金山iproute
iproute 时间:2021-04-14 阅读:()
122222333445556668目录目录目录一IPSecVPN对接VPC架1.
1支持架构二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
2客户侧软件对接金山云硬件接入VPC2.
3全客户自定义接入VPC三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考4.
1OPENSWAN环境部署4.
2部署客户侧OPENSWAN对接金山云VPC4.
2.
1创建并配置GRE隧道4.
2.
2创建业务路由4.
2.
3.
配置OPENSWAN4.
2.
4.
启动服务并检查连通性4.
3全客户自定义接入VPC配置参考五GREOverIPSec对接参数参考目录2018-01-02金山云1/8一IPSecVPN对接VPC架一IPSecVPN对接VPC架1.
1支持架构1.
1支持架构金山云通过以下二种IPSecVPN接入方法为客户提供GREOverIPsecSiteToSiteIPsecIPSecOverGRE因为有些厂商的实现方式有差异,故暂不提供该种方式.
连接拓扑如下:二IPSecVPN典型接入场景二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
1客户使用硬件接入金山云VPC金山云以及接入客户双方都使用硬件设备对接VPN.
客户侧VPN连接除上图给出的与业务网段直接连接之外,也可以是传统路由到达HARDWAREVPN.
流量经由VPN设备通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
2客户侧软件对接金山云硬件接入VPC2.
2客户侧软件对接金山云硬件接入VPCDXIPSecVPN接入说明2018-01-02金山云2/8此方法用于解决客户侧VPN设备无法支持IPSecOverGRE或GREOverIPSec时接入金山云VPC.
此方法逻辑与纯硬件相同,只是将客户HARDWAREVPN设备所处位置替换(或并排增加)为一台X86服务器(或虚拟机).
流量经由OPENSWAN软件通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
3全客户自定义接入VPC2.
3全客户自定义接入VPC此方法为,客户侧与金山云侧都使用VPN软件进行接入.
客户在金山云VPC内开设一台独立的、拥有公网EIP的VM,并安装客户所需的VPN软件(客户自行决定与配置).
客户侧可以是VPN软件或与金山云VM所装VPN软件兼容的硬件对接IPSecVPN.
或者客户可以在金山云流量经由客户侧设备(软件/硬件)发送至金山云VPNVM(软件)转发至客户在金山云的VPC内.
反向流量相同(需配置VPC内的主机路由).
三硬件VPN接入VPC配置参考三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考由于客户侧接入设备厂商无法确定,以下配置参考为金山云侧硬件设备典型配置.
客户可根据金山侧配置配合客户对应的厂商进行相关配置(金山云侧提供的模板为CISCOASR1K设备配置).
以下为典型IPSecOverGRE金山云侧配置:DXIPSecVPN接入说明2018-01-02金山云3/8cryptokeyringTO-CUSTOMER-KEYpre-shared-keyaddressA.
B.
C.
DkeyPASSWORD//A.
B.
C.
D为客户设备公网地址,PASSWORD为对接域共享密钥!
cryptoisakmppolicy10encraesauthenticationpre-sharegroup2//默认使用AES128加密算法,认证使用域共享密钥,DH-GROUP为2(1024)cryptoisakmpprofileTO-CUSTOMER-ISAKMP-PROFILEkeyringTO-CUSTOMER-KEYmatchidentityaddressA.
B.
C.
D255.
255.
255.
255!
cryptoipsectransform-setTO-CUSTOMER-TRANSFORMesp-aesesp-sha-hmacmodetunnel//配置为隧道模式!
cryptoipsecprofileTO-CUSTOMER-IPSEC-PROFILEsettransform-setTO-CUSTOMER-TRANSFORMsetisakmp-profileTO-CUSTOMER-ISAKMP-PROFILE!
interfaceTunnel0descriptionTO-CUSTOMER-TUNNEL-BY-IPSECipaddress198.
18.
104.
1255.
255.
255.
252load-interval30tunnelsourceD.
C.
B.
Atunnelmodeipsecipv4tunneldestinationA.
B.
C.
DtunnelprotectionipsecprofileTO-CUSTOMER-IPSEC-PROFILE//配置隧道接口点到点地址,D.
C.
B.
A为金山侧公网地址,A.
B.
C.
D为客户侧公网地址四客户侧软件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考此方法客户侧软件为固定的OPENSWAN,提供的OPENSWAN配置已经在LAB环境里通过测试.
4.
1OPENSWAN环境部署4.
1OPENSWAN环境部署关于OPENSWAN安装以及配置环境要求如下:*服务器运行CentOS7.
X,LinuxKernel版本大于等于3.
6*YUMUPDATE服务器软件包至最新版本*通过YUM源安装最新版本的OPENSWAN(更名后为LIBRESWAN)*关闭IPTABLES(firewalld)如需要开启,需要放行UDP500/4500以及相应路由添加以下内容至/etc/sysctl.
conf文件net.
ipv4.
ip_forward=1net.
ipv4.
conf.
default.
rp_filter=0net.
ipv4.
conf.
default.
accept_redirects=0net.
ipv4.
conf.
default.
secure_redirects=0net.
ipv4.
conf.
default.
send_redirects=0完成添加后执行sysctl–p重新加载以上修改的内核参数完成OPENSWAN安装后,使用以下步骤针对安装结果进行检查DXIPSecVPN接入说明2018-01-02金山云4/8systemctlstartipsecipsecverify两条命令执行完成后输出类似下图代表部署正常4.
2部署客户侧OPENSWAN对接金山云VPC4.
2部署客户侧OPENSWAN对接金山云VPC基于OPENSWAN配置IPSecOverGRE大致分为以下内容基于LINUX创建并配置GRE隧道基于LINUX创建相应数据路由(客户DC内部路由/金山云VPC内路由)配置OPENSWAN对接VPN参数启动服务检查结果4.
2.
1创建并配置GRE隧道4.
2.
1创建并配置GRE隧道以ROOT权限登录LINUX,并完成以下指令iptunneladdto-cloudmodegrelocalA.
B.
C.
DremoteD.
C.
B.
A//to-cloud为GRE接口名,A.
B.
C.
D为客户侧OPENSWAN公网地址,D.
C.
B.
A为金山云侧公网地址ipaddradd198.
18.
104.
2/30devto-cloud//to-cloud为被配置接口名,198.
18.
104.
2/30为GRE接口IP地址iplinksetdevto-cloudup//配置GRE接口to-cloud的状态为UP4.
2.
2创建业务路由4.
2.
2创建业务路由根据需求配置LINUX路由至客户DC内部以及金山云VPC内部.
以下实例为客户DC网段172.
16.
1.
0/24,金山云VPC内网段192.
168.
1.
0/24.
iprouteadd172.
16.
1.
0/24via10.
34.
1.
1//172.
16.
1.
0/24为业务网段,10.
34.
1.
1为去往业务网段的下一跳.
如业务网段直接连接在OPENSWAN服务器上,此路由可不添加.
iprouteadd192.
168.
1.
0/24devto-cloud//192.
168.
1.
0/24为金山云VPC内网段,to-cloud为去往金山云VPC的IPSecOverGRE接口.
DXIPSecVPN接入说明2018-01-02金山云5/84.
2.
3.
配置OPENSWAN4.
2.
3.
配置OPENSWANOPENSWAN配置分别在以下两个文件内/etc/ipsec.
conf//VPN配置参数文件,VPN相关对接参数都在此处/etc/ipsec.
secrets//密钥文件,用于存放域共享密钥配置ipsec.
conf文件connIPSec-Over-GREtype=tunnelauthby=secretleft=A.
B.
C.
D//OPENSWAN服务器公网地址leftsubnets={172.
16.
1.
0/24,198.
18.
104.
1/32}//加密流量,本地业务网段和GRE隧道接口地址leftnexthop=%defaultrouteright=D.
C.
B.
A//金山云侧公网地址rightsubnets={192.
168.
1.
0/24,198.
18.
104.
2/32}//加密流量,金山云业务网段和GRE隧道接口地址rightnexthop=%defaultrouteike=aes128-sha1;modp1024//IKE使用AES128,HASHSHA1,DHGROPU2ikelifetime=86400ssalifetime=3600sesp=aes128-sha1pfs=noauto=start配置ipsec.
secrets文件D.
C.
B.
AA.
B.
C.
D:PSK"kingsoft"//A.
B.
C.
D为OPENSWAN服务器公网地址,D.
C.
B.
A为金山云侧公网地址,密钥kingsoft.
主要密钥需要双引号4.
2.
4.
启动服务并检查连通性4.
2.
4.
启动服务并检查连通性完成以上配置后,使用systemctlrestartipsec指令重启ipsec服务.
使用ipsecstatus|grepactive命令,输出结果active数量应该与加密业务段对数一致.
测试业务网段端到端连通性.
4.
3全客户自定义接入VPC配置参考4.
3全客户自定义接入VPC配置参考此方案客户侧和金山云侧VPNVM都由客户自行配置调通.
客户侧自行配置路由DC到金山云侧路由,并在控制台添加客户侧业务网段路由至VPNVM.
具体步骤如下登录控制台,网络->虚拟私有网络->找到对应的VPC,点击进入VPC->路由->新建->选择主机路由,目标网段为客户侧业务网段,下方选择VPNVM主机->新建完成操作过程见如下截图:DXIPSecVPN接入说明2018-01-02金山云6/8DXIPSecVPN接入说明2018-01-02金山云7/8五GREOverIPSec对接参数参考五GREOverIPSec对接参数参考参数类型参数类型参数值参数值VPN接入方式GREOverIPSec认证方式预共享密钥(客户提供)IKE模式MainmodeDHGROUP2(1024)加密方式AES128HASH方式SHA1IKE存活时间86400sSA存活时间3600sPFS关闭IPSec模式Tunnelmode感兴趣流针对与GREtunnel的流量做加密DXIPSecVPN接入说明2018-01-02金山云8/8
1支持架构二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
2客户侧软件对接金山云硬件接入VPC2.
3全客户自定义接入VPC三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考4.
1OPENSWAN环境部署4.
2部署客户侧OPENSWAN对接金山云VPC4.
2.
1创建并配置GRE隧道4.
2.
2创建业务路由4.
2.
3.
配置OPENSWAN4.
2.
4.
启动服务并检查连通性4.
3全客户自定义接入VPC配置参考五GREOverIPSec对接参数参考目录2018-01-02金山云1/8一IPSecVPN对接VPC架一IPSecVPN对接VPC架1.
1支持架构1.
1支持架构金山云通过以下二种IPSecVPN接入方法为客户提供GREOverIPsecSiteToSiteIPsecIPSecOverGRE因为有些厂商的实现方式有差异,故暂不提供该种方式.
连接拓扑如下:二IPSecVPN典型接入场景二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
1客户使用硬件接入金山云VPC金山云以及接入客户双方都使用硬件设备对接VPN.
客户侧VPN连接除上图给出的与业务网段直接连接之外,也可以是传统路由到达HARDWAREVPN.
流量经由VPN设备通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
2客户侧软件对接金山云硬件接入VPC2.
2客户侧软件对接金山云硬件接入VPCDXIPSecVPN接入说明2018-01-02金山云2/8此方法用于解决客户侧VPN设备无法支持IPSecOverGRE或GREOverIPSec时接入金山云VPC.
此方法逻辑与纯硬件相同,只是将客户HARDWAREVPN设备所处位置替换(或并排增加)为一台X86服务器(或虚拟机).
流量经由OPENSWAN软件通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
3全客户自定义接入VPC2.
3全客户自定义接入VPC此方法为,客户侧与金山云侧都使用VPN软件进行接入.
客户在金山云VPC内开设一台独立的、拥有公网EIP的VM,并安装客户所需的VPN软件(客户自行决定与配置).
客户侧可以是VPN软件或与金山云VM所装VPN软件兼容的硬件对接IPSecVPN.
或者客户可以在金山云流量经由客户侧设备(软件/硬件)发送至金山云VPNVM(软件)转发至客户在金山云的VPC内.
反向流量相同(需配置VPC内的主机路由).
三硬件VPN接入VPC配置参考三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考由于客户侧接入设备厂商无法确定,以下配置参考为金山云侧硬件设备典型配置.
客户可根据金山侧配置配合客户对应的厂商进行相关配置(金山云侧提供的模板为CISCOASR1K设备配置).
以下为典型IPSecOverGRE金山云侧配置:DXIPSecVPN接入说明2018-01-02金山云3/8cryptokeyringTO-CUSTOMER-KEYpre-shared-keyaddressA.
B.
C.
DkeyPASSWORD//A.
B.
C.
D为客户设备公网地址,PASSWORD为对接域共享密钥!
cryptoisakmppolicy10encraesauthenticationpre-sharegroup2//默认使用AES128加密算法,认证使用域共享密钥,DH-GROUP为2(1024)cryptoisakmpprofileTO-CUSTOMER-ISAKMP-PROFILEkeyringTO-CUSTOMER-KEYmatchidentityaddressA.
B.
C.
D255.
255.
255.
255!
cryptoipsectransform-setTO-CUSTOMER-TRANSFORMesp-aesesp-sha-hmacmodetunnel//配置为隧道模式!
cryptoipsecprofileTO-CUSTOMER-IPSEC-PROFILEsettransform-setTO-CUSTOMER-TRANSFORMsetisakmp-profileTO-CUSTOMER-ISAKMP-PROFILE!
interfaceTunnel0descriptionTO-CUSTOMER-TUNNEL-BY-IPSECipaddress198.
18.
104.
1255.
255.
255.
252load-interval30tunnelsourceD.
C.
B.
Atunnelmodeipsecipv4tunneldestinationA.
B.
C.
DtunnelprotectionipsecprofileTO-CUSTOMER-IPSEC-PROFILE//配置隧道接口点到点地址,D.
C.
B.
A为金山侧公网地址,A.
B.
C.
D为客户侧公网地址四客户侧软件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考此方法客户侧软件为固定的OPENSWAN,提供的OPENSWAN配置已经在LAB环境里通过测试.
4.
1OPENSWAN环境部署4.
1OPENSWAN环境部署关于OPENSWAN安装以及配置环境要求如下:*服务器运行CentOS7.
X,LinuxKernel版本大于等于3.
6*YUMUPDATE服务器软件包至最新版本*通过YUM源安装最新版本的OPENSWAN(更名后为LIBRESWAN)*关闭IPTABLES(firewalld)如需要开启,需要放行UDP500/4500以及相应路由添加以下内容至/etc/sysctl.
conf文件net.
ipv4.
ip_forward=1net.
ipv4.
conf.
default.
rp_filter=0net.
ipv4.
conf.
default.
accept_redirects=0net.
ipv4.
conf.
default.
secure_redirects=0net.
ipv4.
conf.
default.
send_redirects=0完成添加后执行sysctl–p重新加载以上修改的内核参数完成OPENSWAN安装后,使用以下步骤针对安装结果进行检查DXIPSecVPN接入说明2018-01-02金山云4/8systemctlstartipsecipsecverify两条命令执行完成后输出类似下图代表部署正常4.
2部署客户侧OPENSWAN对接金山云VPC4.
2部署客户侧OPENSWAN对接金山云VPC基于OPENSWAN配置IPSecOverGRE大致分为以下内容基于LINUX创建并配置GRE隧道基于LINUX创建相应数据路由(客户DC内部路由/金山云VPC内路由)配置OPENSWAN对接VPN参数启动服务检查结果4.
2.
1创建并配置GRE隧道4.
2.
1创建并配置GRE隧道以ROOT权限登录LINUX,并完成以下指令iptunneladdto-cloudmodegrelocalA.
B.
C.
DremoteD.
C.
B.
A//to-cloud为GRE接口名,A.
B.
C.
D为客户侧OPENSWAN公网地址,D.
C.
B.
A为金山云侧公网地址ipaddradd198.
18.
104.
2/30devto-cloud//to-cloud为被配置接口名,198.
18.
104.
2/30为GRE接口IP地址iplinksetdevto-cloudup//配置GRE接口to-cloud的状态为UP4.
2.
2创建业务路由4.
2.
2创建业务路由根据需求配置LINUX路由至客户DC内部以及金山云VPC内部.
以下实例为客户DC网段172.
16.
1.
0/24,金山云VPC内网段192.
168.
1.
0/24.
iprouteadd172.
16.
1.
0/24via10.
34.
1.
1//172.
16.
1.
0/24为业务网段,10.
34.
1.
1为去往业务网段的下一跳.
如业务网段直接连接在OPENSWAN服务器上,此路由可不添加.
iprouteadd192.
168.
1.
0/24devto-cloud//192.
168.
1.
0/24为金山云VPC内网段,to-cloud为去往金山云VPC的IPSecOverGRE接口.
DXIPSecVPN接入说明2018-01-02金山云5/84.
2.
3.
配置OPENSWAN4.
2.
3.
配置OPENSWANOPENSWAN配置分别在以下两个文件内/etc/ipsec.
conf//VPN配置参数文件,VPN相关对接参数都在此处/etc/ipsec.
secrets//密钥文件,用于存放域共享密钥配置ipsec.
conf文件connIPSec-Over-GREtype=tunnelauthby=secretleft=A.
B.
C.
D//OPENSWAN服务器公网地址leftsubnets={172.
16.
1.
0/24,198.
18.
104.
1/32}//加密流量,本地业务网段和GRE隧道接口地址leftnexthop=%defaultrouteright=D.
C.
B.
A//金山云侧公网地址rightsubnets={192.
168.
1.
0/24,198.
18.
104.
2/32}//加密流量,金山云业务网段和GRE隧道接口地址rightnexthop=%defaultrouteike=aes128-sha1;modp1024//IKE使用AES128,HASHSHA1,DHGROPU2ikelifetime=86400ssalifetime=3600sesp=aes128-sha1pfs=noauto=start配置ipsec.
secrets文件D.
C.
B.
AA.
B.
C.
D:PSK"kingsoft"//A.
B.
C.
D为OPENSWAN服务器公网地址,D.
C.
B.
A为金山云侧公网地址,密钥kingsoft.
主要密钥需要双引号4.
2.
4.
启动服务并检查连通性4.
2.
4.
启动服务并检查连通性完成以上配置后,使用systemctlrestartipsec指令重启ipsec服务.
使用ipsecstatus|grepactive命令,输出结果active数量应该与加密业务段对数一致.
测试业务网段端到端连通性.
4.
3全客户自定义接入VPC配置参考4.
3全客户自定义接入VPC配置参考此方案客户侧和金山云侧VPNVM都由客户自行配置调通.
客户侧自行配置路由DC到金山云侧路由,并在控制台添加客户侧业务网段路由至VPNVM.
具体步骤如下登录控制台,网络->虚拟私有网络->找到对应的VPC,点击进入VPC->路由->新建->选择主机路由,目标网段为客户侧业务网段,下方选择VPNVM主机->新建完成操作过程见如下截图:DXIPSecVPN接入说明2018-01-02金山云6/8DXIPSecVPN接入说明2018-01-02金山云7/8五GREOverIPSec对接参数参考五GREOverIPSec对接参数参考参数类型参数类型参数值参数值VPN接入方式GREOverIPSec认证方式预共享密钥(客户提供)IKE模式MainmodeDHGROUP2(1024)加密方式AES128HASH方式SHA1IKE存活时间86400sSA存活时间3600sPFS关闭IPSec模式Tunnelmode感兴趣流针对与GREtunnel的流量做加密DXIPSecVPN接入说明2018-01-02金山云8/8
iON Cloud:新加坡cn2 gia vps/1核/2G内存/25G SSD/250G流量/10M带宽,$35/月
iON Cloud怎么样?iON Cloud升级了新加坡CN2 VPS的带宽和流量最低配的原先带宽5M现在升级为10M,流量也从原先的150G升级为250G。注意,流量也仅计算出站方向。iON Cloud是Krypt旗下的云服务器品牌,成立于2019年,是美国老牌机房(1998~)krypt旗下的VPS云服务器品牌,主打国外VPS云服务器业务,均采用KVM架构,整体性能配置较高,云服务器产品质量靠...
印象云七夕促销,所有机器7折销售,美国CERA低至18元/月 年付217元!
印象云,成立于2019年3月的商家,公司注册于中国香港,国人运行。目前主要从事美国CERA机房高防VPS以及香港三网CN2直连VPS和美国洛杉矶GIA三网线路服务器销售。印象云香港三网CN2机房,主要是CN2直连大陆,超低延迟!对于美国CERA机房应该不陌生,主要是做高防服务器产品的,并且此机房对中国大陆支持比较友好,印象云美国高防VPS服务器去程是163直连、三网回程CN2优化,单IP默认给20...
创梦网络-四川一手资源高防大带宽云服务器,物理机租用,机柜资源,自建防火墙,雅安最高单机700G防护,四川联通1G大带宽8.3W/年,无视UDP攻击,免费防CC
? ? ? ?创梦网络怎么样,创梦网络公司位于四川省达州市,属于四川本地企业,资质齐全,IDC/ISP均有,从创梦网络这边租的服务器均可以****,属于一手资源,高防机柜、大带宽、高防IP业务,另外创梦网络近期还会上线四川联通大带宽,四川联通高防IP,一手整CIP段,四川电信,联通高防机柜,CN2专线相关业务。成都优化线路,机柜租用、服务器云服务器租用,适合建站做游戏,不须要在套CDN,全国访问快...
iproute为你推荐
-
access数据库修复请问Access数据库修复恢复该怎么办啊,有些页和模块打不开了,也不知道是怎么回事,丢了文件还360退出北京时间utc+8 13:30-14:00换成北京时间是什么时候Flash动画设计与制作——第九章:导出和发布动画银花珠树晓来看姗姗而来的 作文pintang目前世界上最稀有、最珍贵的钱币是什么?灌水机什么是论坛灌水机?在哪里可以下载到呢?帖子标题在贴吧发贴,标题要怎样的格式才对?管理员密码请输入管理员密码什么意思highlighter这双鞋的名字叫什么?配送区域美团外卖配送距离是多少?