IPsec VPN实践

ZStack Cloud支持IPsec VPN方式实现本地VPC网络与阿里云VPC网络的互通。

搭建IPsec隧道的基本流程如下:
  1. ZStack Cloud混合云界面按照顺序创建地域、可用区、专有网络VPC和VPC下的虚拟交换机。
  2. 使用VPC创建私有云云主机。
  3. 创建ECS云主机。
  4. 创建阿里云VPN连接。
  5. 验证本地云主机与ECS云主机是否可以ping通,如能ping通,则IPsec隧道创建成功。
IPsec VPN网络架构如图 1所示:
图 1. IPsec VPN网络架构图


准备工作:
  • ZStack Cloud私有云需要完成基本的初始化,包括区域、集群、物理机、镜像服务器、主存储等基本资源的添加。
  • 需提前在阿里云控制台购买VPN网关。
假定客户环境如下:
  1. 本地公有网络
    表 1. 本地公有网络配置信息
    公有网络 配置信息
    网卡 eth0
    VLAN ID 非VLAN
    CIDR 192.168.25.0/24
    网关 192.168.25.1
    DHCP服务IP 192.168.25.2
  2. 管理网络
    表 2. 管理网络配置信息
    管理网络 配置信息
    网卡 eth1
    VLAN ID 非VLAN
    IP地址段 172.20.58.50~172.20.58.59
    子网掩码 255.255.0.0
    网关 172.20.0.1
  3. VPC网络
    表 3. VPC网络配置信息
    私有网络
    网卡 eth0
    VLAN ID 1982
    IP CIDR 10.10.224.0/24
    DHCP服务IP 10.10.224.153
  4. 已购买的阿里云用户网关IP地址180.169.211.121
  5. 已购买的阿里云VPN网关IP地址为47.103.147.121
  6. 阿里云VPN网关所关联的虚拟交换机的CIDR为172.31.0.0/16

以下介绍ZStack Cloud搭建IPsec隧道的实践步骤。

  1. ZStack Cloud混合云平台按照顺序创建地域、可用区、专有网络VPC和VPC下的虚拟交换机。
  2. ZStack Cloud私有云界面创建VPC网络,并使用VPC网络创建ZStack Cloud私有云云主机。
  3. 创建ECS云主机。
  4. 创建阿里云VPN连接。
    1. 进入创建阿里云VPN连接向导。

      在混合云主菜单,点击帮助 > 快速使用向导,进入快速使用向导界面,点击创建阿里云VPN连接按钮,可按照向导来创建阿里云VPN连接。

    2. 选择阿里云网络。
      阿里云网络界面,可参照以下示例选择相应内容:
      • VPN网关:选择已购买的VPN网关
        说明: 如果选择的地域没有可用的VPN网关,目前必须通过阿里云控制台直接购买。
      图 2所示,点击 下一步,进入连接配置。
      图 2. 选择阿里云网络


    3. 连接配置。
      连接配置界面,可参考以下示例输入相应内容:
      • 名称:设置VPN连接名称
      • 简介:可选项,可留空不填
      • IKE预共享密钥:建议设置强度高的密钥
      • VPC路由器:选择构建阿里云VPN连接所需的VPC路由器
      • 公有网络:选择VPC路由器挂载的公有网络
      • NAT设备:选择是否经过NAT设备,根据本地网络环境实际情况选择
        • 若经过NAT设备,需要填写以下参数:
          • NAT前IP地址:创建IPsec隧道使用的公有网络IP地址,需填写公有网络下可用的IP地址。
          • NAT后IP地址:创建IPsec隧道使用的阿里云用户网关IP地址,需填写经过源地址转换后可直接访问互联网的IP地址。
          说明: 请确保本地网络环境中的NAT前IP地址 (源地址) 只转换到NAT后IP地址。
        • 若不经过NAT设备,需填写以下参数:
          • IP地址:可选项,创建IPsec隧道使用的公有网络IP地址,此IP地址应为互联网公网IP地址。若留空不填,系统默认随机选择一个可用的公网IP地址。
      • 私有网络:选择本地路由器挂载的三层网络,其中,VPC路由器支持选择多个三层网络
      • 高级选项:默认选项为可连通的选项,不建议修改
        • SA生存周期(秒):86400(默认)
        • IPsec 加密算法:3des(默认)
        • IPsec 认证算法:sha1(默认)
        • IPsec DH分组:group2(默认)
        • IKE 版本:ikev1(默认)
        • IKE 协商模式:main(默认)
        • IKE 加密算法:3des(默认)
        • IKE 认证算法:sha1(默认)
        • IKE DH分组:group2(默认)
      图 3所示,点击确定,将自动创建IPsec VPN连接。
      图 3. 连接配置




    4. 系统在创建IPsec VPN连接过程中,将自动完成以下操作:
      1. 使用本地路由器对应的公有网络选择可用的虚拟IP。
      2. 使用此虚拟IP在阿里云端创建VPN用户网关。
      3. 在阿里云端创建VPN连接。
      4. 在阿里云VPC的虚拟路由器下配置路由,路由的目标网段为本地路由器挂载的私有网络CIDR,下一跳为VPN网关
      5. ZStack Cloud私有云端创建IPsec连接。
  5. 验证本地云主机与ECS云主机是否可以ping通。

    进入VPN连接页面,若就绪状态显示为第二阶段协商成功,表示IPsec VPN环境搭建完成,只有互通验证通过,IPsec隧道才创建成功。

    1. 登录本地云主机,检查是否能够ping通ECS云主机。
      图 4所示:
      图 4. 本地云主机ping通ECS云主机


    2. 登录ECS云主机,检查是否能够ping通本地云主机。
      图 5所示:
      图 5. ECS云主机ping通本地云主机


    说明:
    若VPN连接失败或者互通验证失败,在重新配置前可检查以下资源:
    • 本地用于创建IPsec连接的虚拟IP是否已经占用,如果已使用,则需删除此虚拟IP。
    • 阿里云VPN连接是否已经存在,如果存在,则需要删除,删除阿里云VPN连接同时需删除远端阿里云资源。
    • 阿里云VPN用户网关是否已存在重复的IP,如果存在,则需要删除,删除需同时删除远程阿里云资源。
    • VPC的虚拟路由器下是否存在已经指向ZStack Cloud私有云对应内网的路由条目,如果存在,则需要删除。

至此,ZStack Cloud私有云云主机和阿里云ECS云主机即可使用IPsec VPN的方式实现互通。


阿里云高速通道实践

ZStack Cloud支持阿里云高速通道方式实现本地VPC网络与阿里云VPC网络的互通。

搭建阿里云高速通道的基本流程如下:
  1. 准备物理专线,由运营商创建边界路由器和配置路由器接口。
  2. 进行网络规划,需规划:公有网络段、管理网络段、物理专线网络段和私有网络段。其中,公有网络段与管理网络段可为同一网络段。
  3. 使用VPC网络创建ZStack Cloud私有云云主机。
  4. 加载物理专线网络到VPC路由器。
  5. 在阿里云端准备VPC环境,并使用VPC下的虚拟交换机创建ECS实例。
  6. ZStack Cloud混合云界面添加AccessKey、添加VPC所在地域和可用区,同步数据。
  7. 利用操作向导快速创建阿里云高速通道。
  8. 在CPE设备处配置双向路由。
  9. 验证本地云主机与ECS云主机是否可以ping通,如能ping通,高速通道创建成功。
高速通道设计思想:通过物理专线连通本地数据中心到阿里云相应专线接入点,与阿里云VPC环境打通。
说明: 从本地VPC路由器到阿里云端VPC网络,高速通道准备互通的各网络段不可重叠。
图 1. 高速通道网络架构图


假定客户环境如下:
  1. 公有网络
    表 1. 公有网络配置信息
    公有网络 配置信息
    网卡 em01
    VLAN ID 非VLAN
    IP地址段 172.20.58.180~172.20.58.189
    子网掩码 255.255.0.0
    网关 172.20.0.1
    备注 私有云云主机可使用此网络访问互联网
  2. 物理专线网络
    表 2. 物理专线网络配置信息
    物理专线网络 配置信息
    网卡 em02
    VLAN ID 非VLAN
    IP地址段 10.255.255.230~10.255.255.240
    子网掩码 255.255.255.0
    网关 10.255.255.1
    备注 新增网络,私有云云主机可使用此网络访问阿里云ECS
  3. 私有网络
    表 3. 私有网络配置信息
    私有网络 配置信息
    网卡 em01
    VLAN ID 2984
    IP CIDR 10.200.0.0/16
  4. 本地私有云端CPE设备IP地址为10.255.255.1
  5. 边界路由器本地私有云端IP地址为10.240.1.1,阿里云端IP地址为10.240.1.2
  6. 阿里云VPC网络IP地址段为192.168.0.0/16
双向路由步骤说明:
  1. 本地云主机连通阿里云ECS的路由步骤:
    1. VPC路由:在VPC路由器定义路由的目的地址ECS VPC网络段(192.168.0.0/16)的下一跳为客户端CPE设备的IP地址(10.255.255.1)
    2. CPE自定义路由2:在CPE设备定义路由的目的地址ECS VPC网络段(192.168.0.0/16)的下一跳为专线的地址。
    3. 边界路由器自定义路由2:在边界路由器定义目的地址ECS VPC网络段(192.168.0.0/16)的下一跳为边界路由器阿里云侧的路由器接口。
    4. 路由进入阿里云的虚拟路由器后,由虚拟路由器自动转发路由到阿里云ECS。
    图 2. 本地云主机连通阿里云ECS的路由步骤


  2. 阿里云ECS连通本地云主机的路由步骤:
    1. VPC自定义路由1:在VPC的虚拟路由器定义目的地址ZStack Cloud私有网络段(10.200.0.0/16)的下一跳为VPC路由器接口1。
    2. 边界路由器自定义路由1:在边界路由器定义目的地址ZStack Cloud私有网络段(10.200.0.0/16)的下一跳为边界路由器ZStack Cloud侧的路由器接口。
    3. CPE自定义路由1:在CPE设备定义目的地址ZStack Cloud私有网络段(10.200.0.0/16)的下一跳为VPC路由器的物理专线IP(10.255.255.240)
    4. 路由进入本地VPC路由器后,由VPC路由器自动转发路由到ZStack Cloud私有云云主机。
    图 3. 阿里云ECS连通本地云主机的路由步骤


说明:
  1. 创建高速通道过程中,ZStack Cloud将自动配置以下4条路由:
    • VPC路由(调用阿里云API创建)
    • 边界路由器自定义路由1(调用阿里云API创建)
    • 边界路由器自定义路由2(调用阿里云API创建)
    • VPC自定义路由1(调用本地API创建)
  2. CPE设备的双向路由,应由客户自行创建:
    • CPE自定义路由1
    • CPE自定义路由2
以下介绍ZStack CloudVPC环境搭建高速通道的实践步骤。
说明:
  • 本实践采用公有网络和管理网络合并的方式。
  • 本实践可实现ZStack Cloud私有云云主机既能访问互联网,又能访问阿里云ECS云主机。
  1. ZStack Cloud私有云界面创建L2-公有网络。
  2. ZStack Cloud私有云界面创建L3-公有网络。
  3. ZStack Cloud私有云界面创建L2-物理专线网络。
  4. ZStack Cloud私有云界面创建L3-物理专线网络。
  5. ZStack Cloud私有云界面创建L2-私有网络(VPC网络)。
  6. ZStack Cloud私有云界面创建L3-私有网络(VPC网络)。
  7. 使用VPC网络创建私有云云主机。
  8. 加载物理专线网络到VPC路由器。
  9. 在阿里云端准备VPC环境,并使用VPC下的虚拟交换机创建ECS实例。
  10. ZStack Cloud混合云界面添加AccessKey、添加VPC所在地域和可用区,同步数据。
  11. 利用操作向导快速创建阿里云高速通道。
    1. 进入创建阿里云高速通道向导

      在混合云主菜单,点击帮助 > 快速使用向导,进入快速使用向导界面,点击创建阿里云高速通道按钮,可按照向导来创建阿里云高速通道。

    2. 配置ZStack Cloud网络
      可参考以下示例输入相应内容:
      • VPC路由器:选择本地VPC路由器
      • 公有网络:选择可以连接本地至边界路由器接口的专线网络
      • VPC网络:选择本地创建的VPC网络
      图 4所示:
      图 4. 配置ZStack Cloud网络


    3. 配置阿里云网络
      可参考以下示例输入相应内容:
      • 专有网络VPC:选择专有网络VPC
      • 边界路由器:选择边界路由器,目前由运营商创建并配置路由
      • CPE IP(运营商):运营商提供物理专线接入本地数据中心的客户端设备IP地址
      图 5所示:
      图 5. 配置阿里云网络


  12. 在CPE设备处配置双向路由。
    CPE设备的两条路由条目,应由客户自行创建:
    • 设置CPE自定义路由1:目的地址为ZStack Cloud私有网络段,下一跳为VPC路由器的物理专线IP。
    • 设置CPE自定义路由2:目的地址为ECS VPC网络段,下一跳为专线的地址。
  13. 验证本地云主机与ECS云主机是否可以ping通。
    1. 登录本地云主机,检查是否能够ping通ECS云主机。
      图 6所示:
      图 6. 本地云主机ping通ECS云主机


    2. 登录ECS云主机,检查是否能够ping通本地云主机。
      图 7所示:
      图 7. ECS云主机ping通本地云主机


至此,ZStack Cloud私有云云主机和阿里云ECS云主机即可使用阿里云高速通道的方式实现互通。


混合云灾备实践

ZStack Cloud以单独的灾备服务功能模块形式提供本地灾备、异地灾备、公有云灾备多种灾备方案,用户可根据自身业务特点,灵活选择合适的灾备方式。

关于灾备服务的更多介绍,请参考《灾备服务 使用教程》。





历史版本

学习路径

ZStack Cloud 产品学习路径

快速梳理文档,点击相应文本链接,快速跳转到相应文档的页面,学习 ZStack Cloud 产品。

我知道了

升级提醒

若您选择升级至4.0.0及之后版本,请注意以下功能调整:

1. 云路由器全面升级为VPC路由器,云路由网络全面升级为VPC网络,不再单独设云路由器页面。升级全程无感知,相关业务不受任何影响。

2. 企业管理账号体系取代用户组与用户,不再单独设用户/用户组页面,不可再使用用户/用户组账号登录云平台。升级前,请先将“用户组与用户”纳管的账号数据妥善迁移至“企业管理”纳管,再执行升级操作。注意:对于admin创建并具备admin权限的用户账号同步取消,如有需要,可使用企业管理账号体系中的平台管理员实现相同功能。

3. 调整AD/LDAP与账户的对接管理方式,统一由企业管理纳管,不再单独设AD/LDAP页面。升级前,请先将“账户”对接纳管的AD/LDAP账号数据妥善迁移至“企业管理”纳管,再执行升级操作。

如对上述升级提醒有任何疑问或需要升级帮助,请联系ZStack官方技术支持

下载ZStack企业版

您已填写过基本信息?点击这里

姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

下载链接将会通过邮件形式发送至您的邮箱,请谨慎填写。

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

下载ZStack企业版

还未填写过基本信息?点击这里

邮箱或手机号码格式错误
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

验证手机号
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

登录观看培训视频
仅对注册用户开放,请 登录 观看培训视频

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
ZStack认证培训咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

ZStack学院:

training@zstack.io
申请ZStack多机版
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
立即咨询
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

其他(漏洞提交、投诉举报等)

400-962-2212 转 3
培训认证合作伙伴申请
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司名称不应该少于4个字符
职位名称不应该少于2个字符

同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io
ZStack&工信人才联合证书申请
已获得ZStack原厂证书
未获得ZStack原厂证书
请填写您的基本信息
姓名应该不少于2个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
邮箱格式错误
城市名称不应该少于2个字符
公司/学校名称不应该少于4个字符
证书类型
ZCCT
ZCCE
ZCCA
ZCPC-ISP
申请ZStack&工信人才联合证书须支付工本费,是否可以接受
同意 不同意

我已阅读并同意云轴科技 《法律声明》《隐私政策》用户管理规则及公约

业务咨询:

400-962-2212 转 1

商务联系:

channel@zstack.io

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。 当您收到电子邮件后,请点击 URL 链接,以完成下载。

下载链接已发送至您的邮箱。

如未收到,请查看您的垃圾邮件、订阅邮件、广告邮件。
或点击下方URL链接 (IE内核浏览器请右键另存为), 完成下载:

感谢您使用 ZStack 产品和服务。

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。

信息提交成功。

我们将安排工作人员尽快与您取得联系,请保持电话畅通。

感谢您使用 ZStack 产品和服务。

预约沟通

联系我们

业务咨询
400-962-2212 转 1
售后咨询
400-962-2212 转 2
其他业务(漏洞提交、投诉举报等)
400-962-2212 转 3

联系我们

回到顶部

产品试用申请
请选择您要试用的产品
ZStack Cloud 企业版
ZStack Cloud 混合云版
ZStack Cloud 基础版
ZStack Cloud 标准版
请填写您的基本信息
姓名应该不少于两个字符
手机号格式错误
验证码填写错误 获取短信验证码 60 秒后可重发
公司名称不应该少于4个字符
邮箱格式错误

商务咨询:

400-962-2212 转 1

售后咨询:

400-962-2212 转 2

商务联系:

sales@zstack.io

成功提交申请。

我们将安排工作人员尽快与您取得联系。

感谢您使用 ZStack 产品和服务。