IPsec隧道

An IPsec tunnel encrypts and authenticates IP addresses by groups to protect the network transfer data of IP protocols. It provides site-to-site VPN connections.

The typical usage scenario of an IPsec tunnel in VPC networks is as follows:
  • You can build two separate VPC environments in two isolated ZStack Private Cloud environments. In these two VPC environments, you can create two separate VPC networks (VPC subnets). Notice that these two subnets in these two VPC environments cannot communicate directly with each other. After you use an IPsec tunnel, you can realize intercommunication between subnets within these two VPC environments.
VPC IPsec隧道的使用流程:
  1. 在第一套ZStack环境中,创建IPsec隧道,指定第一套VPC环境中的本地公网IP,并指定本地可用的一个或多个VPC子网,输入第二套VPC环境中的公网IP作为远端IP,并输入第二套VPC环境指定的一个或多个VPC子网作为远端网络;
  2. 在第二套ZStack环境中,创建IPsec隧道,指定第二套VPC环境中的本地公网IP,并指定本地可用的一个或多个VPC子网,输入第一套VPC环境中的公网IP作为远端IP,并输入第一套VPC环境指定的一个或多个VPC子网作为远端网络。
Note: 两套VPC环境中的所有私有网络段不可重叠。
假定客户环境如下:
  • 第一套ZStack
    1. 公有网络
      Table 1. 公有网络配置信息
      公有网络 配置信息
      网卡 em01
      VLAN ID 非VLAN
      IP地址段 10.151.10.100~10.151.10.200
      子网掩码 255.0.0.0
      网关 10.0.0.1
    2. 管理网络
      Table 2. 管理网络配置信息
      管理网络 配置信息
      网卡 em02
      VLAN ID 非VLAN
      IP地址段 192.168.28.100~192.168.28.200
      子网掩码 255.255.255.0
      网关 192.168.28.1
      Note:
      • For security and stability reasons, we recommend that you deploy an independent management network and separate it from the public networks.
      • The management network we mentioned here is the same as that in ZStack Private Cloud. That is, the management network is the network used to manage hosts, primary storages, and backup storages. If a management network was created before, you can use it directly.
    3. VPC网络-1
      Table 3. VPC网络-1配置信息
      私有网络 配置信息
      网卡 em01
      VLAN ID 2018
      IP CIDR 192.168.10.0/24
    4. VPC网络-2
      Table 4. VPC网络-2配置信息
      私有网络 配置信息
      网卡 em01
      VLAN ID 2020
      IP CIDR 192.168.20.0/24
  • 第二套ZStack
    1. 公有网络
      Table 5. 公有网络配置信息
      公有网络 配置信息
      网卡 em01
      VLAN ID 非VLAN
      IP地址段 10.151.20.100~10.151.20.200
      子网掩码 255.0.0.0
      网关 10.0.0.1
    2. 管理网络
      Table 6. 管理网络配置信息
      管理网络 配置信息
      网卡 em02
      VLAN ID 非VLAN
      IP地址段 192.168.28.10~192.168.28.90
      子网掩码 255.255.255.0
      网关 192.168.28.1
    3. VPC网络-3
      Table 7. VPC网络-3配置信息
      私有网络 配置信息
      网卡 em01
      VLAN ID 2017
      IP CIDR 192.168.30.0/24
    4. VPC网络-4
      Table 8. VPC网络-4配置信息
      私有网络 配置信息
      网卡 em01
      VLAN ID 2030
      IP CIDR 192.168.40.0/24

以下介绍搭建VPC IPsec隧道的实践步骤。

  1. 在第一套ZStack中搭建VPC环境,并创建两套VPC网络(VPC子网),例如:VPC网络-1、VPC网络-2;使用VPC网络-1创建一台云主机VM-1,使用VPC网络-2创建一台云主机VM-2。详情可参考本教程Basic Deployment章节。
    创建的云主机如Figure 1所示:
    Figure 1. VM-1、VM-2


  2. 同理,在第二套ZStack中搭建VPC环境,并创建两套VPC网络(VPC子网),例如:VPC网络-3、VPC网络-4;使用VPC网络-3创建云主机VM-3,使用VPC网络-4创建云主机VM-4。
    创建的云主机如Figure 2所示:
    Figure 2. VM-3、VM-4


  3. 检测第一套VPC环境中的云主机VM-1、VM-2与第二套VPC环境中的云主机VM-3、VM-4的连通性。
    • 登录VM-1,尝试SSH默认的22端口远程登录VM-3失败,也不能ping通VM-3。
    • Figure 3所示:
      Figure 3. VM-1尝试连通VM-3失败


    • 登录VM-1,尝试连通VM-4失败。
    • 登录VM-2,尝试连通VM-3、VM-4失败。
    • 登录VM-3,尝试连通VM-1、VM-2失败。
    • 登录VM-4,尝试连通VM-1、VM-2失败。
  4. 在第一套ZStack中创建IPsec隧道。
    1. 创建IPsec隧道-1。
      ZStack私有云主菜单,点击网络服务 > VPN > IPsec隧道,进入IPsec隧道界面,点击创建IPsec隧道,在弹出的创建IPsec隧道界面,可参考以下示例输入相应内容:
      • 名称:设置IPsec隧道名称,例如IPsec隧道-1
      • 简介:可选项,可留空不填
      • 选择虚拟IP:通过虚拟IP提供IPsec服务
        使用虚拟IP的方法有以下两种:
        • 新建虚拟IP
          如选择新建虚拟IP,需设置以下内容:
          • 网络:选择提供虚拟IP的公有网络
          • 指定IP:可选项,可指定虚拟IP;若留空不填,系统会自动分配虚拟IP
        • 已有虚拟IP
          如选择已有虚拟IP,需设置以下内容:
          • 虚拟IP:选择已有的虚拟IP地址
          Note: VPC路由器提供的系统虚拟IP支持用于IPsec服务。
      • 本地子网:选择本地VPC路由器挂载的两个VPC子网,如果VPC路由器仅挂载一个VPC子网则会默认选中该VPC网络
      • 远端网络IP:填写远端VPC环境中用于IPsec服务的公网IP
      • 远端网络CIDR:填写远端VPC环境中指定的一个或多个VPC子网CIDR(多个VPC子网CIDR用","隔开)
      • 认证密钥:设置密钥,建议设置强度较高的密钥
      • 高级选项:可对高级选项进行设置,以下默认选项为可连通双边私网的选项
        • 认证模式:psk(默认)
        • 工作模式:tunnel(默认)
        • IKE 验证算法:sha1(默认)
        • IKE 加密算法:3des(默认)
        • IKE 完整前向保密:2(默认)
        • 传输安全协议:esp(默认)
        • ESP 认证算法:sha1(默认)
        • ESP 加密算法:3des(默认)
        • 完全正向保密(PFS):dh-group2(默认)
        Note:
        • 如果客户场景设计ZStack私有云的VPC路由器与支持IPsec隧道的第三方设备对接,则需两端协商具体的高级配置信息。
        • 创建IPsec隧道时,需根据远端网络设备IPsec配置内容,调整本地高级设置内容。
      Figure 4所示,点击确定按钮,创建IPsec隧道。
      Figure 4. 创建IPsec隧道-1


      IPsec隧道-1创建完成,如Figure 5所示:
      Figure 5. IPsec隧道-1


  5. 同理,在第二套ZStack中创建IPsec隧道。
    1. 创建IPsec隧道-2。
      Figure 6所示:
      Figure 6. 创建IPsec隧道-2


    2. IPsec隧道-2创建完成。
      Figure 7所示:
      Figure 7. IPsec隧道-2


  6. 检测第一套VPC环境中的云主机VM-1、VM-2与第二套VPC环境中的云主机VM-3、VM-4的连通性。
    • 登录VM-1,可通过SSH默认的22端口远程登录VM-3、VM-4,以及ping通VM-3、VM-4。
      Figure 8所示:
      Figure 8. VM-1成功连通VM-3、VM-4




    • 登录VM-2,可通过SSH默认的22端口远程登录VM-3、VM-4,以及ping通VM-3、VM-4。
    • 登录VM-3,可通过SSH默认的22端口远程登录VM-1、VM-2,以及ping通VM-1、VM-2。
      Figure 9所示:
      Figure 9. VM-3成功连通VM-1、VM-2




    • 登录VM-4,可通过SSH默认的22端口远程登录VM-1、VM-2,以及ping通VM1、VM-2。
至此,VPC IPsec隧道的使用方法介绍完毕。