当前位置: 首页 > Linux > 正文

strongSwan IPSec

您可以通过在阿里云VPC内部署VPN网关,在本地IDC和阿里云VPC之间建立加密通信,构建混合云。

在使用VPN网关连接阿里云VPC和本地IDC时,不需要在本地IDC部署专用VPN硬件。阿里云VPN网关支持标准的IKE v1和IKE v2协议。因此,只要支持这两种协议的设备都可以和云上VPN网关互连,比如Cisco ASA、Juniper、SonicWall、Nokia、IBM 和 Ixia等。

本文以strongSwan软件为例介绍如何在本地IDC中加载VPN配置。本操作中作为示例的阿里云上的VPC网段是192.168.10.0/24,本地IDC的网段是172.16.2.0/24,本地IDC的网关设备公网IP地址是59.110.165.70。

前提条件

确保您已经在阿里云VPC内创建了VPN连接,详情参见VPC与本地IDC互连。本操作中下载的VPN配置如下表所示。

协议 配置 取值
IKE 认证算法 SHA-1
加密算法 AES-128
DH 分组 group 2
IKE 版本 IKE v1
生命周期 86400
协商模式 main
PSK 123456
IPsec 认证算法 SHA-1
加密算法 AES-128
DH 分组 group 2
IKE 版本 IKE v1
生命周期 86400
协商模式 esp

步骤一 安装strongSwan

说明:本操作以Centos7.3为例,其他操作系统的安装说明,参见strongSwan安装文档

  1. 运行以下命令安装strongSwan。# yum install strongswan
  2. 运行以下命查看安装的软件版本。# strongswan version

步骤二 配置strongSwan

  1. 运行以下命令打开ipsec.conf配置文件。
    1. # vi /etc/strongswan/ipsec.conf
  2. 参考以下配置,更改ipsec.conf的配置。
    1. # ipsec.conf - strongSwan IPsec configuration file
    2. # basic configuration
    3. config setup
    4. uniqueids=never
    5. conn %default
    6. authby=psk
    7. type=tunnel
    8. conn tomyidc
    9. keyexchange=ikev1
    10. left=59.110.165.70
    11. leftsubnet=172.16.2.0/24
    12. leftid=59.110.165.70IDC网关设备的公网IP
    13. right=119.23.227.125
    14. rightsubnet=192.168.10.0/24
    15. rightid=119.23.227.125VPN网关的公网IP
    16. auto=route
    17. ike=aes-sha1-modp1024
    18. ikelifetime=86400s
    19. esp=aes-sha1-modp1024
    20. lifetime=86400s
    21. type=tunnel
  3. 配置ipsec.secrets
    1. 运行以下命令打开配置文件。# vi /etc/strongswan/ipsec.secrets
    2. 添加如下配置。59.110.165.70 119.23.227.125 : PSK yourpassword
  4. 打开系统转发配置。# echo 1 > /proc/sys/net/ipv4/ip_forward更多场景配置样例,参见场景配置样例
  5. 执行以下命令启动strongSwan服务。# systemctl enable strongswan# systemctl start strongswan
  6. 设置IDC客户端到strongSwan网关及网关下行到客户端路由。

本文固定链接: http://t.yjsec.com/index.php/2018/05/11/556/ | 下一站

该日志由 admin 于2018年05月11日发表在 Linux 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: strongSwan IPSec | 下一站

strongSwan IPSec:等您坐沙发呢!

发表评论

快捷键:Ctrl+Enter