通过IPsec绕过公司机房服务器网络限制，实现虚拟化实验环境的上网

Posted 2021-02-12

需求：解决机房服务器虚拟化实验环境的上网问题。
背景：部署虚拟化环境学习技术，公司服务器管理网络不能上外网，办公内网可以上外网。因是实验环境，不想改变网络，加之安全考虑，要自己控制上网时间。使用IPsec技术，利用路由软件，让虚拟化环境网络通过×××隧道到达办公电脑，NAT后上互联网。
实现后网络拓扑：

机房管理网络：172.16.27.0/24(仅内网互联）
办公内网网络：172.16.19.0/24(可上互联网）
虚机实验网络：10.1.1.0/24 10.2.1.0/24
在VSR之间建立一条IPsec隧道，对虚拟机环境所在的子网（10.2.1.0/24等）的数据流进行封装。绕过公司原有网络限制上网

配置过程：
1、一台物理服务器，安装Esxi6.5和vcenter。配置网络：
2、新建虚拟机JumpBox作为跳板机，直接使用服务器物理网卡1
3、VM内部网络不需使用物理网口
4、新建VSR路由器1作为实验环境的路由器。(VSR为H3C软件，可官网下载)
5、PC中使用workstation新建VSR虚拟路由器2.使用桥接模式，配置单独IP。
6、配置IPsec。
7、在VSR2配置sNAT。放行需要上网网络。
8、也可以走DNAT,实现PC直接远程访问实验VM，无需通过跳板机。
注意事项：
1、新建VSR虚拟机时，网络适配器要选择VMXNAT3，不然识别不到都接口。默认只有两路由接口。
2、VSRB 必须配置两路由接口的IP，否则无法实现IPsec隧道建立。

VSR1 配置截图：

VSR2 配置截图：