金山iproute
iproute 时间:2021-04-14 阅读:()
122222333445556668目录目录目录一IPSecVPN对接VPC架1.
1支持架构二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
2客户侧软件对接金山云硬件接入VPC2.
3全客户自定义接入VPC三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考4.
1OPENSWAN环境部署4.
2部署客户侧OPENSWAN对接金山云VPC4.
2.
1创建并配置GRE隧道4.
2.
2创建业务路由4.
2.
3.
配置OPENSWAN4.
2.
4.
启动服务并检查连通性4.
3全客户自定义接入VPC配置参考五GREOverIPSec对接参数参考目录2018-01-02金山云1/8一IPSecVPN对接VPC架一IPSecVPN对接VPC架1.
1支持架构1.
1支持架构金山云通过以下二种IPSecVPN接入方法为客户提供GREOverIPsecSiteToSiteIPsecIPSecOverGRE因为有些厂商的实现方式有差异,故暂不提供该种方式.
连接拓扑如下:二IPSecVPN典型接入场景二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
1客户使用硬件接入金山云VPC金山云以及接入客户双方都使用硬件设备对接VPN.
客户侧VPN连接除上图给出的与业务网段直接连接之外,也可以是传统路由到达HARDWAREVPN.
流量经由VPN设备通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
2客户侧软件对接金山云硬件接入VPC2.
2客户侧软件对接金山云硬件接入VPCDXIPSecVPN接入说明2018-01-02金山云2/8此方法用于解决客户侧VPN设备无法支持IPSecOverGRE或GREOverIPSec时接入金山云VPC.
此方法逻辑与纯硬件相同,只是将客户HARDWAREVPN设备所处位置替换(或并排增加)为一台X86服务器(或虚拟机).
流量经由OPENSWAN软件通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
3全客户自定义接入VPC2.
3全客户自定义接入VPC此方法为,客户侧与金山云侧都使用VPN软件进行接入.
客户在金山云VPC内开设一台独立的、拥有公网EIP的VM,并安装客户所需的VPN软件(客户自行决定与配置).
客户侧可以是VPN软件或与金山云VM所装VPN软件兼容的硬件对接IPSecVPN.
或者客户可以在金山云流量经由客户侧设备(软件/硬件)发送至金山云VPNVM(软件)转发至客户在金山云的VPC内.
反向流量相同(需配置VPC内的主机路由).
三硬件VPN接入VPC配置参考三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考由于客户侧接入设备厂商无法确定,以下配置参考为金山云侧硬件设备典型配置.
客户可根据金山侧配置配合客户对应的厂商进行相关配置(金山云侧提供的模板为CISCOASR1K设备配置).
以下为典型IPSecOverGRE金山云侧配置:DXIPSecVPN接入说明2018-01-02金山云3/8cryptokeyringTO-CUSTOMER-KEYpre-shared-keyaddressA.
B.
C.
DkeyPASSWORD//A.
B.
C.
D为客户设备公网地址,PASSWORD为对接域共享密钥!
cryptoisakmppolicy10encraesauthenticationpre-sharegroup2//默认使用AES128加密算法,认证使用域共享密钥,DH-GROUP为2(1024)cryptoisakmpprofileTO-CUSTOMER-ISAKMP-PROFILEkeyringTO-CUSTOMER-KEYmatchidentityaddressA.
B.
C.
D255.
255.
255.
255!
cryptoipsectransform-setTO-CUSTOMER-TRANSFORMesp-aesesp-sha-hmacmodetunnel//配置为隧道模式!
cryptoipsecprofileTO-CUSTOMER-IPSEC-PROFILEsettransform-setTO-CUSTOMER-TRANSFORMsetisakmp-profileTO-CUSTOMER-ISAKMP-PROFILE!
interfaceTunnel0descriptionTO-CUSTOMER-TUNNEL-BY-IPSECipaddress198.
18.
104.
1255.
255.
255.
252load-interval30tunnelsourceD.
C.
B.
Atunnelmodeipsecipv4tunneldestinationA.
B.
C.
DtunnelprotectionipsecprofileTO-CUSTOMER-IPSEC-PROFILE//配置隧道接口点到点地址,D.
C.
B.
A为金山侧公网地址,A.
B.
C.
D为客户侧公网地址四客户侧软件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考此方法客户侧软件为固定的OPENSWAN,提供的OPENSWAN配置已经在LAB环境里通过测试.
4.
1OPENSWAN环境部署4.
1OPENSWAN环境部署关于OPENSWAN安装以及配置环境要求如下:*服务器运行CentOS7.
X,LinuxKernel版本大于等于3.
6*YUMUPDATE服务器软件包至最新版本*通过YUM源安装最新版本的OPENSWAN(更名后为LIBRESWAN)*关闭IPTABLES(firewalld)如需要开启,需要放行UDP500/4500以及相应路由添加以下内容至/etc/sysctl.
conf文件net.
ipv4.
ip_forward=1net.
ipv4.
conf.
default.
rp_filter=0net.
ipv4.
conf.
default.
accept_redirects=0net.
ipv4.
conf.
default.
secure_redirects=0net.
ipv4.
conf.
default.
send_redirects=0完成添加后执行sysctl–p重新加载以上修改的内核参数完成OPENSWAN安装后,使用以下步骤针对安装结果进行检查DXIPSecVPN接入说明2018-01-02金山云4/8systemctlstartipsecipsecverify两条命令执行完成后输出类似下图代表部署正常4.
2部署客户侧OPENSWAN对接金山云VPC4.
2部署客户侧OPENSWAN对接金山云VPC基于OPENSWAN配置IPSecOverGRE大致分为以下内容基于LINUX创建并配置GRE隧道基于LINUX创建相应数据路由(客户DC内部路由/金山云VPC内路由)配置OPENSWAN对接VPN参数启动服务检查结果4.
2.
1创建并配置GRE隧道4.
2.
1创建并配置GRE隧道以ROOT权限登录LINUX,并完成以下指令iptunneladdto-cloudmodegrelocalA.
B.
C.
DremoteD.
C.
B.
A//to-cloud为GRE接口名,A.
B.
C.
D为客户侧OPENSWAN公网地址,D.
C.
B.
A为金山云侧公网地址ipaddradd198.
18.
104.
2/30devto-cloud//to-cloud为被配置接口名,198.
18.
104.
2/30为GRE接口IP地址iplinksetdevto-cloudup//配置GRE接口to-cloud的状态为UP4.
2.
2创建业务路由4.
2.
2创建业务路由根据需求配置LINUX路由至客户DC内部以及金山云VPC内部.
以下实例为客户DC网段172.
16.
1.
0/24,金山云VPC内网段192.
168.
1.
0/24.
iprouteadd172.
16.
1.
0/24via10.
34.
1.
1//172.
16.
1.
0/24为业务网段,10.
34.
1.
1为去往业务网段的下一跳.
如业务网段直接连接在OPENSWAN服务器上,此路由可不添加.
iprouteadd192.
168.
1.
0/24devto-cloud//192.
168.
1.
0/24为金山云VPC内网段,to-cloud为去往金山云VPC的IPSecOverGRE接口.
DXIPSecVPN接入说明2018-01-02金山云5/84.
2.
3.
配置OPENSWAN4.
2.
3.
配置OPENSWANOPENSWAN配置分别在以下两个文件内/etc/ipsec.
conf//VPN配置参数文件,VPN相关对接参数都在此处/etc/ipsec.
secrets//密钥文件,用于存放域共享密钥配置ipsec.
conf文件connIPSec-Over-GREtype=tunnelauthby=secretleft=A.
B.
C.
D//OPENSWAN服务器公网地址leftsubnets={172.
16.
1.
0/24,198.
18.
104.
1/32}//加密流量,本地业务网段和GRE隧道接口地址leftnexthop=%defaultrouteright=D.
C.
B.
A//金山云侧公网地址rightsubnets={192.
168.
1.
0/24,198.
18.
104.
2/32}//加密流量,金山云业务网段和GRE隧道接口地址rightnexthop=%defaultrouteike=aes128-sha1;modp1024//IKE使用AES128,HASHSHA1,DHGROPU2ikelifetime=86400ssalifetime=3600sesp=aes128-sha1pfs=noauto=start配置ipsec.
secrets文件D.
C.
B.
AA.
B.
C.
D:PSK"kingsoft"//A.
B.
C.
D为OPENSWAN服务器公网地址,D.
C.
B.
A为金山云侧公网地址,密钥kingsoft.
主要密钥需要双引号4.
2.
4.
启动服务并检查连通性4.
2.
4.
启动服务并检查连通性完成以上配置后,使用systemctlrestartipsec指令重启ipsec服务.
使用ipsecstatus|grepactive命令,输出结果active数量应该与加密业务段对数一致.
测试业务网段端到端连通性.
4.
3全客户自定义接入VPC配置参考4.
3全客户自定义接入VPC配置参考此方案客户侧和金山云侧VPNVM都由客户自行配置调通.
客户侧自行配置路由DC到金山云侧路由,并在控制台添加客户侧业务网段路由至VPNVM.
具体步骤如下登录控制台,网络->虚拟私有网络->找到对应的VPC,点击进入VPC->路由->新建->选择主机路由,目标网段为客户侧业务网段,下方选择VPNVM主机->新建完成操作过程见如下截图:DXIPSecVPN接入说明2018-01-02金山云6/8DXIPSecVPN接入说明2018-01-02金山云7/8五GREOverIPSec对接参数参考五GREOverIPSec对接参数参考参数类型参数类型参数值参数值VPN接入方式GREOverIPSec认证方式预共享密钥(客户提供)IKE模式MainmodeDHGROUP2(1024)加密方式AES128HASH方式SHA1IKE存活时间86400sSA存活时间3600sPFS关闭IPSec模式Tunnelmode感兴趣流针对与GREtunnel的流量做加密DXIPSecVPN接入说明2018-01-02金山云8/8
1支持架构二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
2客户侧软件对接金山云硬件接入VPC2.
3全客户自定义接入VPC三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考4.
1OPENSWAN环境部署4.
2部署客户侧OPENSWAN对接金山云VPC4.
2.
1创建并配置GRE隧道4.
2.
2创建业务路由4.
2.
3.
配置OPENSWAN4.
2.
4.
启动服务并检查连通性4.
3全客户自定义接入VPC配置参考五GREOverIPSec对接参数参考目录2018-01-02金山云1/8一IPSecVPN对接VPC架一IPSecVPN对接VPC架1.
1支持架构1.
1支持架构金山云通过以下二种IPSecVPN接入方法为客户提供GREOverIPsecSiteToSiteIPsecIPSecOverGRE因为有些厂商的实现方式有差异,故暂不提供该种方式.
连接拓扑如下:二IPSecVPN典型接入场景二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
1客户使用硬件接入金山云VPC金山云以及接入客户双方都使用硬件设备对接VPN.
客户侧VPN连接除上图给出的与业务网段直接连接之外,也可以是传统路由到达HARDWAREVPN.
流量经由VPN设备通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
2客户侧软件对接金山云硬件接入VPC2.
2客户侧软件对接金山云硬件接入VPCDXIPSecVPN接入说明2018-01-02金山云2/8此方法用于解决客户侧VPN设备无法支持IPSecOverGRE或GREOverIPSec时接入金山云VPC.
此方法逻辑与纯硬件相同,只是将客户HARDWAREVPN设备所处位置替换(或并排增加)为一台X86服务器(或虚拟机).
流量经由OPENSWAN软件通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
3全客户自定义接入VPC2.
3全客户自定义接入VPC此方法为,客户侧与金山云侧都使用VPN软件进行接入.
客户在金山云VPC内开设一台独立的、拥有公网EIP的VM,并安装客户所需的VPN软件(客户自行决定与配置).
客户侧可以是VPN软件或与金山云VM所装VPN软件兼容的硬件对接IPSecVPN.
或者客户可以在金山云流量经由客户侧设备(软件/硬件)发送至金山云VPNVM(软件)转发至客户在金山云的VPC内.
反向流量相同(需配置VPC内的主机路由).
三硬件VPN接入VPC配置参考三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考由于客户侧接入设备厂商无法确定,以下配置参考为金山云侧硬件设备典型配置.
客户可根据金山侧配置配合客户对应的厂商进行相关配置(金山云侧提供的模板为CISCOASR1K设备配置).
以下为典型IPSecOverGRE金山云侧配置:DXIPSecVPN接入说明2018-01-02金山云3/8cryptokeyringTO-CUSTOMER-KEYpre-shared-keyaddressA.
B.
C.
DkeyPASSWORD//A.
B.
C.
D为客户设备公网地址,PASSWORD为对接域共享密钥!
cryptoisakmppolicy10encraesauthenticationpre-sharegroup2//默认使用AES128加密算法,认证使用域共享密钥,DH-GROUP为2(1024)cryptoisakmpprofileTO-CUSTOMER-ISAKMP-PROFILEkeyringTO-CUSTOMER-KEYmatchidentityaddressA.
B.
C.
D255.
255.
255.
255!
cryptoipsectransform-setTO-CUSTOMER-TRANSFORMesp-aesesp-sha-hmacmodetunnel//配置为隧道模式!
cryptoipsecprofileTO-CUSTOMER-IPSEC-PROFILEsettransform-setTO-CUSTOMER-TRANSFORMsetisakmp-profileTO-CUSTOMER-ISAKMP-PROFILE!
interfaceTunnel0descriptionTO-CUSTOMER-TUNNEL-BY-IPSECipaddress198.
18.
104.
1255.
255.
255.
252load-interval30tunnelsourceD.
C.
B.
Atunnelmodeipsecipv4tunneldestinationA.
B.
C.
DtunnelprotectionipsecprofileTO-CUSTOMER-IPSEC-PROFILE//配置隧道接口点到点地址,D.
C.
B.
A为金山侧公网地址,A.
B.
C.
D为客户侧公网地址四客户侧软件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考此方法客户侧软件为固定的OPENSWAN,提供的OPENSWAN配置已经在LAB环境里通过测试.
4.
1OPENSWAN环境部署4.
1OPENSWAN环境部署关于OPENSWAN安装以及配置环境要求如下:*服务器运行CentOS7.
X,LinuxKernel版本大于等于3.
6*YUMUPDATE服务器软件包至最新版本*通过YUM源安装最新版本的OPENSWAN(更名后为LIBRESWAN)*关闭IPTABLES(firewalld)如需要开启,需要放行UDP500/4500以及相应路由添加以下内容至/etc/sysctl.
conf文件net.
ipv4.
ip_forward=1net.
ipv4.
conf.
default.
rp_filter=0net.
ipv4.
conf.
default.
accept_redirects=0net.
ipv4.
conf.
default.
secure_redirects=0net.
ipv4.
conf.
default.
send_redirects=0完成添加后执行sysctl–p重新加载以上修改的内核参数完成OPENSWAN安装后,使用以下步骤针对安装结果进行检查DXIPSecVPN接入说明2018-01-02金山云4/8systemctlstartipsecipsecverify两条命令执行完成后输出类似下图代表部署正常4.
2部署客户侧OPENSWAN对接金山云VPC4.
2部署客户侧OPENSWAN对接金山云VPC基于OPENSWAN配置IPSecOverGRE大致分为以下内容基于LINUX创建并配置GRE隧道基于LINUX创建相应数据路由(客户DC内部路由/金山云VPC内路由)配置OPENSWAN对接VPN参数启动服务检查结果4.
2.
1创建并配置GRE隧道4.
2.
1创建并配置GRE隧道以ROOT权限登录LINUX,并完成以下指令iptunneladdto-cloudmodegrelocalA.
B.
C.
DremoteD.
C.
B.
A//to-cloud为GRE接口名,A.
B.
C.
D为客户侧OPENSWAN公网地址,D.
C.
B.
A为金山云侧公网地址ipaddradd198.
18.
104.
2/30devto-cloud//to-cloud为被配置接口名,198.
18.
104.
2/30为GRE接口IP地址iplinksetdevto-cloudup//配置GRE接口to-cloud的状态为UP4.
2.
2创建业务路由4.
2.
2创建业务路由根据需求配置LINUX路由至客户DC内部以及金山云VPC内部.
以下实例为客户DC网段172.
16.
1.
0/24,金山云VPC内网段192.
168.
1.
0/24.
iprouteadd172.
16.
1.
0/24via10.
34.
1.
1//172.
16.
1.
0/24为业务网段,10.
34.
1.
1为去往业务网段的下一跳.
如业务网段直接连接在OPENSWAN服务器上,此路由可不添加.
iprouteadd192.
168.
1.
0/24devto-cloud//192.
168.
1.
0/24为金山云VPC内网段,to-cloud为去往金山云VPC的IPSecOverGRE接口.
DXIPSecVPN接入说明2018-01-02金山云5/84.
2.
3.
配置OPENSWAN4.
2.
3.
配置OPENSWANOPENSWAN配置分别在以下两个文件内/etc/ipsec.
conf//VPN配置参数文件,VPN相关对接参数都在此处/etc/ipsec.
secrets//密钥文件,用于存放域共享密钥配置ipsec.
conf文件connIPSec-Over-GREtype=tunnelauthby=secretleft=A.
B.
C.
D//OPENSWAN服务器公网地址leftsubnets={172.
16.
1.
0/24,198.
18.
104.
1/32}//加密流量,本地业务网段和GRE隧道接口地址leftnexthop=%defaultrouteright=D.
C.
B.
A//金山云侧公网地址rightsubnets={192.
168.
1.
0/24,198.
18.
104.
2/32}//加密流量,金山云业务网段和GRE隧道接口地址rightnexthop=%defaultrouteike=aes128-sha1;modp1024//IKE使用AES128,HASHSHA1,DHGROPU2ikelifetime=86400ssalifetime=3600sesp=aes128-sha1pfs=noauto=start配置ipsec.
secrets文件D.
C.
B.
AA.
B.
C.
D:PSK"kingsoft"//A.
B.
C.
D为OPENSWAN服务器公网地址,D.
C.
B.
A为金山云侧公网地址,密钥kingsoft.
主要密钥需要双引号4.
2.
4.
启动服务并检查连通性4.
2.
4.
启动服务并检查连通性完成以上配置后,使用systemctlrestartipsec指令重启ipsec服务.
使用ipsecstatus|grepactive命令,输出结果active数量应该与加密业务段对数一致.
测试业务网段端到端连通性.
4.
3全客户自定义接入VPC配置参考4.
3全客户自定义接入VPC配置参考此方案客户侧和金山云侧VPNVM都由客户自行配置调通.
客户侧自行配置路由DC到金山云侧路由,并在控制台添加客户侧业务网段路由至VPNVM.
具体步骤如下登录控制台,网络->虚拟私有网络->找到对应的VPC,点击进入VPC->路由->新建->选择主机路由,目标网段为客户侧业务网段,下方选择VPNVM主机->新建完成操作过程见如下截图:DXIPSecVPN接入说明2018-01-02金山云6/8DXIPSecVPN接入说明2018-01-02金山云7/8五GREOverIPSec对接参数参考五GREOverIPSec对接参数参考参数类型参数类型参数值参数值VPN接入方式GREOverIPSec认证方式预共享密钥(客户提供)IKE模式MainmodeDHGROUP2(1024)加密方式AES128HASH方式SHA1IKE存活时间86400sSA存活时间3600sPFS关闭IPSec模式Tunnelmode感兴趣流针对与GREtunnel的流量做加密DXIPSecVPN接入说明2018-01-02金山云8/8
无法忍受旧版不兼容PHP7+主题 更换新主题
今天父亲节我们有没有陪伴家人一起吃个饭,还是打个电话问候一下。前一段时间同学将网站账户给我说可以有空更新点信息确保他在没有时间的时候还能保持网站有一定的更新内容。不过,他这个网站之前采用的主题也不知道来源哪里,总之各种不合适,文件中很多都是他多年来手工修改的主题拼接的,并非完全适应WordPress已有的函数,有些函数还不兼容最新的PHP版本,于是每次出现问题都要去排查。于是和他商量后,就抽时间把...
PQ.hosting全线9折,1Gbps带宽不限流量VPS/€3/月,全球11大机房可选
Hostadvice主机目录对我们的服务进行了测试,然后给PQ.hosting颁发了十大WordPress托管奖。为此,宣布PQ.Hosting将在一周内进行折扣优惠,购买和续订虚拟服务器使用优惠码:Hostadvice ,全部优惠10%。PQ.hosting,国外商家,成天于2019年,正规公司,是全球互联网注册商协会 RIPE 的成员。主要是因为提供1Gbps带宽、不限流量的基于KVM虚拟的V...
iWebFusion:独立服务器月付57美元起/5个机房可选,10Gbps服务器月付149美元起
iWebFusion(iWFHosting)在部落分享过很多次了,这是成立于2001年的老牌国外主机商H4Y旗下站点,提供的产品包括虚拟主机、VPS和独立服务器租用等等,其中VPS主机基于KVM架构,数据中心可选美国洛杉矶、北卡、本德、蒙蒂塞洛等。商家独立服务器可选5个不同机房,最低每月57美元起,而大流量10Gbps带宽服务器也仅149美元起。首先我们分享几款常规服务器配置信息,以下机器可选择5...
iproute为你推荐
-
sqlserver数据库SQL SERVER数据库是可以做什么用的?易名网诚询,易名网注册的域名怎么转到喜欢的网页上啊?小型汽车网上自主编号申请机动车自主选号有几种办法瞄准的拼音穿越火线枪战王者辅助瞄准什么意思狙击辅助tumblr上不去我家里的网络打不开个别网站三五互联南京最专业的网站建设公司是哪家?双尚网络做的好不好? 给分求答案厦门三五互联科技股份有限公司厦门三五互联科技股份有限公司怎么样?123456hd有很多App后面都有hd是什么意思美国独立美国是什么时候独立的?地址栏图标网站在地址栏显示的图标,是怎么显示出来的