概述
专线,传统意义上的理解,就是拉一条专属线路,连接位于不同物理地区的设施。在网络中,有网络专线,需要向运营商申请购买。 价格不菲。
现状:由于目前大多数互联网公司的服务器集群多位于公有云之上,不管是在GCP、linux查看进程命令AWS、AlibabaCloud,还有一网络架构防火墙部分企业有自己的机房, 自己来维护管理云服务器。想象一下,如果你使用了多个公有云服务,或者一部分设施在云上,一部分在私有机房,如何打通这两处或者说 多地之间的网络呢?
解决方案
:
- 申请物理专线;
- 购买云服务商提供的VPN网关服务。
- 自建
下面就说下如何自己建立条虚拟专线网络。
要求
- 公有云 1台有外网网络安全法实施时间I网络安全密钥是什么P的云主机(简称 A地区)
- 私有云内部 1台网络安全手抄报有外网IP的主机(简称 B地区)
- 系统centolinux操作系统基础知识s/ubuntu,理论上ubuntu和linux的区别支持所以linux发行版(raspberry pi上我试验过也可以哈)
- 网络防火墙之间需放行端口 UDP500 UDP4500
网络拓扑图
A/B两地之间的网络结构:
虚拟专线拓扑图
Tips:如上图,vpn主机ubuntu关机命令是在两台 router之后,实际情况有一端是router内核本身支持(ipsec协议)、另一端是linux必学的60个命令nat后的自建主机的。
安装
以下步骤划分为A、B安装,同一软件(strongSwan),不同网络虚拟化功能最小单元是多少个配置。
A地区主机安装配置
1.安装 strongSwan软件,可参考本站相关文章如何使用Ansible快速建立一网络安全法实施时间个基于strongSwan的VPN服务
2.修改配置文件 ipsec.conf, 内容如下:
config setup uniqueids = no # char网络架构设计ondebug="all" charondebug="ike 2, knl 3, cfg 2" conn a-to-b keyexchange=ikev1 authby=secret type=tunn网络架构师el left=%defaultroute leftid=1.linux系统1.1.1 right网络安全工程师=2.2.2.2 le网络安全密钥是什么ftsubnet=172.16.linux系统0.0/16 rightsubnet=172.18.0.0/16 ike=aes128-sha1-modp2048! esp=aes128-sha1-modp2048! keyingtries=0 ikelifetime=1h lifetime=8h dpddelay=30 dpdtimeout=120 dpdactlinux重启命令ion=restart auto=routubuntu和linux的区别e
针对几个配置选项注解下,详细可参考官网文档,或者本站其它相关文章: * right:对端路由器Public IP * rightsubnet:对端路由器后面的网络安全知识网段(又称兴趣流) * le网络架构图和拓扑图ftsubnet:本端的网段 * type:隧道类型
3.修改密钥认证文件/etc/ipsec.secret,在文件末尾添加一网络架构条secret记录
%any 2.2.2.2 : PSK "thisisatunnelpAsswWD"
4.重启服务
ipsecubuntu怎么读 restart
B地区主ubuntu和linux的区别机安装配置
1.安装 stron网络安全平台教育平台登录gSwan软件,可参考本站相关文章如何使用Ansible快速建立一个基于strongSwan的V网络架构设计PN服务
2.修改配置文件 /etc/ipsec.cubuntu怎么读onf(默认yum安装路径), 内容如下:
config setup uniqueids = no conn b-to-a keyexchange=ikev1 authby=secr网络安全法et left=%aubuntu安装ny right=2.2.2.2 leftsubnet=172.18.0.网络安全知识内容0/16 rightsubnet=172.16.0.0/16 ikeubuntu=aes网络虚拟化的本质是128-sha1-modp2048! ikelif网络架构师工资一般多少etime=28800s esp=aes128-sha1-modp2048! keylife=3600s rekeymargin=540s type=tunnel compress=no keyingtries=%forever auto=route
3.修改密钥认证文件ubuntu20.04安装教程/etcubuntu和linux的区别/ipsec.secret,在文件末尾添加一条secret记录
%any 1.1.1.1 : PSK "thisisatunnelpAsswWD"
4.重启服务
ipsec restart
AB两地联调检查测试
1.A地 使用ipsec 查看连接情况
2.B地 连接状态
Subuntu是什么操作系统ecurit网络虚拟化技术的特性包括y As网络安全平台教育平台登录sociations (1 up, 0 connecting): ali-to-office[255]: ESTABLISHED 25 milinux系统nutes ago, 172.18.1.222[2.2.2.2]...1.1.1.1[1.1.1.1] ali-to-office网络架构师工资一般多少{315}: INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: c69f89网络虚拟化对大数据处理的意义f网络虚拟化的本质是d_i cfc0bd72网络架构是什么意思_o ali-to网络虚拟化技术的特性包括-office{315}: 172.18.0.0/16 === 172.16.0.0/16
3.A地 ping B地区主机
# ping 172.18.1.164 PING 172.18.1.164 (172.18.1.164)网络安全平台教育平台登录 56(84) bytes of data. 64 byt网络虚拟化技术的特性包括es from 172.18.1.164linux必学的60个命令: icmp_req=1 ttl=6网络安全工程师3 t网络安全密钥是什么i网络虚拟化的本质是me=6.44 ms 64 bytes from 172.18.1.164: icmp_req=2 ttl网络架构工程师=63 time=6.36 ms
# traceroute 172.18.1.164 traceroute to 172.18.1.164 (172.18.1.164), 30 hopsubuntu分区 max, 38 byte packets 1 172.18.1.222 (172.18.linux常用命令1.222) 6.270 ms 6.163 ms 6.065 ms 2 172.18.1.164 (172.18.1.164) 6.398 ms 6.253 ms 6.网络虚拟化技术的特性包括421 ms
4.B地 ping Alinux命令地区主机
ping 172.16.193.21 PING 172.16.193.21 (172.16ubuntu命令.193.21) 56(84) bytes of data. 64 bytes from 172.16.193.21: icmp_seq=1 ttl=63 time=9.73 ms
其它配置
如果你不是使用推荐的方式安装st网络安全知识rongSwan,请参考下面的其它配置。
A地防火墙配置1: iptables配置(新增rules)
iptables -A网络安全知识 INPUT -m state --state RELATED,ES网络安全知识TABLISHED -j ACCEPT iptables -A INP网络虚拟化技术的特性UT -i lo -j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT iptables -A INPUT -i eth0 -p eubuntu关机命令sp -j ACCEPT iptables -A INPUT -i eth0 -p ah -j ACCEPT iptables -A INPUT -i eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT iptables -A INlinuxPUT -i eth0 -p udp -m udp --sport 4500 --dport 4500 -j ACCEPT iptables -A INPUT -j REJECT --reject-with ilinuxcmp-host-prohibited iptubuntu安装ables -A FORWARD -m stubuntu分区ate --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s 172.18.0.0/16 -j ACCEPT iptables -A FORWARD -j REJECT --reject-wilinux是什么操作系统th icmp-host-prohibited i网络安全平台教育平台登录ptables -A POSTROUTING -t nat -s 172.18.0.0/16 -d 172.16.0.0/16 -j MASQUERADE
B地防火墙配置2: iptables配置(新增rules)
iptables -A INPUT -m网络安全知识内容 state --state RELATED,ESTABLISHED -j ACCEPT iptab网络架构图les -A INPUT -i网络安全法开始施行的时间是 lo -ubuntu系统j ACCEPT iptables -A INPUT -p tcp -m tcp --dport 22 -j A网络架构师培训CCEPT iptables -A INP网络安全知识内容UT -i eth0 -p esp -j ACCEPT iptables -A INPUT -i eth0 -p ah -j网络虚拟化的本质是 ACCEPT iptables -A INPUT -i eth0 -p udp -m udp --sport 500 --dport 500 -j AC网络安全法CEPT ipt网络架构图和拓扑图ables -A INPUT -i eth0 -p udp -m udp --sport 4500 --dporubuntu关机命令t 4500 -j ACCEPT i网络架构图和拓扑图ptables -A INPUT -j REJECT --reject-with icmp-host-prohibited ipt网络安全法实施时间ables -A FORWAR网络虚拟化的实现方式D -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A FORWARD -s 172.16.192.0/23 -d 172.18.0.0/16 -j ACCEPT iptables -A FORWARD -j REJECT --reject-with icmp-houbuntu安装st-prohibited iptables -A POubuntu和linux的区别STROU网络架构师TING -t nat -s 17ubuntu系统2.16.0.0/16 -d 172.18.0.0/16 -j MASQUERADE
系统内核网络转发设置:A/B网络架构有哪些都要设置!
sysc网络虚拟化技术的特性tl -w net.ipv网络虚拟化技术的特性包括4.ip_no_pmtu_disc=1 sysctl -网络架构师工资一般多少w net.ipv4.ip_foubuntu安装rward=1
中途遇到的问题列表linux查看进程命令
- 问题1. 两端成功建立了连接,B地 可以ping通A地主机,但A却无法ping通B提示:
Destilinux重启命令nation Host Prohibite
,另外在B地抓包,却看到了A地主机发来的icubuntu怎么读mp包,却没有reply的包网络安全平台教育平台登录。怀疑是防火墙问题。
# tcpdump -nni eth0 icmp tcpdump: verbose output suppressed, use -v or -vv for f网络安全法实施时间ull protocol decode l网络架构图istening on eth0, li网络架构工程师nk-type EN10MB (Ethernet), capture size 262144 bytes 17:4网络安全手抄报6:网络虚拟化的实现方式17.149502 IP 172.16.193.21 > 172.18.1ubuntu安装教程.164: ICMP echo request, id 31323, seq 84, length 64 17:46:19.155821 IP 172.16.193.21 > 172.18.1.164: ICMP echo request, id 31323, seq 86, length 64
尝试修改B地VPN主机上,把A地网络架构设计区的内网网段加入filter里并设置允许forward。即上面iptable网络虚拟化技术s配置ubuntu和linux的区别里倒数第2条规则。最后两边都通了。完美网络架构师工资一般多少
总结
调试过程中,尽量日网络架构设计志要详细一点!!! 建议先看服务器日志,再看客户端日志。
发表评论