金山iproute
iproute 时间:2021-04-14 阅读:()
122222333445556668目录目录目录一IPSecVPN对接VPC架1.
1支持架构二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
2客户侧软件对接金山云硬件接入VPC2.
3全客户自定义接入VPC三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考4.
1OPENSWAN环境部署4.
2部署客户侧OPENSWAN对接金山云VPC4.
2.
1创建并配置GRE隧道4.
2.
2创建业务路由4.
2.
3.
配置OPENSWAN4.
2.
4.
启动服务并检查连通性4.
3全客户自定义接入VPC配置参考五GREOverIPSec对接参数参考目录2018-01-02金山云1/8一IPSecVPN对接VPC架一IPSecVPN对接VPC架1.
1支持架构1.
1支持架构金山云通过以下二种IPSecVPN接入方法为客户提供GREOverIPsecSiteToSiteIPsecIPSecOverGRE因为有些厂商的实现方式有差异,故暂不提供该种方式.
连接拓扑如下:二IPSecVPN典型接入场景二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
1客户使用硬件接入金山云VPC金山云以及接入客户双方都使用硬件设备对接VPN.
客户侧VPN连接除上图给出的与业务网段直接连接之外,也可以是传统路由到达HARDWAREVPN.
流量经由VPN设备通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
2客户侧软件对接金山云硬件接入VPC2.
2客户侧软件对接金山云硬件接入VPCDXIPSecVPN接入说明2018-01-02金山云2/8此方法用于解决客户侧VPN设备无法支持IPSecOverGRE或GREOverIPSec时接入金山云VPC.
此方法逻辑与纯硬件相同,只是将客户HARDWAREVPN设备所处位置替换(或并排增加)为一台X86服务器(或虚拟机).
流量经由OPENSWAN软件通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
3全客户自定义接入VPC2.
3全客户自定义接入VPC此方法为,客户侧与金山云侧都使用VPN软件进行接入.
客户在金山云VPC内开设一台独立的、拥有公网EIP的VM,并安装客户所需的VPN软件(客户自行决定与配置).
客户侧可以是VPN软件或与金山云VM所装VPN软件兼容的硬件对接IPSecVPN.
或者客户可以在金山云流量经由客户侧设备(软件/硬件)发送至金山云VPNVM(软件)转发至客户在金山云的VPC内.
反向流量相同(需配置VPC内的主机路由).
三硬件VPN接入VPC配置参考三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考由于客户侧接入设备厂商无法确定,以下配置参考为金山云侧硬件设备典型配置.
客户可根据金山侧配置配合客户对应的厂商进行相关配置(金山云侧提供的模板为CISCOASR1K设备配置).
以下为典型IPSecOverGRE金山云侧配置:DXIPSecVPN接入说明2018-01-02金山云3/8cryptokeyringTO-CUSTOMER-KEYpre-shared-keyaddressA.
B.
C.
DkeyPASSWORD//A.
B.
C.
D为客户设备公网地址,PASSWORD为对接域共享密钥!
cryptoisakmppolicy10encraesauthenticationpre-sharegroup2//默认使用AES128加密算法,认证使用域共享密钥,DH-GROUP为2(1024)cryptoisakmpprofileTO-CUSTOMER-ISAKMP-PROFILEkeyringTO-CUSTOMER-KEYmatchidentityaddressA.
B.
C.
D255.
255.
255.
255!
cryptoipsectransform-setTO-CUSTOMER-TRANSFORMesp-aesesp-sha-hmacmodetunnel//配置为隧道模式!
cryptoipsecprofileTO-CUSTOMER-IPSEC-PROFILEsettransform-setTO-CUSTOMER-TRANSFORMsetisakmp-profileTO-CUSTOMER-ISAKMP-PROFILE!
interfaceTunnel0descriptionTO-CUSTOMER-TUNNEL-BY-IPSECipaddress198.
18.
104.
1255.
255.
255.
252load-interval30tunnelsourceD.
C.
B.
Atunnelmodeipsecipv4tunneldestinationA.
B.
C.
DtunnelprotectionipsecprofileTO-CUSTOMER-IPSEC-PROFILE//配置隧道接口点到点地址,D.
C.
B.
A为金山侧公网地址,A.
B.
C.
D为客户侧公网地址四客户侧软件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考此方法客户侧软件为固定的OPENSWAN,提供的OPENSWAN配置已经在LAB环境里通过测试.
4.
1OPENSWAN环境部署4.
1OPENSWAN环境部署关于OPENSWAN安装以及配置环境要求如下:*服务器运行CentOS7.
X,LinuxKernel版本大于等于3.
6*YUMUPDATE服务器软件包至最新版本*通过YUM源安装最新版本的OPENSWAN(更名后为LIBRESWAN)*关闭IPTABLES(firewalld)如需要开启,需要放行UDP500/4500以及相应路由添加以下内容至/etc/sysctl.
conf文件net.
ipv4.
ip_forward=1net.
ipv4.
conf.
default.
rp_filter=0net.
ipv4.
conf.
default.
accept_redirects=0net.
ipv4.
conf.
default.
secure_redirects=0net.
ipv4.
conf.
default.
send_redirects=0完成添加后执行sysctl–p重新加载以上修改的内核参数完成OPENSWAN安装后,使用以下步骤针对安装结果进行检查DXIPSecVPN接入说明2018-01-02金山云4/8systemctlstartipsecipsecverify两条命令执行完成后输出类似下图代表部署正常4.
2部署客户侧OPENSWAN对接金山云VPC4.
2部署客户侧OPENSWAN对接金山云VPC基于OPENSWAN配置IPSecOverGRE大致分为以下内容基于LINUX创建并配置GRE隧道基于LINUX创建相应数据路由(客户DC内部路由/金山云VPC内路由)配置OPENSWAN对接VPN参数启动服务检查结果4.
2.
1创建并配置GRE隧道4.
2.
1创建并配置GRE隧道以ROOT权限登录LINUX,并完成以下指令iptunneladdto-cloudmodegrelocalA.
B.
C.
DremoteD.
C.
B.
A//to-cloud为GRE接口名,A.
B.
C.
D为客户侧OPENSWAN公网地址,D.
C.
B.
A为金山云侧公网地址ipaddradd198.
18.
104.
2/30devto-cloud//to-cloud为被配置接口名,198.
18.
104.
2/30为GRE接口IP地址iplinksetdevto-cloudup//配置GRE接口to-cloud的状态为UP4.
2.
2创建业务路由4.
2.
2创建业务路由根据需求配置LINUX路由至客户DC内部以及金山云VPC内部.
以下实例为客户DC网段172.
16.
1.
0/24,金山云VPC内网段192.
168.
1.
0/24.
iprouteadd172.
16.
1.
0/24via10.
34.
1.
1//172.
16.
1.
0/24为业务网段,10.
34.
1.
1为去往业务网段的下一跳.
如业务网段直接连接在OPENSWAN服务器上,此路由可不添加.
iprouteadd192.
168.
1.
0/24devto-cloud//192.
168.
1.
0/24为金山云VPC内网段,to-cloud为去往金山云VPC的IPSecOverGRE接口.
DXIPSecVPN接入说明2018-01-02金山云5/84.
2.
3.
配置OPENSWAN4.
2.
3.
配置OPENSWANOPENSWAN配置分别在以下两个文件内/etc/ipsec.
conf//VPN配置参数文件,VPN相关对接参数都在此处/etc/ipsec.
secrets//密钥文件,用于存放域共享密钥配置ipsec.
conf文件connIPSec-Over-GREtype=tunnelauthby=secretleft=A.
B.
C.
D//OPENSWAN服务器公网地址leftsubnets={172.
16.
1.
0/24,198.
18.
104.
1/32}//加密流量,本地业务网段和GRE隧道接口地址leftnexthop=%defaultrouteright=D.
C.
B.
A//金山云侧公网地址rightsubnets={192.
168.
1.
0/24,198.
18.
104.
2/32}//加密流量,金山云业务网段和GRE隧道接口地址rightnexthop=%defaultrouteike=aes128-sha1;modp1024//IKE使用AES128,HASHSHA1,DHGROPU2ikelifetime=86400ssalifetime=3600sesp=aes128-sha1pfs=noauto=start配置ipsec.
secrets文件D.
C.
B.
AA.
B.
C.
D:PSK"kingsoft"//A.
B.
C.
D为OPENSWAN服务器公网地址,D.
C.
B.
A为金山云侧公网地址,密钥kingsoft.
主要密钥需要双引号4.
2.
4.
启动服务并检查连通性4.
2.
4.
启动服务并检查连通性完成以上配置后,使用systemctlrestartipsec指令重启ipsec服务.
使用ipsecstatus|grepactive命令,输出结果active数量应该与加密业务段对数一致.
测试业务网段端到端连通性.
4.
3全客户自定义接入VPC配置参考4.
3全客户自定义接入VPC配置参考此方案客户侧和金山云侧VPNVM都由客户自行配置调通.
客户侧自行配置路由DC到金山云侧路由,并在控制台添加客户侧业务网段路由至VPNVM.
具体步骤如下登录控制台,网络->虚拟私有网络->找到对应的VPC,点击进入VPC->路由->新建->选择主机路由,目标网段为客户侧业务网段,下方选择VPNVM主机->新建完成操作过程见如下截图:DXIPSecVPN接入说明2018-01-02金山云6/8DXIPSecVPN接入说明2018-01-02金山云7/8五GREOverIPSec对接参数参考五GREOverIPSec对接参数参考参数类型参数类型参数值参数值VPN接入方式GREOverIPSec认证方式预共享密钥(客户提供)IKE模式MainmodeDHGROUP2(1024)加密方式AES128HASH方式SHA1IKE存活时间86400sSA存活时间3600sPFS关闭IPSec模式Tunnelmode感兴趣流针对与GREtunnel的流量做加密DXIPSecVPN接入说明2018-01-02金山云8/8
1支持架构二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
2客户侧软件对接金山云硬件接入VPC2.
3全客户自定义接入VPC三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考4.
1OPENSWAN环境部署4.
2部署客户侧OPENSWAN对接金山云VPC4.
2.
1创建并配置GRE隧道4.
2.
2创建业务路由4.
2.
3.
配置OPENSWAN4.
2.
4.
启动服务并检查连通性4.
3全客户自定义接入VPC配置参考五GREOverIPSec对接参数参考目录2018-01-02金山云1/8一IPSecVPN对接VPC架一IPSecVPN对接VPC架1.
1支持架构1.
1支持架构金山云通过以下二种IPSecVPN接入方法为客户提供GREOverIPsecSiteToSiteIPsecIPSecOverGRE因为有些厂商的实现方式有差异,故暂不提供该种方式.
连接拓扑如下:二IPSecVPN典型接入场景二IPSecVPN典型接入场景2.
1客户使用硬件接入金山云VPC2.
1客户使用硬件接入金山云VPC金山云以及接入客户双方都使用硬件设备对接VPN.
客户侧VPN连接除上图给出的与业务网段直接连接之外,也可以是传统路由到达HARDWAREVPN.
流量经由VPN设备通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
2客户侧软件对接金山云硬件接入VPC2.
2客户侧软件对接金山云硬件接入VPCDXIPSecVPN接入说明2018-01-02金山云2/8此方法用于解决客户侧VPN设备无法支持IPSecOverGRE或GREOverIPSec时接入金山云VPC.
此方法逻辑与纯硬件相同,只是将客户HARDWAREVPN设备所处位置替换(或并排增加)为一台X86服务器(或虚拟机).
流量经由OPENSWAN软件通过IPSecOverGRE或GREOverIPSec隧道发送至金山云VPC侧.
反向流量相同.
2.
3全客户自定义接入VPC2.
3全客户自定义接入VPC此方法为,客户侧与金山云侧都使用VPN软件进行接入.
客户在金山云VPC内开设一台独立的、拥有公网EIP的VM,并安装客户所需的VPN软件(客户自行决定与配置).
客户侧可以是VPN软件或与金山云VM所装VPN软件兼容的硬件对接IPSecVPN.
或者客户可以在金山云流量经由客户侧设备(软件/硬件)发送至金山云VPNVM(软件)转发至客户在金山云的VPC内.
反向流量相同(需配置VPC内的主机路由).
三硬件VPN接入VPC配置参考三硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考3.
1纯硬件VPN接入VPC配置参考由于客户侧接入设备厂商无法确定,以下配置参考为金山云侧硬件设备典型配置.
客户可根据金山侧配置配合客户对应的厂商进行相关配置(金山云侧提供的模板为CISCOASR1K设备配置).
以下为典型IPSecOverGRE金山云侧配置:DXIPSecVPN接入说明2018-01-02金山云3/8cryptokeyringTO-CUSTOMER-KEYpre-shared-keyaddressA.
B.
C.
DkeyPASSWORD//A.
B.
C.
D为客户设备公网地址,PASSWORD为对接域共享密钥!
cryptoisakmppolicy10encraesauthenticationpre-sharegroup2//默认使用AES128加密算法,认证使用域共享密钥,DH-GROUP为2(1024)cryptoisakmpprofileTO-CUSTOMER-ISAKMP-PROFILEkeyringTO-CUSTOMER-KEYmatchidentityaddressA.
B.
C.
D255.
255.
255.
255!
cryptoipsectransform-setTO-CUSTOMER-TRANSFORMesp-aesesp-sha-hmacmodetunnel//配置为隧道模式!
cryptoipsecprofileTO-CUSTOMER-IPSEC-PROFILEsettransform-setTO-CUSTOMER-TRANSFORMsetisakmp-profileTO-CUSTOMER-ISAKMP-PROFILE!
interfaceTunnel0descriptionTO-CUSTOMER-TUNNEL-BY-IPSECipaddress198.
18.
104.
1255.
255.
255.
252load-interval30tunnelsourceD.
C.
B.
Atunnelmodeipsecipv4tunneldestinationA.
B.
C.
DtunnelprotectionipsecprofileTO-CUSTOMER-IPSEC-PROFILE//配置隧道接口点到点地址,D.
C.
B.
A为金山侧公网地址,A.
B.
C.
D为客户侧公网地址四客户侧软件VPN接入VPC配置参考四客户侧软件VPN接入VPC配置参考此方法客户侧软件为固定的OPENSWAN,提供的OPENSWAN配置已经在LAB环境里通过测试.
4.
1OPENSWAN环境部署4.
1OPENSWAN环境部署关于OPENSWAN安装以及配置环境要求如下:*服务器运行CentOS7.
X,LinuxKernel版本大于等于3.
6*YUMUPDATE服务器软件包至最新版本*通过YUM源安装最新版本的OPENSWAN(更名后为LIBRESWAN)*关闭IPTABLES(firewalld)如需要开启,需要放行UDP500/4500以及相应路由添加以下内容至/etc/sysctl.
conf文件net.
ipv4.
ip_forward=1net.
ipv4.
conf.
default.
rp_filter=0net.
ipv4.
conf.
default.
accept_redirects=0net.
ipv4.
conf.
default.
secure_redirects=0net.
ipv4.
conf.
default.
send_redirects=0完成添加后执行sysctl–p重新加载以上修改的内核参数完成OPENSWAN安装后,使用以下步骤针对安装结果进行检查DXIPSecVPN接入说明2018-01-02金山云4/8systemctlstartipsecipsecverify两条命令执行完成后输出类似下图代表部署正常4.
2部署客户侧OPENSWAN对接金山云VPC4.
2部署客户侧OPENSWAN对接金山云VPC基于OPENSWAN配置IPSecOverGRE大致分为以下内容基于LINUX创建并配置GRE隧道基于LINUX创建相应数据路由(客户DC内部路由/金山云VPC内路由)配置OPENSWAN对接VPN参数启动服务检查结果4.
2.
1创建并配置GRE隧道4.
2.
1创建并配置GRE隧道以ROOT权限登录LINUX,并完成以下指令iptunneladdto-cloudmodegrelocalA.
B.
C.
DremoteD.
C.
B.
A//to-cloud为GRE接口名,A.
B.
C.
D为客户侧OPENSWAN公网地址,D.
C.
B.
A为金山云侧公网地址ipaddradd198.
18.
104.
2/30devto-cloud//to-cloud为被配置接口名,198.
18.
104.
2/30为GRE接口IP地址iplinksetdevto-cloudup//配置GRE接口to-cloud的状态为UP4.
2.
2创建业务路由4.
2.
2创建业务路由根据需求配置LINUX路由至客户DC内部以及金山云VPC内部.
以下实例为客户DC网段172.
16.
1.
0/24,金山云VPC内网段192.
168.
1.
0/24.
iprouteadd172.
16.
1.
0/24via10.
34.
1.
1//172.
16.
1.
0/24为业务网段,10.
34.
1.
1为去往业务网段的下一跳.
如业务网段直接连接在OPENSWAN服务器上,此路由可不添加.
iprouteadd192.
168.
1.
0/24devto-cloud//192.
168.
1.
0/24为金山云VPC内网段,to-cloud为去往金山云VPC的IPSecOverGRE接口.
DXIPSecVPN接入说明2018-01-02金山云5/84.
2.
3.
配置OPENSWAN4.
2.
3.
配置OPENSWANOPENSWAN配置分别在以下两个文件内/etc/ipsec.
conf//VPN配置参数文件,VPN相关对接参数都在此处/etc/ipsec.
secrets//密钥文件,用于存放域共享密钥配置ipsec.
conf文件connIPSec-Over-GREtype=tunnelauthby=secretleft=A.
B.
C.
D//OPENSWAN服务器公网地址leftsubnets={172.
16.
1.
0/24,198.
18.
104.
1/32}//加密流量,本地业务网段和GRE隧道接口地址leftnexthop=%defaultrouteright=D.
C.
B.
A//金山云侧公网地址rightsubnets={192.
168.
1.
0/24,198.
18.
104.
2/32}//加密流量,金山云业务网段和GRE隧道接口地址rightnexthop=%defaultrouteike=aes128-sha1;modp1024//IKE使用AES128,HASHSHA1,DHGROPU2ikelifetime=86400ssalifetime=3600sesp=aes128-sha1pfs=noauto=start配置ipsec.
secrets文件D.
C.
B.
AA.
B.
C.
D:PSK"kingsoft"//A.
B.
C.
D为OPENSWAN服务器公网地址,D.
C.
B.
A为金山云侧公网地址,密钥kingsoft.
主要密钥需要双引号4.
2.
4.
启动服务并检查连通性4.
2.
4.
启动服务并检查连通性完成以上配置后,使用systemctlrestartipsec指令重启ipsec服务.
使用ipsecstatus|grepactive命令,输出结果active数量应该与加密业务段对数一致.
测试业务网段端到端连通性.
4.
3全客户自定义接入VPC配置参考4.
3全客户自定义接入VPC配置参考此方案客户侧和金山云侧VPNVM都由客户自行配置调通.
客户侧自行配置路由DC到金山云侧路由,并在控制台添加客户侧业务网段路由至VPNVM.
具体步骤如下登录控制台,网络->虚拟私有网络->找到对应的VPC,点击进入VPC->路由->新建->选择主机路由,目标网段为客户侧业务网段,下方选择VPNVM主机->新建完成操作过程见如下截图:DXIPSecVPN接入说明2018-01-02金山云6/8DXIPSecVPN接入说明2018-01-02金山云7/8五GREOverIPSec对接参数参考五GREOverIPSec对接参数参考参数类型参数类型参数值参数值VPN接入方式GREOverIPSec认证方式预共享密钥(客户提供)IKE模式MainmodeDHGROUP2(1024)加密方式AES128HASH方式SHA1IKE存活时间86400sSA存活时间3600sPFS关闭IPSec模式Tunnelmode感兴趣流针对与GREtunnel的流量做加密DXIPSecVPN接入说明2018-01-02金山云8/8
修罗云50元/月起香港大宽带NAT VPS,香港沙田建站2核2G5M仅70元/月起
修罗云怎么样?修罗云是一家国内老牌商家,修罗云商家以销售NAT机器起家,国内的中转机相当不错,给的带宽都非常高,此前推荐的也都是国内NAT VPS机器。今天,云服务器网(www.yuntue.com)小编主要介绍一下修罗云的香港云服务器,适合建站,香港沙田cn2云服务器,2核2G,5M带宽仅70元/月起,同时香港香港大带宽NAT VPS低至50元/月起,性价比不错,可以尝试一下!点击进入:修罗云官...
ZJI(月付480元),香港阿里云专线服务器
ZJI是成立于2011年原Wordpress圈知名主机商—维翔主机,2018年9月更名为ZJI,主要提供香港、日本、美国独立服务器(自营/数据中心直营)租用及VDS、虚拟主机空间、域名注册业务。本月商家针对香港阿里云线路独立服务器提供月付立减270-400元优惠码,优惠后香港独立服务器(阿里云专线)E3或者E5 CPU,SSD硬盘,最低每月仅480元起。阿里一型CPU:Intel E5-2630L...
Spinservers:美国独立服务器(圣何塞),$111/月
spinservers是Majestic Hosting Solutions,LLC旗下站点,主营美国独立服务器租用和Hybrid Dedicated等,spinservers这次提供的大硬盘、大内存服务器很多人很喜欢。TheServerStore自1994年以来,它是一家成熟的企业 IT 设备供应商,专门从事二手服务器和工作站业务,在德克萨斯州拥有40,000 平方英尺的仓库,库存中始终有数千台...
iproute为你推荐
-
现有新的ios更新可用请从ios14be苹果总是提醒:现有新的ios可用,请从ios13bate版更新,怎么关闭啊?thinkphpthinkPHP怎么样呢抢米网怎么样才能在小米官方网站抢到手机?小型汽车网上自主编号申请成都新车上牌办理流程和办理条件是如何的厦门三五互联科技股份有限公司厦门三五互联科技股份有限公司广州分公司 待遇怎么样啊,电话营销的可信网站网站备案了,还要验证可信网站吗?他们有什么区别3g手机有哪些什么样的手机属于3G手机?oa办公软件价格一套专业版的oa办公系统多少钱?谷歌新漏洞安卓上黑客给你发一个MP4代码短信手机就会被控制的那个漏洞现在谷歌有出第二段补丁吗?商务软件电子商务平台有哪些