阿里云
发表主题 回复主题
  • 15414阅读
  • 6回复

金融云专线/VPN网络接入介绍

发帖
53
云币
183
1.网络接入架构 jdP2Pf^^  
234p9A@  
                      图1—专线模式 Xq4O@V  
R-wp9^  
^6x%*/l|  
          图2—VPN模式 K g*Q  
"!P3R1;%  
Ib!RD/  
如果采用专线接入,请确认您的机构端是否符合下列情形: Y Uc+0  
1)机构与支付宝已有专线链路连接 @IKYh{j4  
阿里原则上支持您复用该链路,需要您按照“网络接入流程”中提交工单进行ACL开通 ;;Y! ^^g  
2)机构与阿里云已有专线链路连接 6- YU[HF  
阿里云支持您复用该链路,需要您按照“网络接入流程”中提交工单进行ACL开通 !TH) +zi  
3)机构与阿里云没有任何专线链路连接 I|!OY`ko  
请您在工单中咨询阿里云专线接入点信息(您在开通ECS后才能提交此类工单),由机构联系运营商进行相关询价及施工到阿里云机房,阿里云不收取任何费用 h&iC;yj=  
TqQB@-!  
#MkTkm&r  
如果采用VPN接入,对您的VPN设备和网络有下列要求 <nf@U>wlw  
1)确保您的机构有互联网出口 &B;~  
2)设备型号需支持IPSec协议 ;d$rdFA_  
3)VPN参数信息如下 octL"t8w  
Phase1:                                             ]cvwIc">  
Perform key exchange : 3des                         >uB?rGcM  
Perform date : md5                                   8`{:MkXP  
Use DH : group 2                                     ,Vax&n+J  
Renegotiate IKE time : 720 minutes (即43200s)       2.y-48Nz  
iVr JQ  
Phase2:                                             bWS&Yk(  
Perform ipsec date : 3des                           3`?7 <YJ  
Perform date : md5                                   7z,C}-q  
Use perfect forward secret                           `[yKFa I  
Use DH : group 2                                     V &T~zh1  
Renegotiate IKE time : 5400 seconds w.o@7|B1N  
S@tLCqV4  
 > |=ts  
2.网络接入流程 {TROoX~H?  
E&w7GZNt  
G!##X: 6'  
n8[!pH~6  
t}4, ]m s  
STEP1:下载表格 ,qwuLBW  
1)登录 http://www.aliyun.com/ 进入行业云->金融云->部署上云 页面 ATyEf5Id_  
2)在部署上云第5步,“选择您的机构业务接入方式”中,按照接入方式,选择相应表格进行下载。机构和阿里云之间通过专线连接的,请选择“专线接入申请”进行表格下载;VPN接入的则选择“IPSec VPN接入申请” j;r-NCBnz  
4_lrg|X1  
q?:dCFw$x5  
; 2#y7!  
~ Iuf}D;  
STEP2:发起工单 c6]U E@A  
1)登录工单系统 :http://workorder.aliyun.com/add.htm 0mVNQxHI  
2)按照下图进行勾选提交,添加问题描述,将第一步的需求表格作为附件进行上传 gJ{)-\  
ajT*/L!0_  
} OR+Io  
\)[j_^  
?V=ZIGj  
w9imKVry  
STEP3:阿里网工反馈 xo&_bMO  
1)阿里网工响应时间 b%`1cV  
24小时内接单,按照经验,3-5工作日完成专线联调,5-7工作日完成VPN联调,具体时间取决于机构侧和云盾防火墙的配置效率 gf@:R'$:+  
2)阿里网工反馈内容,均为表格中黄色标识内容 ObS3 M  
应用调用云端服务VIP,机构侧应用调用云端资源时,访问该VIP ITBE|b  
机构出口防火墙映射的NAT_IP,机构网工需要将机构侧的真实服务器IP映射成NAT_IP,阿里云云盾防火墙需要授权该NAT_IP访问ECS对应端口 G` A4|+W"  
EVSX.'&f  
tNI^@xdim1  
                      图3—机构与阿里云的调用关系 cT,sh~-x,  
A/s?x>QA  
t*u:hex  
STEP4:防火墙策略策略配置 SnfYT)Ph  
用户收到网工反馈后,按照下列策略进行防火墙设置,方能实现整个链路的网络通信 7$=In K  
1)机构侧防火墙策略进行如下设置,由机构网工操作 2ilQXy  
打开机构侧真实IP到NAT_IP的防火墙策略 F41=b4/  
2)阿里云侧ECS防火墙策略进行如下设置,由阿里云账号所有者进行操作 pnOAs&QAm  
在云盾防火墙上设置如下规则 eauF ~md,  
  • 【规则一】 授权NAT_IP访问ECS服务端口;授权10.139.144.0/24网段访问ECS服务端口(必须配置)
  • 【规则二】 允许NAT_IP ping访问;允许10.139.144.0/24网段ping访问(必须配置)
Y3b *a".X  
   2.1)配置【规则一】,授权端口访问 %u'u kcL7  
新建一个安全(不要在默认安全组下进行),配置云盾防火墙 ?tbrbkx  
1云账号登录 http://www.aliyun.com/,选择“管理控制台->产品服务->云盾->服务详情->-安全管家->防火墙管理” p5iuYHKk?  
2、点击“创建安全组”,新建立一个应用安全组 %h@EP[\  
在“安全组属性”中输入“安全组名称”和“安全组描述” ga+dt  
在“所属服务器”中添加需要应用安全组策略的服务器 a~w$#fo"`f  
在“入站规则”中授权源地址访问该安全组中服务器的服务端口。 W6Fo6a"<  
7. oM J  
注意:源地址需要授权NAT IP和10.139.144.0/24,否则网络不通 [W&T(%(W-  
Zy/_ E@C}u  
7[)E>XRE  
   2.2)配置【规则二】,开通icmp协议,授权ping访问,通过jar小工具进行配置,命令行工具下载地址 aliyuncs-clt.zip (19 K) 下载次数:863 [(lW^-  
       2.2.1)在云盾防火墙中获取默认安全组名称,如下图 ]/v[8dS(l  
JZ x[W&]zT  
9* M,R,y  
x%B%f`]8  
       2.2.2)在您可以连接互联网的工作电脑(而不是ECS)上打开jar工具,执行下列命令操作 2,b$7xaf  
登录命令行工具 I?CZQ+}Hq  
java -jar aliyuncs.jar -id <您的Access Key ID>-secret <您的Access KeySecret> -service ECS:2013-01-10 L4W5EO$  
注:Access Key IDAccess Key Secret可以在阿里云官网 -> “用户中心” ->“我的服务” -> “安全认证中找到;其中 ECS:2013-01-10为常量,无需替换 ;$4\e)AB  
1% `Rs  
允许源地址ping安全组中的服务器 wCBplaojJ  
AuthorizeSecurityGroup SecurityGroupId=G1803064809490796,IpProtocol=icmp,PortRange=-1/-1,SourceCidrIp=10.139.144.0/24,NicType=intranet,RegionId=cn-hangzhou-dg-a01 (bS&D/N.  
注:替换红色内容,将SourceCidrIp替换成你需要授权访问的IP(即为前面定义的NAT_IP和10.139.144.0/24);SecurityGroupId成您的默认安全组ID;RegionId当ECS位于杭州节点时代入hangzhou-dg-a01,位于青岛时代入cn-qingdao-cm5-a01 ~} ~4  
更多ECSAPI调用请参考《ECS-API-Reference-Full》手册 +}AI@+  
http://help.aliyun.com/view/11108189_13555701.html?spm=5176.7114037.1996646101.1.WO3GZC ;^L(^Hx  
h(DTa  
omx=  
注意:源地址SourceCidrIp需要授权NAT IP和10.139.144.0/24,否则网络不通 fz_r7?  
*-X[u:  
c71y'hnT  
STEP5:联调 :`sUt1Fw.  
1)联调方式: HzJz+ x:  
从真实服务器上telnet对端服务IP和端口 %C]>9."  
2)问题排查 zH r_!~  
从您的客户端telnet阿里云服务端口不通怎么办? Lw,h+@0  
在您的机房出口路由器上打开日志记录功能,查看信息是否已到达出口路由器,如果没有到达,请检查您的防火墙策略,如果已经到达,检查您的云服务器上防火墙是
否打开,如果确认已打开,联系阿里网工进行排查。 x{n=;JD  
路由设备打开日志方式如下: zQ PQ  
(1)写好日志记录acl =_^X3z0  
ipaccess-list extended test-log permit ipany any log ar,7S&s H  
(2)应用到双方互联专线接口上Interface Gx/x(根据实际情况) XWw804ir  
ipaccess-group in  ipaccess-group out /9X7A;O  
(3)打开终端显示Terminal monitor 7zc^!LrW<  
(4)从您的业务主机上telnet 阿里云的ECS服务器地址,可看到贵行的数据有没有正确的进入互联专线 iy"*5<;*DD  
b,@/!ia  
HaYo!.(Fv  
>Q*Wi  
F'Z,]b'st3  
AQ Ojit6p  
Ys7]B9/1O  
7EJ+c${e.-  
GvAb`c=  
H?w6C):]  
Y:`&=wjP~  
Gw` L"  
X3& Jb2c2  
vQ.R{!",>  
#&4=VGx{ #  
1;iUWU1@  
(k P9hcV  
Ort(AfW  
OTv)  
F"kAkX>3}  
EX"yxZ~  
9H~n _   
[ 此帖被飞飞helen在2014-07-22 17:25重新编辑 ]
级别: 小白
发帖
14
云币
14
只看该作者 沙发  发表于: 2014-05-14
Re金融云网络接入介绍
式”中,按照接入方式,选择相应表格进行下载。如果系统有灾备架构,选择后缀有“适用云灾备”的excel表格进行填写 [B3RfCV{  
级别: 小白
发帖
3
云币
8
只看该作者 板凳  发表于: 2014-06-13
Re金融云专线/VPN网络接入介绍
对以上内容有什么不清晰或不了解的,欢迎大家提意见
级别: 新人
发帖
2
云币
2
只看该作者 地板  发表于: 2015-07-10
Re金融云专线/VPN网络接入介绍
我想问下,表格里面的各项内容都如何填写? 不应该给个像银行类似的模板出来吗?
级别: 新人
发帖
2
云币
2
只看该作者 4楼 发表于: 2015-07-10
Re金融云专线/VPN网络接入介绍
没表达清楚,我的意思是这类表格,不应该给个图片,类似于银行开户那种填写表格的时候工作人员会给你个类似于模板类的表格出来
级别: 新人
发帖
4
云币
4
只看该作者 5楼 发表于: 2015-11-08
Re金融云专线/VPN网络接入介绍
专线接入方案中,客户侧IP为何是阿里云分配的?仍然需要配置VPN?
级别: 新人
发帖
12
云币
15
只看该作者 6楼 发表于: 2015-11-10
Re金融云专线/VPN网络接入介绍
深圳金融云VPC何时能支持VPN?
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 83 + 11 = ?
上一个 下一个