如何建立一条私有云与公有云之间的虚拟专线

概述

专线,传统意义上的理解,就是拉一条专属线路,连接位于不同物理地区的设施。在网络中,有网络专线,需要向运营商申请购买。 价格不菲。

现状:由于目前大多数互联网公司的服务器集群多位于公有云之上,不管是在GCP、linux查看进程命令AWS、AlibabaCloud,还有一网络架构防火墙部分企业有自己的机房, 自己来维护管理云服务器。想象一下,如果你使用了多个公有云服务,或者一部分设施在云上,一部分在私有机房,如何打通这两处或者说 多地之间的网络呢?

解决方案

  • 申请物理专线;
  • 购买云服务商提供的VPN网关服务。
  • 自建

下面就说下如何自己建立条虚拟专线网络。

要求

  • 公有云 1台有外网网络安全法实施时间I网络安全密钥是什么P的云主机(简称 A地区)
  • 私有云内部 1台网络安全手抄报有外网IP的主机(简称 B地区)
  • 系统centolinux操作系统基础知识s/ubuntu,理论上ubuntu和linux的区别支持所以linux发行版(raspberry pi上我试验过也可以哈)
  • 网络防火墙之间需放行端口 UDP500 UDP4500

网络拓扑图

A/B两地之间的网络结构:

如何建立一条私有云与公有云之间的虚拟专线

虚拟专线拓扑图

Tips:如上图,vpn主机ubuntu关机命令是在两台 router之后,实际情况有一端是router内核本身支持(ipsec协议)、另一端是linux必学的60个命令nat后的自建主机的。

安装

以下步骤划分为A、B安装,同一软件(strongSwan),不同网络虚拟化功能最小单元是多少个配置。

A地区主机安装配置

1.安装 strongSwan软件,可参考本站相关文章如何使用Ansible快速建立一网络安全法实施时间个基于strongSwan的VPN服务

2.修改配置文件 ipsec.conf, 内容如下:

config setup
  uniqueids = no
#  char网络架构设计ondebug="all"
  charondebug="ike 2, knl 3, cfg 2"
conn a-to-b
  keyexchange=ikev1
  authby=secret
  type=tunn网络架构师el
  left=%defaultroute
  leftid=1.linux系统1.1.1
  right网络安全工程师=2.2.2.2
  le网络安全密钥是什么ftsubnet=172.16.linux系统0.0/16
  rightsubnet=172.18.0.0/16
  ike=aes128-sha1-modp2048!
  esp=aes128-sha1-modp2048!
  keyingtries=0
  ikelifetime=1h
  lifetime=8h
  dpddelay=30
  dpdtimeout=120
  dpdactlinux重启命令ion=restart
  auto=routubuntu和linux的区别e

针对几个配置选项注解下,详细可参考官网文档,或者本站其它相关文章: * right:对端路由器Public IP * rightsubnet:对端路由器后面的网络安全知识网段(又称兴趣流) * le网络架构图和拓扑图ftsubnet:本端的网段 * type:隧道类型

3.修改密钥认证文件/etc/ipsec.secret,在文件末尾添加一网络架构条secret记录

%any 2.2.2.2 : PSK "thisisatunnelpAsswWD"

4.重启服务

ipsecubuntu怎么读 restart

B地区主ubuntu和linux的区别机安装配置

1.安装 stron网络安全平台教育平台登录gSwan软件,可参考本站相关文章如何使用Ansible快速建立一个基于strongSwan的V网络架构设计PN服务

2.修改配置文件 /etc/ipsec.cubuntu怎么读onf(默认yum安装路径), 内容如下:

config setup
  uniqueids = no
conn b-to-a
  keyexchange=ikev1
  authby=secr网络安全法et
    left=%aubuntu安装ny
    right=2.2.2.2
    leftsubnet=172.18.0.网络安全知识内容0/16
    rightsubnet=172.16.0.0/16
    ikeubuntu=aes网络虚拟化的本质是128-sha1-modp2048!
    ikelif网络架构师工资一般多少etime=28800s
    esp=aes128-sha1-modp2048!
    keylife=3600s
    rekeymargin=540s
    type=tunnel
    compress=no
    keyingtries=%forever
  auto=route

3.修改密钥认证文件ubuntu20.04安装教程/etcubuntu和linux的区别/ipsec.secret,在文件末尾添加一条secret记录

%any 1.1.1.1 : PSK "thisisatunnelpAsswWD"

4.重启服务

ipsec restart

AB两地联调检查测试

1.A地 使用ipsec 查看连接情况

a-网络架构图to-b[65499]: ESTABLISHE网络架构图和拓扑图D 25 minutes ago, 1.1.1.1[1.1.1.1]...2.2.2.2[2.2.2.2]
a-to-b{1}:  INSTALLED, TUNNEL, ESP in UDP SPIs: cfc0bd7网络安全法2_i c69f89fd_o
a-to-b{1}:   172.16.0.0/16 === 172.18.0.0/16

2.B地 连接状态

Subuntu是什么操作系统ecurit网络虚拟化技术的特性包括y As网络安全平台教育平台登录sociations (1 up, 0 connecting):
ali-to-office[255]: ESTABLISHED 25 milinux系统nutes ago, 172.18.1.222[2.2.2.2]...1.1.1.1[1.1.1.1]
ali-to-office网络架构师工资一般多少{315}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c69f89网络虚拟化对大数据处理的意义f网络虚拟化的本质是d_i cfc0bd72网络架构是什么意思_o
ali-to网络虚拟化技术的特性包括-office{315}:   172.18.0.0/16 === 172.16.0.0/16

3.A地 ping B地区主机

# ping 172.18.1.164
PING 172.18.1.164 (172.18.1.164)网络安全平台教育平台登录 56(84) bytes of data.
64 byt网络虚拟化技术的特性包括es from 172.18.1.164linux必学的60个命令: icmp_req=1 ttl=6网络安全工程师3 t网络安全密钥是什么i网络虚拟化的本质是me=6.44 ms
64 bytes from 172.18.1.164: icmp_req=2 ttl网络架构工程师=63 time=6.36 ms
# traceroute 172.18.1.164
traceroute to 172.18.1.164 (172.18.1.164), 30 hopsubuntu分区 max, 38 byte packets
 1  172.18.1.222 (172.18.linux常用命令1.222)  6.270 ms  6.163 ms  6.065 ms
 2  172.18.1.164 (172.18.1.164)  6.398 ms  6.253 ms  6.网络虚拟化技术的特性包括421 ms

4.B地 ping Alinux命令地区主机

ping 172.16.193.21
PING 172.16.193.21 (172.16ubuntu命令.193.21) 56(84) bytes of data.
64 bytes from 172.16.193.21: icmp_seq=1 ttl=63 time=9.73 ms

其它配置

如果你不是使用推荐的方式安装st网络安全知识rongSwan,请参考下面的其它配置。

A地防火墙配置1: iptables配置(新增rules)

iptables -A网络安全知识 INPUT -m state --state RELATED,ES网络安全知识TABLISHED -j ACCEPT
iptables -A INP网络虚拟化技术的特性UT -i lo -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p eubuntu关机命令sp -j ACCEPT
iptables -A INPUT -i eth0 -p ah -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT
iptables -A INlinuxPUT -i eth0 -p udp -m udp --sport 4500 --dport 4500 -j ACCEPT
iptables -A INPUT -j REJECT --reject-with ilinuxcmp-host-prohibited
iptubuntu安装ables -A FORWARD -m stubuntu分区ate --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 172.18.0.0/16 -j ACCEPT
iptables -A FORWARD -j REJECT --reject-wilinux是什么操作系统th icmp-host-prohibited
i网络安全平台教育平台登录ptables -A POSTROUTING -t nat -s 172.18.0.0/16 -d 172.16.0.0/16 -j MASQUERADE

B地防火墙配置2: iptables配置(新增rules)

iptables -A INPUT -m网络安全知识内容 state --state RELATED,ESTABLISHED -j ACCEPT
iptab网络架构图les -A INPUT -i网络安全法开始施行的时间是 lo -ubuntu系统j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j A网络架构师培训CCEPT
iptables -A INP网络安全知识内容UT -i eth0 -p esp -j ACCEPT
iptables -A INPUT -i eth0 -p ah -j网络虚拟化的本质是 ACCEPT
iptables -A INPUT -i eth0 -p udp -m udp --sport 500 --dport 500 -j AC网络安全法CEPT
ipt网络架构图和拓扑图ables -A INPUT -i eth0 -p udp -m udp --sport 4500 --dporubuntu关机命令t 4500 -j ACCEPT
i网络架构图和拓扑图ptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
ipt网络安全法实施时间ables -A FORWAR网络虚拟化的实现方式D -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 172.16.192.0/23 -d 172.18.0.0/16 -j ACCEPT
iptables -A FORWARD -j REJECT --reject-with icmp-houbuntu安装st-prohibited
iptables -A POubuntu和linux的区别STROU网络架构师TING -t nat -s 17ubuntu系统2.16.0.0/16 -d 172.18.0.0/16 -j MASQUERADE

系统内核网络转发设置:A/B网络架构有哪些都要设置!

sysc网络虚拟化技术的特性tl -w net.ipv网络虚拟化技术的特性包括4.ip_no_pmtu_disc=1
sysctl -网络架构师工资一般多少w net.ipv4.ip_foubuntu安装rward=1

中途遇到的问题列表linux查看进程命令

  • 问题1. 两端成功建立了连接,B地 可以ping通A地主机,但A却无法ping通B提示: Destilinux重启命令nation Host Prohibite,另外在B地抓包,却看到了A地主机发来的icubuntu怎么读mp包,却没有reply的包网络安全平台教育平台登录。怀疑是防火墙问题。
# tcpdump -nni eth0 icmp
tcpdump: verbose output suppressed, use -v or -vv for f网络安全法实施时间ull protocol decode
l网络架构图istening on eth0, li网络架构工程师nk-type EN10MB (Ethernet), capture size 262144 bytes
17:4网络安全手抄报6:网络虚拟化的实现方式17.149502 IP 172.16.193.21 > 172.18.1ubuntu安装教程.164: ICMP echo request, id 31323, seq 84, length 64
17:46:19.155821 IP 172.16.193.21 > 172.18.1.164: ICMP echo request, id 31323, seq 86, length 64

尝试修改B地VPN主机上,把A地网络架构设计区的内网网段加入filter里并设置允许forward。即上面iptable网络虚拟化技术s配置ubuntu和linux的区别里倒数第2条规则。最后两边都通了。完美网络架构师工资一般多少

总结

调试过程中,尽量日网络架构设计志要详细一点!!! 建议先看服务器日志,再看客户端日志。