Делитесь хорошими статьями
Прежде чем эта статья начнется,Поделитесь хорошей статьей, которую вы недавно прочитали,Нажмите, чтобы узнать подробности статьиИИ убивает безумно! Представляем интересные алгоритмы искусственного интеллекта。
В этой статье представлены несколько интересных алгоритмов искусственного интеллекта и их применения, охватывающие такие области, как генерация видео, генерация кода и игровой искусственный интеллект, а также оценивается очарование новейшей технологии искусственного интеллекта и ее неограниченный потенциал в будущем.
В сценарии использования IPSEC VPN в облаке для подключения к IDC под облаком из-за проблем с планированием локальной сети или по другим причинам IDC и существующие сегменты сети в облаке конфликтуют и не могут взаимодействовать друг с другом. Следовательно, частный. NAT необходим для завершения трансляции адресов.
Например, следующая архитектурная схема:
На светлой стороне,Конфликта между 192.168.1.0/24 и 10.100.1.0/24 нет.,Однако из-за сети IDC под облаком,Например, уже есть маршруты для других туннелей связи с 10.100.1.0/24.,Больше не могу общаться с облаком,Нужно конвертировать в облакеIPчасть。Таким образом, упомянутый здесь конфликт сегмента сети относится к облаку. Он больше не может быть подключен к текущему сегменту сети в облаке. Для подключения требуется преобразование промежуточного адреса.
В этой статье для решения проблемы конфликтов сегментов сети будет использоваться облачная сеть типа VPN, таблица мультимаршрутизации CCN и NAT частной сети. Оптимизированная архитектура выглядит следующим образом:
В консоли VPN-шлюза создайте VPN-шлюз типа CCN:
Необходимо обратить внимание на:
Обнаружение DPD и обнаружение проверки работоспособности, если нет сценария спроса, остаются здесь закрытыми. Другие настройки параметров могут относиться к этому рисунку:
Наконец нажмите «Создать».
Параметры переговоров вне облака должны соответствовать параметрам переговоров в облаке. Из соображений экономии места для демонстрации создания IPsec используется только метод командной строки. VPNНаладьте переговоры с облаком,Для более подробного ознакомления, пожалуйста, обратитесь к авторуЭта статья,Он содержит два метода, GUI и CLI, для установления связи между облаком и ros.
[RokasYang@MikroTik] > /ip ipsec profile
[RokasYang@MikroTik] /ip/ipsec/profile> add dh-group=modp768 hash-algorithm=sha1 enc-algorithm=aes-128 name=To_tencent
[RokasYang@MikroTik] /ip/ipsec/profile>
DH groupИспользуется для определения силы ключа, используемого в процессе обмена ключами.,Чем выше интенсивность, тем выше стоимость.,Пожалуйста, обратитесь к следующей таблице для соответствующих битов:
DH group | Modulus |
---|---|
1 | 768 bits |
2 | 1024 bits |
5 | 1536 bits |
14 | 2048 bits |
15 | 3072 bits |
16 | 4096 bits |
19 | ecp256 bits |
20 | ecp384 bits |
21 | ecp521 bits |
DH1 настроен в облаке, поэтому modp768 также настроен в облаке. Рекомендуется не использовать группу DH 1/2/5 в производственной среде. Биты шифрования низкие, и могут возникнуть угрозы безопасности.
[RokasYang@MikroTik] /ip/ipsec/peer> /ip ipsec profile
[RokasYang@MikroTik] /ip/ipsec/profile> /ip ipsec peer
[RokasYang@MikroTik] /ip/ipsec/peer> add address=119.91.229.51 name=to_tencent profile=To_tencent exchange-mode=ike2
[RokasYang@MikroTik] /ip/ipsec/peer> print where name~"_tencent"
Настройки предварительного общего ключа соответствуют настройкам в облаке, а ссылкой на параметр однорангового узла является файл конфигурации to_tencent на шаге 2.3.2.
[RokasYang@MikroTik] /ip/ipsec/peer> ..
[RokasYang@MikroTik] /ip/ipsec> identity add peer=to_tencent auth-method=pre-shared-key secret=123456
[RokasYang@MikroTik] /ip/ipsec>
[RokasYang@MikroTik] /ip/ipsec> proposal add name=to_tencent auth-algorithms=sha1 enc-algorithms=aes-128-cbc pfs-group=none
[RokasYang@MikroTik] /ip/ipsec> proposal print where name="to_tencent"
Flags: X - disabled; * - default
0 name="to_tencent" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=none
[RokasYang@MikroTik] /ip/ipsec>
[RokasYang@MikroTik] /ip/ipsec> policy add peer=to_tencent tunnel=yes src-address=192.168.1.0/24 dst-address=172.16.1.0/24 protocol=all proposal=to_tencent
[RokasYang@MikroTik] /ip/ipsec>
Обратите внимание, что после добавления маршрута добавленный маршрут перемещается с 23-го на первый:
[RokasYang@MikroTik] /ip/firewall/nat> add action=accept chain=srcnat src-address=192.168.1.0/24 dst-address=172.16.1.0/24
[RokasYang@MikroTik] /ip/firewall/nat> print where dst-address="172.16.1.0/24"
Flags: X - disabled, I - invalid; D - dynamic
23 chain=srcnat action=accept src-address=192.168.1.0/24 dst-address=172.16.1.0/24
[RokasYang@MikroTik] /ip/firewall/nat> move 23 0
[RokasYang@MikroTik] /ip/firewall/nat>
В настоящее время это также эффективно при просмотре в интерфейсе пользовательского интерфейса:
После входа Winbox в RouterOS,существоватьIP-->IPsecОткрыть в настройкахIPsecконфигурацияинтерфейс:
Сначала настройтеIPsec profile:
Наконец нажмите на нижний правый уголApplyприложение,Параметры конфигурации соответствуют параметрам CLI.,Больше никаких подробностей,Просто посмотрите аннотации на картинке выше.
Настройка однорангового шлюза、режим переговоров、цитируетсяipsec profileждать:
Настройте поля, используемые для аутентификации, включая локальную идентификацию, представление одноранговых узлов, общий ключ и т. д.:
Настройте предложение ipsec, укажите алгоритм аутентификации, алгоритм шифрования и т. д.:
Соответствует облакуSPDсетьчасть,Настройте политику следующим образом,Укажите сегмент сети или протокол для связи между локальным и противоположным концом.,И используйте туннельный режим(Tunnel):
Добавьте разрешающее правило ACCEPT и установите приоритет на первое:
Сначала введитеIP --> Firewall интерфейс:
Добавьте правило разрешения доступа следующим образом:
Затем перетащите мышь, чтобы вывести это правило наверх.
В облакеVPNКанал имеет маркировку“Подключено”:
Под облакамиRouterOSизIPsecСтратегия отмечена какEstablished,На этом этапе VPN-туннель установлен:
[RokasYang@MikroTik] /ip/firewall/nat> /ip ipsec policy print where ph2-state="established"
Flags: A - ACTIVE
Columns: PEER, TUNNEL, SRC-ADDRESS, DST-ADDRESS, PROTOCOL, ACTION, LEVEL, PH2-COUNT
# PEER TUNNEL SRC-ADDRESS DST-ADDRESS PROTOCOL ACTION LEVEL PH2-COUNT
1 A to_tencent yes 192.168.1.0/24 172.16.1.0/24 all encrypt require 1
[RokasYang@MikroTik] /ip/firewall/nat>
На данный момент согласован только VPN-туннель. Маршрутизация в облаке не настроена, поэтому внутренняя сеть по-прежнему недоступна. Продолжим чтение.
После создания нового CCN в консоли CCN войдите на страницу таблицы маршрутизации CCN:
Создайте две таблицы маршрутизации с именами rtb1 и rtb2:
Известно, что бизнес-VPC (то есть VPC, который необходимо соединить между облаком и внешним облаком) — это vpc-6sbvxdzj (10.100.1.0/24). Свяжите бизнес-VPC с таблицей маршрутизации 1:
Вернитесь к таблице маршрутизации CCN 1 и нажмите Стратегия приема таблицы маршрутизации-->Добавить политику:
Добавьте политику, разрешающую бизнес-VPC. После завершения добавления ситуация выглядит следующим образом:
АвторизоватьсяКонсоль шлюза NAT частной сети,Создайте новый шлюз NAT частной сети.,Обратите внимание, что тип должен быть выбран Облачная сеть., чтобы связать экземпляр, выберите Облачную, которую мы создали выше сеть Примерid:
После создания нажмите на страницу основной информации, и вы увидите локальный VPC и противоположный VPC. Запомните эти два VPC, которые необходимы при связывании таблицы маршрутизации CCN.
Вернуться к интерфейсу таблицы маршрутизации консоли Облачная сеть.,частная сетьNATизЛокальный VPCпривязать кCCNПримеризТаблица маршрутизации 1середина,После завершения привязки происходит следующее:
существоватьCCNТаблица маршрутизации 1середина Установить политику получения маршрутов,Добавить разрешенную частную сетьNATизЛокальный VPCизправило,После завершения добавления ситуация выглядит следующим образом:
Далее измените Одноранговое NAT частной сети. облако VPCпривязать кCCNПримеризТаблица маршрутизации 2середина,И настройте политику получения маршрутов, чтобы разрешить получение частных сетей.NATОдноранговое облако VPCизмаршрутизация。
Найдите шлюз NAT частной сети CCN, который мы создали ранее, и щелкните его, чтобы добавить правила SNAT.
Добавляем новое правило SNAT. Здесь мы используем трехуровневое сопоставление NAT. Конечно, вы также можете написать четыре слоя (IP + порт). Выбирайте по своим потребностям:
Как показано выше,мы будем В облаке10.100.1.6из Пример,сопоставлено с172.16.1.6,Запомни этот IP,Требуется на этапе проверки подключения.
Следует отметить, что уровень 3 может быть сопоставлен только «один к одному» и не может быть сопоставлен с пулом IP, тогда как уровень 4 может быть сопоставлен с пулом IP.
Свяжите созданный выше VPN-шлюз CCN с таблицей маршрутизации 2 экземпляра CCN:
И добавьте политику получения, которая разрешает VPN-шлюзам, в политику получения маршрутов:
Перейдите на страницу публикации сегмента сети консоли VPN-шлюза, опубликуйте маршрут к сегменту сети IDC и проверьте:
Примечание. Чтобы опубликовать маршруты в CCN, только если канал VPN имеет тип политики SPD, вам необходимо вручную опубликовать маршруты в CCN на шлюзе VPN.
Вернитесь в консоль NAT частной сети, щелкните локальный VPC и добавьте новый маршрут в таблицу маршрутизации по умолчанию локального VPC:
Добавьте новый маршрут в сегмент сети IDC (например, последний маршрут на рисунке ниже — это вновь добавленная запись маршрута, сегмент сети IDC: 192.168.1.0/24), а следующий переход — это частный маршрут типа CCN. сетевой шлюз NAT и обязательно нажмите, чтобы опубликовать этот маршрут в Cloud Network. Просто не трогайте указанный выше маршрут.
Таким же образом найдите таблицу маршрутизации по умолчанию однорангового VPC, добавьте маршрут, в котором местом назначения является IP-адрес, сопоставленный с NAT, а следующим прыжком — шлюз NAT частной сети, и опубликуйте этот маршрут в облачной сети:
После тестирования из облака в облако связь нормальная:
Протестируйте под облаком в облаке. Обратите внимание, что в данный момент вам нужен доступ к сопоставленному IP-адресу в облаке. Например, наш сопоставленный IP-адрес — 172.16.1.6. Найдите любой компьютер в облаке для доступа к сопоставленному IP-адресу в облаке. Облако. Тест подключения в норме:
При использовании компьютера 10.100.1.6 в облаке для проверки связи с компьютером 192.168.1.8 за пределами облака одновременно захватывайте сообщения ICMP как в облаке, так и за его пределами.
Захват пакетов машинами в облаке может осуществляться следующим образом:
tcpdump -i any -nn -s 0 icmp and host 192.168.1.8 -v -w cloud.pcap
Машинный захват пакетов под облаком:
tcpdump -i any -nn -s 0 icmp -v -w idc.pcap
Видно, что когда машина 10.100.1.6 в облаке связывается с 192.168.1.8 под облаком, источником пинг-запроса, полученного облаком, становится 172.16.1.6 из-за трансляции адреса SNAT в облаке, а остальные такие как ip. Такие поля, как id и icmp.seq, не будут изменены:
Из захвата пакета NAT частной сети мы видим, что когда 10.100.1.6 обращается к 192.168.1.8, NAT частной сети сначала передает адрес источника на IP-адрес, сопоставленный с 172.16.1.6, а затем отправляет его партнеру после получения; ответ от узла, 172.16.1.6icmp При ответе измените 172.16.1.6 на 10.100.1.6 и отправьте его источнику.
На данный момент в этой статье подробно описано, как решить проблему конфликта сегментов сети между IDC в облаке и IDC в облаке с помощью VPN типа облачной сети, многомаршрутной таблицы CCN и NAT частной сети, а также обеспечить совместимость между два конца. Сначала создайте VPN-шлюз и канал и настройте IPsec VPN в облаке, чтобы обеспечить консенсус между обоими концами, затем используйте таблицы мультимаршрутизации CCN и NAT частной сети для трансляции адресов и управления маршрутизацией, свяжите бизнес-VPC и экземпляр NAT; и настраивают правила сопоставления IP-адресов, и маршруты публикуются в CCN, и, наконец, выполняется проверка подключения для обеспечения нормальной связи между облаком и облаком. В то же время пакеты перехватываются в облаке, под облаком и NAT частной сети. наблюдать за преобразованием IP, которое происходит в промежуточном процессе.
Поставляется с PDF-версией: