|
通过科立锐异构容灾平台实现两个业务需求: 要求一:在客户本地业务出现故障时可以快速拉起业务 要求二:客户内网其它服务器和用户通过内网IP 192.168.XX.XX访问,目标机拉起后IP不能变 二、项目难点分析 通过客户需求客户判断出主要难点在客户本地业务主机宕机后,依然要实现相同内网IP访问云上的业务主机。因此难点就在于实现两端在打通隧道情况下有相同的内网IP,
三、项目实施 实施方式有两种场景,客户本地是AF,云上也只能是AF,客户本地是VPN,云上也只能是VPN
线上线下都是VPN场景
云端配置
1.1 IPsec 打通 云上为主配置(只能云上为主,云下为主,路由不好写)配置基本信息 1.2 设置虚拟IP地址池(虚拟地址段不存在总部和分支环境) 1.3创建用户,同时编辑高级,启用隧道内NAT,添加业务主机所在网段,选择1.2步骤添加的虚拟地址池。因为业务IP不能变,导致两端有相同的网段,如果不启用,隧道无法建立 1.4 配置连接子网 1.5 映射4009tcp 和UDP 端口到公网(客户本地如果是出口防火墙,可以跳过) 1.6 路由器写静态路由下一跳为VPN设备(注意这里写下一跳地址为1.2步骤地址段,因为做了转换) 例如 192.168.1.1 255.255.255.255 下一跳为VPN IP 客户本地分支配置 分支连接云上 2.1 连接总部,填写连接信息、密钥。客户本地分配的用户信息 2.2 配置本地子网(可以配置和云上相同的子网)
2.3客户本地分支配置 映射SSL VPN 4009 TCP和UDP端口 线上线下都是AF场景 云上AF主端配置, 1.1配置基本信息 1.2 创建虚拟IP地址池(地址池不存在两端环境) 1.3创建用户,同时编辑高级,启用隧道内NAT,添加冲突地址网段,选择1.2步骤添加的虚拟地址池。 1.4创建云上子网(容灾平台所在子网) 注意:AF场景下隧道NAT,不是为了解决两端子网冲突无法建立隧道的,云上不能写冲突的网段,正常建隧道即可
1.5 配置隧道间路由(容灾的业务主机到客户本地需要访问的网段路由) 1.6 映射云上防火墙4009 tcp 和UDP 端口到公网 客户本地AF配置 连接云上 2.1 填写基本信息连接云上 2.2 客户本地写到云上容灾业务主机隧道路由 2.3 客户本地写到业务主机IP静态32位路由,下一跳指向出口防火墙(32位路由优于客户本地24位路由被匹配,这时客户本地访问业务IP就被指向云上)
注意:这种方式只能保证客户内网访问正常,公网无法保证,因为公网IP还是变更了,需要考虑到公网业务的可能性 四、同子网访问解决方案(两种场景都适应) 1.后续疑问:IPSEC隧道打通后,经过测试关闭本地业务主机,客户本地用户可以通过原来的IP继续访问云上业务主机,但是由于客户本地存在相同网段访问业务主机情况,因为相同子网访问,不走三层网络,直接二层访问,导致相同网段不能访问云上业务主机的情况 2.解决方案:要实现二层传输一般需要专线、VXLAN等实施方案。但是成本较高,因此想到在IPSEC基础上再加一次隧道SSL VPN隧道 3.实施方案: 3.1.云上VPN设备创建公用租户,并授权访问云上的业务主机 3.2客户本地通过连接VPN内网IP登录用户,通过隧道访问云上业务主机 3.3 隧道NAT + SSLVPN客户端实现 相同子网走三层网络隧道,在上边两个场景下的环境前提条件下,首先登录SSL客户端后会在访问主机上生成指定业务主机的路由(两端都是AF场景下,云上还需要SSL VPN 然后SSL VPN和容灾业务主机没在一个网段) 然后通过隧道NAT 把源地址转换为其它网段地址,最终访问到云上主机。如图本地业务主机已关机,从192.168.1.2 访问云上的192.168.1.10正常
| 
发表于 2023-5-2 11:30
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
技术员3级