通过IPsec绕过公司机房服务器网络限制,实现虚拟化实验环境的上网

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了通过IPsec绕过公司机房服务器网络限制,实现虚拟化实验环境的上网相关的知识,希望对你有一定的参考价值。

需求:解决机房服务器虚拟化实验环境的上网问题。
背景:部署虚拟化环境学习技术,公司服务器管理网络不能上外网,办公内网可以上外网。因是实验环境,不想改变网络,加之安全考虑,要自己控制上网时间。使用IPsec技术,利用路由软件,让虚拟化环境网络通过×××隧道到达办公电脑,NAT后上互联网。
实现后网络拓扑:
技术图片

机房管理网络:172.16.27.0/24(仅内网互联)
办公内网网络:172.16.19.0/24(可上互联网)
虚机实验网络:10.1.1.0/24 10.2.1.0/24
在VSR之间建立一条IPsec隧道,对虚拟机环境所在的子网(10.2.1.0/24等)的数据流进行封装。绕过公司原有网络限制上网

配置过程:
1、一台物理服务器,安装Esxi6.5和vcenter。配置网络:
2、新建虚拟机JumpBox作为跳板机,直接使用服务器物理网卡1
3、VM内部网络不需使用物理网口
4、新建VSR路由器1作为实验环境的路由器。(VSR为H3C软件,可官网下载)
5、PC中使用workstation新建VSR虚拟路由器2.使用桥接模式,配置单独IP。
6、配置IPsec。
7、在VSR2配置sNAT。放行需要上网网络。
8、也可以走DNAT,实现PC直接远程访问实验VM,无需通过跳板机。
注意事项:
1、新建VSR虚拟机时,网络适配器要选择VMXNAT3,不然识别不到都接口。默认只有两路由接口。
2、VSRB 必须配置两路由接口的IP,否则无法实现IPsec隧道建立。

VSR1 配置截图:
技术图片
VSR2 配置截图:
技术图片

以上是关于通过IPsec绕过公司机房服务器网络限制,实现虚拟化实验环境的上网的主要内容,如果未能解决你的问题,请参考以下文章

构建AWS Site-to-Site IPsec实现内网互联

构建AWS Site-to-Site IPsec实现内网互联

在Cisco的ASA防火墙上实现IPSec虚拟专用网

学不会IPsec -我把女朋友送给你!

vpn如何越过360

IPsec ××× 总结