金山iproute
iproute 时间:2021-04-14 阅读:()
122222333445556668目录目录目录一IPSecVPN对接VPC架1.
1支持架构二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
2客户侧软件对接金山云硬件接入VPC2.
3全客户自定义接入VPC三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考4.
1OPENSWAN环境部署4.
2部署客户侧OPENSWAN对接金山云VPC4.
2.
1创建并配置GRE隧道4.
2.
2创建业务路由4.
2.
3.
配置OPENSWAN4.
2.
4.
启动服务并检查连通性4.
3全客户自定义接入VPC配置参考五GREOverIPSec对接参数参考目录2018-01-02金山云1/8一IPSecVPN对接VPC架一IPSecVPN对接VPC架1.
1支持架构1.
1支持架构金山云通过以下二种IPSecVPN接入方法为客户提供GREOverIPsecSiteToSiteIPsecIPSecOverGRE因为有些厂商的实现方式有差异,故暂不提供该种方式.
连接拓扑如下:二IPSecVPN典型接入场景二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
1客户使用硬件接入金山云VPC金山云以及接入客户双方都使用硬件设备对接VPN.
客户侧VPN连接除上图给出的与业务网段直接连接之外,也可以是传统路由到达HARDWAREVPN.
流量经由VPN设备通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
2客户侧软件对接金山云硬件接入VPC2.
2客户侧软件对接金山云硬件接入VPCDXIPSecVPN接入说明2018-01-02金山云2/8此方法用于解决客户侧VPN设备无法支持IPSecOverGRE或GREOverIPSec时接入金山云VPC.
此方法逻辑与纯硬件相同,只是将客户HARDWAREVPN设备所处位置替换(或并排增加)为一台X86服务器(或虚拟机).
流量经由OPENSWAN软件通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
3全客户自定义接入VPC2.
3全客户自定义接入VPC此方法为,客户侧与金山云侧都使用VPN软件进行接入.
客户在金山云VPC内开设一台独立的、拥有公网EIP的VM,并安装客户所需的VPN软件(客户自行决定与配置).
客户侧可以是VPN软件或与金山云VM所装VPN软件兼容的硬件对接IPSecVPN.
或者客户可以在金山云流量经由客户侧设备(软件/硬件)发送至金山云VPNVM(软件)转发至客户在金山云的VPC内.
反向流量相同(需配置VPC内的主机路由).
三硬件VPN接入VPC配置参考三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考由于客户侧接入设备厂商无法确定,以下配置参考为金山云侧硬件设备典型配置.
客户可根据金山侧配置配合客户对应的厂商进行相关配置(金山云侧提供的模板为CISCOASR1K设备配置).
以下为典型IPSecOverGRE金山云侧配置:DXIPSecVPN接入说明2018-01-02金山云3/8cryptokeyringTO-CUSTOMER-KEYpre-shared-keyaddressA.
B.
C.
DkeyPASSWORD//A.
B.
C.
D为客户设备公网地址,PASSWORD为对接域共享密钥!
cryptoisakmppolicy10encraesauthenticationpre-sharegroup2//默认使用AES128加密算法,认证使用域共享密钥,DH-GROUP为2(1024)cryptoisakmpprofileTO-CUSTOMER-ISAKMP-PROFILEkeyringTO-CUSTOMER-KEYmatchidentityaddressA.
B.
C.
D255.
255.
255.
255!
cryptoipsectransform-setTO-CUSTOMER-TRANSFORMesp-aesesp-sha-hmacmodetunnel//配置为隧道模式!
cryptoipsecprofileTO-CUSTOMER-IPSEC-PROFILEsettransform-setTO-CUSTOMER-TRANSFORMsetisakmp-profileTO-CUSTOMER-ISAKMP-PROFILE!
interfaceTunnel0descriptionTO-CUSTOMER-TUNNEL-BY-IPSECipaddress198.
18.
104.
1255.
255.
255.
252load-interval30tunnelsourceD.
C.
B.
Atunnelmodeipsecipv4tunneldestinationA.
B.
C.
DtunnelprotectionipsecprofileTO-CUSTOMER-IPSEC-PROFILE//配置隧道接口点到点地址,D.
C.
B.
A为金山侧公网地址,A.
B.
C.
D为客户侧公网地址四客户侧软件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考此方法客户侧软件为固定的OPENSWAN,提供的OPENSWAN配置已经在LAB环境里通过测试.
4.
1OPENSWAN环境部署4.
1OPENSWAN环境部署关于OPENSWAN安装以及配置环境要求如下:*服务器运行CentOS7.
X,LinuxKernel版本大于等于3.
6*YUMUPDATE服务器软件包至最新版本*通过YUM源安装最新版本的OPENSWAN(更名后为LIBRESWAN)*关闭IPTABLES(firewalld)如需要开启,需要放行UDP500/4500以及相应路由添加以下内容至/etc/sysctl.
conf文件net.
ipv4.
ip_forward=1net.
ipv4.
conf.
default.
rp_filter=0net.
ipv4.
conf.
default.
accept_redirects=0net.
ipv4.
conf.
default.
secure_redirects=0net.
ipv4.
conf.
default.
send_redirects=0完成添加后执行sysctl–p重新加载以上修改的内核参数完成OPENSWAN安装后,使用以下步骤针对安装结果进行检查DXIPSecVPN接入说明2018-01-02金山云4/8systemctlstartipsecipsecverify两条命令执行完成后输出类似下图代表部署正常4.
2部署客户侧OPENSWAN对接金山云VPC4.
2部署客户侧OPENSWAN对接金山云VPC基于OPENSWAN配置IPSecOverGRE大致分为以下内容基于LINUX创建并配置GRE隧道基于LINUX创建相应数据路由(客户DC内部路由/金山云VPC内路由)配置OPENSWAN对接VPN参数启动服务检查结果4.
2.
1创建并配置GRE隧道4.
2.
1创建并配置GRE隧道以ROOT权限登录LINUX,并完成以下指令iptunneladdto-cloudmodegrelocalA.
B.
C.
DremoteD.
C.
B.
A//to-cloud为GRE接口名,A.
B.
C.
D为客户侧OPENSWAN公网地址,D.
C.
B.
A为金山云侧公网地址ipaddradd198.
18.
104.
2/30devto-cloud//to-cloud为被配置接口名,198.
18.
104.
2/30为GRE接口IP地址iplinksetdevto-cloudup//配置GRE接口to-cloud的状态为UP4.
2.
2创建业务路由4.
2.
2创建业务路由根据需求配置LINUX路由至客户DC内部以及金山云VPC内部.
以下实例为客户DC网段172.
16.
1.
0/24,金山云VPC内网段192.
168.
1.
0/24.
iprouteadd172.
16.
1.
0/24via10.
34.
1.
1//172.
16.
1.
0/24为业务网段,10.
34.
1.
1为去往业务网段的下一跳.
如业务网段直接连接在OPENSWAN服务器上,此路由可不添加.
iprouteadd192.
168.
1.
0/24devto-cloud//192.
168.
1.
0/24为金山云VPC内网段,to-cloud为去往金山云VPC的IPSecOverGRE接口.
DXIPSecVPN接入说明2018-01-02金山云5/84.
2.
3.
配置OPENSWAN4.
2.
3.
配置OPENSWANOPENSWAN配置分别在以下两个文件内/etc/ipsec.
conf//VPN配置参数文件,VPN相关对接参数都在此处/etc/ipsec.
secrets//密钥文件,用于存放域共享密钥配置ipsec.
conf文件connIPSec-Over-GREtype=tunnelauthby=secretleft=A.
B.
C.
D//OPENSWAN服务器公网地址leftsubnets={172.
16.
1.
0/24,198.
18.
104.
1/32}//加密流量,本地业务网段和GRE隧道接口地址leftnexthop=%defaultrouteright=D.
C.
B.
A//金山云侧公网地址rightsubnets={192.
168.
1.
0/24,198.
18.
104.
2/32}//加密流量,金山云业务网段和GRE隧道接口地址rightnexthop=%defaultrouteike=aes128-sha1;modp1024//IKE使用AES128,HASHSHA1,DHGROPU2ikelifetime=86400ssalifetime=3600sesp=aes128-sha1pfs=noauto=start配置ipsec.
secrets文件D.
C.
B.
AA.
B.
C.
D:PSK"kingsoft"//A.
B.
C.
D为OPENSWAN服务器公网地址,D.
C.
B.
A为金山云侧公网地址,密钥kingsoft.
主要密钥需要双引号4.
2.
4.
启动服务并检查连通性4.
2.
4.
启动服务并检查连通性完成以上配置后,使用systemctlrestartipsec指令重启ipsec服务.
使用ipsecstatus|grepactive命令,输出结果active数量应该与加密业务段对数一致.
测试业务网段端到端连通性.
4.
3全客户自定义接入VPC配置参考4.
3全客户自定义接入VPC配置参考此方案客户侧和金山云侧VPNVM都由客户自行配置调通.
客户侧自行配置路由DC到金山云侧路由,并在控制台添加客户侧业务网段路由至VPNVM.
具体步骤如下登录控制台,网络->虚拟私有网络->找到对应的VPC,点击进入VPC->路由->新建->选择主机路由,目标网段为客户侧业务网段,下方选择VPNVM主机->新建完成操作过程见如下截图:DXIPSecVPN接入说明2018-01-02金山云6/8DXIPSecVPN接入说明2018-01-02金山云7/8五GREOverIPSec对接参数参考五GREOverIPSec对接参数参考参数类型参数类型参数值参数值VPN接入方式GREOverIPSec认证方式预共享密钥(客户提供)IKE模式MainmodeDHGROUP2(1024)加密方式AES128HASH方式SHA1IKE存活时间86400sSA存活时间3600sPFS关闭IPSec模式Tunnelmode感兴趣流针对与GREtunnel的流量做加密DXIPSecVPN接入说明2018-01-02金山云8/8
1支持架构二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
2客户侧软件对接金山云硬件接入VPC2.
3全客户自定义接入VPC三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考4.
1OPENSWAN环境部署4.
2部署客户侧OPENSWAN对接金山云VPC4.
2.
1创建并配置GRE隧道4.
2.
2创建业务路由4.
2.
3.
配置OPENSWAN4.
2.
4.
启动服务并检查连通性4.
3全客户自定义接入VPC配置参考五GREOverIPSec对接参数参考目录2018-01-02金山云1/8一IPSecVPN对接VPC架一IPSecVPN对接VPC架1.
1支持架构1.
1支持架构金山云通过以下二种IPSecVPN接入方法为客户提供GREOverIPsecSiteToSiteIPsecIPSecOverGRE因为有些厂商的实现方式有差异,故暂不提供该种方式.
连接拓扑如下:二IPSecVPN典型接入场景二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
1客户使用硬件接入金山云VPC金山云以及接入客户双方都使用硬件设备对接VPN.
客户侧VPN连接除上图给出的与业务网段直接连接之外,也可以是传统路由到达HARDWAREVPN.
流量经由VPN设备通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
2客户侧软件对接金山云硬件接入VPC2.
2客户侧软件对接金山云硬件接入VPCDXIPSecVPN接入说明2018-01-02金山云2/8此方法用于解决客户侧VPN设备无法支持IPSecOverGRE或GREOverIPSec时接入金山云VPC.
此方法逻辑与纯硬件相同,只是将客户HARDWAREVPN设备所处位置替换(或并排增加)为一台X86服务器(或虚拟机).
流量经由OPENSWAN软件通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
3全客户自定义接入VPC2.
3全客户自定义接入VPC此方法为,客户侧与金山云侧都使用VPN软件进行接入.
客户在金山云VPC内开设一台独立的、拥有公网EIP的VM,并安装客户所需的VPN软件(客户自行决定与配置).
客户侧可以是VPN软件或与金山云VM所装VPN软件兼容的硬件对接IPSecVPN.
或者客户可以在金山云流量经由客户侧设备(软件/硬件)发送至金山云VPNVM(软件)转发至客户在金山云的VPC内.
反向流量相同(需配置VPC内的主机路由).
三硬件VPN接入VPC配置参考三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考由于客户侧接入设备厂商无法确定,以下配置参考为金山云侧硬件设备典型配置.
客户可根据金山侧配置配合客户对应的厂商进行相关配置(金山云侧提供的模板为CISCOASR1K设备配置).
以下为典型IPSecOverGRE金山云侧配置:DXIPSecVPN接入说明2018-01-02金山云3/8cryptokeyringTO-CUSTOMER-KEYpre-shared-keyaddressA.
B.
C.
DkeyPASSWORD//A.
B.
C.
D为客户设备公网地址,PASSWORD为对接域共享密钥!
cryptoisakmppolicy10encraesauthenticationpre-sharegroup2//默认使用AES128加密算法,认证使用域共享密钥,DH-GROUP为2(1024)cryptoisakmpprofileTO-CUSTOMER-ISAKMP-PROFILEkeyringTO-CUSTOMER-KEYmatchidentityaddressA.
B.
C.
D255.
255.
255.
255!
cryptoipsectransform-setTO-CUSTOMER-TRANSFORMesp-aesesp-sha-hmacmodetunnel//配置为隧道模式!
cryptoipsecprofileTO-CUSTOMER-IPSEC-PROFILEsettransform-setTO-CUSTOMER-TRANSFORMsetisakmp-profileTO-CUSTOMER-ISAKMP-PROFILE!
interfaceTunnel0descriptionTO-CUSTOMER-TUNNEL-BY-IPSECipaddress198.
18.
104.
1255.
255.
255.
252load-interval30tunnelsourceD.
C.
B.
Atunnelmodeipsecipv4tunneldestinationA.
B.
C.
DtunnelprotectionipsecprofileTO-CUSTOMER-IPSEC-PROFILE//配置隧道接口点到点地址,D.
C.
B.
A为金山侧公网地址,A.
B.
C.
D为客户侧公网地址四客户侧软件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考此方法客户侧软件为固定的OPENSWAN,提供的OPENSWAN配置已经在LAB环境里通过测试.
4.
1OPENSWAN环境部署4.
1OPENSWAN环境部署关于OPENSWAN安装以及配置环境要求如下:*服务器运行CentOS7.
X,LinuxKernel版本大于等于3.
6*YUMUPDATE服务器软件包至最新版本*通过YUM源安装最新版本的OPENSWAN(更名后为LIBRESWAN)*关闭IPTABLES(firewalld)如需要开启,需要放行UDP500/4500以及相应路由添加以下内容至/etc/sysctl.
conf文件net.
ipv4.
ip_forward=1net.
ipv4.
conf.
default.
rp_filter=0net.
ipv4.
conf.
default.
accept_redirects=0net.
ipv4.
conf.
default.
secure_redirects=0net.
ipv4.
conf.
default.
send_redirects=0完成添加后执行sysctl–p重新加载以上修改的内核参数完成OPENSWAN安装后,使用以下步骤针对安装结果进行检查DXIPSecVPN接入说明2018-01-02金山云4/8systemctlstartipsecipsecverify两条命令执行完成后输出类似下图代表部署正常4.
2部署客户侧OPENSWAN对接金山云VPC4.
2部署客户侧OPENSWAN对接金山云VPC基于OPENSWAN配置IPSecOverGRE大致分为以下内容基于LINUX创建并配置GRE隧道基于LINUX创建相应数据路由(客户DC内部路由/金山云VPC内路由)配置OPENSWAN对接VPN参数启动服务检查结果4.
2.
1创建并配置GRE隧道4.
2.
1创建并配置GRE隧道以ROOT权限登录LINUX,并完成以下指令iptunneladdto-cloudmodegrelocalA.
B.
C.
DremoteD.
C.
B.
A//to-cloud为GRE接口名,A.
B.
C.
D为客户侧OPENSWAN公网地址,D.
C.
B.
A为金山云侧公网地址ipaddradd198.
18.
104.
2/30devto-cloud//to-cloud为被配置接口名,198.
18.
104.
2/30为GRE接口IP地址iplinksetdevto-cloudup//配置GRE接口to-cloud的状态为UP4.
2.
2创建业务路由4.
2.
2创建业务路由根据需求配置LINUX路由至客户DC内部以及金山云VPC内部.
以下实例为客户DC网段172.
16.
1.
0/24,金山云VPC内网段192.
168.
1.
0/24.
iprouteadd172.
16.
1.
0/24via10.
34.
1.
1//172.
16.
1.
0/24为业务网段,10.
34.
1.
1为去往业务网段的下一跳.
如业务网段直接连接在OPENSWAN服务器上,此路由可不添加.
iprouteadd192.
168.
1.
0/24devto-cloud//192.
168.
1.
0/24为金山云VPC内网段,to-cloud为去往金山云VPC的IPSecOverGRE接口.
DXIPSecVPN接入说明2018-01-02金山云5/84.
2.
3.
配置OPENSWAN4.
2.
3.
配置OPENSWANOPENSWAN配置分别在以下两个文件内/etc/ipsec.
conf//VPN配置参数文件,VPN相关对接参数都在此处/etc/ipsec.
secrets//密钥文件,用于存放域共享密钥配置ipsec.
conf文件connIPSec-Over-GREtype=tunnelauthby=secretleft=A.
B.
C.
D//OPENSWAN服务器公网地址leftsubnets={172.
16.
1.
0/24,198.
18.
104.
1/32}//加密流量,本地业务网段和GRE隧道接口地址leftnexthop=%defaultrouteright=D.
C.
B.
A//金山云侧公网地址rightsubnets={192.
168.
1.
0/24,198.
18.
104.
2/32}//加密流量,金山云业务网段和GRE隧道接口地址rightnexthop=%defaultrouteike=aes128-sha1;modp1024//IKE使用AES128,HASHSHA1,DHGROPU2ikelifetime=86400ssalifetime=3600sesp=aes128-sha1pfs=noauto=start配置ipsec.
secrets文件D.
C.
B.
AA.
B.
C.
D:PSK"kingsoft"//A.
B.
C.
D为OPENSWAN服务器公网地址,D.
C.
B.
A为金山云侧公网地址,密钥kingsoft.
主要密钥需要双引号4.
2.
4.
启动服务并检查连通性4.
2.
4.
启动服务并检查连通性完成以上配置后,使用systemctlrestartipsec指令重启ipsec服务.
使用ipsecstatus|grepactive命令,输出结果active数量应该与加密业务段对数一致.
测试业务网段端到端连通性.
4.
3全客户自定义接入VPC配置参考4.
3全客户自定义接入VPC配置参考此方案客户侧和金山云侧VPNVM都由客户自行配置调通.
客户侧自行配置路由DC到金山云侧路由,并在控制台添加客户侧业务网段路由至VPNVM.
具体步骤如下登录控制台,网络->虚拟私有网络->找到对应的VPC,点击进入VPC->路由->新建->选择主机路由,目标网段为客户侧业务网段,下方选择VPNVM主机->新建完成操作过程见如下截图:DXIPSecVPN接入说明2018-01-02金山云6/8DXIPSecVPN接入说明2018-01-02金山云7/8五GREOverIPSec对接参数参考五GREOverIPSec对接参数参考参数类型参数类型参数值参数值VPN接入方式GREOverIPSec认证方式预共享密钥(客户提供)IKE模式MainmodeDHGROUP2(1024)加密方式AES128HASH方式SHA1IKE存活时间86400sSA存活时间3600sPFS关闭IPSec模式Tunnelmode感兴趣流针对与GREtunnel的流量做加密DXIPSecVPN接入说明2018-01-02金山云8/8
RAKsmart美国VPS上市,活动期间5折抢购仅$30,$1.99/月
RAKsmart机房将于7月1日~7月31日推出“年中大促”活动,多重惊喜供您选择;爆款I3-2120仅30美金秒杀、V4新品上市,活动期间5折抢购、爆款产品持续热卖、洛杉矶+硅谷+香港+日本站群恢复销售、G口不限流量产品超低价热卖。美国VPS、日本VPS及香港VPS享全场7折优惠;爆款VPS $ 1.99/月限量秒杀,10台/天,售完即止, VPS 7折优惠码:VPS-TP-disRAKsmar...
NameCheap优惠活动 新注册域名38元
今天上午有网友在群里聊到是不是有新注册域名的海外域名商家的优惠活动。如果我们并非一定要在国外注册域名的话,最近年中促销期间,国内的服务商优惠力度还是比较大的,以前我们可能较多选择海外域名商家注册域名在于海外商家便宜,如今这几年国内的商家价格也不贵的。比如在前一段时间有分享到几个商家的年中活动:1、DNSPOD域名欢购活动 - 提供域名抢购活动、DNS解析折扣、SSL证书活动2、难得再次关注新网商家...
DiyVM:50元/月起-双核,2G内存,50G硬盘,香港/日本/洛杉矶机房
DiyVM是一家比较低调的国人主机商,成立于2009年,提供VPS主机和独立服务器租用等产品,其中VPS基于XEN(HVM)架构,数据中心包括香港沙田、美国洛杉矶和日本大阪等,CN2或者直连线路,支持异地备份与自定义镜像,可提供内网IP。本月商家最高提供5折优惠码,优惠后香港沙田CN2线路VPS最低2GB内存套餐每月仅50元起。香港(CN2)VPSCPU:2cores内存:2GB硬盘:50GB/R...
iproute为你推荐
-
诊断sns操作httpinternalservererrorError 500--Internal Server Error如何解决?iproute两个独立局域网 互相访问。怎么做。cuteftp什么是CuteFTP?如何将网站内容上传(FTP)到网站空间?支付宝调整还款日月底30号用花呗到时候下个月什么时候还款?flashfxp下载怎么用flashFXP下载空间内容补贴eset刚刚网女友刚开始用震动棒很舒服身上抽搐时,她说疼不让用了,是真的疼还是太刺激她受不了?科创板首批名单2019年房产税试点城市名单