云服务器 vpn(公司阿里云VPN)

需求说明将公司内网和阿里云内网,通过vpn site to site方式连接起来。只要在公司无论连接有线还是无线的情况下,都可以不需要配置任何客户端工具连接到阿里云vpc的生产,准生产,测试环境服务器以及管理后台。但是连接数据库需要单独在电脑配置VPN客户端工具。网络环境说明公司网络(网关设备华为ASG2100,硬件):无线网络:192.168.88.0/24有线网络:192.168.66.0/24阿里云网络(VPN网关,软件):生产环境:192.168.10.0/24准生产环境:192.168.20.0/24测试环境:192.168.30.0/24数据库:192.168.40.0/24阿里云配置阿里云VPN购买流程参考:https://help.aliyun.com/document_detail/52812.html?spm=5176.doc52811.6.543.eyiO4X#VPNconnection(1)VPN网关之后,创建VPN连接:按照需求输入VPN连接需要使用的VPN网关,选择用户网关,输入本端网段和对端网段;然后就是配置IKE和IPSec信息。(2)创建的VPN连接:需要配置阿里云所有网段到公司所有网段的连接。(参照第一步进行配置,仅修改本端网段和对端网段地址以及名称即可)(3)设置路由:配置阿里云流量到公司有线和无线网络下一跳地址都是VPN网关的地址。至此阿里云VPN配置就完成了华为路由器配置注意:如果华为IKE协商参数出现阿里云IKE没有的参数,那么需要咨询阿里云售后进行咨询。我配置过程中一直都是阿里云的IKE参数少于华为的IKE参数。(1)IKE阶段一配置,所有信息和阿里云IKE配置保持一致(2)IKE阶段2配置:所有配置和阿里云保持一致(3)配置IPSec:需要配置公司有线和无线网段到阿里云三个环境(生产、准生产、测试)的连接信息,并应用到外网接口(4)添加到阿里云网段的静态路由,目的地址选择阿里云网段,下一条选择vpn网关地址。(5)配置公司内网到阿里云的流量不需要做NAT转换,其余所有网段都通过公司外网出口进行NAT转换。至此华为设备配置VPN完成验证连接建立配置完成之后,华为和阿里云会自动发送协商报文进行VPN连接建立,VPN连接建立后查看华为设备的监控列表,如果出现SA已经建立连接,那么说明VPN隧道搭建成功,可以进行ping测试,如果ping测试成功就表示阿里云到公司的VPN是搭建成功的。排错思路(1)VPN 连接建立不成功VPN连接建立失败的原因,基本都是阿里云和华为设备IKE协商失败,详细检查IKE配置参数即可。(2)VPN连接建立成功,但是没有加密流量通过1、阿里云到公司流量没有配置下一条路由2、公司到阿里云流量没有配置下一条路由3、公司到阿里云流量进行了NAT转换


本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.xiaosb.com/beian/37007/