由于blog各种垃圾评论太多,而且本人审核评论周期较长,所以懒得管理评论了,就把评论功能关闭,有问题可以直接qq骚扰我

公司到阿里云VPN site to site配置

运维工具 西门飞冰 3115℃

需求说明

将公司内网和阿里云内网,通过vpn site to site方式连接起来。只要在公司无论连接有线还是无线的情况下,都可以不需要配置任何客户端工具连接到阿里云vpc的生产,准生产,测试环境服务器以及管理后台。但是连接数据库需要单独在电脑配置VPN客户端工具。

网络环境说明

公司网络(网关设备华为ASG2100,硬件):

无线网络:192.168.88.0/24

有线网络:192.168.66.0/24

阿里云网络(VPN网关,软件):

生产环境:192.168.10.0/24

准生产环境:192.168.20.0/24

测试环境:192.168.30.0/24

数据库:192.168.40.0/24

阿里云配置

阿里云VPN购买流程参考:https://help.aliyun.com/document_detail/52812.html?spm=5176.doc52811.6.543.eyiO4X#VPNconnection

(1)VPN网关之后,创建VPN连接:按照需求输入VPN连接需要使用的VPN网关,选择用户网关,输入本端网段和对端网段;然后就是配置IKE和IPSec信息。

image001

(2)创建的VPN连接:需要配置阿里云所有网段到公司所有网段的连接。(参照第一步进行配置,仅修改本端网段和对端网段地址以及名称即可)

image003

(3)设置路由:配置阿里云流量到公司有线和无线网络下一跳地址都是VPN网关的地址。

image005

至此阿里云VPN配置就完成了

华为路由器配置

注意:如果华为IKE协商参数出现阿里云IKE没有的参数,那么需要咨询阿里云售后进行咨询。我配置过程中一直都是阿里云的IKE参数少于华为的IKE参数。

(1)IKE阶段一配置,所有信息和阿里云IKE配置保持一致

image006

(2)IKE阶段2配置:所有配置和阿里云保持一致

image007

(3)配置IPSec:需要配置公司有线和无线网段到阿里云三个环境(生产、准生产、测试)的连接信息,并应用到外网接

image008

(4)添加到阿里云网段的静态路由,目的地址选择阿里云网段,下一条选择vpn网关地址。

image009

(5)配置公司内网到阿里云的流量不需要做NAT转换,其余所有网段都通过公司外网出口进行NAT转换。

image010

至此华为设备配置VPN完成

验证连接建立

配置完成之后,华为和阿里云会自动发送协商报文进行VPN连接建立,VPN连接建立后查看华为设备的监控列表,如果出现SA已经建立连接,那么说明VPN隧道搭建成功,可以进行ping测试,如果ping测试成功就表示阿里云到公司的VPN是搭建成功的。

image011

排错思路

(1)VPN 连接建立不成功

VPN连接建立失败的原因,基本都是阿里云和华为设备IKE协商失败,详细检查IKE配置参数即可。

(2)VPN连接建立成功,但是没有加密流量通过

1、阿里云到公司流量没有配置下一条路由

2、公司到阿里云流量没有配置下一条路由

3、公司到阿里云流量进行了NAT转换

 

 

转载请注明:西门飞冰的博客-专注于Linux运维 » 公司到阿里云VPN site to site配置

喜欢 (1)or分享 (0)