需求说明
将公司内网和阿里云内网,通过vpn site to site方式连接起来。只要在公司无论连接有线还是无线的情况下,都可以不需要配置任何客户端工具连接到阿里云vpc的生产,准生产,测试环境服务器以及管理后台。但是连接数据库需要单独在电脑配置VPN客户端工具。
网络环境说明
公司网络(网关设备华为ASG2100,硬件):
无线网络:192.168.88.0/24
有线网络:192.168.66.0/24
阿里云网络(VPN网关,软件):
生产环境:192.168.10.0/24
准生产环境:192.168.20.0/24
测试环境:192.168.30.0/24
数据库:192.168.40.0/24
阿里云配置
阿里云VPN购买流程参考:https://help.aliyun.com/document_detail/52812.html?spm=5176.doc52811.6.543.eyiO4X#VPNconnection
(1)VPN网关之后,创建VPN连接:按照需求输入VPN连接需要使用的VPN网关,选择用户网关,输入本端网段和对端网段;然后就是配置IKE和IPSec信息。
(2)创建的VPN连接:需要配置阿里云所有网段到公司所有网段的连接。(参照第一步进行配置,仅修改本端网段和对端网段地址以及名称即可)
(3)设置路由:配置阿里云流量到公司有线和无线网络下一跳地址都是VPN网关的地址。
至此阿里云VPN配置就完成了
华为路由器配置
注意:如果华为IKE协商参数出现阿里云IKE没有的参数,那么需要咨询阿里云售后进行咨询。我配置过程中一直都是阿里云的IKE参数少于华为的IKE参数。
(1)IKE阶段一配置,所有信息和阿里云IKE配置保持一致
(2)IKE阶段2配置:所有配置和阿里云保持一致
(3)配置IPSec:需要配置公司有线和无线网段到阿里云三个环境(生产、准生产、测试)的连接信息,并应用到外网接口
(4)添加到阿里云网段的静态路由,目的地址选择阿里云网段,下一条选择vpn网关地址。
(5)配置公司内网到阿里云的流量不需要做NAT转换,其余所有网段都通过公司外网出口进行NAT转换。
至此华为设备配置VPN完成
验证连接建立
配置完成之后,华为和阿里云会自动发送协商报文进行VPN连接建立,VPN连接建立后查看华为设备的监控列表,如果出现SA已经建立连接,那么说明VPN隧道搭建成功,可以进行ping测试,如果ping测试成功就表示阿里云到公司的VPN是搭建成功的。
排错思路
(1)VPN 连接建立不成功
VPN连接建立失败的原因,基本都是阿里云和华为设备IKE协商失败,详细检查IKE配置参数即可。
(2)VPN连接建立成功,但是没有加密流量通过
1、阿里云到公司流量没有配置下一条路由
2、公司到阿里云流量没有配置下一条路由
3、公司到阿里云流量进行了NAT转换