版权所有 上海云轴信息科技有限公司 2017 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不 得以任何形式传播 商标说明 和其他云轴商标均为上海云轴信息科技有限公司的商标 本文档提及的其他所有商标或注册商标, 由各自的所有人拥有 注意您购买的产品

使用 ZStack 搭建 IPsec 隧道 版本 2.0 日期 2017-06-10 版本 2.0 上海云轴版权所有 2017 1

版权所有 上海云轴信息科技有限公司 2017 保留一切权利 非经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本文档内容的部分或全部, 并不 得以任何形式传播 商标说明 和其他云轴商标均为上海云轴信息科技有限公司的商标 本文档提及的其他所有商标或注册商标, 由各自的所有人拥有 注意您购买的产品 服务或特性等应受上海云轴公司商业合同和条款的约束, 本文档中描述的全部或部分产品 服务或特性可能不在您的购买或使用范围之内 除非合同另有约定, 上海云轴公司对本文档内容不做任何明示或暗示的声明或保证 由于产品版本升级或其他原因, 本文档内容会不定期进行更新 除非另有约定, 本文档仅作为使用指导, 本文档中的所有陈述 信息和建议不构成任何明示或暗示的担保 上海云轴信息科技有限公司地址 : 上海市闵行区东川路 555 号紫竹科学园 6 号楼邮编 :200241 网址 :http://www.zstack.io 客户服务邮箱 : support@zstack.io 客户服务电话 : 400-962-2212 版本 2.0 上海云轴版权所有 2017 2

概述 本文档针对使用 ZStack 产品来搭建 IPsec 隧道环境的过程进行说明 本文档中所示参数均属于实验场景, 请根据自己的实际环境配置网络 教程仅提供理论参考, 有任何问题请咨询 ZStack 中国社区 (QQ 群 :410185063) 读者对象 本文档只要适用于以下工程师 : 运维工程师 测试工程师 网络工程师 修改记录 修改记录积累了每次文档更新的说明 最新版本的文档包含以前所有文档版本的更新内容 文档版本 1.10(2017-03-12) 更新 ZStack 描述 文档版本 2.0(2017-06-10) 更新 ZStack 描述 版本 2.0 上海云轴版权所有 2017 3

目录 1. 介绍... 5 2. 前提... 6 3. 安装... 6 4. 登录... 7 5. 添加镜像... 9 6. 创建公有网络... 10 7. 添加云路由镜像... 13 8. 添加云路由规格... 15 9. 添加云路由网络... 17 10. 创建云主机... 20 11. 搭建另一套 ZStack... 21 12. 创建 IPsec 隧道... 22 13. 验证 IPsec 隧道... 25 版本 2.0 上海云轴版权所有 2017 4

1. 介绍 ZStack 教程 IPsec 隧道是透过对 IP 协议的分组进行加密和认证来保护 IP 协议的网络传输数据 ZStack 支持采用 IPsec 隧道技术实现站点到站点 (site-to-site) 的虚拟私有网络 (VPN) 连接 在本教程里, 将会搭建两套 ZStack, 一套公网地址为 :10.61.100.177, 私有网络地址段为 :192.168.1.0/24, 另一套公网地址为 :10.61.200.188, 私有网络地址段为 :172.20.10.0/24, 私有网络不能重叠 搭建成功后, 两套 ZStack 中私有网络的云主机会连通 其总体架构如下 : 图 1.1 IPsec 隧道架构图 版本 2.0 上海云轴版权所有 2017 5

2. 前提 在此教程中, 我们假定您的 Linux 服务器只有一个网卡, 并且可以连接到互联网 除此 之外, 我们还需要您有如下环境 : 至少 40G 可用的硬盘剩余空间, 用于基本的主存储和备份存储 ( 镜像服务器 ) 有几个可以使用的公网的 IP 地址 可以使用 root 用户 ssh 到本机 基于以上的要求, 我们假定您的配置信息如下 : 网卡设备 eth0 网卡 IP 10.0.104.160 公有网络 IP 地址范围 10.61.100.100 10.61.100.200 私有网络 IP 地址范围 192.168.1.0/24 主存储目录 /ZStack_ps 备份存储目录 /ZStack_bs 网卡设备 eth0 网卡 IP 10.0.172.51 公有网络 IP 地址范围 10.61.200.100 ~ 10.61.200.200 私有网络 IP 地址范围 172.20.10.0/24 主存储目录 /ZStack_ps 备份存储目录 /ZStack_bs 3. 安装 读者可以从官网 (www.zstack.io) 下载并安装 ZStack 镜像 2.0 在安装过程中, 选择 企业版管理节点模式 (ZStack Enterprise Management Node) 安装完成并重启系统后, 将 会自动安装最新版本 ZStack 软件 具体操作步骤可以参考用户手册 : ISO 下载地址 : http://cdn.zstack.io/product_downloads/iso/zstack-x86_64-dvd-2.0.0.iso 版本 2.0 上海云轴版权所有 2017 6

4. 登录 ZStack 教程 使用 Chrome 浏览器或 FireFox 浏览器进入 ZStack 管理界面 ( http://your_machine_ip:5000/ ), 默认用户名和密码为 :admin/password 图 4.1 ZStack 登录界面 图 4.2 进入初始化界面 版本 2.0 上海云轴版权所有 2017 7

首次登陆, 进入 ZStack 提供的初始化向导界面, 我们添加完成计算规格之后选择跳过向 导, 手动添加镜像和部署网络环境 如果您希望快速部署 ZStack, 请不要跳过初始化向导, 具体方式请参考 ZStack 快速安装教程 版本 2.0 上海云轴版权所有 2017 8

5. 添加镜像 ZStack 教程 点击左侧云资源池 > 镜像, 点击添加镜像, 弹出窗口, 添加镜像名称, 选择类型 Image, 平台 Linux, URL: http://192.168.200.100/mirror/diskimages/centos7-test.qcow2( 内部一个 镜像链接, 如只有一个镜像服务器, 默认会自动选择 ) 图 5.1 添加镜像 版本 2.0 上海云轴版权所有 2017 9

6. 创建公有网络 ZStack 教程 1) 创建 L2- 公有网络 : 点击左侧面板网络 > 二层网络, 并在二层网络设置界面点击创建 二层网络按钮 图 6.1 点击创建二层网络 2) 添加网络类型为 NoVlanNetwork 用户需输入以下内容: 名字 : L2- 公有网络 类型 : L2NoVlanNetwork 网卡 : eth0 网络服务 : 无网络服务 集群 :Cluster-1 版本 2.0 上海云轴版权所有 2017 10

图 6.2 添加 L2 网络界面 3) 创建 L3- 公有网络 : 点击左侧面板网络 > 三层网络 > 公有网络, 并在公有网络界面点击 创建公有网络按钮跳转到创建公有网络详情界面 图 6.3 添加 L3 网络界面 版本 2.0 上海云轴版权所有 2017 11

4) 填写 L3 网络名称, 二层网络选择 L2- 公有网络, 添加网络段方法为网络段, 用户需输入以下内容 : 起始 IP: 10.61.100.100 结束 IP: 10.61.100.200 子网掩码 : 255.0.0.0 网关 : 10.0.0.1 添加 DNS 为 223.5.5.5 图 6.4 添加 L3 网络界面 版本 2.0 上海云轴版权所有 2017 12

7. 添加云路由镜像 ZStack 教程 1) 点击左侧面板网络 > 云路由 > 云路由镜像, 并在云路由镜像界面点击添加云路径镜像 按钮 7.1 点击添加云路由镜像 2) 添加云路由镜像 ZStack 提供专用的云路由镜像供用户使用, 您可以在 ZStack 官方网站上找到最新的云路由镜像下载地址 : http://cdn.zstack.io/product_downloads/vrouter/zstack-vrouter-2.0.0.qcow2 用户需输入以下内容 : 名字 : 云路由镜像 URL: http://192.168.200.100/mirror/diskimages/zstack-vrouter-latest.qcow2 镜像服务器 :BS-1 版本 2.0 上海云轴版权所有 2017 13

图 7.2 添加云路由镜像 版本 2.0 上海云轴版权所有 2017 14

8. 添加云路由规格 ZStack 教程 1) 点击左侧面板网络 > 云路由 > 云路由规格, 并在云路由规格界面点击添加云路由规格 按钮 图 8.1 点击添加云路由规格 2) 进入添加云路由规格界面, 用户需输入以下内容 : 名字 : 云路由规格 CPU: 1 内存 : 1 ( 默认单位 G) 镜像 : 云路由镜像 管理 L3 网络 : L3- 公有网络 公共 L3 网络 : L3- 公有网络 版本 2.0 上海云轴版权所有 2017 15

图 8.2 添加云路由规格 版本 2.0 上海云轴版权所有 2017 16

9. 添加云路由网络 ZStack 教程 1) 创建 L2 云路由网络点击左侧面板网络 > 二层网络, 并在二层网络界面点击创建二层 网络按钮 图 9.1 添加云路由网络 2) 创建 L2 私有网络, 添加网络类型为 L2VlanNetwork 用户需输入以下内容: 名字 : L2- 云路由网络 类型 : L2VlanNetwork Vlan ID: 2001 网卡 : eth0 集群 :Cluster-1 版本 2.0 上海云轴版权所有 2017 17

图 9.2 添加网络界面 3) 创建 L3- 云路由网络 : 点击左侧面板网络 > 三层网络 > 私有网络, 并在私有网络界面点击创建私有网络按钮跳转到创建有网络详情界面, 网络名称填写 :L3- 云路由网络, 二层网络选择 L2- 云路由网络, 选择云路由, 云路由规格默认选择云路由规格, 添加网络段方法, 选择 CIDR, CIDR 填写 192.168.1.0/24, 添加 DNS, 填写 223.5.5.5 版本 2.0 上海云轴版权所有 2017 18

图 9.3 创建 L3 云路由网络 版本 2.0 上海云轴版权所有 2017 19

10. 创建云主机 ZStack 教程 1) 点击左侧面板云资源池 > 云主机, 并在云主机界面点击创建云主机按钮, 弹出的创建 建云主机界面, 默认添加方式为单个, 这里计算规格, 镜像和网络只有唯一的一个, 系统会 自动选择上 填写云主机名称 : vm 图 10.1 新建云主机界面 图 10.2 新建完成云主机界面 版本 2.0 上海云轴版权所有 2017 20

11. 搭建另一套 ZStack ZStack 教程 1) 按照以上操作, 搭建另一套 ZStack. 公有网络 IP 范围 : 10.61.200.100 10.61.200.200 私有网络 IP 范围 : 172.20.10.0/24 创建 VM 如图所示 : 图 11.1 新建完成云主机界面 2) 我们在两个环境中创建的云主机的 IP 分别为 :192.168.1.122 和 172.20.10.212 从第一套 ZStack 的云主机上 ping 第二套 ZStack 上的云主机, 来检查网络是否连通 : 图 11.2 两套上的云主机 ping 无法连通的图 版本 2.0 上海云轴版权所有 2017 21

12. 创建 IPsec 隧道 ZStack 教程 1) 点击左侧面板网络 > 网络服务 >IPsec 隧道, 点击新建 IPsec 隧道按钮弹出新建 IPsec 隧道详情界面, 输入以下内容 : 名字 : 选择虚拟 IP 方法 : IPsec1 新建虚拟 IP 网络 : L3- 公有网络 ( 默认自动选择 ) 公共网络 IP: 172.20.57.200 本地子网 : L3- 云路由网络 远端网络 IP: 10.61.200.188 远端网络 CIDR: 172.20.10.0/24 认证密码 : test@123456 版本 2.0 上海云轴版权所有 2017 22

图 12.1 创建 IPsec 隧道详情界面 2) 点击确定按钮, 跳转到完成界面 图 12.2 IPsec 隧道完成界面 3) 在另一套界面上创建 IPsec 隧道, 如图 : 版本 2.0 上海云轴版权所有 2017 23

图 12.3 创建 IPsec 隧道详情界面 4) 点击确定按钮, 跳转到完成界面 图 12.4 IPsec 隧道完成界面 版本 2.0 上海云轴版权所有 2017 24

13. 验证 IPsec 隧道 ZStack 教程 1) 点击左侧云资源池 > 云主机, 点击 vm, 进入云主机详情界面, 点击控制台 : 图 13.1 云主机打开控制台 2) 输入用户 :root 密码 :password 进入系统, 并使用命令 ip r 查看 IP 地址, 使用 ssh, ping 测试是否可以连通, 使用 vm 的终端 ssh 到 vm2 IP 为 172.20.10.212 登录成功, 在 vm2 终端 ping vm 的 IP 为 192.168.1.122 可以 ping 通 图 13.2 云主机互通界面 至此, 我们完成了搭建两套 ZStack, 通过创建 IPsec 隧道使两套环境中的私有网络互通 的过程 关于更多 ZStack 使用说明, 请查看官方网站 :http://www.zstack.io 版本 2.0 上海云轴版权所有 2017 25