通過BGP路由實現雲上與IDC間私網流量加密通訊 - Express Connect

當您需要實現私網流量加密通訊時，您可以先建立專線網關ECR串連VBR和雲上VPC，再通過建立VPN網關與VBR運行BGP動態路由來實現。

情境樣本

本樣本以下圖情境為樣本，某企業在杭州擁有一個本地IDC，在阿里雲華東1（杭州）地區擁有一個VPC，VPC中使用Elastic Compute Service部署了相關服務。因業務發展，企業計劃使用物理專線和專線網關ECR實現本地IDC和VPC的相互連信。同時，為了提高商業網路的安全性，企業希望本地IDC和VPC之間的流量可以經過加密後再進行傳輸。

在本地IDC已和VPC實現私網通訊的情況下，企業可以在VPC中建立私網VPN網關，與本地網關裝置建立IPsec串連，同時為VBR執行個體和VPN網關配置BGP動態路由協議，實現私網流量的加密傳輸。

準備工作

私網VPN網關正在邀測中，您已經向您的客戶經理申請使用許可權。

您需要為本地IDC和網路執行個體規劃網段，需確保要互連的網段之間沒有重疊。本樣本網段規劃如下：

配置目標	網段規劃	IP地址
VPC	主網段：10.0.0.0/16 交換器1所屬的子網段：10.0.0.0/24 交換器2所屬的子網段：10.0.1.0/24	ECS1：10.0.1.1 ECS2：10.0.1.2
VBR	10.0.0.0/30	VLAN ID：201 阿里雲側IPv4互聯IP：10.0.0.2/30 客戶側IPv4互聯IP：10.0.0.1/30 本樣本中客戶側指本地網關裝置。
ECR	-	自治系統號：45104
本地IDC	10.0.0.0/30 192.168.0.0/24	VPN IP地址：192.168.0.251 VPN IP地址是指本地網關裝置上待與阿里雲VPN網關建立IPsec串連的介面的IP地址。與物理專線串連的介面IP地址：10.0.0.1 自治系統號：65530

您已經在阿里雲華東1（杭州）地區建立了VPC並使用ECS部署了相關服務。具體操作，請參見建立和管理專用網路。
在本樣本中，VPC中包含2個交換器執行個體，交換器1位於可用性區域H，交換器2位於可用性區域I。交換器2用於部署ECS，交換器1僅用於後續關聯VPN網關。
說明
在您建立VPC執行個體時，建議您在VPC執行個體中單獨建立一個交換器執行個體用於後續關聯VPN網關，以便交換器執行個體可以分配私網IP地址至VPN網關。
請檢查本地網關裝置，確保本地網關裝置支援標準的IKEv1和IKEv2協議，以便和阿里雲VPN網關建立串連。關於本地網關裝置是否支援標準的IKEv1和IKEv2協議，請諮詢本地網關裝置廠商。
您已經瞭解VPC中的ECS執行個體所應用的安全性群組規則以及本地IDC中用戶端所應用的存取控制規則，並確保ECS執行個體的安全性群組規則以及本地IDC用戶端的存取控制規則允許本地IDC用戶端與VPC中的ECS執行個體互連。具體操作，請參見查詢安全性群組規則和添加安全性群組規則。

配置流程

步驟一：部署物理專線

您需要部署物理專線將本地IDC串連至阿里雲。

建立物理專線。
您需要在華東1（杭州）地區申請一條物理專線。具體操作，請參見申請傳統模式或共用專線接入流程。
本樣本選擇建立獨享專線串連。

建立VBR執行個體。

登入Express Connect管理主控台。
在左側導覽列，單擊邊界路由器（VBR）。
在頂部狀態列，選擇待建立的VBR執行個體的地區。
本樣本選擇華東1（杭州）地區。
在邊界路由器（VBR）頁面，單擊建立邊界路由器。

在建立邊界路由器面板，根據以下資訊進行配置，然後單擊確定。

下表僅列舉本樣本強相關的配置項。如果您想要瞭解更多資訊，請參見建立和管理邊界路由器。

配置項	說明
帳號類型	本樣本選擇當前帳號。
名稱	本樣本輸入VBR。
物理專線介面	本樣本選擇獨享專線類型，然後選擇在步驟1中建立的物理專線介面。
VLAN ID	本樣本輸入201。
設定VBR頻寬值	選擇VBR執行個體的頻寬峰值。
阿里雲側IPv4互聯IP	本樣本輸入10.0.0.2。
客戶側IPv4互聯IP	本樣本輸入10.0.0.1。
IPv4子網路遮罩	本樣本輸入255.255.255.252。

為VBR執行個體添加自訂路由條目將本地IDC的網段發布至阿里雲。
1. 在邊界路由器（VBR）頁面，單擊VBR執行個體ID。
2. 單擊路由條目頁簽，然後單擊添加路由條目。
3. 在添加路由條目面板，根據以下資訊進行配置，然後單擊確定。
  配置項
  說明
  下一跳類型
  選擇物理專線介面。
  目標網段
  輸入本地IDC的網段。
  本樣本輸入192.168.0.0/16。
  下一跳
  選擇步驟1中建立的物理專線介面。
配置本地網關裝置。
您需要在本地網關裝置上配置以下路由條目，引導本地IDC訪問VPC的流量進入物理專線。
以下配置樣本僅供參考，不同廠商的裝置配置命令可能會有所不同。具體命令，請諮詢相關裝置廠商。
```
ip route 10.0.0.0 255.255.0.0 10.0.0.2
```

步驟二：配置專線網關ECR

您需要將VPC和VBR執行個體串連至專線網關ECR，串連後，本地IDC和VPC可以通過專線網關ECR實現私網互連。

建立專線網關ECR執行個體。

登入Express Connect管理主控台。
在左側導覽列，單擊專線網關，然後在專線網關頁面，單擊建立專線網關。

在建立專線網關對話方塊，根據以下資訊進行配置，選中我已閱讀並知曉計費規則，然後單擊確定。

配置	說明
名稱	輸入專線網關的名稱。本樣本輸入ECR。
ASN	輸入專線網關的ASN號。本樣本輸入45104。
描述	輸入專線網關的描述資訊。本樣本輸入ECR-for-test-private-VPN-Gateway。

串連VPC執行個體。

登入Express Connect管理主控台。
在左側導覽列，單擊專線網關，然後在專線網關頁面，單擊步驟1建立的專線網關執行個體。
在VPC頁簽，單擊關聯VPC。

在關聯VPC對話方塊，根據以下資訊進行配置，然後單擊確定。

配置	說明
資源歸屬	選擇VPC所屬地帳號類型。本樣本選擇同帳號。
地區	選擇目標VPC所在的地區。本樣本選擇華東1（杭州）。
VPC ID	選擇目標VPC執行個體ID。本樣本選擇VPC的執行個體ID。

串連VBR執行個體。

登入Express Connect管理主控台。
在左側導覽列，單擊專線網關，然後在專線網關頁面，單擊步驟1建立的專線網關執行個體。
在VBR頁簽，單擊添加VBR。

在添加VBR對話方塊，根據以下資訊進行配置，然後單擊確定。

配置	說明
資源歸屬	選擇VBR所屬地帳號類型。本樣本選擇同帳號。
地區	選擇VBR資源所屬的地區。本樣本選擇華東1（杭州）。
網路執行個體	選擇目標VBR執行個體。本樣本選擇VBR。

步驟三：部署VPN網關

完成上述步驟後，本地IDC和VPC之間可以實現私網互連，但在通訊過程中，資訊未經過加密。您還需要在VPC中部署VPN網關，與本地網關裝置建立IPsec串連，才能實現私網流量加密通訊。

建立VPN網關。

登入VPN網關管理主控台。
在頂部功能表列，選擇VPN網關的地區。
VPN網關的地區需和待關聯的VPC執行個體的地區相同。本樣本選擇華東1（杭州）地區。
在VPN網關頁面，單擊建立VPN網關。

購買頁面，根據以下資訊配置VPN網關，單擊立即購買並完成支付。

配置項	說明
執行個體名稱	輸入VPN網關的名稱。本樣本輸入`VPN網關1`。
地區	選擇VPN網關所屬的地區。本樣本選擇華東1（杭州）。
網關類型	選擇VPN網關的類型。本樣本選擇普通型。
網路類型	選擇VPN網關的網路類型。本樣本選擇私網。
隧道	系統直接展示當前地區IPsec-VPN串連支援的隧道模式。
專用網路	選擇VPN網關待關聯的VPC執行個體。本樣本選擇VPC。
虛擬交換器	從VPC中選擇一個交換器執行個體。 IPsec-VPN串連的隧道模式為單隧道時，您僅需要指定一個交換器執行個體。 IPsec-VPN串連的隧道模式為雙隧道時，您需要指定兩個交換器執行個體。 IPsec-VPN功能開啟後，系統會在兩個交換器執行個體下各建立一個彈性網卡ENI（Elastic Network Interfaces），作為使用IPsec-VPN串連與VPC流量互連的介面。每個ENI會佔用交換器下的一個IP地址。說明系統預設幫您選擇第一個交換器執行個體，您可以手動修改或者直接使用預設的交換器執行個體。建立VPN網關執行個體後，不支援修改VPN網關執行個體關聯的交換器執行個體，您可以在VPN網關執行個體的詳情頁面查看VPN網關執行個體關聯的交換器、交換器所屬可用性區域以及交換器下ENI的資訊。
虛擬交換器2	從VPC中選擇第二個交換器執行個體。 IPsec-VPN串連的隧道模式為單隧道時，無需配置該項。
頻寬峰值	選擇VPN網關的頻寬峰值。單位：Mbps。
流量	VPN網關的計費方式。預設值：按流量計費。更多資訊，請參見計費說明。
IPsec-VPN	私網類型的VPN網關僅支援IPsec-VPN功能。本樣本保持預設值，即開啟IPsec-VPN功能。
購買時間長度	選擇購買時間長度。 VPN網關的計費周期。預設值：按小時計費。
服務關聯角色	單擊建立關聯角色，系統自動建立服務關聯角色AliyunServiceRoleForVpn。 VPN網關使用此角色來訪問其他雲產品中的資源，更多資訊，請參見AliyunServiceRoleForVpn。若本配置項顯示為已建立，則表示您的帳號下已建立了該角色，無需重複建立。

返回VPN網關頁面，查看已建立的VPN網關並記錄VPN網關的私網IP地址，用於後續IPsec串連的配置。
剛建立好的VPN網關的狀態是準備中，約1～5分鐘會變成正常狀態。正常狀態表明VPN網關完成了初始化，可以正常使用。

建立使用者網關。
1. 在左側導覽列，選擇網間互聯 > VPN > 使用者網關。
2. 在使用者網關頁面，單擊建立使用者網關。
3. 在建立使用者網關面板，根據以下資訊進行配置，然後單擊確定。
  以下內容僅列舉本樣本強相關的配置項及樣本值。
  - 名稱：輸入使用者網關的名稱。
    本樣本輸入Customer-Gateway。
  - IP地址：輸入VPN網關待串連的本地網關裝置的VPN IP地址。
    本樣本輸入192.168.0.251。
  - 自治系統號：輸入本地網關裝置的自治系統號。
    本樣本輸入65530。

建立IPsec串連。

在左側導覽列，選擇網間互聯 > VPN > IPsec串連。
在IPsec串連頁面，單擊建立IPsec串連。

在建立IPsec串連頁面，根據以下資訊配置IPsec串連，然後單擊確定。

以下內容僅列舉本樣本強相關的配置項及樣本值。如果您想要瞭解更多資訊，請參見建立和管理IPsec串連（單隧道模式）。

配置項	配置項說明
名稱	輸入IPsec串連的名稱。本樣本輸入`IPsec串連1`。
VPN網關	選擇已建立的VPN網關執行個體。本樣本選擇VPN網關1。
使用者網關	選擇已建立的使用者網關執行個體。本樣本選擇Customer-Gateway。
路由模式	選擇路由模式。本樣本選擇目的路由模式。
立即生效	選擇是否立即生效。是：配置完成後立即進行協商。否：當有流量進入時進行協商。本樣本選擇是。
預先共用金鑰	輸入預先共用金鑰。如果不輸入該值，系統預設產生一個16位的隨機字串。重要本地網關裝置的預先共用金鑰需和IPsec串連的預先共用金鑰一致。本樣本輸入`fddsFF123****`。
加密配置	本樣本IKE配置的版本選擇ikev2，其餘配置項保持預設配置。
BGP配置	本樣本開啟BGP配置。各配置項如下：隧道網段：輸入IPsec隧道的網段。該網段應是一個在169.254.0.0/16內的掩碼長度為30的網段。本樣本輸入`169.254.10.0/30`。本端BGP地址：輸入VPN網關側的BGP IP地址。該地址為隧道網段內的一個IP地址。本樣本輸入`169.254.10.1`，則本地IDC側的BGP IP地址為`169.254.10.2`。本端自治系統號：輸入VPN網關側的自治系統號。預設值：45104。本樣本使用預設值45104。重要如果VBR執行個體和VPN網關均運行BGP動態路由協議，VPN網關側的自治系統號和VBR執行個體的自治系統號需一致，以便後續做路由控制。
健全狀態檢查	本樣本保持預設配置。

IPsec串連建立成功後，在建立成功對話方塊，單擊確定。

開啟VPN網關的BGP路由自動傳播功能。
開啟BGP路由自動傳播功能後，在VPN網關與本地網關裝置成功建立BGP鄰居的情況下，VPN網關會將學習到的本地IDC的網段傳播至VPC中，同時也會將VPC中系統路由表下的路由傳播至本地網關裝置。
1. 在左側導覽列，選擇網間互聯 > VPN > VPN網關。
2. 在VPN網關頁面，找到VPN網關1，在操作列選擇 > 開啟路由自動傳播。
3. 在開啟路由自動傳播對話方塊，單擊確定。
下載本地網關裝置的IPsec串連配置。
1. 在左側導覽列，選擇網間互聯 > VPN > IPsec串連。
2. 在IPsec串連頁面，找到IPsec串連1，在操作列單擊下載對端配置。
  將下載的IPsec串連配置儲存在您本地用戶端。

在本地網關裝置中添加VPN配置、BGP配置和靜態路由。

依據下載的IPsec串連配置，在本地網關裝置中完成VPN配置，並在本地網關裝置上添加BGP配置和靜態路由。

以下配置樣本僅供參考，不同廠商的裝置配置命令可能會有所不同。具體命令，請諮詢相關裝置廠商。

登入本地網關裝置的命令列配置介面。

執行以下命令，配置ikev2 proposal和policy。

crypto ikev2 proposal alicloud  
encryption aes-cbc-128          //配置密碼編譯演算法，本樣本為aes-cbc-128。
integrity sha1                  //配置認證演算法，本樣本為sha1。
group 2                         //配置DH分組，本樣本為group2。
exit
!
crypto ikev2 policy Pureport_Pol_ikev2
proposal alicloud
exit
!

執行以下命令，配置ikev2 keyring。

crypto ikev2 keyring alicloud
peer alicloud
address 10.0.0.167               //配置雲上VPN網關的私網IP地址，本樣本為10.0.0.167。
pre-shared-key fddsFF123****     //配置預先共用金鑰，本樣本為fddsFF123****。
exit
!

執行以下命令，配置ikev2 profile。

crypto ikev2 profile alicloud
match identity remote address 10.0.0.167 255.255.255.255    //匹配雲上VPN網關的私網IP地址，本樣本為10.0.0.167。
identity local address 192.168.0.251    //本地IDC的VPN IP地址，本樣本為192.168.0.251。
authentication remote pre-share   //認證對端的方式為PSK（預先共用金鑰的方式）。
authentication local pre-share    //認證本端的方式為PSK。
keyring local alicloud            //調用密鑰串。
exit
!

執行以下命令，配置transform。

crypto ipsec transform-set TSET esp-aes esp-sha-hmac
mode tunnel
exit
!

執行以下命令，配置IPsec Profile，並調用transform、pfs和ikev2 profile。

crypto ipsec profile alicloud
set transform-set TSET
set pfs group2
set ikev2-profile alicloud
exit
!

執行以下命令，配置IPsec隧道。

interface Tunnel100
ip address 169.254.10.2 255.255.255.252    //配置本地IDC的隧道地址，本樣本為169.254.10.2。
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 10.0.0.167              //隧道對端的雲上VPN網關私網IP地址，本樣本為10.0.0.167。
tunnel protection ipsec profile alicloud
no shutdown
exit
!
interface GigabitEthernet1                 //配置與雲上VPN網關建立IPsec串連的介面IP地址。
ip address 192.168.0.251 255.255.255.0
negotiation auto
!

執行以下命令，配置BGP路由協議。

重要

為了引導VPC去往雲下的流量進入VPN網關加密通訊通道，在確保通訊正常的情況下，您需要在本地網關裝置的BGP路由協議中宣告比本地IDC網段更明細的路由。

例如，本樣本中本地IDC的網段為192.168.0.0/16，則在本地網關裝置的BGP路由協議中宣告的網段需比該網段小，本樣本本地網關裝置的BGP路由協議宣告的網段為192.168.1.0/24。

router bgp 65530                         //開啟BGP路由協議，並配置本地IDC的自治系統號。本樣本為65530。
neighbor 169.254.10.1 remote-as 45104    //配置BGP鄰居的AS號，本樣本為雲上VPN網關的自治系統號45104。
neighbor 169.254.10.1 ebgp-multihop 10   //配置EBGP跳數為10。  
!
address-family ipv4
network 192.168.1.0 mask 255.255.255.0   //宣告本地IDC的網段，本樣本配置為192.168.1.0/24。
neighbor 169.254.10.1 activate           //啟用BGP鄰居。
exit-address-family
!

執行以下命令，配置靜態路由。

ip route 10.0.0.167 255.255.255.255 10.0.0.2  //引導從本地IDC去往雲上VPN網關的流量進入物理專線。

步驟四：配置雲上路由和路由策略

完成以上配置，本地網關裝置和VPN網關之間已經建立了加密通訊通道。您還需要為雲上網路執行個體配置路由，引導雲上和雲下流量通訊時進入加密通訊通道。

為VPC添加自訂路由條目。

登入專用網路管理主控台。
在左側導覽列，單擊路由表。
在頂部狀態列處，選擇路由表所屬的地區。
本樣本選擇華東1（杭州）地區。
在路由表頁面，找到目標路由表，單擊路由表執行個體ID。
本樣本找到VPC的系統路由表。
在路由條目列表頁簽下單擊自訂路由條目頁簽，然後單擊添加路由條目。

在添加路由條目面板，配置以下資訊，然後單擊確定。

配置項	說明
名稱	輸入自訂路由條目的名稱。
目標網段	輸入自訂路由條目的目標網段。本樣本選擇IPv4網段並輸入本地網關裝置VPN IP地址`192.168.0.251/32`。
下一跳類型	選擇自訂路由條目的下一跳類型。本樣本選擇專線網關。
專線網關	選擇自訂路由條目的下一跳。本樣本選擇ECR。

為VBR執行個體添加自訂路由條目。
1. 登入Express Connect管理主控台。
2. 在左側導覽列，單擊邊界路由器（VBR）。
3. 在頂部狀態列處，選擇VBR執行個體的地區。
  本樣本選擇華東1（杭州）地區。
4. 在邊界路由器（VBR）頁面，單擊目標邊界路由器的ID。
5. 單擊路由條目頁簽，然後單擊添加路由條目。
6. 在添加路由條目面板，根據以下資訊配置路由條目，然後單擊確定。
  配置項
  說明
  下一跳類型
  選擇物理專線介面。
  目標網段
  輸入本地網關裝置VPN IP地址。
  本樣本輸入192.168.0.251/32。
  下一跳
  選擇在步驟1中建立的物理專線介面。

步驟五：測實驗證

完成上述配置後，本地IDC和VPC之間已經可以進行私網加密通訊。以下內容為您介紹如何測試本地IDC和VPC之間的私網連通性以及如何驗證流量是否經過VPN網關加密。

測試私網連通性。
1. 登入ECS1執行個體。具體操作，請參見ECS遠端連線操作指南。
2. 執行ping命令，訪問本地IDC網段下的任意一台用戶端，測試本地IDC和VPC之間的私網連通性。
```
ping <本地IDC用戶端私網IP地址>
```
  如果收到回複報文，則證明本地IDC和VPC之間已經實現私網互連。
驗證加密是否生效。
1. 登入VPN網關管理主控台。
2. 在頂部狀態列處，選擇VPN網關所屬的地區。
  本樣本選擇華東1（杭州）地區。
3. 在左側導覽列，選擇網間互聯 > VPN > IPsec串連。
4. 在IPsec串連頁面，找到在步驟3中建立的IPsec串連，單擊串連ID。
5. 單擊監控頁簽，查看流量監控資料。

配置項	說明
下一跳類型	選擇物理專線介面。
目標網段	輸入本地IDC的網段。本樣本輸入192.168.0.0/16。
下一跳	選擇步驟1中建立的物理專線介面。

配置項	說明
下一跳類型	選擇物理專線介面。
目標網段	輸入本地網關裝置VPN IP地址。本樣本輸入`192.168.0.251/32`。
下一跳	選擇在步驟1中建立的物理專線介面。