金山iproute
iproute 时间:2021-04-14 阅读:()
122222333445556668目录目录目录一IPSecVPN对接VPC架1.
1支持架构二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
2客户侧软件对接金山云硬件接入VPC2.
3全客户自定义接入VPC三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考4.
1OPENSWAN环境部署4.
2部署客户侧OPENSWAN对接金山云VPC4.
2.
1创建并配置GRE隧道4.
2.
2创建业务路由4.
2.
3.
配置OPENSWAN4.
2.
4.
启动服务并检查连通性4.
3全客户自定义接入VPC配置参考五GREOverIPSec对接参数参考目录2018-01-02金山云1/8一IPSecVPN对接VPC架一IPSecVPN对接VPC架1.
1支持架构1.
1支持架构金山云通过以下二种IPSecVPN接入方法为客户提供GREOverIPsecSiteToSiteIPsecIPSecOverGRE因为有些厂商的实现方式有差异,故暂不提供该种方式.
连接拓扑如下:二IPSecVPN典型接入场景二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
1客户使用硬件接入金山云VPC金山云以及接入客户双方都使用硬件设备对接VPN.
客户侧VPN连接除上图给出的与业务网段直接连接之外,也可以是传统路由到达HARDWAREVPN.
流量经由VPN设备通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
2客户侧软件对接金山云硬件接入VPC2.
2客户侧软件对接金山云硬件接入VPCDXIPSecVPN接入说明2018-01-02金山云2/8此方法用于解决客户侧VPN设备无法支持IPSecOverGRE或GREOverIPSec时接入金山云VPC.
此方法逻辑与纯硬件相同,只是将客户HARDWAREVPN设备所处位置替换(或并排增加)为一台X86服务器(或虚拟机).
流量经由OPENSWAN软件通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
3全客户自定义接入VPC2.
3全客户自定义接入VPC此方法为,客户侧与金山云侧都使用VPN软件进行接入.
客户在金山云VPC内开设一台独立的、拥有公网EIP的VM,并安装客户所需的VPN软件(客户自行决定与配置).
客户侧可以是VPN软件或与金山云VM所装VPN软件兼容的硬件对接IPSecVPN.
或者客户可以在金山云流量经由客户侧设备(软件/硬件)发送至金山云VPNVM(软件)转发至客户在金山云的VPC内.
反向流量相同(需配置VPC内的主机路由).
三硬件VPN接入VPC配置参考三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考由于客户侧接入设备厂商无法确定,以下配置参考为金山云侧硬件设备典型配置.
客户可根据金山侧配置配合客户对应的厂商进行相关配置(金山云侧提供的模板为CISCOASR1K设备配置).
以下为典型IPSecOverGRE金山云侧配置:DXIPSecVPN接入说明2018-01-02金山云3/8cryptokeyringTO-CUSTOMER-KEYpre-shared-keyaddressA.
B.
C.
DkeyPASSWORD//A.
B.
C.
D为客户设备公网地址,PASSWORD为对接域共享密钥!
cryptoisakmppolicy10encraesauthenticationpre-sharegroup2//默认使用AES128加密算法,认证使用域共享密钥,DH-GROUP为2(1024)cryptoisakmpprofileTO-CUSTOMER-ISAKMP-PROFILEkeyringTO-CUSTOMER-KEYmatchidentityaddressA.
B.
C.
D255.
255.
255.
255!
cryptoipsectransform-setTO-CUSTOMER-TRANSFORMesp-aesesp-sha-hmacmodetunnel//配置为隧道模式!
cryptoipsecprofileTO-CUSTOMER-IPSEC-PROFILEsettransform-setTO-CUSTOMER-TRANSFORMsetisakmp-profileTO-CUSTOMER-ISAKMP-PROFILE!
interfaceTunnel0descriptionTO-CUSTOMER-TUNNEL-BY-IPSECipaddress198.
18.
104.
1255.
255.
255.
252load-interval30tunnelsourceD.
C.
B.
Atunnelmodeipsecipv4tunneldestinationA.
B.
C.
DtunnelprotectionipsecprofileTO-CUSTOMER-IPSEC-PROFILE//配置隧道接口点到点地址,D.
C.
B.
A为金山侧公网地址,A.
B.
C.
D为客户侧公网地址四客户侧软件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考此方法客户侧软件为固定的OPENSWAN,提供的OPENSWAN配置已经在LAB环境里通过测试.
4.
1OPENSWAN环境部署4.
1OPENSWAN环境部署关于OPENSWAN安装以及配置环境要求如下:*服务器运行CentOS7.
X,LinuxKernel版本大于等于3.
6*YUMUPDATE服务器软件包至最新版本*通过YUM源安装最新版本的OPENSWAN(更名后为LIBRESWAN)*关闭IPTABLES(firewalld)如需要开启,需要放行UDP500/4500以及相应路由添加以下内容至/etc/sysctl.
conf文件net.
ipv4.
ip_forward=1net.
ipv4.
conf.
default.
rp_filter=0net.
ipv4.
conf.
default.
accept_redirects=0net.
ipv4.
conf.
default.
secure_redirects=0net.
ipv4.
conf.
default.
send_redirects=0完成添加后执行sysctl–p重新加载以上修改的内核参数完成OPENSWAN安装后,使用以下步骤针对安装结果进行检查DXIPSecVPN接入说明2018-01-02金山云4/8systemctlstartipsecipsecverify两条命令执行完成后输出类似下图代表部署正常4.
2部署客户侧OPENSWAN对接金山云VPC4.
2部署客户侧OPENSWAN对接金山云VPC基于OPENSWAN配置IPSecOverGRE大致分为以下内容基于LINUX创建并配置GRE隧道基于LINUX创建相应数据路由(客户DC内部路由/金山云VPC内路由)配置OPENSWAN对接VPN参数启动服务检查结果4.
2.
1创建并配置GRE隧道4.
2.
1创建并配置GRE隧道以ROOT权限登录LINUX,并完成以下指令iptunneladdto-cloudmodegrelocalA.
B.
C.
DremoteD.
C.
B.
A//to-cloud为GRE接口名,A.
B.
C.
D为客户侧OPENSWAN公网地址,D.
C.
B.
A为金山云侧公网地址ipaddradd198.
18.
104.
2/30devto-cloud//to-cloud为被配置接口名,198.
18.
104.
2/30为GRE接口IP地址iplinksetdevto-cloudup//配置GRE接口to-cloud的状态为UP4.
2.
2创建业务路由4.
2.
2创建业务路由根据需求配置LINUX路由至客户DC内部以及金山云VPC内部.
以下实例为客户DC网段172.
16.
1.
0/24,金山云VPC内网段192.
168.
1.
0/24.
iprouteadd172.
16.
1.
0/24via10.
34.
1.
1//172.
16.
1.
0/24为业务网段,10.
34.
1.
1为去往业务网段的下一跳.
如业务网段直接连接在OPENSWAN服务器上,此路由可不添加.
iprouteadd192.
168.
1.
0/24devto-cloud//192.
168.
1.
0/24为金山云VPC内网段,to-cloud为去往金山云VPC的IPSecOverGRE接口.
DXIPSecVPN接入说明2018-01-02金山云5/84.
2.
3.
配置OPENSWAN4.
2.
3.
配置OPENSWANOPENSWAN配置分别在以下两个文件内/etc/ipsec.
conf//VPN配置参数文件,VPN相关对接参数都在此处/etc/ipsec.
secrets//密钥文件,用于存放域共享密钥配置ipsec.
conf文件connIPSec-Over-GREtype=tunnelauthby=secretleft=A.
B.
C.
D//OPENSWAN服务器公网地址leftsubnets={172.
16.
1.
0/24,198.
18.
104.
1/32}//加密流量,本地业务网段和GRE隧道接口地址leftnexthop=%defaultrouteright=D.
C.
B.
A//金山云侧公网地址rightsubnets={192.
168.
1.
0/24,198.
18.
104.
2/32}//加密流量,金山云业务网段和GRE隧道接口地址rightnexthop=%defaultrouteike=aes128-sha1;modp1024//IKE使用AES128,HASHSHA1,DHGROPU2ikelifetime=86400ssalifetime=3600sesp=aes128-sha1pfs=noauto=start配置ipsec.
secrets文件D.
C.
B.
AA.
B.
C.
D:PSK"kingsoft"//A.
B.
C.
D为OPENSWAN服务器公网地址,D.
C.
B.
A为金山云侧公网地址,密钥kingsoft.
主要密钥需要双引号4.
2.
4.
启动服务并检查连通性4.
2.
4.
启动服务并检查连通性完成以上配置后,使用systemctlrestartipsec指令重启ipsec服务.
使用ipsecstatus|grepactive命令,输出结果active数量应该与加密业务段对数一致.
测试业务网段端到端连通性.
4.
3全客户自定义接入VPC配置参考4.
3全客户自定义接入VPC配置参考此方案客户侧和金山云侧VPNVM都由客户自行配置调通.
客户侧自行配置路由DC到金山云侧路由,并在控制台添加客户侧业务网段路由至VPNVM.
具体步骤如下登录控制台,网络->虚拟私有网络->找到对应的VPC,点击进入VPC->路由->新建->选择主机路由,目标网段为客户侧业务网段,下方选择VPNVM主机->新建完成操作过程见如下截图:DXIPSecVPN接入说明2018-01-02金山云6/8DXIPSecVPN接入说明2018-01-02金山云7/8五GREOverIPSec对接参数参考五GREOverIPSec对接参数参考参数类型参数类型参数值参数值VPN接入方式GREOverIPSec认证方式预共享密钥(客户提供)IKE模式MainmodeDHGROUP2(1024)加密方式AES128HASH方式SHA1IKE存活时间86400sSA存活时间3600sPFS关闭IPSec模式Tunnelmode感兴趣流针对与GREtunnel的流量做加密DXIPSecVPN接入说明2018-01-02金山云8/8
1支持架构二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
2客户侧软件对接金山云硬件接入VPC2.
3全客户自定义接入VPC三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考4.
1OPENSWAN环境部署4.
2部署客户侧OPENSWAN对接金山云VPC4.
2.
1创建并配置GRE隧道4.
2.
2创建业务路由4.
2.
3.
配置OPENSWAN4.
2.
4.
启动服务并检查连通性4.
3全客户自定义接入VPC配置参考五GREOverIPSec对接参数参考目录2018-01-02金山云1/8一IPSecVPN对接VPC架一IPSecVPN对接VPC架1.
1支持架构1.
1支持架构金山云通过以下二种IPSecVPN接入方法为客户提供GREOverIPsecSiteToSiteIPsecIPSecOverGRE因为有些厂商的实现方式有差异,故暂不提供该种方式.
连接拓扑如下:二IPSecVPN典型接入场景二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
1客户使用硬件接入金山云VPC金山云以及接入客户双方都使用硬件设备对接VPN.
客户侧VPN连接除上图给出的与业务网段直接连接之外,也可以是传统路由到达HARDWAREVPN.
流量经由VPN设备通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
2客户侧软件对接金山云硬件接入VPC2.
2客户侧软件对接金山云硬件接入VPCDXIPSecVPN接入说明2018-01-02金山云2/8此方法用于解决客户侧VPN设备无法支持IPSecOverGRE或GREOverIPSec时接入金山云VPC.
此方法逻辑与纯硬件相同,只是将客户HARDWAREVPN设备所处位置替换(或并排增加)为一台X86服务器(或虚拟机).
流量经由OPENSWAN软件通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
3全客户自定义接入VPC2.
3全客户自定义接入VPC此方法为,客户侧与金山云侧都使用VPN软件进行接入.
客户在金山云VPC内开设一台独立的、拥有公网EIP的VM,并安装客户所需的VPN软件(客户自行决定与配置).
客户侧可以是VPN软件或与金山云VM所装VPN软件兼容的硬件对接IPSecVPN.
或者客户可以在金山云流量经由客户侧设备(软件/硬件)发送至金山云VPNVM(软件)转发至客户在金山云的VPC内.
反向流量相同(需配置VPC内的主机路由).
三硬件VPN接入VPC配置参考三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考由于客户侧接入设备厂商无法确定,以下配置参考为金山云侧硬件设备典型配置.
客户可根据金山侧配置配合客户对应的厂商进行相关配置(金山云侧提供的模板为CISCOASR1K设备配置).
以下为典型IPSecOverGRE金山云侧配置:DXIPSecVPN接入说明2018-01-02金山云3/8cryptokeyringTO-CUSTOMER-KEYpre-shared-keyaddressA.
B.
C.
DkeyPASSWORD//A.
B.
C.
D为客户设备公网地址,PASSWORD为对接域共享密钥!
cryptoisakmppolicy10encraesauthenticationpre-sharegroup2//默认使用AES128加密算法,认证使用域共享密钥,DH-GROUP为2(1024)cryptoisakmpprofileTO-CUSTOMER-ISAKMP-PROFILEkeyringTO-CUSTOMER-KEYmatchidentityaddressA.
B.
C.
D255.
255.
255.
255!
cryptoipsectransform-setTO-CUSTOMER-TRANSFORMesp-aesesp-sha-hmacmodetunnel//配置为隧道模式!
cryptoipsecprofileTO-CUSTOMER-IPSEC-PROFILEsettransform-setTO-CUSTOMER-TRANSFORMsetisakmp-profileTO-CUSTOMER-ISAKMP-PROFILE!
interfaceTunnel0descriptionTO-CUSTOMER-TUNNEL-BY-IPSECipaddress198.
18.
104.
1255.
255.
255.
252load-interval30tunnelsourceD.
C.
B.
Atunnelmodeipsecipv4tunneldestinationA.
B.
C.
DtunnelprotectionipsecprofileTO-CUSTOMER-IPSEC-PROFILE//配置隧道接口点到点地址,D.
C.
B.
A为金山侧公网地址,A.
B.
C.
D为客户侧公网地址四客户侧软件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考此方法客户侧软件为固定的OPENSWAN,提供的OPENSWAN配置已经在LAB环境里通过测试.
4.
1OPENSWAN环境部署4.
1OPENSWAN环境部署关于OPENSWAN安装以及配置环境要求如下:*服务器运行CentOS7.
X,LinuxKernel版本大于等于3.
6*YUMUPDATE服务器软件包至最新版本*通过YUM源安装最新版本的OPENSWAN(更名后为LIBRESWAN)*关闭IPTABLES(firewalld)如需要开启,需要放行UDP500/4500以及相应路由添加以下内容至/etc/sysctl.
conf文件net.
ipv4.
ip_forward=1net.
ipv4.
conf.
default.
rp_filter=0net.
ipv4.
conf.
default.
accept_redirects=0net.
ipv4.
conf.
default.
secure_redirects=0net.
ipv4.
conf.
default.
send_redirects=0完成添加后执行sysctl–p重新加载以上修改的内核参数完成OPENSWAN安装后,使用以下步骤针对安装结果进行检查DXIPSecVPN接入说明2018-01-02金山云4/8systemctlstartipsecipsecverify两条命令执行完成后输出类似下图代表部署正常4.
2部署客户侧OPENSWAN对接金山云VPC4.
2部署客户侧OPENSWAN对接金山云VPC基于OPENSWAN配置IPSecOverGRE大致分为以下内容基于LINUX创建并配置GRE隧道基于LINUX创建相应数据路由(客户DC内部路由/金山云VPC内路由)配置OPENSWAN对接VPN参数启动服务检查结果4.
2.
1创建并配置GRE隧道4.
2.
1创建并配置GRE隧道以ROOT权限登录LINUX,并完成以下指令iptunneladdto-cloudmodegrelocalA.
B.
C.
DremoteD.
C.
B.
A//to-cloud为GRE接口名,A.
B.
C.
D为客户侧OPENSWAN公网地址,D.
C.
B.
A为金山云侧公网地址ipaddradd198.
18.
104.
2/30devto-cloud//to-cloud为被配置接口名,198.
18.
104.
2/30为GRE接口IP地址iplinksetdevto-cloudup//配置GRE接口to-cloud的状态为UP4.
2.
2创建业务路由4.
2.
2创建业务路由根据需求配置LINUX路由至客户DC内部以及金山云VPC内部.
以下实例为客户DC网段172.
16.
1.
0/24,金山云VPC内网段192.
168.
1.
0/24.
iprouteadd172.
16.
1.
0/24via10.
34.
1.
1//172.
16.
1.
0/24为业务网段,10.
34.
1.
1为去往业务网段的下一跳.
如业务网段直接连接在OPENSWAN服务器上,此路由可不添加.
iprouteadd192.
168.
1.
0/24devto-cloud//192.
168.
1.
0/24为金山云VPC内网段,to-cloud为去往金山云VPC的IPSecOverGRE接口.
DXIPSecVPN接入说明2018-01-02金山云5/84.
2.
3.
配置OPENSWAN4.
2.
3.
配置OPENSWANOPENSWAN配置分别在以下两个文件内/etc/ipsec.
conf//VPN配置参数文件,VPN相关对接参数都在此处/etc/ipsec.
secrets//密钥文件,用于存放域共享密钥配置ipsec.
conf文件connIPSec-Over-GREtype=tunnelauthby=secretleft=A.
B.
C.
D//OPENSWAN服务器公网地址leftsubnets={172.
16.
1.
0/24,198.
18.
104.
1/32}//加密流量,本地业务网段和GRE隧道接口地址leftnexthop=%defaultrouteright=D.
C.
B.
A//金山云侧公网地址rightsubnets={192.
168.
1.
0/24,198.
18.
104.
2/32}//加密流量,金山云业务网段和GRE隧道接口地址rightnexthop=%defaultrouteike=aes128-sha1;modp1024//IKE使用AES128,HASHSHA1,DHGROPU2ikelifetime=86400ssalifetime=3600sesp=aes128-sha1pfs=noauto=start配置ipsec.
secrets文件D.
C.
B.
AA.
B.
C.
D:PSK"kingsoft"//A.
B.
C.
D为OPENSWAN服务器公网地址,D.
C.
B.
A为金山云侧公网地址,密钥kingsoft.
主要密钥需要双引号4.
2.
4.
启动服务并检查连通性4.
2.
4.
启动服务并检查连通性完成以上配置后,使用systemctlrestartipsec指令重启ipsec服务.
使用ipsecstatus|grepactive命令,输出结果active数量应该与加密业务段对数一致.
测试业务网段端到端连通性.
4.
3全客户自定义接入VPC配置参考4.
3全客户自定义接入VPC配置参考此方案客户侧和金山云侧VPNVM都由客户自行配置调通.
客户侧自行配置路由DC到金山云侧路由,并在控制台添加客户侧业务网段路由至VPNVM.
具体步骤如下登录控制台,网络->虚拟私有网络->找到对应的VPC,点击进入VPC->路由->新建->选择主机路由,目标网段为客户侧业务网段,下方选择VPNVM主机->新建完成操作过程见如下截图:DXIPSecVPN接入说明2018-01-02金山云6/8DXIPSecVPN接入说明2018-01-02金山云7/8五GREOverIPSec对接参数参考五GREOverIPSec对接参数参考参数类型参数类型参数值参数值VPN接入方式GREOverIPSec认证方式预共享密钥(客户提供)IKE模式MainmodeDHGROUP2(1024)加密方式AES128HASH方式SHA1IKE存活时间86400sSA存活时间3600sPFS关闭IPSec模式Tunnelmode感兴趣流针对与GREtunnel的流量做加密DXIPSecVPN接入说明2018-01-02金山云8/8
CYUN(29元/月)美国、香港、台湾、日本、韩国CN2,续费原价
关于CYUN商家在之前有介绍过一次,CYUN是香港蓝米数据有限公司旗下的云计算服务品牌,和蓝米云、蓝米主机等同属该公司。商家主要是为个人开发者用户、中小型、大型企业用户提供一站式核心网络云端部署服务,促使用户云端部署化简为零,轻松快捷运用云计算。目前,CYUN主要运营美国、香港、台湾、日本、韩国CN2线路产品,包括云服务器、站群服务器和独立服务器等。这次看到CYUN夏季优惠活动发布了,依然是熟悉的...
易探云:香港物理机服务器仅550元/月起;E3-1230/16G DDR3/SATA 1TB/香港BGP/20Mbps
易探云怎么样?易探云(yitanyun.com)是一家知名云计算品牌,2017年成立,从业4年之久,目前主要从事出售香港VPS、香港独立服务器、香港站群服务器等,在售VPS线路有三网CN2、CN2 GIA,该公司旗下产品均采用KVM虚拟化架构。目前,易探云推出免备案香港物理机服务器性价比很高,E3-1230 8 核*1/16G DDR3/SATA 1TB/香港BGP线路/20Mbps/不限流量,仅...
无忧云:服务器100G高防云服务器,bgpBGP云,洛阳BGP云服务器2核2G仅38.4元/月起
无忧云怎么样?无忧云值不值得购买?无忧云,无忧云是一家成立于2017年的老牌商家旗下的服务器销售品牌,现由深圳市云上无忧网络科技有限公司运营,是正规持证IDC/ISP/IRCS商家,主要销售国内、中国香港、国外服务器产品,线路有腾讯云国外线路、自营香港CN2线路等,都是中国大陆直连线路,非常适合免备案建站业务需求和各种负载较高的项目,同时国内服务器也有多个BGP以及高防节点。目前,四川雅安机房,4...
iproute为你推荐
-
thinkphpthinkPHP怎么样呢wordpress模板我在wordpress模板下载了一套模板,做了www.xuanqianbao.com这个站,模板的原站是www.rrzdm.com.一样的模板,我在文件在插入图片,却不能在首页显示,他的网站却可以.直360退出北京时间为什么我电脑上的时间跟北京时间不同步!!!360邮箱360免费申请邮箱在那里360邮箱lin.long.an@360.com是什么邮箱360arp防火墙在哪360的9.6版本ARP防火墙在哪?360arp防火墙在哪360ARP防火墙北京大学cuteftp正大天地网正大光明是什么数字武林官网欢go客户端一般在哪里下载是官方的?