背景:现有网络通过专线与阿里云打通,目前需要做一个备份线路,由于预算受限,目前通过网关建立IPSEC,启用BGP开启路由自动学习(功能),阿里官网的示例为Cisco,笔者使用的设备为H3C与Huawei,此篇文章将介绍通过H3C如何与阿里云VPN网关建立IPsec隧道。
ipsec是啥?
可参考华为官方文档:IPSEC-说明
阿里云IPsec的两种模式
感兴趣流模式:
手工方式和IKE自动协商方式建立的IPSec隧道是由ACL来指定要保护的数据流范围,筛选出需要进入IPSec隧道的报文,ACL规则允许(permit)的报文将被保护,未匹配任何permit规则的报文将不被保护。这种方式可以利用ACL的丰富配置功能,根据IP地址、端口、协议类型等对报文进行过滤进而灵活制定IPSec的保护方法。
目的路由模式(加密所有进入Tunne口的流量):
通过IPSec虚拟隧道接口建立IPSec隧道,将所有路由到IPSec虚拟隧道接口的报文都进行IPSec保护,根据该路由的目的地址确定哪些数据流需要IPSec保护。其中IPSec虚拟隧道接口是一种三层逻辑接口。
路由方式具有以下优点:
通过路由将需要IPSec保护的数据流引到虚拟隧道接口,不需使用ACL定义待加/解密的流量特征,简化了IPSec配置的复杂性。
支持动态路由协议。
通过GRE over IPSec支持对组播流量的保护。
阿里云相关配置:
{
"LocalSubnet": "0.0.0.0/0",
"RemoteSubnet": "0.0.0.0/0",
"IpsecConfig": {
"IpsecPfs": "group2",
"IpsecEncAlg": "aes",
"IpsecAuthAlg": "sha1",
"IpsecLifetime": 86400
},
"Remote": "1.1.1.1.",
"Local": "2.2.2.2",
"IkeConfig": {
"IkeAuthAlg": "sha1",
"LocalId": "1.1.1.1",
"IkeEncAlg": "aes",
"IkeVersion": "ikev1",
"IkeMode": "main",
"IkeLifetime": 86400,
"RemoteId": "1.1.1.1",
"Psk": "******",
"IkePfs": "group2"
}
}
将网关学习到的路由不通告给VBR,避免路由异常
云企业网 → 云企业网实例 → 地域tr实例 → 转发路由器路由表 → 路由策略 → 添加路由策略
将网关上学习到的路由通告到至CEN中
阿里云验证配置:
!](https://img-blog.csdnimg.cn/889a52aa29dc4de68f4bbddcec05a146.png)
H3C配置
ike keychain abc
pre-shared-key address 8.218.52.214 255.255.255.255 key cipher 123.com
ike proposal 12
encryption-algorithm aes-cbc-128
dh group2
ike profile abc
keychain abc
local-identity address 156.254.120.8
match remote identity address 8.218.52.214 255.255.255.255
proposal 12
ipsec transform-set abc
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
pfs dh-group
ipsec profile abc isakmp
transform-set abc
ike-profile abc
interface Tunnel100 mode ipsec
ip address 169.254.10.2 255.255.255.252
source 156.254.120.8
destination 8.218.52.214
tunnel protection ipsec profile abc
H3C验证配置
dis ike sa
dis ipsec sa brief
dis bgp peer ipv4
华为的配置可参考:HUAWEI-基于路由的IPSEC