http://u220434.s1.weizhan1.com/admin/login.html
成都狮龙书廊科技有限责任公司长春分公司
IPsec 隧道应用示例
作者:毛凌国
浏览:
发表时间:2022-11-24 20:32:42
来源:狮龙书廊
IPsec 隧道应用示例
本文介绍了使用 IPsec 隧道实现 VPC 对等连接以及 VPC 与本地数据中心连接的配置方法。其他更高级的连接场景和 GRE 隧道类似,可参见 GRE 隧道应用示例,本文不再赘述。
VPC 与 VPC 互联
如下图所示,假设您在云平台中有两个 VPC 网络 ,位于同一区域,分别为 router1 和 router2,这两个 VPC 网络各连接有两个私有网络。您可以通过 IPsec 隧道将他们连接在一起。
步骤1:在 VPC1 上配置隧道规则
- 登录管理控制台,选择产品与服务 > 网络服务 > VPC 网络,进入 VPC 列表页面。
- 点击 VPC1 网络名称(本例中为 router1),进入详情页。
- 在 VPC 详情页的管理配置页签,选择隧道服务。
- 点击添加隧道规则,弹出添加隧道规则窗口。
- 配置以下参数,添加一条到 router2 的 IPsec 隧道。
参数详细说明,请参见 IPsec 隧道参数说明。以下为本场景中的配置示例。 - 确认无误后,点击提交,返回隧道服务界面。
- 点击页面上方的应用修改,完成路由器的配置更新。
- 前往 VPC 网络使用的安全组规则中打开 IPsec 协议需要的端口/协议,分别为 UDP/500、UDP/ 4500、AH 协议 和 ESP 协议,添加规则后点击应用修改使之生效。
步骤2:在 VPC2 上配置隧道规则
由于隧道的对称性,在 VPC 网络 router2 上也需要有对应的配置。
- 在 VPC 列表页,点击 VPC2 网络名称(本例中为 router1),进入详情页。
- 在管理配置页签,点击隧道服务 > 添加隧道规则。
- 在隧道配置对话框里,填写以下参数,添加一条到 router1 的 IPsec 隧道。
- 确认无误后,点击提交,返回隧道服务界面。
- 点击页面上方的应用修改,完成路由器的配置更新。
- 前往 VPC 网络使用的安全组规则中打开 IPsec 协议需要的端口/协议,分别为 UDP/500、UDP/ 4500、AH 协议 和 ESP 协议,添加规则后点击应用修改使之生效。
步骤3:测试 VPC 之间的连通性
完成两个 VPC 网络的隧道配置之后,可以通过这两个 VPC 网络下的云服务器进行连通性测试。
- 登录到 VPC2 内的一台无公网 IP 的云服务器。
- 执行 ping 命令,访问 VPC1 内的一台服务器,验证通信是否正常。
如果能够收到回复报文,则证明通信正常。
VPC 与本地数据中心互联
除 VPC 之间可以通过 IPsec 互联外,VPC 也可以和具有 IPsec 功能的物理设备(路由器、防火墙等)做互联。
假设本地数据中心的路由器公网地址为 88.88.88.88,私有网络为 192.168.1.0/24,云平台 VPC 公网地址为 99.99.99.99, VPC 私有网络为 192.168.100.0/24,现需要在本地数据中心的路由器中配置 IPsec 隧道实现与 VPC 通信。
步骤1:在 VPC 上配置隧道规则
请参照 VPC 互联场景中的 步骤1 完成 VPC 端到本地数据中心的隧道配置。
- 登录管理控制台,选择产品与服务 > 网络服务 > VPC 网络,进入 VPC 列表页面。
- 点击 VPC 网络名称,进入详情页。
- 在 VPC 详情页的管理配置页签,选择隧道服务。
- 点击添加隧道规则,弹出添加隧道规则窗口。
- 配置以下参数,添加一条到本地数据中心的 IPsec 隧道。
参数详细说明,请参见 IPsec 隧道参数说明。以下为本场景中的配置示例。 - 确认无误后,点击提交,返回隧道服务界面。
- 点击页面上方的应用修改,完成路由器的配置更新。
- 前往 VPC 网络使用的安全组规则中打开 IPsec 协议需要的端口/协议,分别为 UDP/500、UDP/ 4500、AH 协议 和 ESP 协议,添加规则后点击应用修改使之生效。
步骤2:在数据中心配置隧道规则
配置说明
以下是现阶段云平台 VPC IPsec 的支持参数,支持参数自动匹配、自动协商。
MODE: main[主模式]/aggrmode[野蛮模式] TYPE: tunnel IKE:ikev1(默认)/ikev2 IKE encrypt:AES(默认)/3DES ESP encrypt:AES(默认)/3DES/DES/CAST/BLOWFISH/CAMELLIA/SERPENT/TWOFISH IKE SA lifetime:3600s IPsec SA lifetime:28800s HASH: MD5/SHA1(默认)/SHA2 DH-GROUP: 2/5/14(默认)/15/16/17/18/22/23/24 PFS:up NAT-Traversal:up AUTH: PSK DPDDelay: 15sCopy
- 通常在物理设备上需要显式地定义 IPsec 的加密集(encryption 和 HASH)、DH group、lifetime、access-list、路由、NAT 豁免等信息。
- 如果对接的物理设备在内网,需要在基于 IPsec 的隧道规则中配置对端设备 ID,通常填写所对接内网的网关 IP。
配置示例
根据物理设备的品牌和型号,IPsec 的配置方法会存在差异性,详细配置方法请参阅设备的用户手册。以下以 Cisco ASA 及 H3C Router 为例。
以下为 Cisco ASA 设备使用 cli 进行配置的示例,主要包含了 crypto-map、access-list、psk、tunnel 的配置文本。
ASA(config)# access-list my_nat extended permit ip 192.168.1.0 255.255.255.0 192.168.100.0 255.255.255.0 ASA(config)# access-list cisco-to-qingcloud extended permit ip 192.168.1.0 255.255.255.0 192.168.100.0 255.255.255.0 ASA(config)# nat (inside) 0 access-list my_nat ASA(config)# crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac ASA(config)# crypto ipsec security-association lifetime seconds 28800 ASA(config)# crypto ipsec security-association lifetime kilobytes 4608000 ASA(config)# crypto map my_map 1 match address cisco-to-qingcloud ASA(config)# crypto map my_map 1 set pfs ASA(config)# crypto map my_map 1 set peer 99.99.99.99 ASA(config)# crypto map my_map 1 set transform-set ESP-3DES-MD5 ASA(config)# crypto map my_map interface outside ASA(config)# crypto isakmp enable outside ASA(config)# crypto isakmp policy 10 ASA(config-isakmp)# authentication pre-share ASA(config-isakmp)# encryption 3des ASA(config-isakmp)# hash md5 ASA(config-isakmp)# group 2 ASA(config-isakmp)# lifetime 3600 ASA(config)# crypto isakmp nat-traversal 60 ASA(config)# tunnel-group 99.99.99.99 type ipsec-l2l ASA(config)# tunnel-group 99.99.99.99 ipsec-attributes ASA(config-tunnel-ipsec)# pre-shared-key *****Copy
以下为 H3C Router 设备使用 cli 进行配置的示例,主要包含了 transform-set、policy、profile、proposal、psk、acl 的配置文本。
# acl number 3100 rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.100.0 0.0.0.255 # ipsec transform-set tran1 esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1 pfs dh-group14 # ipsec policy map1 10 isakmp transform-set tran1 security acl 3100 remote-address 99.99.99.99 ike-profile profile1 sa duration time-based 28800 # ike profile profile1 keychain keychain1 local-identity address 88.88.88.88 match remote identity address 99.99.99.99 255.255.255.255 proposal 1 # ike proposal 1 encryption-algorithm 3des-cbc dh group14 sa duration 3600 # ike keychain keychain1 pre-shared-key address 99.99.99.99 255.255.255.255 key cipher *****
点击右上角
分享给朋友吧
长按图片保存/分享
0
你的喜欢,就是我坚持写下去的能量器
好文推荐
已有50人推荐
文章推荐
成都狮龙书廊科技有限责任公司长春分公司
0431-85741934
admin@毛凌国.我爱你
admin@maolg.site
admin@maolg.info
企业邮箱传真:4008266163-81212
统一社会信用代码91220101MA14BJJ05D
开户银行名称:中国银行股份有限公司长春汽车厂支行 开户银行代码:104241010003
开户名称:成都狮龙书廊科技有限责任公司长春分公司 企业账号:163642934965
地址:长春汽车经济技术开发区一汽集团公司二生活区610栋2单元504号房
开户银行代码:104241010003
电子邮箱(Email): public@maolg.com 推广链接
网络管理员(administrator): admin@maolg.com 
狮龙书廊
致力于高端品牌网站建设
我们旨在为客户塑造***的互联网形象,以高品质设计创造商业价值
中国·吉林 .长春
汽车经济技术开发区一汽集团公司二生活区610栋2单元504号房
130000
XX网络科技有限公司
80% of the industry leaders
XX网络科技有限公司致力专注于网站建设、企业邮箱、域名空间及服务器、等服务项目;
已为上千家企业提供了网站建设,网页设计,网站程序开发,Flash动画制作,网站售后维护等一条龙专项服务,深受广大客户的好评。
我们拥有专业***的设计和技术团队,以极具创意的网站设计、精湛卓越的网站开发技术,专业的网络策划团队为您量身定制满意的网站建设方案。
成都獅龍書廊科技有限責任公司
長春分公司
地址:长春市绿园區610栋2门28号號
電話:0431-85741934 手机:13904310313
郵箱:admin@毛凌國.中國
吉ICP備2022002610-1號, All Rights Reserved
腾讯客服
淘宝客服
