«Лучшая практика» использует IPsec VPN + таблицу мультимаршрутизации CCN + NAT частной сети для решения конфликтов сегментов сети между IDC и облачными ресурсами.
«Лучшая практика» использует IPsec VPN + таблицу мультимаршрутизации CCN + NAT частной сети для решения конфликтов сегментов сети между IDC и облачными ресурсами.

Делитесь хорошими статьями

Прежде чем эта статья начнется,Поделитесь хорошей статьей, которую вы недавно прочитали,Нажмите, чтобы узнать подробности статьиИИ убивает безумно! Представляем интересные алгоритмы искусственного интеллекта

В этой статье представлены несколько интересных алгоритмов искусственного интеллекта и их применения, охватывающие такие области, как генерация видео, генерация кода и игровой искусственный интеллект, а также оценивается очарование новейшей технологии искусственного интеллекта и ее неограниченный потенциал в будущем.

1. Предисловие

В сценарии использования IPSEC VPN в облаке для подключения к IDC под облаком из-за проблем с планированием локальной сети или по другим причинам IDC и существующие сегменты сети в облаке конфликтуют и не могут взаимодействовать друг с другом. , для завершения преобразования адресов требуется частный NAT.

Например, следующая архитектурная схема:

На светлой стороне,Конфликта между 192.168.1.0/24 и 10.100.1.0/24 нет.,Однако из-за сети IDC под облаком,Например, уже есть маршруты для других туннелей связи с 10.100.1.0/24.,Больше не могу общаться с облаком,Нужно конвертировать в облакеIPчасть。Таким образом, упомянутый здесь конфликт сегмента сети относится к облаку. Он больше не может быть подключен к текущему сегменту сети в облаке. Для подключения требуется преобразование промежуточного адреса.

В этой статье для решения проблемы конфликтов сегментов сети будет использоваться облачная сеть типа VPN, таблица мультимаршрутизации CCN и NAT частной сети. Оптимизированная архитектура выглядит следующим образом:

2. Создание и согласование VPN-туннеля

2.1 Создайте VPN-шлюз

В консоли VPN-шлюза создайте VPN-шлюз типа CCN:

2.2 Создать VPN-туннель

2.2.1 Базовая конфигурация

Необходимо обратить внимание на:

  • В качестве VPN-шлюза выберите Облачную, которую мы только что создали. сетевой тип VPN-шлюза;
  • Одноранговый шлюз записывает выходной IP-адрес общедоступной сети устройства IPsec VPN в облаке;
  • Установите и запомните предварительный общий ключ, который позже необходимо согласовать с облаком;
  • В сегмент сети SPD локальный конец записывает сегмент сети, который не конфликтует с облаком, то есть адрес сегмента сети нам понадобится позже после SNAT, а партнер пишет сегмент интрасети, подключенный к облаку.

2.2.2 Расширенная настройка (алгоритм шифрования, аутентификация и т. д.)

Обнаружение DPD и обнаружение проверки работоспособности, если нет сценария спроса, остаются здесь закрытыми. Другие настройки параметров могут относиться к этому рисунку:

Наконец нажмите «Создать».

2.3 Настройка IPsec VPN (CLI) на RouterOS в облаке

Параметры переговоров вне облака должны соответствовать параметрам переговоров в облаке. Из соображений экономии места здесь мы только демонстрируем, как создать IPsec с помощью командной строки. VPNНаладьте переговоры с облаком,Более подробное введение можно найти у автора.Эта статья,Он содержит два метода, GUI и CLI, для установления связи между облаком и ros.

2.3.1 Настройка профиля IPsec

Язык кода:shell
копировать
[RokasYang@MikroTik] > /ip ipsec profile
[RokasYang@MikroTik] /ip/ipsec/profile> add dh-group=modp768 hash-algorithm=sha1 enc-algorithm=aes-128 name=To_tencent
[RokasYang@MikroTik] /ip/ipsec/profile> 

DH groupИспользуется для определения силы ключа, используемого в процессе обмена ключами.,Чем выше интенсивность, тем выше стоимость.,Пожалуйста, обратитесь к следующей таблице для соответствующих битов:

DH group

Modulus

1

768 bits

2

1024 bits

5

1536 bits

14

2048 bits

15

3072 bits

16

4096 bits

19

ecp256 bits

20

ecp384 bits

21

ecp521 bits

DH1 настроен в облаке, поэтому modp768 также настроен в облаке. Рекомендуется не использовать группу DH 1/2/5 в производственной среде. Биты шифрования низкие, и могут возникнуть угрозы безопасности.

2.3.2 Настройка однорангового узла

Язык кода:shell
копировать
[RokasYang@MikroTik] /ip/ipsec/peer> /ip ipsec profile
[RokasYang@MikroTik] /ip/ipsec/profile> /ip ipsec peer
[RokasYang@MikroTik] /ip/ipsec/peer> add address=119.91.229.51 name=to_tencent profile=To_tencent exchange-mode=ike2 
[RokasYang@MikroTik] /ip/ipsec/peer> print where name~"_tencent"
  • Обратите внимание, что параметры профиля здесь относятся к файлу конфигурации To_tencent на шаге 2.3.1.
  • адрес — это IP-адрес однорангового VPN-шлюза;
  • режим обмена — это режим переговоров, соответствующий ikev2 в облаке.

2.3.3 Настройка удостоверений

Настройки предварительного общего ключа соответствуют настройкам в облаке, а ссылкой на параметр однорангового узла является файл конфигурации to_tencent на шаге 2.3.2.

Язык кода:shell
копировать
[RokasYang@MikroTik] /ip/ipsec/peer> ..
[RokasYang@MikroTik] /ip/ipsec> identity add peer=to_tencent auth-method=pre-shared-key secret=123456
[RokasYang@MikroTik] /ip/ipsec>
  • auth-method: метод аутентификации указывается как общий ключ;
  • секрет: предварительный общий ключ указан как 123456, что соответствует облачному. В реальных производственных средах рекомендуется установить более надежный ключ.

2.3.4 Настройка предложения IPsec

Язык кода:shell
копировать
[RokasYang@MikroTik] /ip/ipsec> proposal add name=to_tencent auth-algorithms=sha1 enc-algorithms=aes-128-cbc pfs-group=none
[RokasYang@MikroTik] /ip/ipsec> proposal print where name="to_tencent"
Flags: X - disabled; * - default
 0    name="to_tencent" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=none
[RokasYang@MikroTik] /ip/ipsec>
  • auth-algorithms: алгоритм аутентификации соответствует алгоритму аутентификации в облаке, установленному на sha1;
  • enc-algorithms: алгоритм шифрования соответствует алгоритму шифрования в облаке, установленному на aes-128-cbc;
  • pfs-group: В облаке отключена, поэтому здесь тоже написано как none.

2.3.5 Настройка процентных потоков (политики)

Язык кода:shell
копировать
[RokasYang@MikroTik] /ip/ipsec> policy add peer=to_tencent tunnel=yes src-address=192.168.1.0/24 dst-address=172.16.1.0/24 protocol=all proposal=to_tencent
[RokasYang@MikroTik] /ip/ipsec>
  • адрес: сегмент локальной сети;
  • dst-адрес: сегмент одноранговой сети. Сегмент одноранговой сети — это сопоставленный сегмент сети после завершения SNAT в облаке.

2.3.6 Добавьте маршрут в облако

Обратите внимание, что после добавления маршрута добавленный маршрут перемещается с 23-го на первый:

Язык кода:shell
копировать
[RokasYang@MikroTik] /ip/firewall/nat> add action=accept chain=srcnat src-address=192.168.1.0/24 dst-address=172.16.1.0/24
[RokasYang@MikroTik] /ip/firewall/nat> print where dst-address="172.16.1.0/24"
Flags: X - disabled, I - invalid; D - dynamic 
23    chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=172.16.1.0/24
[RokasYang@MikroTik] /ip/firewall/nat> move 23 0
[RokasYang@MikroTik] /ip/firewall/nat>

В настоящее время это также эффективно при просмотре в интерфейсе пользовательского интерфейса:

2.4 Настройка IPsec VPN (GUI) на RouterOS в облаке

2.4.1 Настройка профиля IPsec

После входа Winbox в RouterOS,существоватьIP-->IPsecОткрыть в настройкахIPsecконфигурацияинтерфейс:

Сначала настройтеIPsec profile

Наконец нажмите на нижний правый уголApplyприложение,Параметры конфигурации соответствуют параметрам CLI.,Больше никаких подробностей,Просто посмотрите аннотации на картинке выше.

2.4.2 Настройка однорангового узла

Настройка однорангового шлюза、режим переговоров、цитируетсяipsec profileждать:

2.4.3 Настройка удостоверений

Настройте поля, используемые для аутентификации, включая локальную идентификацию, представление однорангового узла, общий ключ и т. д.:

2.4.4 Настройка предложения IPsec

Настройте предложение ipsec, укажите алгоритм аутентификации, алгоритм шифрования и т. д.:

2.4.5 Настройка процентных потоков (политики)

Соответствует облакуSPDсетьчасть,Настройте политику следующим образом,Укажите сегмент сети или протокол для связи между локальным концом и противоположным концом.,И используйте туннельный режим(Tunnel):

2.4.6 Добавление правил NAT ACCEPT

Добавьте разрешающее правило ACCEPT и установите приоритет на первое:

Сначала введитеIP --> Firewall интерфейс:

Добавьте правило разрешения доступа следующим образом:

Затем перетащите мышь, чтобы вывести это правило наверх.

2.5 Убедитесь, что VPN-туннель на обоих концах успешно установлен.

В облакеVPNКанал имеет маркировку“Подключено”:

Под облакамиRouterOSизIPsecСтратегия отмечена тегомEstablished,На этом этапе VPN-туннель установлен:

Язык кода:shell
копировать
[RokasYang@MikroTik] /ip/firewall/nat> /ip ipsec policy print where ph2-state="established"
Flags: A - ACTIVE
Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUNT
#   PEER        TUNNEL  SRC-ADDRESS     DST-ADDRESS    PROTOCOL  ACTION   LEVEL    PH2-COUNT
1 A to_tencent  yes     192.168.1.0/24  172.16.1.0/24  all       encrypt  require          1
[RokasYang@MikroTik] /ip/firewall/nat> 

На данный момент согласован только VPN-туннель. Маршрутизация в облаке не настроена, поэтому внутренняя сеть по-прежнему недоступна. Продолжим чтение.

3. Настройте несколько таблиц маршрутизации CCN, NAT частной сети и правила сопоставления IP-адресов.

3.1 Создание CCN

После создания нового CCN в консоли CCN войдите на страницу таблицы маршрутизации CCN:

3.2 Создание нескольких таблиц маршрутизации

Создайте две таблицы маршрутизации с именами rtb1 и rtb2:

3.3 Привязка бизнес-VPC к таблице маршрутизации CCN

Известно, что бизнес-VPC (то есть VPC, который необходимо соединить между облаком и внешним облаком) — это vpc-6sbvxdzj (10.100.1.0/24). Свяжите бизнес-VPC с таблицей маршрутизации 1:

3.4 Добавьте стратегию получения маршрута

Вернитесь к таблице маршрутизации CCN 1 и нажмите Стратегия приема таблицы маршрутизации-->Добавить политику:

Добавьте политику, разрешающую бизнес-VPC. После завершения добавления ситуация выглядит следующим образом:

3.5 Создайте NAT частной сети CCN и добавьте его в таблицу маршрутизации CCN.

АвторизоватьсяКонсоль шлюза NAT частной сети,Создайте новый шлюз NAT частной сети.,Обратите внимание, что тип должен быть выбран Облачная сеть., чтобы связать экземпляр, выберите Облачную, которую мы создали выше сеть Примерid:

После создания нажмите на страницу основной информации, и вы увидите локальный VPC и противоположный VPC. Запомните эти два VPC, которые необходимы при связывании таблицы маршрутизации CCN.

Вернуться к интерфейсу таблицы маршрутизации консоли Облачная сеть.,частная сетьNATизЛокальный VPCпривязать кCCNПримеризтаблица маршрутизации 1середина,После завершения привязки происходит следующее:

существоватьCCNтаблица маршрутизации 1середина Установить политику получения маршрутов,Добавить разрешенную частную сетьNATизЛокальный VPCизправило,После завершения добавления ситуация выглядит следующим образом:

Далее измените Одноранговое частную сеть NAT. облако VPCпривязать кCCNПримеризТаблица маршрутизации 2середина,И настройте политику получения маршрутов, чтобы разрешить прием частных сетей.NATОдноранговое облако VPCизмаршрутизация。

3.6 Настройка правил сопоставления IP-адресов

Найдите шлюз NAT частной сети CCN, который мы создали ранее, и щелкните его, чтобы добавить правила SNAT.

Добавляем новое правило SNAT. Здесь мы используем трехуровневое сопоставление NAT. Конечно, вы также можете написать четыре слоя (IP + порт). Выбирайте по своим потребностям:

Как показано выше,мы будем В облаке10.100.1.6из Пример,сопоставлено с172.16.1.6,Запомни этот IP,Требуется на этапе проверки подключения.

Следует отметить, что уровень 3 может быть сопоставлен только «один к одному» и не может быть сопоставлен с пулом IP, тогда как уровень 4 может быть сопоставлен с пулом IP.

3.7 Свяжите VPN-шлюз с таблицей маршрутизации

Свяжите созданный выше VPN-шлюз типа CCN с таблицей маршрутизации 2 экземпляра CCN:

А политика получения маршрутов добавляет политику получения, которая разрешает VPN-шлюзы:

3.8 Публикация таблицы маршрутизации VPN-шлюза в CCN

Перейдите на страницу публикации сегмента сети консоли VPN-шлюза, опубликуйте маршрут к сегменту сети IDC и проверьте:

Примечание. Чтобы опубликовать маршруты в CCN, только если VPN-канал имеет тип политики SPD, вам необходимо вручную опубликовать маршруты в CCN на VPN-шлюзе.

4. Настройте и опубликуйте маршруты VPC в CCN.

4.1 Настройка локальной маршрутизации VPC и публикация NAT частной сети

Вернитесь в консоль NAT частной сети, щелкните локальный VPC и добавьте новый маршрут в таблицу маршрутизации по умолчанию локального VPC:

Добавьте новый маршрут в сегмент сети IDC (например, последний маршрут на рисунке ниже — это вновь добавленная запись маршрута, сегмент сети IDC: 192.168.1.0/24), а следующий переход — это частный маршрут типа CCN. сетевой шлюз NAT и обязательно нажмите, чтобы опубликовать этот маршрут в Cloud Network. Просто не трогайте указанный выше маршрут.

4.2 Конфигурация и публикация маршрута VPC узла NAT частной сети

Таким же образом найдите таблицу маршрутизации по умолчанию однорангового VPC, добавьте маршрут, в котором местом назначения является IP-адрес, сопоставленный с NAT, а следующим прыжком — шлюз NAT частной сети, и опубликуйте этот маршрут в облачной сети:

5. Проверка подключения

5.1 ping, mtr, проверка трассировки

После тестирования из облака в облако связь нормальная:

Протестируйте под облаком в облаке. Обратите внимание, что на данный момент вам нужен доступ к сопоставленному IP-адресу в облаке. Например, наш сопоставленный IP-адрес — 172.16.1.6. Найдите любой компьютер в облаке для доступа к сопоставленному IP-адресу в облаке. Облако. Тест подключения в норме:

5.2 Проверка захвата пакетов

5.2.1 Одновременная проверка захвата пакетов в облаке и в облаке

При использовании компьютера 10.100.1.6 в облаке для проверки связи с компьютером 192.168.1.8 за пределами облака одновременно захватывайте сообщения ICMP как в облаке, так и за его пределами.

Захват пакетов машинами в облаке может быть:

Язык кода:shell
копировать
tcpdump -i any -nn -s 0 icmp and host 192.168.1.8 -v -w cloud.pcap

Машинный захват пакетов под облаком:

Язык кода:bash
копировать
tcpdump -i any -nn -s 0 icmp -v -w idc.pcap

Видно, что когда машина 10.100.1.6 в облаке связывается с 192.168.1.8 под облаком, источником пинг-запроса, полученного под облаком, становится 172.16.1.6 из-за трансляции адреса SNAT в облаке, а остальные такие как ip. Такие поля, как id и icmp.seq, не будут изменены:

5.2.2 Проверка захвата пакетов NAT частной сети

Из захвата пакета NAT частной сети мы видим, что когда 10.100.1.6 обращается к 192.168.1.8, NAT частной сети сначала передает адрес источника на IP-адрес, сопоставленный с 172.16.1.6, а затем отправляет его партнеру после получения; ответ от узла, 172.16.1.6icmp При ответе измените 172.16.1.6 на 10.100.1.6 и отправьте его источнику.

6. Резюме

На данный момент в этой статье подробно описано, как решить проблему конфликта сегментов сети между IDC в ​​облаке и IDC в ​​облаке с помощью VPN типа облачной сети, многомаршрутной таблицы CCN и NAT частной сети, а также обеспечить совместимость между два конца. Сначала создайте VPN-шлюз и канал и настройте IPsec VPN в облаке, чтобы обеспечить консенсус между обоими концами, затем используйте таблицы мультимаршрутизации CCN и NAT частной сети для трансляции адресов и управления маршрутизацией, свяжите бизнес-VPC и экземпляр NAT; и настраивают правила сопоставления IP-адресов, и маршруты публикуются в CCN, и, наконец, выполняется проверка подключения для обеспечения нормальной связи между облаком и облаком. В то же время пакеты перехватываются в облаке, под облаком и NAT частной сети. наблюдать за преобразованием IP, происходящим в промежуточном процессе.

Поставляется с PDF-версией:

«Лучшая практика» использует IPsec VPN + таблицу мультимаршрутизации CCN + NAT частной сети для решения конфликтов сегментов сети между IDC и облачными ресурсами..pdf
boy illustration
Неразрушающее увеличение изображений одним щелчком мыши, чтобы сделать их более четкими артефактами искусственного интеллекта, включая руководства по установке и использованию.
boy illustration
Копикодер: этот инструмент отлично работает с Cursor, Bolt и V0! Предоставьте более качественные подсказки для разработки интерфейса (создание навигационного веб-сайта с использованием искусственного интеллекта).
boy illustration
Новый бесплатный RooCline превосходит Cline v3.1? ! Быстрее, умнее и лучше вилка Cline! (Независимое программирование AI, порог 0)
boy illustration
Разработав более 10 проектов с помощью Cursor, я собрал 10 примеров и 60 подсказок.
boy illustration
Я потратил 72 часа на изучение курсорных агентов, и вот неоспоримые факты, которыми я должен поделиться!
boy illustration
Идеальная интеграция Cursor и DeepSeek API
boy illustration
DeepSeek V3 снижает затраты на обучение больших моделей
boy illustration
Артефакт, увеличивающий количество очков: на основе улучшения характеристик препятствия малым целям Yolov8 (SEAM, MultiSEAM).
boy illustration
DeepSeek V3 раскручивался уже три дня. Сегодня я попробовал самопровозглашенную модель «ChatGPT».
boy illustration
Open Devin — инженер-программист искусственного интеллекта с открытым исходным кодом, который меньше программирует и больше создает.
boy illustration
Эксклюзивное оригинальное улучшение YOLOv8: собственная разработка SPPF | SPPF сочетается с воспринимаемой большой сверткой ядра UniRepLK, а свертка с большим ядром + без расширения улучшает восприимчивое поле
boy illustration
Популярное и подробное объяснение DeepSeek-V3: от его появления до преимуществ и сравнения с GPT-4o.
boy illustration
9 основных словесных инструкций по доработке академических работ с помощью ChatGPT, эффективных и практичных, которые стоит собрать
boy illustration
Вызовите deepseek в vscode для реализации программирования с помощью искусственного интеллекта.
boy illustration
Познакомьтесь с принципами сверточных нейронных сетей (CNN) в одной статье (суперподробно)
boy illustration
50,3 тыс. звезд! Immich: автономное решение для резервного копирования фотографий и видео, которое экономит деньги и избавляет от беспокойства.
boy illustration
Cloud Native|Практика: установка Dashbaord для K8s, графика неплохая
boy illustration
Краткий обзор статьи — использование синтетических данных при обучении больших моделей и оптимизации производительности
boy illustration
MiniPerplx: новая поисковая система искусственного интеллекта с открытым исходным кодом, спонсируемая xAI и Vercel.
boy illustration
Конструкция сервиса Synology Drive сочетает проникновение в интрасеть и синхронизацию папок заметок Obsidian в облаке.
boy illustration
Центр конфигурации————Накос
boy illustration
Начинаем с нуля при разработке в облаке Copilot: начать разработку с минимальным использованием кода стало проще
boy illustration
[Серия Docker] Docker создает мультиплатформенные образы: практика архитектуры Arm64
boy illustration
Обновление новых возможностей coze | Я использовал coze для создания апплета помощника по исправлению домашних заданий по математике
boy illustration
Советы по развертыванию Nginx: практическое создание статических веб-сайтов на облачных серверах
boy illustration
Feiniu fnos использует Docker для развертывания личного блокнота Notepad
boy illustration
Сверточная нейронная сеть VGG реализует классификацию изображений Cifar10 — практический опыт Pytorch
boy illustration
Начало работы с EdgeonePages — новым недорогим решением для хостинга веб-сайтов
boy illustration
[Зона легкого облачного игрового сервера] Управление игровыми архивами
boy illustration
Развертывание SpringCloud-проекта на базе Docker и Docker-Compose