本文介紹第三方SD-WAN裝置如何對接轉寄路由器實現本機資料中心IDC(Internet Data Center)與阿里雲Virtual Private Cloud(Virtual Private Cloud)互連。
情境樣本
以下文檔包含第三方產品資訊,第三方產品資訊僅供參考。阿里雲對第三方產品的效能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
本文以下圖情境為例。某企業在中國上海地區擁有本地IDC1和本地IDC2,在阿里雲華東2(上海)地區擁有服務VPC1,在阿里雲華東1(杭州)地區擁有服務VPC2,企業需要本地IDC1、本地IDC2、阿里雲服務VPC1、阿里雲服務VPC2之間互相通訊。企業希望本地IDC1和本地IDC2可以通過第三方SD-WAN裝置與阿里雲對接,以便在第三方SD-WAN裝置上做存取控制策略確保本地IDC1和本地IDC2安全地接入阿里雲。同時,企業希望阿里雲和本地IDC之間可以實現路由的自動分發和學習,減少路由維護工作。
企業可以通過VPN串連將第三方SD-WAN裝置直接連接至轉寄路由器,本地IDC通過第三方SD-WAN裝置和轉寄路由器實現與VPC之間的通訊。同時,在轉寄路由器、第三方SD-WAN裝置、本地IDC1、本地IDC2上均運行BGP動態路由協議,實現路由的自動分發和學習。
網路規劃
網路功能規劃
在一個獨立VPC中(本文指安全VPC)建立一個ECS(Elastic Compute Service)執行個體,通過在ECS執行個體中安裝第三方鏡像部署一個第三方SD-WAN裝置。
本文通過在安全VPC的ECS執行個體中安裝FortiGate V6.2.4版本鏡像來部署一個第三方SD-WAN裝置。
第三方SD-WAN裝置和轉寄路由器之間可以使用VPN串連進行直接連接,其中VPN串連為私网網關類型。
第三方SD-WAN裝置和轉寄路由器之間使用BGP動態路由協議傳播路由,實現路由的自動分發和學習。
第三方SD-WAN裝置分別與本地IDC1和本地IDC2建立IPsec-VPN串連,將本地IDC1和本地IDC2接入阿里雲。
第三方SD-WAN裝置與本地IDC1、本地IDC2通過ADVPN(Auto Discovery VPN)功能建立全互聯的IPsec-VPN串連。關於ADVPN功能的更多資訊,請參見Fortinet協助文檔。
第三方SD-WAN裝置與本地網關裝置1和本地網關裝置2均使用BGP動態路由協議,建立iBGP鄰居關係,實現路由的自動分發和學習。
本文中本地網關裝置1和本地網關裝置2均使用Fortinet裝置,並安裝FortiGate V6.2.4版本鏡像。
網段規劃
在您規劃網段時,請確保要互連的網段之間沒有重疊。
表 1. 基礎網段規劃
資源 | 網段及IP地址 |
服務VPC1 |
|
服務VPC2 |
|
安全VPC |
|
本地IDC1 |
|
本地IDC2 |
|
表 2. BGP相關地址規劃
資源 | BGP AS號 | 本端BGP IP地址 | 對端BGP IP地址 |
第三方SD-WAN裝置和轉寄路由器之間的BGP配置 | |||
IPsec串連 | 65531 | 169.254.20.1 | 169.254.20.2 |
第三方SD-WAN裝置 | 65534 | 169.254.20.2 | 169.254.20.1 |
第三方SD-WAN裝置和本地IDC1之間的BGP配置 | |||
本地IDC1 | 65534 | 169.254.10.10 | 169.254.10.1 |
第三方SD-WAN裝置 | 65534 | 169.254.10.1 | 169.254.10.10 |
第三方SD-WAN裝置和本地IDC2之間的BGP配置 | |||
本地IDC2 | 65534 | 169.254.10.11 | 169.254.10.1 |
第三方SD-WAN裝置 | 65534 | 169.254.10.1 | 169.254.10.11 |
準備工作
在開始配置前,請確保已完成以下操作:
您已經在華東2(上海)地區建立了服務VPC1和安全VPC,在華東1(杭州)地區建立了服務VPC2,並使用ECS部署了相關業務。具體操作,請參見搭建IPv4專用網路。
對於服務VPC1和服務VPC2中的ECS執行個體,請根據您的業務需求部署相關應用。
對於安全VPC中的ECS執行個體,您需要在ECS執行個體中安裝第三方鏡像(本文安裝的為FortiGate V6.2.4版本鏡像),將其部署為第三方SD-WAN裝置,並確保第三方SD-WAN裝置擁有公網IP地址。您可以通過雲市場在ECS執行個體中安裝第三方鏡像。更多資訊,請參見雲市場鏡像。
您已經建立了雲企業網執行個體。具體操作,請參見建立雲企業網執行個體。
配置流程
步驟一:建立轉寄路由器執行個體
通過雲企業網實現本地IDC和VPC相互連信前,您需要在華東2(上海)地區和華東1(杭州)地區分別建立一個轉寄路由器執行個體,並為華東2(上海)地區的轉寄路由器執行個體分配轉寄路由器位址區段,用於後續建立VPC串連和VPN串連。
登入雲企業網管理主控台。
在云企业网实例頁面,選擇在準備工作中建立的雲企業網執行個體,單擊雲企業網執行個體ID。
在頁簽,單擊创建转发路由器。
在创建转发路由器對話方塊,配置轉寄路由器執行個體資訊,然後單擊确认。
下表僅列舉本文強相關的配置項,其餘配置項保持預設狀態。如果您需要瞭解更多資訊,請參見轉寄路由器位址區段。
配置項
說明
華東2(上海)地區
華東1(杭州)地區
地區
選擇轉寄路由器執行個體所屬的地區。
本文選擇華東2(上海)地區。
本文選擇華東1(杭州)地區。
版本
轉寄路由器執行個體的版本。
系統自動判斷並顯示當前地區下轉寄路由器執行個體的版本。
開啟組播
選擇是否開啟轉寄路由器執行個體的組播功能。
本文保持預設值,即不開啟組播功能。
名稱
輸入轉寄路由器執行個體的名稱。
本文輸入TR-shanghai。
本文輸入TR-hangzhou。
TR位址區段
輸入轉寄路由器位址區段。
轉寄路由器位址區段是您為轉寄路由器自訂的一個位址區段,該位址區段類似為路由器環回口(Loopback介面)分配IP地址的位址區段。轉寄路由器位址區段被用於為IPsec串連分配地址。更多資訊,請參見轉寄路由器位址區段。
本文輸入10.10.10.0/24。
本文不輸入轉寄路由器位址區段。
步驟二:建立VPC串連
您需要將服務VPC1、安全VPC和服務VPC2串連至對應地區的轉寄路由器執行個體中,以便本地IDC和VPC之間可以通過轉寄路由器執行個體實現相互連信。
在云企业网实例頁面,選擇在準備工作中建立的雲企業網執行個體,單擊雲企業網執行個體ID。
在頁簽,找到在步驟一中建立的轉寄路由器執行個體,在操作列單擊创建网络实例连接。
在连接网络实例頁面,根據以下資訊進行配置,然後單擊确定创建。
下表僅列舉本文強相關的配置項,其餘配置項保持預設狀態。如果您想要瞭解更多資訊,請參見建立VPC串連。
配置項
配置項說明
服務VPC1
安全VPC
服務VPC2
執行個體類型
選擇網路執行個體類型。
本文選擇Virtual Private Cloud。
本文選擇Virtual Private Cloud。
本文選擇Virtual Private Cloud。
地區
選擇網路執行個體所屬的地區。
本文選擇華東2(上海)。
本文選擇華東2(上海)。
本文選擇華東1(杭州)。
轉寄路由器
系統自動顯示當前地區已建立的轉寄路由器執行個體ID。
資源歸屬UID
選擇網路執行個體所屬的阿里雲帳號和當前登入的帳號是否為同一個帳號。
本文選擇同帳號。
本文選擇同帳號。
本文選擇同帳號。
付費方式
VPC串連的付費方式。預設值為隨用隨付。關於轉寄路由器的計費規則,請參見計費說明。
串連名稱
輸入VPC串連的名稱。
本文輸入服務VPC1串連。
本文輸入安全VPC串連。
本文輸入服務VPC2串連。
網路執行個體
選擇網路執行個體。
本文選擇服務VPC1。
本文選擇安全VPC。
本文選擇服務VPC2。
交換器
在轉寄路由器支援的可用性區域選擇交換器執行個體。
如果企業版轉寄路由器在當前地區僅支援一個可用性區域,則您需要在當前可用性區域選擇一個交換器執行個體。
如果企業版轉寄路由器在當前地區支援多個可用性區域,則您需要在至少2個可用性區域中各選擇一個交換器執行個體。在VPC和企業版轉寄路由器流量互連的過程中,這2個交換器執行個體可以實現可用性區域層級的容災。
推薦您在每個可用性區域中都選擇一個交換器執行個體,以減少流量繞行,體驗更低傳輸時延以及更高效能。
請確保選擇的每個交換器執行個體下擁有一個閒置IP地址。如果VPC執行個體在轉寄路由器支援的可用性區域中並沒有交換器執行個體或者交換器執行個體下沒有閒置IP地址,您需要建立一個交換器執行個體。 具體操作,請參見建立和管理交換器。
本文在上海可用性區域F選擇交換器1,在上海可用性區域G選擇交換器2。
本文在上海可用性區域F選擇交換器1,在上海可用性區域G選擇交換器2。
本文在杭州可用性區域I選擇交換器1,在杭州可用性區域H選擇交換器2。
進階配置
選擇要開啟的進階配置。
本文保持預設配置,即選擇開啟所有進階配置。
本文保持預設配置,即選擇開啟所有進階配置。
本文保持預設配置,即選擇開啟所有進階配置。
步驟三:建立跨地區串連
同地區服務VPC1和安全VPC串連至轉寄路由器執行個體後,可以直接相互連信。由於服務VPC1綁定的轉寄路由器執行個體和服務VPC2綁定的轉寄路由器執行個體位於不同的地區,服務VPC1與服務VPC2、安全VPC和服務VPC2之間預設無法通訊。您需要在華東1(杭州)和華東2(上海)地區的轉寄路由器執行個體之間建立跨地區串連,實現服務VPC1與服務VPC2、安全VPC和服務VPC2的跨地區互連。
在雲企業網執行個體頁面,找到目標雲企業網執行個體,單擊雲企業網執行個體ID。
在頁簽,單擊設定跨地區頻寬。
在串連網路執行個體頁面,根據以下資訊配置跨地區串連,然後單擊確定建立。
請根據以下資訊建立跨地區串連,其餘配置項保持預設狀態。更多資訊,請參見建立跨地區串連。
配置項
說明
執行個體類型
選擇跨地區串連。
地區
選擇要互連的地區。
本文選擇華東1(杭州)。
轉寄路由器
系統自動顯示當前地區下轉寄路由器的執行個體ID。
串連名稱
輸入跨地區串連的名稱。
本文輸入跨地區串連。
對端地區
選擇要互連的對端地區。
本文選擇華東2(上海)。
轉寄路由器
系統自動顯示當前地區下轉寄路由器的執行個體ID。
頻寬分配方式
跨地區串連支援以下頻寬分配方式:
從頻寬包分配:從已經購買的頻寬包中分配頻寬。
按流量付費:按照跨地區串連實際使用的流量計費。
本文選擇按流量付費。
頻寬
輸入跨地區串連的頻寬值。單位:Mbps。
預設鏈路類型
使用預設鏈路類型。
進階配置
保持預設配置,即選中全部進階配置選項。
步驟四:建立VPN串連
完成上述配置後,服務VPC1、服務VPC2和安全VPC之間已經可以相互連信,但是轉寄路由器和安全VPC無法學習到本地IDC的路由。您需要在第三方SD-WAN裝置與轉寄路由器之間、第三方SD-WAN裝置與本地IDC之間分別建立VPN串連,使第三方SD-WAN裝置可以學習到本地IDC的路由,同時通過VPN串連將本地IDC的路由傳播至轉寄路由器中。
登入VPN網關管理主控台。
建立使用者網關。
在第三方SD-WAN裝置與轉寄路由器之間建立VPN串連前,您需要先建立使用者網關,將第三方SD-WAN裝置的資訊註冊至阿里雲上。
在左側導覽列,選擇。
在頂部功能表列,選擇使用者網關的地區。
選擇第三方SD-WAN裝置所屬VPC所在的地區。本文選擇華東2(上海)。
在使用者網關頁面,單擊建立使用者網關。
在建立使用者網關面板,根據以下資訊進行配置,然後單擊確定。
以下僅列舉本文強相關配置項,其餘配置保持預設狀態。更多資訊,請參見建立和系統管理使用者網關。
配置項
配置項說明
使用者網關
名稱
輸入使用者網關的名稱。
本文輸入Customer-Gateway。
IP地址
輸入第三方SD-WAN裝置用於建立VPN串連的IP地址。
本文輸入第三方SD-WAN裝置的私網IP地址172.16.0.15。
自治系統號
輸入第三方SD-WAN裝置使用的BGP AS號。
本文輸入65534。
建立IPsec串連。
建立使用者網關後,您需要在阿里雲側建立IPsec串連,轉寄路由器將通過IPsec串連與第三方SD-WAN裝置建立VPN串連。
在左側導覽列,選擇。
在頂部功能表列,選擇IPsec串連的地區。
IPsec串連的地區需和使用者網關的地區一致。本文選擇華東2(上海)。
在IPsec串連頁面,單擊綁定雲企業網。
在建立IPsec串連(CEN)頁面,根據以下資訊配置IPsec串連,然後單擊確定。
建立IPsec串連會產生計費,關於IPsec串連的計費說明,請參見計費說明。
配置項
配置項說明
IPsec串連
IPsec串連名稱
輸入IPsec串連的名稱。
本文輸入IPsec串連。
地區
選擇待綁定的轉寄路由器所屬的地區。
IPsec串連建立完成後所屬地區與轉寄路由器地區相同。
選擇華東2(上海)。
網關類型
選擇IPsec串連的網路類型。
本文選擇私網。
安全VPC已被串連至轉寄路由器,第三方SD-WAN裝置可通過私網與轉寄路由器建立VPN串連。
綁定雲企業網
選擇IPsec串連要綁定的轉寄路由器所屬帳號。
選擇本帳號綁定。
雲企業網執行個體ID
選擇雲企業網執行個體。
本文選擇在準備工作中已建立的雲企業網執行個體。
路由模式
選擇路由模式。
本文選擇目的路由模式。
立即生效
選擇IPsec串連的配置是否立即生效。取值:
是:配置完成後立即進行協商。
否:當有流量進入時進行協商。
本文選擇是。
使用者網關
選擇IPsec串連關聯的使用者網關。
本文選擇Customer-Gateway。
預先共用金鑰
輸入IPsec串連的認證密鑰,用於本地網關裝置和IPsec串連之間的身份認證。
密鑰長度為1~100個字元,支援數字、大小寫英文字母及右側字元
~`!@#$%^&*()_-+={}[]\|;:',.<>/?,不能包含空格。若您未指定預先共用金鑰,系統會隨機產生一個16位的字串作為預先共用金鑰。建立IPsec串連後,您可以通過隧道的編輯按鈕查看系統產生的預先共用金鑰。具體操作,請參見修改隧道的配置。
重要IPsec串連及其對端網關裝置配置的預先共用金鑰需一致,否則系統無法正常建立IPsec-VPN串連。
本文輸入fddsFF123****。
啟用BGP
選擇是否開啟BGP功能。BGP功能預設為關閉狀態。
本文開啟BGP功能。
本端自治系統號
輸入IPsec串連的自治系統號。預設值:45104。自治系統號取值範圍:1~4294967295。
本文輸入65531。
加密配置
添加IKE配置、IPsec配置等加密配置。
除以下參數外,其餘配置項保持預設值。
IKE配置的密碼編譯演算法選擇des。
IPsec配置的密碼編譯演算法選擇des。
說明您需要根據本地網關裝置的支援情況選擇加密配置參數,確保IPsec串連和本地網關裝置的加密配置保持一致。
BGP配置
隧道網段
輸入建立加密隧道時使用的網段。
該網段應是一個在169.254.0.0/16網段內,掩碼長度為30的網段。
隧道網段需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30、169.254.6.0/30和169.254.169.252/30。
本文輸入169.254.20.0/30。
本端BGP地址
輸入IPsec串連的BGP IP地址。
該地址為隧道網段內的一個IP地址。
本文輸入169.254.20.1。
進階配置
選擇是否為IPsec串連開啟進階配置。
本文保持預設值,即開啟所有進階配置。
IPsec串連建立成功後,系統將自動為每個IPsec串連分配一個網關IP地址,用於IPsec串連和第三方SD-WAN裝置之間建立VPN串連。您可以在IPsec串連詳情頁面查看網關IP地址,如下圖所示。
說明IPsec串連只有綁定轉寄路由器執行個體後系統才會為其分配網關IP地址。如果在您建立IPsec串連時,IPsec串連的綁定資源類型為不綁定或者為VPN網關,則系統並不會為其分配網關IP地址。
私網類型的IPsec串連綁定轉寄路由器執行個體後,系統自動將IPsec串連的網關IP地址發布至轉寄路由器的路由表中。
下載IPsec串連對端的配置。
返回到IPsec串連頁面,找到剛剛建立的IPsec串連,在操作列單擊產生對端配置。
在第三方SD-WAN裝置中添加VPN配置和BGP配置。
建立IPsec串連後,請根據已下載的IPsec串連對端配置資訊以及下述步驟,在第三方SD-WAN裝置中添加VPN配置和BGP配置,以便第三方SD-WAN裝置和轉寄路由器之間建立VPN串連。
說明本文以FortiGate防火牆(軟體版本V6.2.4)作為配置樣本。不同軟體版本的配置命令可能會有所差異,操作時請根據您的實際環境查詢對應文檔或諮詢相關廠商。更多本地網關裝置配置樣本,請參見本地網關裝置配置樣本。
以下內容包含的第三方產品資訊僅供參考。阿里雲對第三方產品的效能、可靠性以及操作可能帶來的潛在影響,不做任何暗示或其他形式的承諾。
登入第三方SD-WAN裝置命令列配置介面。
為第三方SD-WAN裝置添加IPsec-VPN第一階段配置(IKE配置)。
#為隧道1添加IPsec-VPN第一階段配置 config vpn ipsec phase1-interface edit "to_aliyun_test1" set interface "port1" #使用“port1”與轉寄路由器建立VPN串連。 set ike-version 2 set peertype any set net-device disable set proposal des-sha1 #配置一階段密碼編譯演算法和認證演算法,需和IPsec串連側一階段配置(IKE配置)保持一致 set localid-type address #指定localid的格式為IP地址格式,與阿里雲IPsec串連RemoteId的格式保持一致。 set dhgrp 2 #配置一階段DH分組,需和IPsec串連側一階段配置(IKE配置)保持一致 set remote-gw 192.168.168.1 #指定第三方SD-WAN裝置對端的IP地址,為IPsec串連的網關IP地址 set psksecret fddsFF123**** #指定隧道的預先共用金鑰,阿里雲IPsec串連側和第三方SD-WAN裝置側需保持一致。 next end為第三方SD-WAN裝置添加IPsec-VPN第二階段配置(IPsec配置)。
#為隧道添加IPsec-VPN第二階段配置 config vpn ipsec phase2-interface edit "to_aliyun_test1" set phase1name "to_aliyun_test1" #關聯隧道的phase1-interface。 set proposal des-sha1 #配置二階段密碼編譯演算法和認證演算法,需和IPsec串連側二階段配置(IPsec配置)保持一致 set dhgrp 2 #配置二階段DH分組,需和IPsec串連側二階段配置(IPsec配置)保持一致 set auto-negotiate enable set keylifeseconds 86400 #配置SA生存周期 next end為隧道介面配置BGP IP地址。
config system interface edit "to_aliyun_test1" set ip 169.254.20.2 255.255.255.255 #配置隧道介面的BGP IP地址 set type tunnel #指定隧道介面類型 set remote-ip 169.254.20.1 255.255.255.255 #指定隧道對端的BGP IP地址 set interface "port1" #指定隧道關聯的物理介面為"port1" next end配置防火牆策略。
config firewall policy edit 1 set name "forti_to_aliyun1" #配置從第三方SD-WAN裝置去往阿里雲方向的安全性原則 set srcintf "port1" #源介面為"port1" set dstintf "to_aliyun_test1" #目的介面為VPN串連隧道介面 set srcaddr "all" #匹配所有源網段的流量 set dstaddr "all" #匹配所有目的網段的流量 set action accept #允許流量通行 set schedule "always" set service "ALL" next edit 2 set name "aliyun_to_forti1" #配置從阿里雲去往第三方SD-WAN裝置方向的安全性原則 set srcintf "to_aliyun_test1" #源介面為VPN串連隧道介面 set dstintf "port1" #目的介面為"port1" set srcaddr "all" #匹配所有源網段的流量 set dstaddr "all" #匹配所有目的網段的流量 set action accept #允許流量通行 set schedule "always" set service "ALL" next end配置BGP動態路由。
config router bgp set as 65534 set router-id 172.16.0.15 config neighbor edit "169.254.20.1" #指定隧道的對端BGP鄰居。 set remote-as 65531 next end config network edit 1 set prefix 172.16.0.0 255.255.0.0 #宣告安全VPC中需要與其他網路互連的網段。 next end end
步驟五:配置本地網關裝置
您需要在本地網關裝置1、本地網關裝置2、第三方SD-WAN裝置上分配添加VPN和BGP配置,使本地IDC1、本地IDC2、第三方SD-WAN裝置之間互相建立IPsec-VPN串連,實現本地IDC1、本地IDC2和阿里雲VPC互連、本地IDC1和本地IDC2互連。
第三方SD-WAN裝置與本地IDC1、本地IDC2通過ADVPN(Auto Discovery VPN)功能建立全互聯的IPsec-VPN串連。關於ADVPN功能的更多資訊,請參見Fortinet協助文檔。
本文以FortiGate防火牆(軟體版本V6.2.4)作為配置樣本。不同軟體版本的配置命令可能會有所差異,操作時請根據您的實際環境查詢對應文檔或諮詢相關廠商。更多本地網關裝置配置樣本,請參見本地網關裝置配置樣本。
第三方SD-WAN裝置配置樣本
請確保第三方SD-WAN裝置的UDP 500以及5000連接埠允許本地網關裝置1和本地網關裝置2的公網地址訪問。具體操作,請參見添加安全性群組規則。
登入第三方SD-WAN裝置的命令列配置介面。
執行以下命令,添加IPsec-VPN串連一階段配置。
config vpn ipsec phase1-interface edit "HUB" #第三方SD-WAN裝置作為Hub節點 set type dynamic set interface "port1" #使用“port1”與本地IDC建立IPsec-VPN串連 set ike-version 2 #使用IKE v2版本 set peertype any set net-device disable #關閉本功能 set proposal des-sha1 #配置一階段密碼編譯演算法和認證演算法 set add-route disable #關閉自動添加路由的功能 set dpd on-idle set wizard-type hub-fortigate-auto-discovery set auto-discovery-sender enable #在Hub節點開啟本功能,以便接收與發送Spoke之間的直連隧道互聯資訊。 set network-overlay enable set network-id 1 set psksecret fddsFF456**** #配置預先共用金鑰 set dpd-retryinterval 60 next end執行以下命令,添加IPsec-VPN串連二階段配置。
config vpn ipsec phase2-interface edit "HUB" set phase1name "HUB" set proposal des-sha1 #配置二階段密碼編譯演算法和認證演算法 next end執行以下命令,配置IPsec-VPN隧道IP地址。
config system interface edit "HUB" set vdom "root" set ip 169.254.10.1 255.255.255.255 #配置隧道IP地址 set allowaccess ping set type tunnel #指定隧道介面類型 set remote-ip 169.254.10.254 255.255.255.0 #配置隧道對端IP地址 set interface "port1" #指定隧道關聯的物理介面為"port1" next end重要169.254.10.254是不被Spoke節點所使用的預留IP地址,IPsec-VPN隧道是一個點對點的隧道,但是ADVPN中這條隧道需要同時對應多個Spoke節點,因此不能將remote-ip寫成一個存在的Spoke節點的IP地址。
執行以下命令,在第三方SD-WAN裝置上配置安全性原則,允許本地IDC之間、本地IDC與阿里雲互相訪問。
config firewall policy edit 7 set name "HUB_to_SPOKE" set srcintf "port1" "HUB" "to_aliyun_test1" #源介面為"port1" 、"HUB"、"to_aliyun_test1" set dstintf "HUB" "port1" "to_aliyun_test1" #目的介面為"port1" 、"HUB"、"to_aliyun_test1" set action accept #允許流量通行 set srcaddr "all" #匹配所有源網段的流量 set dstaddr "all" #匹配所有目的網段的流量 set schedule "always" set service "ALL" next end執行以下命令,添加BGP配置。
config router bgp set as 65534 #指定第三方SD-WAN裝置的BGP AS號為65534 config neighbor-group #啟用neighbor-group屬性 edit "HUB_group" set next-hop-self enable set remote-as 65534 #指定對端的BGP AS號 set additional-path send set route-reflector-client enable #開啟路由反射功能,指定第三方SD-WAN裝置為路由反射器 next end config neighbor-range edit 1 set prefix 169.254.10.0 255.255.255.0 #只要匹配首碼列表169.254.10.0/24的BGP鄰居均可以和Hub節點建立iBGP鄰居關係。 set neighbor-group "HUB_group" next end end
本地網關裝置1配置樣本
登入本地網關裝置1的命令列配置介面。
添加預設路由,確保本地網關裝置1可以訪問第三方SD-WAN裝置公網IP地址。
#本文情境中port1介面映射公網IP地址121.XX.XX.211,因此配置預設路由指向port1網關。 config router static edit 1 set device "port1" set distance 5 set gateway 192.168.100.253 next end #您可以通過以下命令查看路由資訊。 FortiGate-VM64-KVM # get router info routing-table all S* 0.0.0.0/0 [5/0] via 192.168.100.253, port1執行以下命令,添加IPsec-VPN串連一階段配置。
config vpn ipsec phase1-interface edit "hz_sp" set interface "port1" #使用"port1"介面與第三方SD-WAN裝置建立IPsec-VPN串連 set ike-version 2 #使用IKE v2版本 set peertype any set net-device disable #關閉該功能 set proposal des-sha1 #配置一階段密碼編譯演算法和認證演算法 set localid "hzoffice1" set dpd on-idle set wizard-type spoke-fortigate-auto-discovery set auto-discovery-receiver enable #在Spoke節點開啟本功能,以便接收Hub節點發送的直連隧道資訊。 set network-overlay enable set network-id 1 set remote-gw 42.XX.XX.129 #指定Hub節點的公網IP地址 set psksecret fddsFF456**** #配置預先共用金鑰,需和Hub節點保持一致 set add-route disable #關閉自動添加路由的功能 next end執行以下命令,添加IPsec-VPN串連二階段配置。
config vpn ipsec phase2-interface edit "hz_sp" set phase1name "hz_sp" set proposal des-sha1 #配置二階段密碼編譯演算法和認證演算法 set auto-negotiate enable #開啟自動協商 next end執行以下命令,配置IPsec-VPN隧道IP地址。
config system interface edit "hz_sp" set vdom "root" set ip 169.254.10.10 255.255.255.255 #配置隧道IP地址 set allowaccess ping set type tunnel #指定隧道介面類型 set remote-ip 169.254.10.254 255.255.255.0 #配置隧道對端IP地址 set interface "port1" #指定隧道關聯的物理介面為"port1" next end config system interface #建立loopback介面,用於類比本地IDC1中的用戶端。 edit "loopback" set vdom "root" set ip 192.168.254.100 255.255.255.0 set allowaccess ping set type loopback next end執行以下命令,在本地網關裝置1上配置安全性原則,允許本地IDC之間、本地IDC與阿里雲互相訪問。
config firewall policy edit 3 set name "hz_sp_remote" #配置去往本地IDC1方向的安全性原則 set srcintf "hz_sp" "loopback" "port1" #源介面為"port1" 、"hz_sp"、"loopback" set dstintf "loopback" "hz_sp" "port1" #目的介面為"port1" 、"hz_sp"、"loopback" set action accept #允許流量通行 set srcaddr "all" #匹配所有源網段的流量 set dstaddr "all" #匹配所有目的網段的流量 set schedule "always" set service "ALL" next end執行以下命令,添加BGP配置。
config router bgp set as 65534 #指定本地網關裝置1的BGP AS號 set network-import-check disable #關閉發布路由的檢查 config neighbor edit "169.254.10.1" #與第三方SD-WAN裝置建立iBGP鄰居關係 set remote-as 65534 #指定第三方SD-WAN裝置的BGP AS號 set additional-path receive next end config network edit 1 set prefix 192.168.254.100 255.255.255.255 #宣告本地IDC1中用戶端的地址,用於與VPC、本地IDC2互連 next end end
本地網關裝置2配置樣本
登入本地網關裝置2的命令列配置介面。
添加預設路由,確保本地網關裝置1可以訪問第三方SD-WAN裝置公網IP地址。
#本文情境中port1介面映射公網IP地址121.XX.XX.78,因此配置預設路由指向port1網關。 config router static edit 1 set device "port1" set distance 5 set gateway 192.168.99.253 next end #您可以通過以下命令查看路由資訊。 FortiGate-VM64-KVM # get router info routing-table all S* 0.0.0.0/0 [5/0] via 192.168.99.253, port1執行以下命令,配置IPsec-VPN一階段參數:
config vpn ipsec phase1-interface edit "hz_sp1" set interface "port1" #使用"port1"介面與第三方SD-WAN裝置建立IPsec-VPN串連 set ike-version 2 #使用IKE v2版本 set peertype any set net-device disable #關閉該功能 set proposal des-sha1 #配置一階段密碼編譯演算法和認證演算法 set localid "hzoffice2" set dpd on-idle set wizard-type spoke-fortigate-auto-discovery set auto-discovery-receiver enable #在Spoke節點開啟本功能,以便接收Hub節點發送的直連隧道資訊。 set network-overlay enable set network-id 1 set remote-gw 42.XX.XX.129 #指定Hub節點的公網IP地址 set psksecret fddsFF456**** #配置預先共用金鑰,需和Hub節點保持一致 set add-route disable #關閉自動添加路由的功能 next end執行以下命令,配置IPsec-VPN二階段參數。
config vpn ipsec phase2-interface edit "hz_sp1" set phase1name "hz_sp1" set proposal des-sha1 #配置二階段密碼編譯演算法和認證演算法 set auto-negotiate enable #開啟自動協商 next end執行以下命令,配置IPsec-VPN隧道IP地址。
config system interface edit "hz_sp1" set vdom "root" set ip 169.254.10.11 255.255.255.255 #配置隧道IP地址 set allowaccess ping set type tunnel #指定隧道介面類型 set remote-ip 169.254.10.254 255.255.255.0 #配置隧道對端IP地址 set interface "port1" #指定隧道關聯的物理介面為"port1" next end config system interface #建立loopback介面,用於類比本地IDC2中的用戶端。 edit "loopback" set vdom "root" set ip 192.168.100.104 255.255.255.0 set allowaccess ping set type loopback end執行以下命令,在本地網關裝置2上配置安全性原則,允許本地IDC之間、本地IDC與阿里雲互相訪問。
config firewall policy edit 3 set name "hz_sp1_remote" #配置去往本地IDC2方向的安全性原則 set srcintf "hz_sp1" "loopback" "port1" #源介面為"port1" 、"hz_sp1"、"loopback" set dstintf "loopback" "hz_sp1" "port1" #目的介面"port1" 、"hz_sp1"、"loopback" set action accept #允許流量通行 set srcaddr "all" #匹配所有源網段的流量 set dstaddr "all" #匹配所有目的網段的流量 set schedule "always" set service "ALL" next end執行以下命令,添加BGP配置。
config router bgp set as 65534 #指定本地網關裝置2的BGP AS號 set network-import-check disable #關閉發布路由的檢查 config neighbor edit "169.254.10.1" #與第三方SD-WAN裝置建立iBGP鄰居關係 set remote-as 65534 #指定第三方SD-WAN裝置的BGP AS號 set additional-path receive next end config network edit 1 set prefix 192.168.254.104 255.255.255.255 #宣告本地IDC2中的用戶端,用於與VPC、本地IDC1互連 next end end
步驟六:測試連通性
完成上述配置後,本地IDC和VPC之間已經可以實現互相通訊。以下內容介紹如何測試各個網站之間的網路連通性。
測試本地IDC1與服務VPC1、服務VPC2、本地IDC2的連通性。
登入本地IDC1下用戶端的命令列介面。
在用戶端中執行ping命令,嘗試訪問服務VPC1下的ECS1、服務VPC2下的ECS1和本地IDC2下的用戶端。
如上圖所示,如果本地IDC1下的用戶端可以收到響應報文,則表示本地IDC1可以成功訪問服務VPC1、服務VPC2和本地IDC2下的資源。
測試本地IDC2與服務VPC1、服務VPC2、本地IDC1的連通性。
登入本地IDC2下用戶端的命令列介面。
在用戶端中執行ping命令,嘗試訪問服務VPC1下的ECS1、服務VPC2下的ECS1和本地IDC1下的用戶端。
如上圖所示,如果本地IDC2下的用戶端可以收到響應報文,則表示本地IDC2可以成功訪問服務VPC1、服務VPC2和本地IDC1下的資源。
測試服務VPC1與本地IDC1、本地IDC2的連通性。
登入服務VPC1下的ECS1執行個體。具體操作,請參見ECS遠端連線操作指南。
在ECS1執行個體中執行ping命令,嘗試訪問本地IDC1和本地IDC2下的用戶端。
ping <本地IDC用戶端的IP地址>
如上圖所示,如果ECS1執行個體可以收到響應報文,則表示服務VPC1可以成功訪問本地IDC1和本地IDC2下的資源。
測試服務VPC2與本地IDC1、本地IDC2的連通性。
登入服務VPC2下的ECS1執行個體。具體操作,請參見ECS遠端連線操作指南。
在ECS1執行個體中執行ping命令,嘗試訪問本地IDC1和本地IDC2下的用戶端。
ping <本地IDC用戶端的IP地址>
如上圖所示,如果ECS1執行個體可以收到響應報文,則表示服務VPC2可以成功訪問本地IDC1和本地IDC2下的資源。
測試服務VPC1和服務VPC2之間的連通性。
登入服務VPC1下的ECS1執行個體。具體操作,請參見ECS遠端連線操作指南。
在ECS1執行個體中執行ping命令,嘗試訪問服務VPC2下的ECS1執行個體。
ping <ECS執行個體的IP地址>
如上圖所示,如果服務VPC1下的ECS1執行個體可以收到響應報文,則表示服務VPC1可以成功訪問服務VPC2下的資源。
登入服務VPC2下的ECS1執行個體。具體操作,請參見ECS遠端連線操作指南。
在ECS1執行個體中執行ping命令,嘗試訪問服務VPC1下的ECS1執行個體。
ping <ECS執行個體的IP地址>
如上圖所示,如果服務VPC2下的ECS1執行個體可以收到響應報文,則表示服務VPC2可以成功訪問服務VPC1下的資源。