ENS執行個體之間,可以通過ENA完成互連,也可以通過部署第三方FortiGate程式來完成互連,本文介紹通過FortiGate的方式完成互連。而ENS與IDC之間,ENS與ECS之間互連也可使用類似方案完成。
概述
本文介紹FortiGate在ENS上安裝部署的方式,以實現不同ENS節點的VPC內網通過VPN互連。一共分為以下四個步驟進行描述:
情境介紹
安裝FortiGate
配置FortiGate
測試互連性
情境介紹
當客戶使用多個邊緣節點服務時,這些邊緣節點服務之間可以通過專有線路進行廣域網路互聯,也可以通過VPN的方式進行互聯,本文主要介紹通過VPN的方式互聯。
在進行網路互聯之前,需要提前規劃IP地址,並確定測試方式為VM1與VM4之間互相ping來驗證連通性。
1. IP地址規劃
ENS VPC | 網段 | 執行個體 | 內網IP | 公網IP |
ENS VPC1 | 10.0.100.0/24 | VM2(部署 FortiGate) | 10.0.100.2 | 建立執行個體時候申請或者使用eip |
VM1 | 10.0.100.3 | |||
ENS VPC2 | 172.16.100.0/24 | VM3(部署FortiGate) | 172.16.100.2 | 建立執行個體時候申請或者使用eip |
VM4 | 172.16.100.3 |
2. 網路拓撲
網路拓撲如下,客戶在ENS節點1和節點2分別擁有VPC,並在VPC內部都有獨立的VM,在本次互連測試中,需要使得下圖中的“ENS VM1”和“ENS VM4”實現內網互連。
安裝FortiGate
本部分將對如何從ENS控制台依次建立VPC、交換器、安全性群組、執行個體等進行FortiGate建立進行介紹,共分為四個步驟:
在ENS上建立VPC和交換器
配置安全性群組
部署FortiGate執行個體
下發引流配置
1. 在ENS上建立VPC和交換器
登入ENS控制台依次選擇,選擇已使用的節點,輸入名稱、IPv4網段,同時配置交換器,輸入子網段。
點擊建立後,在網路和交換器頁面可查看剛才新增的VPC和交換器,以確定已經建立成功。
2. 配置安全性群組
因為安全性群組預設會過濾流量,所以需要針對安全性群組做特別配置,需要放開部分流量連接埠,測試中為了方便,預設允許入方向所有流量,也可以最嚴格配置,僅允許SSH、ICMP,HTTPS、UDP流量訪問。
選擇。
出方向配置。預設全部允許。
3. 部署FortiGate執行個體
本步驟將展示如何按要求在ENS控制台上建立出FortiGate執行個體,這個執行個體將承載VPN的流量,對應圖表中的VM2。
選擇,點擊建立執行個體。
在基礎配置中,執行個體類型選擇X86計算類型,執行個體規格參考FortiGate規格參考說明,鏡像選擇自訂鏡像,選擇提前準備的FortiGate鏡像。其中ENS如何建立自訂鏡像,可以參考此處:建立自訂鏡像。
配置網路和儲存。網路選擇自建網路,地區選擇剛剛配置Virtual Private Cloud所在節點,然後依次設定地區節點的網路,交換器和安全性群組,同時建立公網網卡,並設定頻寬限速。
系統設定。設定密鑰和執行個體名稱,預設密碼請參考FortiGate官方描述。
確認訂單。核對基本配置、網路和儲存、系統配置,選擇購買時間長度,最後點擊確認訂單。
建立完畢之後,可通過在執行個體列表查看來驗證是否建立成功。
上述步驟是建立VM2的方式,可以在同VPC上建立另外一個VM,但是不選擇FortiGate的鏡像,以用於驗證。
4. 下發引流配置
以左側ENS節點為例,當VM1建立完畢,VM2已經是FortiGate鏡像之後,VM1取往VM4的流量,需要引到VM2對應的FortiGate上,這樣才能實現通過VPN串連VM1和VM4。具體步驟如下:
選擇,在網路列表中選擇建立的網路,點擊對應的路由表。
點擊路由表ID,在路由表詳情中,點擊,配置對端IPv4網段,並把下一跳指定為之前配置好的fortiGate執行個體。
配置好後介面會顯示如下,則說明流量會引入到FortiGate上。
5. 配置Site2 VPC及FortiGate
建立第二個Virtual Private Cloud並分配子網段。
建立並配置FortiGate執行個體。
增加引流配置。
配置FortiGate
FortiGate的配置需要參考官方文檔,不同版本會有少量差異,具體請參考:https://handbook.fortinet.com.cn/。
配置一共分為以下步驟:
注意事項
匯入license
網路初始化
系統初始化
網路檢查
配置IPSEC
1. 注意事項
在中國內地會對互連網訪問的HTTP和HTTPS進行備案管理,否則不予開放80和443連接埠,請關注。
可以通過SSH登入FortiGate裝置,修改HTTPS連接埠號碼,然後再進行備案。
下面是修改為8443連接埠的配置命令:
config system global
set admin-sport 8443
end
2. 匯入license並初始化
對裝置進行license匯入後進行基礎的初始化,驗證網路設定生效後才可以做IPSEC的配置。
2.1 匯入license
建立後的預設初始化帳號密碼為:帳號 admin,密碼請在配置完畢後儘快修改預設密碼,避免風險。
需要綁定FortiGate License,本文使用BYOL的方式綁定。
需要特別注意的是,匯入license後會自動重啟,重啟後需要重新登入,並開始配置IPSEC。
2.2 系統初始化
重啟後,在網頁輸入IP地址進入控制台,通過HTTPS訪問fortigate。
正常初始化配置。
第一次部署時,建議升級到最新版本7.4.X或諮詢廠商(最新版本比如配置IPsec時候可以減少後期手動設定),登入進入控制台。
系統需要進行初始化後才能繼續使用,在左側選擇settings,進行如hostname、時區等配置。
2.3 驗證網路設定生效
測試本機
ping 10.0.100.2。
測試同VPC內VM
ping 10.0.100.3。
ping www.aliyun.com判斷互連網串連是否正常。
以上步驟沒問題表示ENS上FortiGW完成基本配置。
3. 配置IPSEC
IPSec會有多種配置方式,在當前拓撲中,使用Site2Site的方式來部署,可以使VM1和VM4實現VPN互連,將兩端分別定義為Site1和Site2。
3.1 Site1配置
配置如下,按照設定精靈逐步執行即可:
點擊左側“VPN- IPsec Tunnels -Create New”,點擊IPsec Tunnel。
輸入名稱、方式(Site to Site)。
配置介面,和共用密鑰。
配置感興趣流(VPN互連網路:本端業務網段、對端業務網路)。
點擊create核對資訊,確認資訊正確後點擊Create。
配置Firewall Policy策略。在右側Policy&Objects下Firewall Policy 策略允許內網到IPsec VPN隧道和IPsec VPN隧道到內網的策略(不同版本此處會有不同,較高版本通過VPN配置模板自動下發,參考FortiGate官方手冊)。
配置業務靜態路由。然後在左側Network -> Static Routes手動設定路由,目的訪問對端業務路由通過IPEC VPN隧道進行引流。(高版本通過VPN配置模板自動下發)。
介面開Ping用於測試。進行ping測試需要介面地址開Ping,預設是不開Ping,需要雙擊連接埠那一列進入,手工開啟。
3.2 Site2配置
site2的配置如下:
測試互連性
配置完畢後即可進行測試,測試時,確認圖中的VM1和VM4能夠ping通,即證明VPN建立,以下是測試環境資料:
VM4 ping VM1
VM1 ping VM4
其他使用情境
在上述介紹中,主要描述了ENS與ENS之間使用FortiGate實現VPN互連的方式,ENS作為FortiGate的基礎設施,提供了算力+互連網的基礎能力,FortiGate可以在此基礎上實現其他的廣域網路VPN互聯方式,比如以下方式:
ENS與阿里雲ECS VPN互聯
ENS與Office VPN互聯
ENS與IDC互聯
在這些實現方式中,ENS上安裝FortiGate的鏡像與前面的介紹一致,只要保證鏡像正確,網路正常,那麼主要配置就參考FortiGate的官方手冊即可。
ENS使用FortiGate,Site2Site方式串連阿里雲Region VPC,與ENS之間互聯相似。
ENS使用FortiGate,Site2Site方式串連阿里雲Region VPC,FortiGate與VPN Gateway直接建立。
ENS使用FortiGate,Site2CPE方式串連客戶的Office。
ENS使用FortiGate,Site2Site方式串連客戶的IDC:
