混合云架构VPN解决方案（基础环境构建篇）

在传统的混合云架构中，我们使用AWS Direct Connect来打通本地数据中心到AWS云的物理专线直连，构建一个从本地到云端的私有网络，这种直连方式无疑是广为认可的最佳实践。但是，在实际案例中，部分客户会选择两套不同的公有云来部署自己的生产环境。而在这样的需求下是不允许搭建物理专线来实现两套环境的通信。为了保证数据在公网传输过程中的安全性，我们可以采用VPN对数据加密，通过加密钥匙在两端形成一个加密的隧道。这种方式在节省成本的同时又能满足常规的安全性需求，但是需要注意的是采取这种方式，是很难去保证网络的质量与延迟。

在传统的架构中，比较常见的VPN服务器是采用PPTPD或者IPSEC+L2TPD来实现。无论是PPTP还是L2TP都是使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。但是鉴于PPTP的安全性存在比较大的争议，并且不支持隧道类型，所以我们在此推荐的是IPSEC+L2TPD的部署方式。

除了上述的Client to Server模式外，还有Site to Site的VPN模式。它们两者间的最大区别是在于一个是PC拨号，单向通信，适用于一对多的应用场景。另一个是网关拨号，发起端为双向，适用于多对多的应用场景。换句话说，CS的架构模式更加倾向使用于个人机器，用来管理云端中的实例。而如果两端的机器需要频繁业务交流的话，Site to Site的架构模式将会是一个更好的选择。

如何在AWS上构建一个Site to Site的VPN服务器?AWS Global环境中我们是可以借助VPN Connection来构建硬件的VPN服务，但是比较遗憾的是目前北京地区暂时不支持这个功能。所以我们只能借助一些开源软件来搭建VPN服务器，比如OpenSwan、StrongSwan、OpenVPN、Raccoon等等。下面我们会给出一个OpenSwan的案例实践，我们将会采用OpenSwan来构建一个Site to Site VPN，打通两套公有云之间的加密通信。

场景描述

如下图所示，SiteA和SiteB分别处于两套不同的公有云环境，具备访问外网的网关以及公网IP。我们会在SiteA和SiteB两端部署OpenSwan，以Share Key的方式构建IPSEC隧道，实现两端的加密通信。Client1和Client2都是内网中的机器，用于后期测试网络连接状况。

SiteA端公网IP：119.253.137.240

SiteB端公网IP：52.80.16.178

SiteA端私有网络：192.168.0.0/24

SiteB端私有网络：192.16.10.0/24

环境安装

备注：所有系统均为CentOS6.5，以下步骤需要在SiteA和SiteB上执行

1.安装Openswan和losf，采用yum源安装的方式即可，个别环境还需要额外补充安装nss数据库；

yum install openswan losf nss –y

2.执行下面脚本，关掉redirects；

#for vpn in /proc/sys/net/ipv4/conf/*;
# do echo 0 > $vpn/accept_redirects;
# echo 0 > $vpn/send_redirects;
# done

3.编辑vim /etc/sysctl.conf，开启路由转发功能；

net.ipv4.ip_forward = 0 1

net.ipv4.conf.default.rp_filter = 1 0

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.send_redirects = 0

4.刷新并保存；

[root@vpntest-sitea ~]# sysctl –p

5.开启iptables防火墙的4500， 500和50端口，并开启iptables的路由转发与IP伪装；

iptables -t nat -A POSTROUTING -o $EXIF -s $EXNET -j MASQUERADE  |

到这里基础环境的准备就结束了，下篇文章将会给出OpenSwan的详细配置参数。如果对本系列文章感兴趣，可以通过点击下列的二维码关注我们