阿里云VPC网络之间通过GRE隧道打通

此前介绍了VPC网络下阿里云服务器如何配置Snat让整个VPC网络都通过一个EIP访问公网,今天介绍一下如何通过GRE隧道将两个VPC网络的私网打通。

测试环境如下:

2个VPC(VPC1,VPC2)代表两个完全隔离的物理网络

每个VPC网络交换机,路由器,公网IP各一个,ECS2台,一台作为VPC网络的网关,一台作为局域网内部的服务器。

VPC1:   {EIP:112.74.32.191    GW:172.16.1.1    VPC1-Client:   172.16.1.2}

VPC2:   {EIP:112.74.32.161    GW:172.16.2.1     VPC2-Client:   172.16.2.2}

拓扑如下:

VPC1-GW操作
加载gre模块

1 [[email protected] ~]# modprobe ip_gre
2 [[email protected] ~]# lsmod |grep gre
3 ip_gre 9575 0
4 ip_tunnel 12597 1 ip_gre

创建隧道tun1

1 [[email protected] ~]# ip tunnel add tun1 mode gre remote 112.74.32.161 local 172.16.1.1

激活隧道tun1

1 [[email protected] ~]# ip link set tun1 up

为隧道配置互联地址

1 [[email protected] ~]# ip addr add 192.168.2.1 peer 192.168.2.2 dev tun1

将访问VPC2网络的数据都丢到tun1接口

1 [[email protected] ~]# route add -net 172.16.2.0/24 dev tun1

#VPC2-GW配置和VPC1一样,只是链路反过来,按照实际情况修改一下。

1 [[email protected] ~]# modprobe ip_gre
2 [[email protected] ~]# lsmod |grep gre
3 ip_gre 9575 0
4 ip_tunnel 12597 1 ip_gre
5 [[email protected] ~]# ip tunnel add tun1 mode gre remote 112.74.32.191 local 172.16.2.1
6 [[email protected] ~]# ip link set tun1 up
7 [[email protected] ~]# ip addr add 192.168.2.2 peer 192.168.2.1 dev tun1
8 [[email protected] ~]# route add -net 172.16.1.0/24 dev tun1

查看隧道,属于激活状态

从VPC2网络测试VPC1的GW,已经可以联通,从VPC1测试VPC2的GW也可以联通了

1 [[email protected] ~]# nc -zv 172.16.1.1 22
2 Connection to 172.16.1.1 22 port [tcp/ssh] succeeded!
3 [[email protected] ~]# nc -vz 172.16.2.1 22
4 Connection to 172.16.2.1 22 port [tcp/ssh] succeeded!

至此,两个VPC网络的网关都已经能互通了,但是测试两个VPC网络的其他服务器,目前依然不能互通,如下:

这是因为路由还不通,这里以VPC2的client访问VPC1的client为例:

登陆VPC2的控制台为VPC2路由器配置默认路由,指向配置了EIP的VPC2-GW(可参考此前的SNAT教程),

 

登陆VPC2-GW,开启IP转发,并配置SNAT,让VPC1client的数据包转换为GRE隧道可以通讯的192.168.2.2这个IP:

1 [[email protected] ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
2 [[email protected] ~]# iptables -t nat -I POSTROUTING -s 172.16.2.0/24 -d 172.16.1.0/25 -j SNAT --to 192.168.2.2

这时,VPC2-client的数据包已经可以到达VPC1-GW了(VPC2-client->VPC2路由->VPC2-G->GRE->VPC1-GW),但是依然Ping不通,抓包看一下:

源地址是VPC1的互联地址,目标地址是172.16.1.2,这个路径显然是不通的,需要VPC1-GW将这个数据包转换为VPC1网络的地址:

1 [[email protected] ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
2 [[email protected] ~]# iptables -t nat -I POSTROUTING -j SNAT --to 172.16.1.1

配置完毕后,VPC1->VPC2反向也做同样的配置。

至此再做测试,VPC1和VPC2的网络就完全互通了:

 

时间: 2016-04-07
Tags: 阿里云, VPC, linux, gre

阿里云VPC网络之间通过GRE隧道打通的相关文章

阿里云VPC私网连接技术白皮书

概要        阿里云专有网络VPC(Virtual Private Cloud)是您基于阿里云构建的一个隔离的网络环境,专有网络之间逻辑上彻底隔离.您能够在自己定义的虚拟网络中使用阿里云资源,例如选择自己的IP地址范围.划分网段.配置路由表和网关等,从而实现安全而轻松的资源访问和应用程序访问.        阿里云提供多种将VPC和其他私有网络打通的连接选项和高级功能,帮助您安全高效地访问部署在VPC上的内部应用.本文介绍以下私网互连场景和可选的网络产品,帮助您在不同的需求场景选择对应的产

阿里云VPC产品详解

[51CTO.com原创稿件]随着云计算的快速发展,网络问题争议不断,为了解决云上租户网络隔离问题,VPC(专有网络)应运而生,VPC也被认为是未来的趋势. 那么,阿里云的VPC是如何帮助用户解决云上的隔离问题呢?VPC之间如何互通.VPC又是如何主动访问公网,如何让用户从公网访问呢?VPC上还有哪些可以避免的坑呢? 记者采访了阿里云网络技术团队高级产品专家李泉(花名)与阿里云网络技术团队高级研发专家梵叶(花名),本文整理自二位的采访内容. VPC的由来 VPC是随着虚拟化.云计算的发展而出现的

直击阿里云VPC: 你要的云上安全体验全部在这里!

这几天大家比较关注VPC,这里向大家介绍下阿里云网络相关的动态.   阿里云起步于经典网络,但已全面转向VPC      大家知道,阿里云从2009年就启动了代号为"飞天"的云计算研发,致力于提供公共云计算服务.那个时候经典网络是普遍的网络类型,因此阿里云云计算系统是从经典网络起步的.为了云上租户的安全性,阿里云研发了安全组,用户通过安全组的设置,也可以做到很好的安全防护,大家有兴趣的可以点击访问.   阿里云在安全上一直持续努力,陆续又推出了访问控制(Resource Access

阿里云ECS网络增强型实例设计原理

摘要:为了满足直播.游戏.Hadoop.消息中间件等对网络转发能力有非常高要求的用户场景,主流的云计算厂商都推出了针对网络性能优化的虚拟机实例.如何实现高性能.低延迟.少抖动的虚拟机网络性能,一直都是非常有挑战的问题,业界的有多种实现的方法,但是都各有利弊.在和阿里云网络团队联合主办的2017阿里云网络技术在线高峰论坛,阿里云高级技术专家李星就为大家分享了阿里云的网络增强型的解决方案和思考. 本文内容根据演讲嘉宾分享视频以及PPT整理而成. 一.传统虚拟化网络所面对的挑战和瓶颈 在传统虚拟化网络

阿里云VPC下Kubernetes的网络地址段

在阿里云上创建Kubernetes就能的时候,通常可以选择自动创建专有网络,完全不用操心地址分配的问题.然后事情并非总是真么简单,某些情况下,还是得自己规划ECS地址.Kubernetes Pod地址和Service地址.本文将介绍阿里云VPC环境下Kubernetes里各种地址作用,以及地址段该如何选择.首先来看几个和IP地址有关的概念 VPC网段 在创建VPC选择的地址段.只能从10.0.0.0/8,172.16.0.0/12,192.168.0.0/16三者当中选择一个. 交换机网段 在V

阿里云VPC配置SNAT

包括阿里云在内的很多云服务器classcal下都不支持SNAT,有幸拿到了阿里云VPC的测试权限,测试这个虚拟专用网模式下是支持SNAT的,大概列一下操作过程. 1 2 使用一台虚拟路由器,两台虚拟交换机用于连接内网局域网和外网机器所属的局域网,两台ECS: 一台纯内网,一台绑定了EIP作为NAT网关,如下:       1 在虚拟路由器上配置路由 由于为了让内网服务器借助EIP访问公网,所以设置所有目标地址0.0.0.0/0下一跳都转发到绑定了公网IP的ECS实例上.这里的下一跳ECS不支持搜

从“恋爱”到“结婚”,阿里云与天宇朗通之间看来只隔层纱了

2004年到2010年,除了联想手机与脱胎于山寨体系的产品外,你几乎很难看到真正属于本土的品牌.你几乎每天都能看到苹果.三星.诺基亚等巨头的影子.不过,2011年以来,传统手机圈之外,本土市场忽然冒出一股新的手机品牌力量,它们或是身穿移动互联网外衣,或是原本藏身许久的巨头. 从"恋爱"到"结婚",阿里云与天宇朗通之间看来只隔层纱了. 绯闻传了大半年,内容多变.不过,记者多方调查,可以确定,尽管双方多次否认并购传闻,但肯定会进一步"亲密". 天宇副

5大场景护航企业成长,实例解析阿里云适应性网络架构

企业成长的每个阶段,网络管理员都面临着不同的问题和挑战.公司初创时,等待设备送达度日如年.公司快速成长时,网络性能似乎永远跟不上业务需求,常常碰到"此网页无法打开,请稍后再试"的尴尬.当企业扩张跨越地域和国界时,各地客户体验参差不齐让人备受困扰.今天,我拿一个典型公司作为例子,根据这家公司不同阶段遇到的网络难题,给大家展示一下阿里云如何解决这些问题.X是一家互联网公司,公司的长期愿景是为全球网络游戏玩家提供身临其境的游戏体验. 场景1:公司初创,产品研发测试 客户故事:X公司成立伊始,

产品经理教你写代码—用JAVA写一个阿里云VPC Open API调用程序

引言 VPC提供了丰富的API接口,让网络工程是可以通过API调用的方式管理网络资源.用程序和软件管理自动化管理网络资源是一件显著提升运维效率和网络生产力的事情.产品经理教你写代码系列文章的目标是不懂代码的网络工程师能一步一步的学会用API管理网络.另外通过文章标题大家也可以看出来,产品经理教你写代码肯定是一个业余班,里面的代码很多写的都不规范,可能也有很多Bug.专业选手可以参考的有限,请适度喷,手下留情.其实如果只是想用单个API调用,可以用下面这个线上工具: https://api.ali