配置站台對站台 VPN
您可以配置站台之間的 IP 抄寫。
關於這項作業
IBM Spectrum Virtualize for Public Cloud 軟體必須能夠在內部部署伺服器與 IBM Cloud™ 中的虛擬伺服器之間來回 ping 通。您可以使用網際網路通訊協定安全性 (IPsec) 來保護此 VPN。IBM Cloud 上的 IPsec 需要網址轉換 (NAT),這與 IP 抄寫不相容。如果您在 IBM Cloud 網路中需要 IPsec,請使用 Vyatta 軟體驅動裝置,該裝置提供虛擬路由器和虛擬防火牆。
程序
- 在 IBM Cloud 入口網站上,選取入口網站 > 網路 > 閘道軟體驅動裝置。
-
將軟體驅動裝置與您要保護的 VLAN 關聯。
- 導覽至客戶入口網站中的「閘道軟體驅動裝置詳細資料」畫面。
- 按一下關聯 VLAN,然後選擇適當的 VLAN。
- 按一下關聯以關聯 VLAN。
- 在關聯的 VLAN 的狀態顯示中,確定指定的 VLAN 已設定為已路由。
-
使用下列指令登入至 Vyatta 軟體驅動裝置:
ssh user_name@device_ip- user_name
- 閘道裝置的使用者名稱。
- device_ip
- 裝置的公用或專用 IP 位址。
-
針對 VLAN 中的所有子網路設定虛擬介面 (VIF)。
此步驟是必要的,以便子網路可以彼此存取。您可以在 VLAN 的網路選項下,從 IBM Cloud 入口網站取得這些子網路清單。
-
對於每個子網路位址,輸入下列指令:
set interfaces bonding bonded_interface vif vlan_num address nnn.nnn.nnn.nnn/nnn- bonded_interface
- 鏈結彙總控制通訊協定 (LACP) 結合介面的名稱。為專用介面和公用介面分別輸入一組 set 指令。
- vlan_num
- 所管理的 VLAN 的編號。
- nnn.nnn.nnn.nnn/nnn
- 閘道 IP 位址和遮罩。
-
對於每個 VIF,輸入下列指令:
set interfaces bonding bonded_interface vif vlan_num vlan vlan_num- bonded_interface
- 鏈結彙總控制通訊協定 (LACP) 結合介面的名稱。為專用介面和公用介面分別輸入一組 set 指令。
- vlan_num
- 所管理的 VLAN 的編號。
下列範例顯示同時針對專用介面 (dp0bond0) 和公用介面 (dp0bond1) 的指令:set interfaces bonding dp0bond0 vif 990 address dhcp set interfaces bonding dp0bond0 vif 990 address 10.93.4.65/26 set interfaces bonding dp0bond0 vif 990 address 10.93.135.193/26 set interfaces bonding dp0bond0 vif 990 vlan 990 set interfaces bonding dp0bond1 vif 962 address dhcp set interfaces bonding dp0bond1 vif 962 address 169.60.16.11/28 set interfaces bonding dp0bond1 vif 962 vlan 962註: 在介面處於線上狀態並建立閘道之後,可透過網際網路存取公用網路。為增強安全性,請配置防火牆規則以限制與公用網路之間的資料流量。 -
對於每個子網路位址,輸入下列指令:
- 在 Vyatta 軟體驅動裝置中配置 IPsec。
-
本端資料中心管理者必須配置 VPN 的內部部署端以符合之前的規格。
在內部部署系統與雲端中的系統之間任何介於中間的防火牆上,必須開啟 IP 抄寫埠。如果設定與使用 IBM Spectrum Virtualize 建置的其他系統的 IP 抄寫,請注意該產品的 TCP/IP需求。在該產品的文件中搜尋「系統的 TCP/IP 需求」。表 1 包含套用於 IP 夥伴關係的此資訊的摘要。最後一欄「服務類型」與此環境定義不相關。
表 1. IP 夥伴關係的 TCP/IP 埠與服務的摘要 服務 資料流量方向 通訊協定 埠 服務類型 IP 夥伴關係管理 IP 通訊 Inbound TCP 3260 選用 IP 夥伴關係管理 IP 通訊 出埠 TCP 3260 選用 IP 夥伴關係資料路徑連線 Inbound TCP 3265 選用 IP 夥伴關係資料路徑連線 出埠 TCP 3265 選用