將IPsec串連綁定到轉寄路由器(TR)時,您無需在雲上建立VPN網關,只需配置IPsec串連,即可實現TR與本機資料中心的網路互連。
功能說明
綁定TR的IPsec串連為雙隧道模式
雙活:兩條隧道自動形成ECMP(Equal-Cost Multipath Routing)鏈路,同時傳輸串流量,實現負載分擔。
可用性區域容災:兩條隧道預設部署在不同可用性區域,提供跨可用性區域的容災能力。對於僅支援一個可用性區域的地區,兩條隧道會被部署在同一個可用性區域,不支援可用性區域層級的容災,但依舊擁有鏈路冗餘能力。
流量傳輸說明
出雲流量:兩條隧道均可用時組成 ECMP鏈路,流量基於雜湊演算法分配,不保證在兩條隧道間均勻分布。當一條隧道故障時,系統自動將流量切換至另一條隧道。
入雲流量:取決於本機資料中心的路由配置。建議配置 ECMP 路由,使流量同時通過兩條隧道傳輸至雲上,以保持與出雲方向的路徑對稱。 若本機資料中心配置了主備路由或僅通過單條隧道傳輸特定網段流量,可能因路徑不對稱導致回程流量無法按預期路徑到達本機資料中心。
路由配置原則
推薦使用 BGP 動態路由。 若使用靜態路由,需確保本地網關支援靜態 ECMP,否則本地→雲方向無法 ECMP 負載分擔,導致上下行路徑不對稱。
兩條隧道應使用相同的路由協議(同為 BGP 或同為靜態路由)。
使用 BGP 時,兩條隧道的本端 AS 號必須相同,對端 AS 號建議也保持相同。
建立IPsec串連
操作之前,請確保:
控制台
前往VPN控制台IPsec串連頁面,單擊綁定Cloud Enterprise Network,完成以下配置:
IPsec串連名稱:建議命名保持一致性和可讀性,例如使用
{project}-{env}-{type}方式。地區:選擇目標轉寄路由器所在地區。
網關類型:
公網(預設值):表示通過公網建立IPsec-VPN串連。
私網:表示基於私網建立IPsec-VPN串連,實現私網流量的加密通訊。具體應用情境,詳見加密物理專線私網流量。
隧道頻寬:
3Gbps頻寬功能正處於邀測階段,如需使用請聯絡阿里雲工程師進行服務開通。
標準:每條隧道1Gbps頻寬。
大型:每條隧道3Gbps頻寬。
綁定Cloud Enterprise Network:
Cloud Enterprise Network執行個體ID:選擇TR所在的雲企業網執行個體。
僅當綁定Cloud Enterprise Network選擇本帳號綁定時,需要配置該項。
路由模式:
目的路由模式(預設值):匹配“目的IP地址”轉寄流量,適用於簡單情境。
感興趣流模式:匹配“源IP地址”和“目的 IP 位址”轉寄流量,只有匹配成功的流量才會進入VPN隧道傳輸。
選擇此模式後,需配置本端網段(VPC 內需要通訊的網段)和對端網段(本機資料中心需要通訊的網段)。
IPsec串連配置完成後,系統會自動產生策略路由:源網段為IPsec串連本端網段,目標網段為IPsec串連對端網段,下一跳指向IPsec串連,可選發布到VPC路由表(預設不發布)。
在本地網關裝置配置感興趣流時,應確保所用網段與阿里雲端保持一致,並將兩端網段對調。
可通過單擊文字框右側的
表徵圖添加多個網段,配置多個網段時,後續IKE協議的版本需要選擇ikev2。
立即生效:建立IPsec串連時請選擇是。後續修改IPsec串連時:
是:系統會立刻斷開當前 IPsec 隧道,用新的參數重新發起 IKE 協商,重建隧道。這會導致短暫的流量中斷。
否:新配置不會馬上應用,而是等到下一次 SA(Security Association)生命週期到期重新協商時才使用新參數。在此之前,隧道繼續使用舊配置運行。
高級配置(包含自動關聯路由表、配置轉寄路由等配置):建議全部勾選。
BGP相關配置:請查看開啟/關閉BGP。
隧道相關配置:請查看隧道及加密配置,瞭解隧道 1(主)和隧道 2(備)中相關參數的配置說明。
API
調用CreateVpnAttachment建立綁定TR的IPsec串連。
後續步驟
為實現雲上VPC與雲下IDC互連,IPsec串連建立完成後您還需要:
開啟/關閉BGP
在為IPsec串連開啟BGP功能前,請確保關聯的使用者網關執行個體已經配置了雲下的自治系統號。
與IPsec串連相關的BGP配置項:
本端自治系統號:啟用BGP後,阿里雲側的ASN號。兩條隧道使用相同的自治系統號,預設值:45104,取值範圍:1~4294967295。對端雲下裝置配置自治系統號時,建議使用私人 ASN 號。
隧道網段:用於 BGP 鄰居建立串連的互聯位址區段。一個VPN網關執行個體下,每個隧道的網段需保持唯一。需要是在169.254.0.0/16內的子網路遮罩為30的網段,且不能是169.254.0.0/30、169.254.1.0/30、169.254.2.0/30、169.254.3.0/30、169.254.4.0/30、169.254.5.0/30和169.254.169.252/30。
本端BGP地址:阿里雲側的 BGP IP,必須屬於隧道網段。例如,在
169.254.10.0/30網段中,可使用169.254.10.1。
關於BGP路由功能支援狀態、路由宣告原則、使用限制,請查看BGP動態路由配置-綁定TR。
控制台
開啟BGP
建立IPsec串連時:
在雙隧道配置地區啟用BGP,並配置本端自治系統號。
在每條隧道的BGP配置中,輸入隧道網段、本端BGP地址。
針對已建立的IPsec串連,可在IPsec串連執行個體詳情頁面的IPsec串連基本資料地區啟用BGP。
需確保使用者網關執行個體已配置自治系統號,否則您需要新建立使用者網關,並在每條隧道的操作列單擊編輯重新關聯使用者網關。
關閉BGP
在IPsec串連執行個體詳情頁面的IPsec串連基本資料地區,關閉BGP配置。
API
新建立IPsec串連時,調整CreateVpnConnection的EnableTunnelsBgp參數開啟BGP,並調整TunnelOptionsSpecification -> TunnelBgpConfig 參數來配置每個隧道的BGP選項。
針對已建立的IPsec串連,調整ModifyVpnConnectionAttribute的EnableTunnelsBgp參數開啟/關閉BGP,通過調整TunnelOptionsSpecification -> TunnelBgpConfig 參數來配置每個隧道的BGP選項。
隧道及加密配置
建立雙隧道模式的IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN串連主備鏈路冗餘能力以及可用性區域層級的容災能力。
建立或編輯IPsec串連時,需要配置隧道相關參數,分為3部分:
隧道基本配置:
使用者網關:選擇代表您本地網關裝置的使用者網關執行個體。兩條隧道可以關聯同一個使用者網關。
預先共用金鑰:用於身份認證的密鑰,兩條隧道的密鑰必須與本地網關裝置上的配置完全一致。若不填則由系統隨機產生。
加密配置:
IKE配置(Phase1 第一階段加密配置)
配置項
說明
版本
推薦使用ikev2。IKEv2版本簡化了SA的協商過程並且對於多網段的情境提供了更好的支援。
協商模式
main(預設值):主模式。此模式加密傳輸身份資訊,協商過程安全性比aggressive高。
aggressive:野蠻模式,協商快速且協商成功率高。
協商成功後兩種模式的資訊傳輸安全性相同。
密碼編譯演算法
第一階段協商使用的密碼編譯演算法。
支援AES128-GCM16(邀測)、AES256-GCM16(邀測)、AES128、AES192、AES256、DES、3DES(不推薦)。
支援AES128-GCM16、AES256-GCM16 兩種密碼編譯演算法的功能邀測中,如需使用請聯絡客戶經理。
認證演算法
第一階段協商使用的認證演算法。
支援sha1(預設值)、md5、sha256、sha384、sha512。
在部分本地網關裝置上添加VPN配置時,可能需要指定PRF演算法,PRF演算法與IKE階段認證演算法保持一致即可。
DH分組(完美向前加密 PFS)
選擇第一階段協商的Diffie-Hellman金鑰交換演算法。
disabled:表示不使用DH金鑰交換演算法。
對於不支援PFS的用戶端請選擇disabled。
如果選擇為非disabled的任何一個組,會預設開啟完美向前加密PFS(Perfect Forward Secrecy)功能,使得每次重協商都要更新密鑰,因此,相應的用戶端也要開啟PFS功能。
group1/2/5/14/15-24 :DH分組數字越大安全性越高,但也會更耗費效能。
支援DH分組15-24的功能邀測中,如需使用請聯絡客戶經理。
SA生存周期(秒)
設定第一階段協商出的SA(Security Association,安全性關聯)的生存周期。預設值:86400。取值範圍:0~86400。
LocalId
隧道本端的標識符。預設使用隧道的IP地址作為隧道本端標識符。
該參數僅作為標識符用於在IPsec-VPN串連協商中標識阿里雲,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道本端的標識。
如果LocalId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的對端ID需與LocalId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。
RemoteId
隧道對端的標識符。預設值使用隧道關聯的使用者網關中的IP地址作為隧道對端標識符。
該參數僅作為標識符用於在IPsec-VPN串連協商中標識本地網關裝置,無其他作用。支援使用IP地址格式或FQDN(Fully Qualified Domain Name)格式,不能包含空格。推薦使用私網IP地址作為隧道對端的標識。
如果RemoteId使用了FQDN格式,例如輸入example.aliyun.com,則本地網關裝置上IPsec串連的本端ID需與RemoteId的值保持一致,協商模式建議選擇為aggressive(野蠻模式)。
IPsec配置(Phase2 第二階段加密配置)
設定第二階段協商的相關配置:
密碼編譯演算法、認證演算法、DH分組(完美向前加密 PFS)、SA生存周期(秒):可直接參考第一階段IKE配置中對應的選項說明。
DPD:建議保持預設開啟。檢測對端裝置是否存活,逾時(30秒)後刪除SA並自動重新協商。
NAT穿越:建議保持預設開啟。開啟後,隧道協商時自動檢測路徑中是否存在NAT裝置,若存在則自動添加UDP4500封裝;且資料轉送時跳過UDP連接埠號碼驗證,確保被NAT改寫過連接埠的報文仍能被正確接收。
BGP配置:開啟BGP後才會有此選項,詳見開啟/關閉BGP。
管理IPsec串連
修改隧道配置
控制台
單擊目標IPsec串連執行個體ID進入詳情頁,在目標隧道的操作列單擊編輯修改隧道配置。
每個配置項的說明,詳見隧道及加密配置。
建立雙隧道模式的IPsec-VPN串連時,請配置兩條隧道使其均為可用狀態,如果您僅配置或僅使用了其中一條隧道,則無法體驗IPsec-VPN串連主備鏈路冗餘能力以及可用性區域層級的容災能力。
API
調用ModifyTunnelAttribute修改隧道配置。
修改IPsec串連
如果IPsec串連已綁定轉寄路由器執行個體,不支援修改IPsec串連關聯的轉寄路由器執行個體和網關類型,支援修改IPsec串連的路由模式以及立即生效的值。
如果IPsec串連當前未綁定轉寄路由器,不支援修改IPsec串連的網關類型,支援修改IPsec串連的路由模式以及立即生效的值。
控制台
API
調用ModifyVpnConnectionAttribute修改IPsec串連的配置。
刪除IPsec串連
刪除IPsec串連前,請確保IPsec串連已經和轉寄路由器執行個體解除綁定。
控制台
前往VPC控制台IPsec串連頁面,切換到目標地區並在目標IPsec串連的操作列單擊刪除。
API
調用DeleteVpnAttachment刪除IPsec串連。
將IPsec串連授權給跨帳號的TR
控制台
單擊目標IPsec串連執行個體ID進入詳情頁。
切換到雲企業網跨帳號授權頁簽,單擊雲企業網跨帳號授權,在彈出的在加入雲企業網對話方塊進行配置:
對方帳號UID:填入對方帳號的阿里雲帳號(主帳號)ID。
對方雲企業網執行個體ID:填入對方帳號中TR所在的雲企業網執行個體ID。
資費承擔方式:
Cloud Enterprise Network使用者承擔資費:對方支付VPN串連的TR串連費和TR流量處理費。
VPN使用者承擔資費:本帳號支付VPN串連的TR串連費和TR流量處理費。
授權成功後,還需要在對方帳號中建立跨帳號類型的VPN串連,才能完成最終綁定。
API
登入TR所在帳號:
調用GrantInstanceToTransitRouter,將IPsec串連授權給TR。
調用CreateTransitRouterVpnAttachment,建立VPN串連。
附錄:單隧道模式(僅存量)
對於存量的綁定TR的單隧道 IPsec 串連,強烈建議將其刪除並重新建立,以啟用雙隧道模式。
單隧道模式的操作步驟與雙隧道模式類似,主要差異:
與雙隧道模式不同,單隧道模式的所有配置項均在串連層級直接編輯,無獨立的隧道配置層級。
單隧道模式支援健全狀態檢查功能,系統預設關閉。健全狀態檢查在非主備情境下不推薦開啟。如需配置,請在本機資料中心側添加一條目標網段為源IP、子網路遮罩為32位、下一跳指向IPsec串連的路由條目,以確保健全狀態檢查正常工作。
配置項
說明
目標IP
阿里雲側通過IPsec串連可訪問的本機資料中心IP地址。需支援ICMP應答。
源IP
本機資料中心通過IPsec串連可訪問的阿里雲側IP地址。
稍候再試
健全狀態檢查稍候再試。單位:秒。預設值:3。
重試次數
健全狀態檢查重試次數。預設值:3。
切換路由
健全狀態檢查失敗後是否撤銷發行的路由。預設值:是。