金融云专线/VPN网络接入介绍

1.网络接入架构

                      图1—专线模式


          图2—VPN模式


如果采用专线接入，请确认您的机构端是否符合下列情形：
1）机构与支付宝已有专线链路连接
阿里云原则上支持您复用该链路，需要您按照“网络接入流程”中提交工单进行ACL开通
2）机构与阿里云已有专线链路连接
阿里云支持您复用该链路，需要您按照“网络接入流程”中提交工单进行ACL开通
3）机构与阿里云没有任何专线链路连接
请您在工单中咨询阿里云专线接入点信息（您在开通ECS后才能提交此类工单），由机构联系运营商进行相关询价及施工到阿里云机房，阿里云不收取任何费用


如果采用VPN接入，对您的VPN设备和网络有下列要求
1）确保您的机构有互联网出口
2）设备型号需支持IPSec协议
3）VPN参数信息如下
Phase1：                                            
Perform key exchange : 3des                        
Perform date : md5                                  
Use DH : group 2                                    
Renegotiate IKE time : 720 minutes (即43200s)      

Phase2:                                            
Perform ipsec date : 3des                          
Perform date : md5                                  
Use perfect forward secret                          
Use DH : group 2                                    
Renegotiate IKE time : 5400 seconds


2.网络接入流程




STEP1:下载表格
1）登录 http://www.aliyun.com/ 进入行业云->金融云->部署上云 页面
2）在部署上云第5步，“选择您的机构业务接入方式”中，按照接入方式，选择相应表格进行下载。机构和阿里云之间通过专线连接的，请选择“专线接入申请”进行表格下载；VPN接入的则选择“IPSec VPN接入申请”




STEP2：发起工单
1）登录工单系统 :http://workorder.aliyun.com/add.htm
2）按照下图进行勾选提交，添加问题描述，将第一步的需求表格作为附件进行上传





STEP3：阿里网工反馈
1)阿里网工响应时间
•24小时内接单，按照经验，3-5工作日完成专线联调，5-7工作日完成VPN联调，具体时间取决于机构侧和云盾防火墙的配置效率
2）阿里网工反馈内容，均为表格中黄色标识内容
•应用调用云端服务VIP，机构侧应用调用云端资源时，访问该VIP
•机构出口防火墙映射的NAT_IP，机构网工需要将机构侧的真实服务器IP映射成NAT_IP，阿里云云盾防火墙需要授权该NAT_IP访问ECS对应端口


                      图3—机构与阿里云的调用关系


STEP4：防火墙策略策略配置
用户收到网工反馈后，按照下列策略进行防火墙设置，方能实现整个链路的网络通信
1）机构侧防火墙策略进行如下设置，由机构网工操作
打开机构侧真实IP到NAT_IP的防火墙策略
2）阿里云侧ECS防火墙策略进行如下设置，由阿里云账号所有者进行操作
在云盾防火墙上设置如下规则

• 【规则一】 授权NAT_IP访问ECS服务端口；授权10.139.144.0/24网段访问ECS服务端口（必须配置）
• 【规则二】 允许NAT_IP ping访问；允许10.139.144.0/24网段ping访问（必须配置）

注意：源地址需要授权NAT IP和10.139.144.0/24，否则网络不通


   2.2）配置【规则二】，开通icmp协议，授权ping访问，通过jar小工具进行配置，命令行工具下载地址
       2.2.1）在云盾防火墙中获取默认安全组名称，如下图



       2.2.2）在您可以连接互联网的工作电脑（而不是ECS）上打开jar工具，执行下列命令操作
登录命令行工具
java -jar aliyuncs.jar -id <您的Access Key ID>-secret <您的Access KeySecret> -service ECS:2013-01-10
注：Access Key ID和Access Key Secret可以在阿里云官网 -> “用户中心” ->“我的服务” -> “安全认证”中找到；其中 ECS:2013-01-10为常量，无需替换

允许源地址ping安全组中的服务器
AuthorizeSecurityGroup SecurityGroupId=G1803064809490796,IpProtocol=icmp,PortRange=-1/-1,SourceCidrIp=10.139.144.0/24,NicType=intranet,RegionId=cn-hangzhou-dg-a01
注：替换红色内容，将SourceCidrIp替换成你需要授权访问的IP（即为前面定义的NAT_IP和10.139.144.0/24）；SecurityGroupId成您的默认安全组ID；RegionId当ECS位于杭州节点时代入hangzhou-dg-a01，位于青岛时代入cn-qingdao-cm5-a01
更多ECSAPI调用请参考《ECS-API-Reference-Full》手册
http://help.aliyun.com/view/11108189_13555701.html?spm=5176.7114037.1996646101.1.WO3GZC


注意：源地址SourceCidrIp需要授权NAT IP和10.139.144.0/24，否则网络不通


STEP5：联调
1）联调方式：
从真实服务器上telnet对端服务IP和端口
2）问题排查
从您的客户端telnet阿里云服务端口不通怎么办？
在您的机房出口路由器上打开日志记录功能，查看信息是否已到达出口路由器，如果没有到达，请检查您的防火墙策略，如果已经到达，检查您的云服务器上防火墙是否打开，如果确认已打开，联系阿里网工进行排查。
路由设备打开日志方式如下：
（1）写好日志记录acl
ipaccess-list extended test-log permit ipany any log
（2）应用到双方互联专线接口上Interface Gx/x(根据实际情况）
ipaccess-group in  ipaccess-group out
（3）打开终端显示Terminal monitor
（4）从您的业务主机上telnet 阿里云的ECS服务器地址，可看到贵行的数据有没有正确的进入互联专线