1. 程式人生 > >通過IPsec繞過公司機房服務器網絡限制,實現虛擬化實驗環境的上網

通過IPsec繞過公司機房服務器網絡限制,實現虛擬化實驗環境的上網

上網 proc 司機 http 不能 6.2 color snat ima

需求:解決機房服務器虛擬化實驗環境的上網問題。
背景:部署虛擬化環境學習技術,公司服務器管理網絡不能上外網,辦公內網可以上外網。因是實驗環境,不想改變網絡,加之安全考慮,要自己控制上網時間。使用IPsec技術,利用路由軟件,讓虛擬化環境網絡通過×××隧道到達辦公電腦,NAT後上互聯網。
實現後網絡拓撲:
技術分享圖片

機房管理網絡:172.16.27.0/24(僅內網互聯)
辦公內網網絡:172.16.19.0/24(可上互聯網)
虛機實驗網絡:10.1.1.0/24 10.2.1.0/24
在VSR之間建立一條IPsec隧道,對虛擬機環境所在的子網(10.2.1.0/24等)的數據流進行封裝。繞過公司原有網絡限制上網

配置過程:
1、一臺物理服務器,安裝Esxi6.5和vcenter。配置網絡:

2、新建虛擬機JumpBox作為跳板機,直接使用服務器物理網卡1
3、VM內部網絡不需使用物理網口
4、新建VSR路由器1作為實驗環境的路由器。(VSR為H3C軟件,可官網下載)
5、PC中使用workstation新建VSR虛擬路由器2.使用橋接模式,配置單獨IP。
6、配置IPsec。
7、在VSR2配置sNAT。放行需要上網網絡。
8、也可以走DNAT,實現PC直接遠程訪問實驗VM,無需通過跳板機。
註意事項:
1、新建VSR虛擬機時,網絡適配器要選擇VMXNAT3,不然識別不到都接口。默認只有兩路由接口。
2、VSRB 必須配置兩路由接口的IP,否則無法實現IPsec隧道建立。

VSR1 配置截圖:
技術分享圖片
VSR2 配置截圖:

技術分享圖片

通過IPsec繞過公司機房服務器網絡限制,實現虛擬化實驗環境的上網