• 阿里云与中国区Azure IPSec对接实战分享

    前言

    本文介绍阿里云与中国区Azure IPSec互连的一些前期准备工作、如何配置以及注意事项等内容。

    准备工作

     

    账号权限准备

    如果您没有阿里云和azure的主账号,可以使用RAM用户登录;

    在阿里云这边,需要确保有VPN网关的配置权限,最好有CEN、VPC的配置或查看权限;

    在Azure这边,可以将账号角色设置为网络管理员。

    阿里云和Azure需要互通的网段

    例如阿里云测为10.1.0.0/16,Azure为172.16.0.0/16

    阿里云建立IPSecVPN的方式

    可以使用VPN网关,或者是转发路由器,如果使用转发路由器,需要是企业版的路由器才可以,普通版不支持,需要提工单升级到企业版;

    本文档将以VPN网关为例进行演示。

    Azure SKU的选择

    如果没有特别高带宽的要求,选择第一代基本的SKU就可以了。

    01

    配置的细节(阿里云)

    • VPN网关的实例名称:例如to-azure-vpngateway(可修改)
    • VPN网关所在的地域和可用区:选择当前业务所在可用区即可
    • VPN网关所在的VPC:VPN网关类似一台网络设备,需要配置所在的VPC,如果您只有1个VPC,可放在里面,如果有多个,可以根据情况选择
    • VPN网关的带宽规格:建议先选择最低的即可,后续可以随时升级
    • VPN网关的计费周期:视情况选择
    • 用户网关的实例名称:例如azure-usergateway
    • 用户网关的IP地址:这里需要在Azure 虚拟网络网关中创建后才会有此IP
    • IPSec连接的名称:例如aliyun-to-azure
    • 路由模式:推荐使用目的路由模式
    • 预共享密钥:生成一个复杂的密码
    • IKE协议的选择:推荐使用IKEv2
    • IKE加密与认证算法:视情况选择,但需与Azure匹配
    • IKE的DH分组:视情况选择,但需与Azure匹配
    • SA生存周期:视情况选择,但需与Azure匹配
    • IPSec加密与认证算法:视情况选择,但需与Azure匹配
    • DH分组:可选disabled,因为Azure基本的SKU不支持

    02

    配置的细节(Azure)

    • VPN网关的实例名称:例如to-aliyun-vpngateway(不可修改,如果要修改只能删除重新配置)
    • VPN网关所在的地域和可用区:选择当前业务所在可用区即可
    • VPN网关所在的VPC:推荐创建一个新的VPC,只给VPN网关使用
    • VPN网关的带宽规格:按量计费的,不能选择
    • 本地网络网关名称:例如aliyun-usergateway,和阿里的用户网关是一样的
    • 用户网关的IP地址:在阿里云中创建后才有此IP
    • IPSec连接的名称:例如azure-to-aliyun
    • 路由模式:推荐使用目的路由模式
    • 预共享密钥:生成一个复杂的密码
    • IKE协议的选择:推荐使用IKEv2
    • IKE加密与认证算法:视情况选择,但需与Aliyun匹配
    • IKE的DH分组:视情况选择,但需与Aliyun匹配
    • SA生存周期:视情况选择,但需与Aliyun匹配
    • IPSec加密与认证算法:视情况选择,但需与Aliyun匹配
    • DH分组:可选disabled,因为Azure基本的SKU不支持

    阿里云配置

    01

    创建VPN网关

    1. 填写之前准备的配置项后点立即购买

    2. 等待创建完成后会有IP地址,在Azure端配置本地网络网关时会用到

    3. 完成

    02

    创建用户网关

    1. 需要先在Azure中创建虚拟网关再设置

    2. 创建用户网关

    3. 完成

    03

    配置IPSec连接

    1. 编辑IPSec连接,配置名称等信息

    2. IKE与IPSec配置

    3. DPD与NAT穿越保持默认开启

    4. 完成

    04

    在VPN网关中配置目的路由

    1. 点击VPN网关进入,选择「目的路由表」

    2. 点击「添加路由条目」

    3. 将此路由发布到CEN中(可选)

    如果您只有1个VPC,此步骤可忽略

    如果您的VPC是关联到CEN中的,其他VPC也需要访问到Azure,则需要将路由发布到CEN

    如果您没有使用CEN,但有多个VPC,则需要配置VPC的对等连接

    Azure配置

    01

    创建虚拟网络网关

    1. 创建虚拟网络网关

    2. 继续点击下一步,等待创建完成,大约需要10-20分钟

     

    02

    创建本地网络网关

    1. 填写基本设置

    2. 点击下一步等待创建完成

    03

    创建IPSec连接

    1. 点击前面创建的虚拟网络网关,点击进入,选择「连接」,点击「添加」

    2. 进行以下配置

    • 名称:to-aliyun-vpngateway
    • 连接类型:站点到站点(IPsec)
    • 虚拟网络网关和本地网络网关选择之前配置的

    3. 创建后Azure会使用默认的IPSec/IKE策略,但是在实际创建时,会有协商不起来的情况,推荐手动再调整一下IPSec/IKE策略,如下图的示例

    04

    配置路由与对等互连

    由于Azure的虚拟网络网关是单独的VNet,其他的VNet中的虚拟机如果要和阿里云互通,还需要配置对等互连

    1. 进入虚拟网关所在的虚拟网络,点击「对等互连」开始配置
    2. 在此虚拟网络的设置下的「虚拟网络网关」,选择「使用此虚拟网络的网关」
    3. 在远程虚拟网络的配置下的「虚拟网络网关」选择「使用远程虚拟网络的网关」
    4. 完成

    注意事项

    Azure AKU的选择

    由于SKU的差价较大,如果对IPSec的速度要求不高,可以选择基本类型的网关,可参考下图

    另外不同的SKU的加密算法不同,但基本的已经够用了

    Azure的名称设置

    例如虚拟网络网关、本地网络网关以及IPSec连接等设置,由于设置后不可更改,所以建议事先就规划好,否则需要删除重建,并且关联性较强,一些设置需要取消关联,删除再创建,再关联才行,比较麻烦

    阿里云的名称有很多是可以配置后再修改的,不需要删除重建

    VPN无法建立的排查方法

    通常情况下,只需查看IKE、IPSec的加密参数,务必要确保两边一致

    修改的参数后,可以在阿里云侧将建立模式改为被动,进行保存,再改为主动,再保存即可重新发起连接

    «
    »
以专业成就每一位客户,让企业IT只为效果和安全买单

以专业成就每一位客户,让企业IT只为效果和安全买单