通过VPN接入服务,您可以将传统数据中心安全地接入2Cloud的私有网络,组成一个按需定制的网络环境,实现应用的平滑迁移上云。
目前2Cloud提供SSL VPN和IPSEC VPN两种接入服务。SSL VPN实现对用户接入和访问私有网络的访问控制,防止恶意或攻击性目的的访问;IPSEC VPN方便客户在企业网内部,通过VPN隧道安全访问云杉混合云中的资源。
用户从广域网访问云平台上的服务或虚拟资源时,可以通过客户端与云平台中的虚拟防火墙(vFW)建立SSL VPN访问连接。
例如:外网 PC(IP:192.168.43.97/16)访问云平台的内网虚拟机VM(IP:20.20.20.101/24)上的HTTP服务时,可以通过在Topsec vFW上配置SSL VPN来建立访问连接。
在本例中,我们假设已经存在Topsec vFW和内网虚拟机,且已完成组网配置。下面以Topsec SSL VPN的全网接入方式为例进行配置说明。
登陆地址:https://192.168.37.102:8080/
登陆用户名为superman,初始密码可在虚拟防火墙的详情页面查看。
选择【SSL VPN】 > 【模块管理】,点击“全网接入”的【模块设置】图标,配置全网接入参数,如下图所示。
本例中DHCP服务器为SSL VPN网关本身,因此“DHCP服务器类型”选择“本地”。
选择【网络管理】>【DHCP】,然后选择【DHCP服务器】页签,点击【添加地址池】,添加作用域为"172.15.0.1/24"的DHCP地址池(用于分配给全网接入客户端),如下图所示。
将DHCP服务器的【运行接口】设置为【lo】,然后点击【启动】按钮启动DHCP服务器进程,如下图所示。
选择【资源管理】>【地址】,然后选择【子网】页签,添加子网地址资源,子网地址必须与分配给远程用户的虚拟地址所属的地址池一致,如下图所示。
选择【防火墙】>【地址转换】,点击【添加】进入配置页面,设定模式为“源转换”,源地址为“subnet”,设置源地址转换为“eth0 [属性]”,目的地址和服务项不用进行设置,最后点击【确定】按钮。
选择【用户认证】>【用户管理】,点击【添加组】,填写信息。
虚拟池选择步骤3中创建的地址池
点击【添加用户】,填写用户信息
所属父组选择上步中创建的组
选择【SSLVPN】>【资源管理】,然后点击资源列表左上方的【添加】,配置全网接入资源【HTTP】,如下图所示。
选择【用户认证】>【角色管理】,点击添加角色“yunshan”,如下图所示。
为角色授权,点击”角色列表”的”操作”中的【编辑】按钮
用户:
组:
SSLVPN资源:
用户登陆成功后,可以访问全网接入资源【HTTP】。
https://192.168.37.102,如果首次登陆会提示进行客户端下载。
本地管理系统想要访问云平台上的服务和数据时,可以通过与云平台中的虚拟防火墙(Topsec vFW)建立IPSec VPN连接。
例如:PC代表的本地管理系统(10.66.0.0/24)访问VM Server 代表的云平台服务(20.20.20.101/24)时,通过Topsec vFW配置IPSec VPN服务实现。其中,PC 作为Topsec虚拟防火墙A端的主机,IP 地址为10.66.20.2,网关为10.66.0.1;VM Server 作为Topsec虚拟防火墙B端的服务器,IP 地址为20.20.20.101,网关是20.20.20.11。
在本例中,我们假设已经存在两组Topsec vFW和内网虚拟机,且已完成组网配置。由于两个网关上的配置是相同的,所以下面以Topsec vFW B的配置为例。
登陆地址:https://192.168.37.102:8080/
默认的用户名和密码分别为superman和talent。
选择 虚拟专网 > 虚接口绑定,然后点击【添加】,绑定虚接口ipsec0,如下图所示。
选择虚拟专网 > 静态隧道,然后点击【添加隧道】配置静态隧道参数。
参数设置完成后,点击【确定】按钮完成静态隧道的添加。
选择 虚拟专网 > 静态隧道,查看到协商成功的隧道,如下图所示。
从IP为10.66.20.2的虚拟机可以ping通IP为20.20.20.101的虚拟机。