IPsec-VPN配置|学习笔记

简介: 快速学习IPsec-VPN配置

开发者学堂课程【企业上云攻略-阿里云网络产品应用系列教程:IPsec-VPN配置】学习笔记,与课程紧密联系,让用户快速学习知识。

课程地址https://developer.aliyun.com/learning/course/573/detail/7899


IPsec-VPN 配置

目录

一、配置 IPsec-VPN 的前提条件

二、IPsec-VPN 配置使用流程

三、创建 VPN 网关

四、创建用户网关

五、创建 IPsec 连接

六、在本地网关设备中加载 VPN 配置

七、配置路由

八、测试访问

本章学习 VPN 网关的配置和使用中的 IPsec-VPN 的配置


一、配置 IPsec-VPN 的前提条件

IPsec-VPN 主要功能是实现站点到站点的 VPN 连接。

站点到站点主要是为了实现线下的 IDC 到云上之间的连接。

本地数据中心需要确保满足以下条件:

1、网关设备支持 IKEv1 和 IKEv2 协议。

在学习 IPSEC 的架构时,VPN 网关的实例,如用户网关等是在阿里云的控制台进行购买的。用户网关需要的根据自己的需求进行配备。需要你所在公司里面的网关设备需要支持 IKEv1 和 IKEv2 两个版本的协议才能实现连接。一般,主流的网关设备都支持该协议,可能有极少的特殊设备不支持,比如,特别老的设备可能不支持。建议,先确定,看设备说明书是否支持。

2、网关已经配置了静态公网 IP 。

注意两点:

(1)一定是公网 IP,需要能上互联网。

(2)必需是静态的 IP。

公网IP一般有两种,动态 IP 和静态 IP 。动态的 IP 是家里用的拨号上网的 IP ,每次拨号上网的 IP 都不一样,甚至在连接使用的中都会变,运营商是随机分配的。但在企业里,使用的设备一定要使用静态的 IP ,在阿里云中需要指定客户端(用户网关)的 IP 。如果 IP 变化,每次都需要在阿里云里面进行调整,这样非常不方便。所以,一定要静态的公网IP。

3、网段和专有网络的网段不能重叠

在 IDC 里用的网段不能和阿里云中的 VPC 网段重叠。重叠会导致路由的紊乱,导致他们之间无法通信。网段必须是不同的网段,不能重复也不能包含。

满足以上三个条件,才能进行配置。


二、IPsec-VPN 配置使用流程

IPsec-VPN 配置使用流程如下:

购买 VPN 网关→创建用户网关→创建 IPsec 连接→配置 VPC 路由→本地用户网关配置

这些步骤中,购买 VPN 网关、创建用户网关、创建 IPsec 连接、配置 VPC 路由这四步是在阿里云的控制台在配置的,本地用户网关配置是在用户自己配置。


三、创建 VPN 网关

打开阿里云管理控制台。在管理控制台中,选择产品于服务。找到网络栏目当中选择 VPN 网关。在 VPN 网关页面点击创建 VPN 网关。

在 VPN 网关页面,地域选择华东2(上海),要和 VPC 地域对应绑定。VPC 选择 VPC-上海-1,;编辑实例名称;选择宽带规格为5Mbps;IPsec-VPN 默认开启。SSL-VPN 可以选择开启,这里先选择关闭。选择计费周期1个月,确定没有问题后点击立即购买。

这里,VPN 网关仅支持包月的方式购买。不支持按量付费。购买时要注意选择时长。

image.png

购买完后等待一到五分钟,点击刷新按钮后,创建的 VPN 网关的状态变为正常。正常以后,可以在实例 ID/名称处修改实例的名称。IP 地址47.102.105.80需要记住,在用户网关配置时需要用到这个 IP 地址进行拨入连接。


四、创建用户网关

在左侧边栏里 VPN 栏目下选择用户网关,再点击创建用户网关,

image.png

用户网关的名称设置为 IDC-上海;IP 地址需要填写对端 VPN 网关的静态公网 IP 地址。这里没有用户 IP ,暂时不填写。点击确定。创建完成。


五、创建 IPsec 连接

在左侧边栏 VPN 栏目下选 IPsec 连接,然后点击创建 IPsec 连接,

名称设置为 IPsec-上海;VPN 网关设置为 VPN-上海;VPN 用户网关选择 IDC-上海。

本端网段是当前 VPN 阿里云的网段,需要写 CIDR(无类域间路由)的 IP 类型。编写多个本端网段需要支持 IKEv2 版本且为不同网段。本端网段写入 172.16.1.0/24和10.1.1.0/2。看到标红警示,点击高级配置,在里面填写密钥,需要双方协定。版本选择 ikev2。红色警告消失。点击确定,创建完成。


六、在本地网关设备中加载VPN配置

image.png

加载 VPN 的配置需要有专业的管理员来完成。在实例的右侧,可下载这个对端配置;连接状态处看到第一阶段协商未成功,一般是用户网关还未配置成功。如果用户网关配置成功,则第二阶段协商成功。红色警示灯会变绿。如果一直没变绿,可以查看日志,在日志里面有详细的说明,失败原因写等。


七、配置路由

当双方都协商成功就可以配置路由了,路由是在路由表中配置。

左侧边栏里选择路由表。在路由表里,在创建的时候选的是 VPC-VP-上海实例,就在 VPC-VP-上海实例右侧点击管理,然后,点击添加路由条目。这个路由条目是客户的,

在创建 VPN 用户网关的时候,连接有本端网段和对端网段,本端网段是 VPC 的,对端网段是客户 IDC 的。网段需要相互对应得上。

目标网段写192.168.1.0/24;下一跳类型选择 VPN 网关,VPN 网关选择 VPN-上海/vpn-uf6q4z5xg21oxk9nhhw50;点击确定。路由配置完成。


八、测试访问

登录到阿里云 VPC 内一台无公网 IP 的 ECS 实例,并通过 ping 命令

ping 本地 IDC 内一台服务器的私网 IP 地址,验证通信是否正常。

注意:实操示例中因为没有用户网关,没办法配置,所以整个配置不完整。在最后一章的综合实验里可以实现 VPC 和VPN 之间通信活动。

这里先学习操作演示。

相关文章
|
1天前
|
网络虚拟化
配置BGP/MPLS IP VPN示例
本文介绍了通过配置MPLS VPN实现分部与总部之间的通信需求。具体要求为分部1和分部2只能与总部通信,而分部之间不能通信。配置思路包括使用BGP协议传递路由,并将各分部分别划分到不同的VPN实例中(VPN1、VPN2、VPN3),通过设置RD和Target属性确保路由隔离。操作步骤涵盖设备IP地址配置、MPLS域内互通、PE上的VPN实例配置、接口绑定、MP-IBGP配置、CE与PE间的路由交换及MPLS LDP功能配置。最终验证显示,同一VPN内的CE设备可以相互通信,不同VPN的CE设备则无法通信,满足了组网需求。
配置BGP/MPLS IP VPN示例
|
4月前
|
监控 安全 Linux
在Linux中,如何配置VPN服务?
在Linux中,如何配置VPN服务?
|
4月前
|
Ubuntu Linux 网络安全
在Linux中,如何配置VPN连接?
在Linux中,如何配置VPN连接?
|
4月前
|
安全 算法 网络安全
干货!ER系列路由器 IPSEC VPN配置方法!
干货!ER系列路由器 IPSEC VPN配置方法!
113 7
|
4月前
|
网络协议 Shell 网络虚拟化
手把手教你玩MPLS VPN如何配置
手把手教你玩MPLS VPN如何配置
353 0
|
7月前
|
安全 算法 网络安全
IPSec VPN配置实验
IPSec VPN配置实验
173 7
|
7月前
|
网络虚拟化
配置BGP/MPLS IP VPN示例
配置BGP/MPLS IP VPN示例
|
7月前
|
存储 弹性计算 负载均衡
ECS配置问题之配置OPENVPN报错如何解决
ECS配置指的是对阿里云Elastic Compute Service(弹性计算服务)实例的硬件和软件资源进行设置的过程;本合集将详述如何选择合适的ECS配置、调整资源配比以及优化实例性能,以满足不同应用场景的需求。
|
网络协议 网络虚拟化
MPLS VPN Hub&Spole理论及实验配置
MPLS VPN Hub&Spole理论及实验配置
120 0
|
安全 网络安全 网络虚拟化
企业路由器配置PPTP PC到站点模式VPN指南(外网访问内网资源)
企业路由器配置PPTP PC到站点模式VPN指南(外网访问内网资源)
355 0