)机构与阿里云已有专线链路连接
阿里云支持您复用该链路,需要您按照“网络接入流程”中提交工单进行ACL开通
3)机构与阿里云没有任何专线链路连接
请您在工单中咨询阿里云专线接入点信息(您在开通ECS后才能提交此类工单),由机构联系运营商进行相关询价及施工到阿里云机房,阿里云不收取任何费用


如果采用VPN接入,对您的VPN设备和网络有下列要求
1)确保您的机构有互联网出口
2)设备型号需支持IPSec协议
3)VPN参数信息如下
Phase1:                                            
Perform key exchange : 3des                        
Perform date : md5                                  
Use DH : group 2                                    
Renegotiate IKE time : 720 minutes (即43200s)      

Phase2:                                            
Perform ipsec date : 3des                          
Perform date : md5                                  
Use perfect forward secret                          
Use DH : group 2                                    
Renegotiate IKE time : 5400 seconds


2.网络接入流程




STEP1:下载表格
1)登录 http://www.aliyun.com/ 进入行业云->金融云->部署上云 页面
2)在部署上云第5步,“选择您的机构业务接入方式”中,按照接入方式,选择相应表格进行下载。机构和阿里云之间通过专线连接的,请选择“专线接入申请”进行表格下载;VPN接入的则选择“IPSec VPN接入申请”




STEP2:发起工单
1)登录工单系统 :http://workorder.aliyun.com/add.htm
2)按照下图进行勾选提交,添加问题描述,将第一步的需求表格作为附件进行上传





STEP3:阿里网工反馈
1)阿里网工响应时间
•24小时内接单,按照经验,3-5工作日完成专线联调,5-7工作日完成VPN联调,具体时间取决于机构侧和云盾防火墙的配置效率
2)阿里网工反馈内容,均为表格中黄色标识内容
应用调用云端服务VIP,机构侧应用调用云端资源时,访问该VIP
机构出口防火墙映射的NAT_IP,机构网工需要将机构侧的真实服务器IP映射成NAT_IP,阿里云云盾防火墙需要授权该NAT_IP访问ECS对应端口


                      图3—机构与阿里云的调用关系


STEP4:防火墙策略策略配置
用户收到网工反馈后,按照下列策略进行防火墙设置,方能实现整个链路的网络通信
1)机构侧防火墙策略进行如下设置,由机构网工操作
打开机构侧真实IP到NAT_IP的防火墙策略
2)阿里云侧ECS防火墙策略进行如下设置,由阿里云账号所有者进行操作
在云盾防火墙上设置如下规则

  • 【规则一】 授权NAT_IP访问ECS服务端口;授权10.139.144.0/24网段访问ECS服务端口(必须配置)
  • 【规则二】 允许NAT_IP ping访问;允许10.139.144.0/24网段ping访问(必须配置)

   2.1)配置【规则一】,授权端口访问
新建一个安全组(不要在默认安全组下进行),配置云盾防火墙
1云账号登录 http://www.aliyun.com/,选择“管理控制台->产品服务->云盾->服务详情->-安全管家->防火墙管理”
2、点击“创建安全组”,新建立一个应用安全组
在“安全组属性”中输入“安全组名称”和“安全组描述”
在“所属服务器”中添加需要应用安全组策略的服务器
在“入站规则”中授权源地址访问该安全组中服务器的服务端口。

注意:源地址需要授权NAT IP和10.139.144.0/24,否则网络不通


   2.2)配置【规则二】,开通icmp协议,授权ping访问,通过jar小工具进行配置,命令行工具下载地址
       2.2.1)在云盾防火墙中获取默认安全组名称,如下图



       2.2.2)在您可以连接互联网的工作电脑(而不是ECS)上打开jar工具,执行下列命令操作
登录命令行工具
java -jar aliyuncs.jar -id <您的Access Key ID>-secret <您的Access KeySecret> -service ECS:2013-01-10
注:Access Key IDAccess Key Secret可以在阿里云官网 -> “用户中心” ->“我的服务” -> “安全认证中找到;其中 ECS:2013-01-10为常量,无需替换

允许源地址ping安全组中的服务器
AuthorizeSecurityGroup SecurityGroupId=G1803064809490796,IpProtocol=icmp,PortRange=-1/-1,SourceCidrIp=10.139.144.0/24,NicType=intranet,RegionId=cn-hangzhou-dg-a01
注:替换红色内容,将SourceCidrIp替换成你需要授权访问的IP(即为前面定义的NAT_IP和10.139.144.0/24);SecurityGroupId成您的默认安全组ID;RegionId当ECS位于杭州节点时代入hangzhou-dg-a01,位于青岛时代入cn-qingdao-cm5-a01
更多ECSAPI调用请参考《ECS-API-Reference-Full》手册
http://help.aliyun.com/view/11108189_13555701.html?spm=5176.7114037.1996646101.1.WO3GZC


注意:源地址SourceCidrIp需要授权NAT IP和10.139.144.0/24,否则网络不通


STEP5:联调
1)联调方式:
从真实服务器上telnet对端服务IP和端口
2)问题排查
从您的客户端telnet阿里云服务端口不通怎么办?
在您的机房出口路由器上打开日志记录功能,查看信息是否已到达出口路由器,如果没有到达,请检查您的防火墙策略,如果已经到达,检查您的云服务器上防火墙是否打开,如果确认已打开,联系阿里网工进行排查。
路由设备打开日志方式如下:
(1)写好日志记录acl
ipaccess-list extended test-log permit ipany any log
(2)应用到双方互联专线接口上Interface Gx/x(根据实际情况)
ipaccess-group in  ipaccess-group out
(3)打开终端显示Terminal monitor
(4)从您的业务主机上telnet 阿里云的ECS服务器地址,可看到贵行的数据有没有正确的进入互联专线





















展开
收起
飞飞helen 2014-05-05 11:50:53 30116 0
5 条回答
写回答
取消 提交回答
  • Re金融云专线/VPN网络接入介绍
    深圳金融云VPC何时能支持VPN?
    2015-11-10 10:04:48
    赞同 展开评论 打赏
  • Re金融云专线/VPN网络接入介绍
    专线接入方案中,客户侧IP为何是阿里云分配的?仍然需要配置VPN?
    2015-11-08 16:30:28
    赞同 展开评论 打赏
  • Re金融云专线/VPN网络接入介绍
    我想问下,表格里面的各项内容都如何填写? 不应该给个像银行类似的模板出来吗?

    -------------------------

    Re金融云专线/VPN网络接入介绍
    没表达清楚,我的意思是这类表格,不应该给个图片,类似于银行开户那种填写表格的时候工作人员会给你个类似于模板类的表格出来
    2015-07-10 16:40:21
    赞同 展开评论 打赏
  • Re金融云专线/VPN网络接入介绍
    对以上内容有什么不清晰或不了解的,欢迎大家提意见
    2014-06-13 15:01:38
    赞同 展开评论 打赏
  • Re金融云网络接入介绍
    式”中,按照接入方式,选择相应表格进行下载。如果系统有灾备架构,选择后缀有“适用云灾备”的excel表格进行填写
    2014-05-14 14:25:02
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
Session:更加安全、可靠的数据中心网络产品更新 立即下载
Session:极简易用的全球化网络产品更新 立即下载
Session:弹性、高可用、可观测的应用交付网络产品更新 立即下载