IPsec隧道

IPsec隧道：透过对IP协议的分组加密和认证来保护IP协议的网络传输数据，实现站点到站点（site-to-site）的虚拟私有网络（VPN）连接。

VPC IPsec隧道的典型场景：

在两套隔离的ZStack私有云环境中，分别搭建两套VPC环境，在两套VPC环境中，分别创建两套VPC网络（VPC子网），两套VPC环境的子网间无法直接通信，使用IPsec隧道后，就可实现两套VPC环境的子网间互相通信。

VPC IPsec隧道的使用流程：

在第一套ZStack环境中，创建IPsec隧道，指定第一套VPC环境中的本地公网IP，并指定本地可用的一个或多个VPC子网，输入第二套VPC环境中的公网IP作为远端IP，并输入第二套VPC环境指定的一个或多个VPC子网作为远端网络；
在第二套ZStack环境中，创建IPsec隧道，指定第二套VPC环境中的本地公网IP，并指定本地可用的一个或多个VPC子网，输入第一套VPC环境中的公网IP作为远端IP，并输入第一套VPC环境指定的一个或多个VPC子网作为远端网络。

Note: 两套VPC环境中的所有私有网络段不可重叠。

假定客户环境如下：

第一套ZStack：

公有网络

Table 1. 公有网络配置信息
公有网络	配置信息
网卡	em01
VLAN ID	非VLAN
IP地址段	10.151.10.100~10.151.10.200
子网掩码	255.0.0.0
网关	10.0.0.1

管理网络

Table 2. 管理网络配置信息
管理网络	配置信息
网卡	em02
VLAN ID	非VLAN
IP地址段	192.168.28.100~192.168.28.200
子网掩码	255.255.255.0
网关	192.168.28.1

Note:

出于安全和稳定性考虑，建议部署独立的管理网络，并与公有网络隔离。
此管理网络与ZStack私有云中的管理网络为相同概念（即：管理物理机、主存储、镜像服务器的网络），如果已创建可直接复用。

VPC网络-1

Table 3. VPC网络-1配置信息
私有网络	配置信息
网卡	em01
VLAN ID	2018
IP CIDR	192.168.10.0/24

VPC网络-2

Table 4. VPC网络-2配置信息
私有网络	配置信息
网卡	em01
VLAN ID	2020
IP CIDR	192.168.20.0/24

第二套ZStack：

公有网络

Table 5. 公有网络配置信息
公有网络	配置信息
网卡	em01
VLAN ID	非VLAN
IP地址段	10.151.20.100~10.151.20.200
子网掩码	255.0.0.0
网关	10.0.0.1

管理网络

Table 6. 管理网络配置信息
管理网络	配置信息
网卡	em02
VLAN ID	非VLAN
IP地址段	192.168.28.10~192.168.28.90
子网掩码	255.255.255.0
网关	192.168.28.1

VPC网络-3

Table 7. VPC网络-3配置信息
私有网络	配置信息
网卡	em01
VLAN ID	2017
IP CIDR	192.168.30.0/24

VPC网络-4

Table 8. VPC网络-4配置信息
私有网络	配置信息
网卡	em01
VLAN ID	2030
IP CIDR	192.168.40.0/24

以下介绍搭建VPC IPsec隧道的实践步骤。

在第一套ZStack中搭建VPC环境，并创建两套VPC网络（VPC子网），例如：VPC网络-1、VPC网络-2；使用VPC网络-1创建一台云主机VM-1，使用VPC网络-2创建一台云主机VM-2。详情可参考本教程基本部署章节。

创建的云主机如Figure 1所示：
Figure 1. VM-1、VM-2
同理，在第二套ZStack中搭建VPC环境，并创建两套VPC网络（VPC子网），例如：VPC网络-3、VPC网络-4；使用VPC网络-3创建云主机VM-3，使用VPC网络-4创建云主机VM-4。

创建的云主机如Figure 2所示：
Figure 2. VM-3、VM-4
检测第一套VPC环境中的云主机VM-1、VM-2与第二套VPC环境中的云主机VM-3、VM-4的连通性。
- 登录VM-1，尝试SSH默认的22端口远程登录VM-3失败，也不能ping通VM-3。
- 如Figure 3所示：
  Figure 3. VM-1尝试连通VM-3失败
- 登录VM-1，尝试连通VM-4失败。
- 登录VM-2，尝试连通VM-3、VM-4失败。
- 登录VM-3，尝试连通VM-1、VM-2失败。
- 登录VM-4，尝试连通VM-1、VM-2失败。
在第一套ZStack中创建IPsec隧道。
1. 创建IPsec隧道-1。
  在ZStack私有云主菜单，点击网络服务 > IPsec隧道，进入IPsec隧道界面，点击创建IPsec隧道，在弹出的创建IPsec隧道界面，可参考以下示例输入相应内容：
  - 名称：设置IPsec隧道名称，例如IPsec隧道-1
  - 简介：可选项，可留空不填
  - 选择虚拟IP：通过虚拟IP提供IPsec服务
    使用虚拟IP的方法有以下两种：
    
    新建虚拟IP：
    如选择新建虚拟IP，需设置以下内容：
    
    网络：选择提供虚拟IP的公有网络
    
    指定IP：可选项，可指定虚拟IP；若留空不填，系统会自动分配虚拟IP
    
    已有虚拟IP：
    如选择已有虚拟IP，需设置以下内容：
    
    虚拟IP：选择已有的虚拟IP地址
    
    Note: VPC路由器提供的系统虚拟IP支持用于IPsec服务。
  - 本地子网：选择本地VPC路由器挂载的两个VPC子网，如果VPC路由器仅挂载一个VPC子网则会默认选中该VPC网络
  - 远端网络IP：填写远端VPC环境中用于IPsec服务的公网IP
  - 远端网络CIDR：填写远端VPC环境中指定的一个或多个VPC子网CIDR（多个VPC子网CIDR用","隔开）
  - 认证密钥：设置密钥，建议设置强度较高的密钥
  - 高级选项：可对高级选项进行设置，以下默认选项为可连通双边私网的选项
    
    认证模式：psk（默认）
    
    工作模式：tunnel（默认）
    
    IKE 验证算法：sha1（默认）
    
    IKE 加密算法：3des（默认）
    
    IKE 完整前向保密：2（默认）
    
    传输安全协议：esp（默认）
    
    ESP 认证算法：sha1（默认）
    
    ESP 加密算法：3des（默认）
    
    完全正向保密(PFS)：dh-group2（默认）
    
    Note:
    
    如果客户场景设计ZStack私有云的VPC路由器与支持IPsec隧道的第三方设备对接，则需两端协商具体的高级配置信息。
    
    创建IPsec隧道时，需根据远端网络设备IPsec配置内容，调整本地高级设置内容。
  如Figure 4所示，点击确定按钮，创建IPsec隧道。
  Figure 4. 创建IPsec隧道-1
  
  IPsec隧道-1创建完成，如Figure 5所示：
  Figure 5. IPsec隧道-1
同理，在第二套ZStack中创建IPsec隧道。
1. 创建IPsec隧道-2。
  
  如Figure 6所示：
  Figure 6. 创建IPsec隧道-2
2. IPsec隧道-2创建完成。
  如Figure 7所示：
  Figure 7. IPsec隧道-2
检测第一套VPC环境中的云主机VM-1、VM-2与第二套VPC环境中的云主机VM-3、VM-4的连通性。
- 登录VM-1，可通过SSH默认的22端口远程登录VM-3、VM-4，以及ping通VM-3、VM-4。
  如Figure 8所示：
  Figure 8. VM-1成功连通VM-3、VM-4
- 登录VM-2，可通过SSH默认的22端口远程登录VM-3、VM-4，以及ping通VM-3、VM-4。
- 登录VM-3，可通过SSH默认的22端口远程登录VM-1、VM-2，以及ping通VM-1、VM-2。
  如Figure 9所示：
  Figure 9. VM-3成功连通VM-1、VM-2
- 登录VM-4，可通过SSH默认的22端口远程登录VM-1、VM-2，以及ping通VM1、VM-2。

至此，VPC IPsec隧道的使用方法介绍完毕。