需求說明
將公司內網和阿里云內網,通過vpn site to site方式連接起來。只要在公司無論連接有線還是無線的情況下,都可以不需要配置任何客戶端工具連接到阿里云vpc的生產,準生產,測試環境服務器以及管理后臺。但是連接數據庫需要單獨在電腦配置VPN客戶端工具。
網絡環境說明
公司網絡(網關設備華為ASG2100,硬件):
無線網絡:192.168.88.0/24
有線網絡:192.168.66.0/24
阿里云網絡(VPN網關,軟件):
生產環境:192.168.10.0/24
準生產環境:192.168.20.0/24
測試環境:192.168.30.0/24
數據庫:192.168.40.0/24
阿里云配置
阿里云VPN購買流程參考:
https://help.aliyun.com/document_detail/52812.html?spm=
5176.doc52811.6.543.eyiO4X#VPNconnection
(1)VPN網關之后,創建VPN連接:按照需求輸入VPN連接需要使用的VPN網關,選擇用戶網關,輸入本端網段和對端網段;然后就是配置IKE和IPSec信息。

(2)創建的VPN連接:需要配置阿里云所有網段到公司所有網段的連接。(參照第一步進行配置,僅修改本端網段和對端網段地址以及名稱即可)

(3)設置路由:配置阿里云流量到公司有線和無線網絡下一跳地址都是VPN網關的地址。

至此阿里云VPN配置就完成了
華為路由器配置
注意:如果華為IKE協商參數出現阿里云IKE沒有的參數,那么需要咨詢阿里云售后進行咨詢。我配置過程中一直都是阿里云的IKE參數少于華為的IKE參數。
(1)IKE階段一配置,所有信息和阿里云IKE配置保持一致

(2)IKE階段2配置:所有配置和阿里云保持一致

(3)配置IPSec:需要配置公司有線和無線網段到阿里云三個環境(生產、準生產、測試)的連接信息,并應用到外網接口

(4)添加到阿里云網段的靜態路由,目的地址選擇阿里云網段,下一條選擇vpn網關地址。

(5)配置公司內網到阿里云的流量不需要做NAT轉換,其余所有網段都通過公司外網出口進行NAT轉換。

至此華為設備配置VPN完成
驗證連接建立
配置完成之后,華為和阿里云會自動發送協商報文進行VPN連接建立,VPN連接建立后查看華為設備的監控列表,如果出現SA已經建立連接,那么說明VPN隧道搭建成功,可以進行ping測試,如果ping測試成功就表示阿里云到公司的VPN是搭建成功的。

排錯思路
(1)VPN 連接建立不成功
VPN連接建立失敗的原因,基本都是阿里云和華為設備IKE協商失敗,詳細檢查IKE配置參數即可。
(2)VPN連接建立成功,但是沒有加密流量通過
1、阿里云到公司流量沒有配置下一條路由
2、公司到阿里云流量沒有配置下一條路由
3、公司到阿里云流量進行了NAT轉換