OpenStack-Neutron-VPNaaS-测试和使用

准备

• 确认安全组规则允许vpn协议通过（tcp协议和icmp协议，测试的时候直接设置“进出”全开）

• 确认两个子网上的vm可以ping通对方路由的外网ip，确认下两个vm是否可以访问外网

测试环境

    (10.1.0.0/24 - DevStack East)
              |
              |  10.1.0.1
     [Quantum Router]
              |  172.24.4.226
              |
              |  172.24.4.225
     [Internet GW]
              |  
              |
     [Internet GW]
              | 172.24.4.232
              |
              | 172.24.4.233
     [Quantum Router]
              |  10.2.0.1
              |
     (10.2.0.0/24 DevStack West)

openstack集群A（East）

    外网：flat
    网关:172.24.4.225
    路由(routerA)外网ip:172.24.4.226
    路由(routerA)内网ip:10.1.0.1
    子网(netA)：10.1.0.0/24

openstack集群B(West)

    外网：flat
    网关:172.24.4.232
    路由(routerB)外网ip:172.24.4.233
    路由(routerB)内网ip:10.2.0.1
    子网(netB)：10.2.0.0/24

在集群A分别执行下列命令，创建ike策略 ipsec策略 vpn服务 以及连接

neutron vpn-ikepolicy-create ikepolicy1
neutron vpn-ipsecpolicy-create ipsecpolicy1
neutron vpn-service-create --name myvpnA routerA netA
neutron ipsec-site-connection-create --name vpnconnectionA --vpnservice-id myvpnA --ikepolicy-id ikepolicy1 --ipsecpolicy-id ipsecpolicy1 --peer-address 172.24.4.233 --peer-id 172.24.4.233 --peer-cidr 10.2.0.0/24 --psk secret

在集群B分别执行下列命令，创建ike策略 ipsec策略 vpn服务 以及连接

neutron vpn-ikepolicy-create ikepolicy1
neutron vpn-ipsecpolicy-create ipsecpolicy1
neutron vpn-service-create --name myvpnB routerB netB
neutron ipsec-site-connection-create --name vpnconnectionB --vpnservice-id myvpn --ikepolicy-id ikepolicy1 --ipsecpolicy-id ipsecpolicy --peer-address 172.24.4.233 --peer-id 172.24.4.233 --peer-cidr 10.2.0.0/24 --psk secret

 

> peer-address 和peer-id 对写成对方router的外网ip地址即可

> peer-cidr写成对方路由保护的内网

> psk可以自定义，只要双方一致即可


接下来就是稍等片刻，connection的状态会由pending create 变成active

PS

在同一个集群中，创建两个用户网络和两个路由也可以进行测试