内网服务器结合vxlan和iptables-snat实现内网服务器上网——筑梦之路

已于 2023-01-31 13:05:00 修改
阅读量869 收藏 2
点赞数 1
分类专栏: linux系统运维 虚拟化 云计算 文章标签: 服务器 linux 运维
于 2023-01-28 10:03:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34777982/article/details/128775145
版权
linux系统运维 同时被 3 个专栏收录
653 篇文章 93 订阅
订阅专栏
虚拟化
127 篇文章 7 订阅
订阅专栏
云计算
114 篇文章 3 订阅
订阅专栏

之前通过其他方式实现

CentOS搭建NAT和DHCP服务,实现共享上网_筑梦之路的博客-CSDN博客_vsphere 创建dhcp

CentOS 7 firewalld实现共享上网和搭建本地yum仓库——筑梦之路_筑梦之路的博客-CSDN博客

如上图,有这样一种场景,我们经常遇到,局域网内有两台服务器,Server 1和Server 2,Server 1可以通公网,Server 2只能通内网,无法直接访问公网

图中有错,server2的内网地址应该为192.168.30.12

现在想Server 2能访问到公网,怎么做?

通常的做法,是在Server 1服务器上开一个代理服务,比如Squid、Nginx等,然后在Server 2服务器上在profile中配置proxy代理

这种方法的弊端是,太局限,大多是情况只能7层代理,而且还会涉及到https代理证书问题等

那有没有更好的方法?

今天介绍一种简单又好用的方法,结合vxlan和iptables-snat实现内网服务器公网访问

Server 2与Server 1之间配置vxlan隧道

Server1配置

# Server 1作为NAT服务器,需要做一些NAT的网关改造
# rp_filter设置为0
for f in /proc/sys/net/ipv4/conf/*/rp_filter
do
    echo 0 > $f
done
  
# ip forward转发开启0
/sbin/sysctl -w net.ipv4.conf.all.forwarding=1
  
# 设置TCP超时参数
/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_established=900
/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_time_wait=30
/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_close_wait=30
/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_fin_wait=60
/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_syn_sent=60
/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_timeout_syn_recv=30
  
# 连接跟踪nf_conntrack_tcp_loose设置0,不跟踪已经完成握手的流,主要是连接跟踪性能优化项
# nf_conntrack_tcp_loose选项如果设置为0,对于未完成三次握手的流,内核连接跟踪模块将不会为其创建conntrack结构。反之,值为1的话,将为任意收到的tcp报文创建conntrack
/sbin/sysctl -w net.netfilter.nf_conntrack_tcp_loose=0
# 创建点对点vxlan隧道
# 方法:ip link add vxlan0 type vxlan id 1 remote {Server2} local {Server1} dstport ${vxlan封包的目的端口},linux目的端口号(VXLAN Port)默认为8472,指定为0,使用默认端口
ip link add vxlan0 type vxlan id 1 local 192.168.30.11 dstport 0
# 调整MTU
ifconfig vxlan0 mtu 1400
# 配置一个vxlan地址,最好单独使用一个网段
ip addr add 192.168.1.1/24 dev vxlan0
# 启动vxlan
ip link set vxlan0 up
# 可以查看vxlan0配置信息
ip addr show

 以上配置完成后,最重要的一步,设置iptables snat转换策略

iptables -t nat -I POSTROUTING ! -s 192.168.30.0/24 -j SNAT --to 192.168.30.11

这样Server1服务器就被改造成一个NAT网关,当然Server 1本身的上网等是没有任何问题的

Server2配置

# 删除默认路由,因为要配置Server 2路由走vxlan,走Server1作为网关,所以要删除原先的默认路由
route del default
# 和Server 1一样添加vxlan
ip link add vxlan0 type vxlan id 1 remote 192.168.30.11 local 192.168.30.12 dsport 8472
# 启动vxlan0
ifconfig vxlan0 up
# 修改MTU和Server 1一致
ifconfig vxlan0 mtu 1400
# 添加路由
route add 192.168.1.1 dev vxlan0
route add default gw 192.168.1.1
# 启用时间戳
sysctl -w net.ipv4.tcp_timestamps=0
# rp_filter设置为0
for f in /proc/sys/net/ipv4/conf/*/rp_filter
do
    echo 0 > $f
done

以上配置完成后,Server 2与Server 1之间通过vxlan实现通讯,Server 2默认路由走vxlan dev,然后指向Server 1,Server 1配置了iptable snat转发,所以Server 2到公网的所有请求都被Server 1转发出去,至此,Server 2实现公网访问

中间有个MTU的修改,这里说下原因

在TCP封装vxlan报文的时候,会增加50字节,如下图

所以这里避免转发过程中要分片,所以设置vxlan0的MTU为1400,这里可以通过抓包具体实测确定MTU大小

通过以上方法配置的内网转发,比通过Nginx、Squid等方式配置的7层代理要方便很多,可以解决很多7层以下公网访问的问题

作为资料搜集,原文:

如何让一台内网服务器连接公网?

参考资料:

VXLAN 基础教程:在 Linux 上配置 VXLAN 网络 - 简书

linux 上实现 vxlan 网络 | Cizixs Write Here

iptables配置SNAT实现共享上网_iptables snat_半隐退状态的博客-CSDN博客

手工实现docker的vxlan

使用OpenvSwitch构建Docker跨主机的vxLAN环境 | 码农家园

【爬坑系列】之vxlan网络实现 | VXLAN

iptables实现SNAT及DNAT - An.amazing.rookie - 博客园

iptables之SNAT与DNAT - 啦啦啦12178 - 博客园

筑梦之路
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
12800-CloudEngine配置指南 eNSP 实现VxLAN
06-02
在eNSP中实现VXLAN配置,用户可以创建网络拓扑,配置VXLAN相关的参数,然后进行实际操作以验证配置的正确性和网络的连通性。这对于学习和理解VXLAN的工作原理以及在实际环境中的应用非常有帮助。 HCIE-datacom...
华三H3C-VXLAN配置-扫盲必看
最新发布
04-03
H3C-VXLAN,H3设备的基础配置,详细介绍了 华三VXLAN的概念,配置指导,配置案例,以及使用场景,适合数据中心SDN虚拟化以及小型局域网整网设计应用的技术,其中里面有一部分扫盲配置,并带有相关基础配置,包括...
理解VXLAN网络
Crazy博客
05-26 829
在三层可达的网络中部署VXLAN,在每个VXLAN网络端点中都有一个VTEP设备,负责将VXLAN协议的数据包进行UDP数据包的封包和解包,可以将其理解为隧道,将VXLAN数据包从逻辑网络转发到物理网络VXLAN使用24位的VXLAN网络标识符(VNI)来标识不同的虚拟网络‍。
linux中IP in IP隧道、IP GRE隧道和vxlan隧道的配置方法和报文结构。
刘一凡的博客
06-10 4069
linux中IP in IP隧道、IP GRE隧道和vxlan隧道的配置方法和报文结构。
【博客634】linux vxlan设备的不同场景下的四种使用方法
qq_43684922的博客
03-12 1679
Linux 提供了另外一种方法,内核能够动态地通知节点要和哪个容器通信,应用程序可以订阅这些事件,如果内核发现需要的 ARP 或者 fdb 表项不存在,会发送事件给订阅的应用程序,这样应用程序从中心化的控制拿到这些信息来更新表项,做到更精确的控制。这个方案解决了在某些 underlay 网络中不能使用多播的问题,但是并没有解决多播的另外一个问题:每次要查找 MAC 地址要发送大量的无用报文,如果 vtep 组节点数量很大,那么每次查询都发送 N 个报文,其中只有一个报文真正有用。
VXLAN和外部连接
qq_43691045的博客
12-18 2047
本文将介绍以下内容: VXLAN 二层和三层外部连接方式; VXLAN 外部网络和共享业务; 1 VXLAN外部连接方式 VXLAN通过边界节点和外部连接,边界节点负责对VXLAN进行解封装,和外部交换路由,边界节点有两种选择: 使用spine作为边界节点。在使用spine作为边界节点时,为了使spine上路由的一致性,建议所有的spine都和外部连接。如图: 图中spine还承担了RR,...
VXLANLinux上的实践
wq897387的专栏
07-17 670
VXLANLinux上的实践
VXLAN-Routing-Design.pdf
09-17
数据中心网络架构必备,VXLAN路由设计,多活数据中心2层打通,VXLAN技术。
实验十_VxLAN-20170862107-黄国彪1
08-08
实验“实验十_VxLAN-20170862107-黄国彪1”主要聚焦于VxLAN技术的安装、部署以及运行原理的理解,这是一项在网络虚拟化领域广泛使用的协议,尤其在OpenStack这样的云计算环境中。VxLAN(Virtual eXtensible Local ...
二层协议 — vxlan功能
weixin_43614963的博客
10-11 869
vxlan功能配置使用 说明:   实现原理是在OSI模型中的第二层数据链路层中将原始数据帧进行二次封装添加UDP包头。在两台能够相互访问的的设备上,R1将封装完的UDP数据发送给R2,R2接收到数据先解析UDP数据,发现是vxlan数据,将解析出来的原始数据帧,进行再次解析,将数据发送给原始数据帧的目的地址。(详情查找网络资料) 一、ubuntu 建立 vxlan隧道通信   分别在同一局域网下的ubuntu1和ubuntu2上搭建vxlan隧道,上网地址分别是192.168.1.10和192.168.
网络虚拟化之虚拟局域网技术VXLAN
技术百宝箱
07-12 1340
接上篇网络虚拟化之虚拟交换机技术Linux Bridge再来看看虚拟局域网技术VXLAN。有了虚拟设备如何组建虚拟局域网? 几个核心点:1. 在三层网络UDP之上传输二层包以太网帧,可实现跨机房3. 典型的Overlay网络,相对于Underlay(物理网络)以类似下图的形式组一个VXLAN。两台主机,每台主机建一个独立的网络空间,打通这俩网络空间的内网。(先尝试一次组播寻址的方式) 使用 eth0的多播组 239.1.1.2 通信。id 1:VNI的值,在1~2的24次方之间 dstport: VTE
VXLAN详解(三)
永远是少年
08-07 6406
今天给大家介绍VXLAN技术。本文主要介绍了VXLAN技术与网络虚拟化的关系、VXLAN的主要优点和VXLAN的网关配置 一、VXLAN技术与网络虚拟化 VXLAN技术的本质是实现二层VPN,即实现跨三层网络实现二层底层网络互通。VXLAN实现存在两次虚拟化: 第一次虚拟化: 利用隧道技术将边缘设备互联透传二层报文,整网抽线理解成一台端口数目扩展的超大VLAN。 第二次虚拟化: 利用VNI特性将这个超大的交换机虚拟出多个二层的广播域,和VLNA本质是一样的,VNI类比VLANID,并通过定义VXLAN H
Vxlan学习笔记——原理
mywolfking的专栏
03-15 2177
1. 为什么需要Vxlan   普通的VLAN数量只有4096个,无法满足大规模云计算IDC的需求,而IDC为何需求那么多VLAN呢,因为目前大部分IDC内部结构主要分为两种L2,L3。L2结构里面,所有的服务器都在一个大的局域网里面,TOR透明L2,不同交换机上的服务器互通靠MAC地址,通信隔离和广播隔离靠的vlan,网关在内网核心上。而L3结构这是从TOR级别上就开始用协议进行互联,网关在T...
动态建立Vxlan隧道实现租户访问外网实验配置(分布式网关单租户多子网场景)
m0_49864110的博客
07-06 2504
绿色为需要注意的配置(相比于不需要访问外网的场景需要注意的配置)根据图配置相应的Vlan与接口IP地址,并通过路由协议使得VTEP地址互通根据图配置FW1相应的安全区域与安全策略CE1、CE3为Leaf、CE2为Spine实现外网互访可以在Leaf上引入路由,也可以在Spine上引入路由。思想是差不多的。本次是在Spine上将外网路由引入EVPN实例中所以需要Spine与Leaf之间也建立三层Vxlan隧道,通过传递Type5路由来实现路由引入如果是在Leaf上做路由引入,则不需要与Spin建立三层Vxla
同网段互访VXLAN实验
weixin_45457085的博客
02-08 597
bright-domain仅为华为私有,不是标准协议,不可以在以太网中传输,仅在本地有效,需要与vni进行关联,vni是标准协议,可以在以太网传输,也就是说两端leaf上的同一租户的bright-domain可以不一致,但是VNI必须一致。leaf1上:ARP请求报文进入BD1000,然后通过VNI500进入VXLAN隧道中,泛洪到leaf2的VNI500,进入到与VNI500绑定的BD1000,最终到达PC2,PC2收到了泛洪的ARP请求报文,向PC1回复ARP应答报文。内层IP头(两端PC的IP地址)
vxlan专题---第三章 华为vxlan不同租户访问
XiaoMa_Ge2019的博客
07-07 1103
上接vxlan专题—第二章的内容。本章主要讲不通租户之间的隔离及业务互访,租户之间的隔离一般采用防火墙虚拟系统实行。配置vrf及三次vni vpn-target必须是evpn,并且启用三层vni用于传递tpye 3路由。整体配置 2、业务隔离 配置思路采用如下思路配置两个虚拟系统直接互访:1.开启虚拟系统功能,分别创建虚拟系统vsysa和vsysb并为其分配资源。 2.在根系统、虚拟系统vsysa和vsysb下分别配置接口,并将接口加人安全区域。 3.在根系统下配置路由,对网络A和网络B之间互访的流量进行引
vxlan学习总结
liuyij3430448的博客
11-29 1468
这里需要注意 MTU 的问题,传统网络 MTU 一般为 1500,这里加上 VXLAN 的封装多出的(36+14/18,对于 14 的情况为 access 口,省去了 4 字节的 VLAN Tag)50 或 54 字节,需要调整 MTU 为 1550 或 1554,防止频繁分包。在 VXLAN 和原始二层帧的前面使用 8 字节 UDP 头部进行封装(MAC IN UDP),目的端口号缺省使用 4789,源端口按流随机分配(通过 MAC,IP,四层端口号进行 hash 操作), 这样可以更好的做 ECMP。
网络 - VXLAN
IT架构师
07-03 433
什么是VXLANVXLAN是一种网络虚拟化技术,它将原始的以太网包,封装在UDP header与VXLAN header内。端口VXLAN隧道使用的UDP端口,IANA分配的为4789,Linux内核分配的为8472。使用场景VXLAN在云数据中心之间虚拟机迁移中的应用,如某个企业在不同的数据中心有不同业务应用的虚拟机,数据中心之间虚拟机迁移是经常会遇到的,为了保证虚拟机迁移过程中业务不中断,则需要保证迁移虚拟机的IP地址、MAC地址等参数保持不变,这就要求虚拟机迁移前后属于统一个二层网络。如果使用传统方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值