[发明专利]一种基于云计算领域实现VPN网关的方法

说明书

本发明提供了一种基于云计算领域实现VPN网关的方法，包括以下步骤：A.创建虚拟防火墙；B.分配本端IPSEC的端点地址IP1；C.在于虚拟防火墙相连的接入交换机上配置路由信息，使VPC1下的子网流量能够流向虚拟防火墙；D.配置虚拟防火墙上IPSEC规则；E.结束配置。本发明有益效果：有效减少防火墙配置，降低防火墙故障重启概率；提供租户VPN网关的隔离，不同VPC使用不同的EIP地址，提高运维的可维护性。

技术领域

本发明属于云计算技术领域，尤其是涉及一种基于云计算领域实现VPN网关的方法。

背景技术

现有数据中心所有流量如果要访问internet都需要走防火墙去做NAT转换，包过滤等处理。当前云计算领域使用防火墙(FW)作为VPN网关的配置下发的实体，VPN网关转换功能由防火墙实现，目前通用组网中数据中心仅存在一组堆叠防火墙设备。

由于所有流量及功能配置(包括默认网关、EIP、VPN网关等功能)均在一个防火墙上实现，导致设备配置过多，设备故障概率增加，一旦数据中心对外防火墙异常，会导致整个数据中心内的设备不能访问外网。配置过多给防火墙带来压力的同时也使整个数据中心网络不可用的概率增加。

一个防火墙仅使用一个虚拟防火墙(VFW)来承载这些配置功能，但由于一个虚拟防火墙仅有一个外网接口(Reth1)配置一个公网地址EIP，所有的租户创建的VPN网关均对应的外网地址均相同(即Reth1配置的EIP地址)，一旦EIP地址不可用，则所有租户的VPC所创建的VPN网关将均不可用。

发明内容

有鉴于此，本发明旨在提出一种基于云计算领域实现VPN网关的方法，以解决上述问题的不足之处。

为达到上述目的，本发明的技术方案是这样实现的：

一种基于云计算领域实现VPN网关的方法，包括以下步骤：

A.创建虚拟防火墙；

B.分配本端IPSEC的端点地址IP1；

C.在于虚拟防火墙相连的接入交换机上配置路由信息，使本端的虚拟私有云VPC1下的子网流量能够流向虚拟防火墙；

D.配置虚拟防火墙上IPSEC规则；

E.结束配置。

进一步的，所述步骤D中IPSEC规则包括ike、ipsec隧道、ACL规则的信息，使VPC1下的子网能够通过IP1访问对端子网。

进一步的，不同的虚拟防火墙建立不同的VPN IPSSEC隧道与对端通信。

进一步的，所述防火墙通过汇聚交换机、接入交换机连接本端主机，所述防火墙通过ipsec隧道与对端服务器连接，所述对端服务器连接对端主机。

相对于现有技术，本发明所述的基于云计算领域实现VPN网关的方法具有以下优势：

本发明所述的基于云计算领域实现VPN网关的方法有效减少防火墙配置，降低防火墙故障重启概率；提供租户VPN网关的隔离，不同VPC使用不同的EIP地址，提高运维的可维护性。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例所述的基于云计算领域实现VPN网关的方法的配置流程；

图2为本发明实施例所述的基于云计算领域实现VPN网关的方法所使用的基本组网形式；

图3为本发明实施例所述的基于云计算领域实现VPN网关的方法使用示例；