IPsec-VPN配置|学习笔记

开发者学堂课程【企业上云攻略-阿里云网络产品应用系列教程：IPsec-VPN配置】学习笔记，与课程紧密联系，让用户快速学习知识。

课程地址：https://developer.aliyun.com/learning/course/573/detail/7899

IPsec-VPN 配置

目录

一、配置 IPsec-VPN 的前提条件

二、IPsec-VPN 配置使用流程

三、创建 VPN 网关

四、创建用户网关

五、创建 IPsec 连接

六、在本地网关设备中加载 VPN 配置

七、配置路由

八、测试访问

本章学习 VPN 网关的配置和使用中的 IPsec-VPN 的配置

一、配置 IPsec-VPN 的前提条件

IPsec-VPN 主要功能是实现站点到站点的 VPN 连接。

站点到站点主要是为了实现线下的 IDC 到云上之间的连接。

本地数据中心需要确保满足以下条件:

1、网关设备支持 IKEv1 和 IKEv2 协议。

在学习 IPSEC 的架构时，VPN 网关的实例，如用户网关等是在阿里云的控制台进行购买的。用户网关需要的根据自己的需求进行配备。需要你所在公司里面的网关设备需要支持 IKEv1 和 IKEv2 两个版本的协议才能实现连接。一般，主流的网关设备都支持该协议，可能有极少的特殊设备不支持，比如，特别老的设备可能不支持。建议，先确定，看设备说明书是否支持。

2、网关已经配置了静态公网 IP 。

注意两点：

（1）一定是公网 IP，需要能上互联网。

（2）必需是静态的 IP。

公网IP一般有两种，动态 IP 和静态 IP 。动态的 IP 是家里用的拨号上网的 IP ，每次拨号上网的 IP 都不一样，甚至在连接使用的中都会变，运营商是随机分配的。但在企业里，使用的设备一定要使用静态的 IP ,在阿里云中需要指定客户端（用户网关）的 IP 。如果 IP 变化，每次都需要在阿里云里面进行调整，这样非常不方便。所以，一定要静态的公网IP。

3、网段和专有网络的网段不能重叠。

在 IDC 里用的网段不能和阿里云中的 VPC 网段重叠。重叠会导致路由的紊乱，导致他们之间无法通信。网段必须是不同的网段，不能重复也不能包含。

满足以上三个条件，才能进行配置。

二、IPsec-VPN 配置使用流程

IPsec-VPN 配置使用流程如下:

购买 VPN 网关→创建用户网关→创建 IPsec 连接→配置 VPC 路由→本地用户网关配置

这些步骤中，购买 VPN 网关、创建用户网关、创建 IPsec 连接、配置 VPC 路由这四步是在阿里云的控制台在配置的，本地用户网关配置是在用户自己配置。

三、创建 VPN 网关

打开阿里云管理控制台。在管理控制台中，选择产品于服务。找到网络栏目当中选择 VPN 网关。在 VPN 网关页面点击创建 VPN 网关。

在 VPN 网关页面，地域选择华东2（上海），要和 VPC 地域对应绑定。VPC 选择 VPC-上海-1,；编辑实例名称；选择宽带规格为5Mbps；IPsec-VPN 默认开启。SSL-VPN 可以选择开启，这里先选择关闭。选择计费周期1个月，确定没有问题后点击立即购买。

这里，VPN 网关仅支持包月的方式购买。不支持按量付费。购买时要注意选择时长。

购买完后等待一到五分钟，点击刷新按钮后，创建的 VPN 网关的状态变为正常。正常以后，可以在实例 ID/名称处修改实例的名称。IP 地址47.102.105.80需要记住，在用户网关配置时需要用到这个 IP 地址进行拨入连接。

四、创建用户网关

在左侧边栏里 VPN 栏目下选择用户网关，再点击创建用户网关，

用户网关的名称设置为 IDC-上海；IP 地址需要填写对端 VPN 网关的静态公网 IP 地址。这里没有用户 IP ，暂时不填写。点击确定。创建完成。

五、创建 IPsec 连接

在左侧边栏 VPN 栏目下选 IPsec 连接，然后点击创建 IPsec 连接，

名称设置为 IPsec-上海；VPN 网关设置为 VPN-上海；VPN 用户网关选择 IDC-上海。

本端网段是当前 VPN 阿里云的网段，需要写 CIDR（无类域间路由）的 IP 类型。编写多个本端网段需要支持 IKEv2 版本且为不同网段。本端网段写入 172.16.1.0/24和10.1.1.0/2。看到标红警示，点击高级配置，在里面填写密钥，需要双方协定。版本选择 ikev2。红色警告消失。点击确定，创建完成。

六、在本地网关设备中加载VPN配置

加载 VPN 的配置需要有专业的管理员来完成。在实例的右侧，可下载这个对端配置；连接状态处看到第一阶段协商未成功，一般是用户网关还未配置成功。如果用户网关配置成功，则第二阶段协商成功。红色警示灯会变绿。如果一直没变绿，可以查看日志，在日志里面有详细的说明，失败原因写等。

七、配置路由

当双方都协商成功就可以配置路由了，路由是在路由表中配置。

左侧边栏里选择路由表。在路由表里，在创建的时候选的是 VPC-VP-上海实例，就在 VPC-VP-上海实例右侧点击管理，然后，点击添加路由条目。这个路由条目是客户的，

在创建 VPN 用户网关的时候，连接有本端网段和对端网段，本端网段是 VPC 的，对端网段是客户 IDC 的。网段需要相互对应得上。

目标网段写192.168.1.0/24；下一跳类型选择 VPN 网关，VPN 网关选择 VPN-上海/vpn-uf6q4z5xg21oxk9nhhw50；点击确定。路由配置完成。

八、测试访问

登录到阿里云 VPC 内一台无公网 IP 的 ECS 实例，并通过 ping 命令

ping 本地 IDC 内一台服务器的私网 IP 地址，验证通信是否正常。

注意：实操示例中因为没有用户网关，没办法配置，所以整个配置不完整。在最后一章的综合实验里可以实现 VPC 和VPN 之间通信活动。

这里先学习操作演示。