HCIP认证动手实践-网络架构设计实验（2）

实验概览

包括本次实验内容介绍、实验目的。

使用云服务：VPC、ECS、EIP、VPN、NAT，搭建网络跨VPC跨地域互通的“云上云下”互通访问方案。

关键步骤：

1、创建VPC和子网（subnet）和虚拟机

在上海一创建vpc-1（网段：192.168.0.0/16）和vpc-1-subnet-1（子网网段：192.168.1.0/16），在北京四创建vpc-2（网段：192.168.0.0/16）和vpc-2-subnet-2（子网网段：192.168.2.0/16），以及vpc-3（网段：192.168.0.0/16）和vpc-3-subnet-3（子网网段：192.168.3.0/16）。创建安全组sg-1和sg-2，入规则需放通ICMP和22端口，ICMP用于通过ping命令验证网络是否互通，22端口用于CloudShell连接。

分别在上海一和北京四创建3台虚拟机，分别对应选择3个子网。

虚拟机IP地址为subnet内随机分配，可以手动指定，这里默认选随机分配，会从对应subnet内分配一个可用的IP地址。

上海一，ecs-01虚机（192.168.1.33）；北京四，ecs-02虚机（192.168.2.191），ecs-03虚机（192.168.3.225）。

2、创建对等连接

北京四的vpc-2和vpc-3，默认情况下vpc之间是不互通的，通过将这两个vpc创建对等连接，可以将两个vpc网络打通。

创建完对等连接，需要“添加路由”后才能完成通信。本质是将两个vpc经过中间的vpc23-peering一跳网络跳数配置连接。

配置完，验证，登陆ecs-02，输入命令`ping 192.168.3.225`（ecs-03的IP），能够ping通，说明vpc对等连接生效。

3、配置虚拟专用网络VPN

先分别在上海一和北京四创建VPN网关，然后分别将创建好的两个VPN的网关IP地址配置到对端。

上海一（vpngw-vpc1）和北京四（vpngw-vpc2），vpc控制台，“网络连接”中找到“虚拟专用网络VPN”，“创建站点入云VPN网关”，“创建对端网关”（由于先创建上海一时还没有对端北京四的网关IP地址，可以先填一个假的，北京四VPN网关创建完成之后，再回来修改为正确的），“创建VPN连接”主要的三个步骤完成。

上海一和北京四都配置完，验证，登陆ecs-01，输入命令`ping 192.168.2.191`（ecs-02的IP），能够ping通，说明VPN配置生效。

4、配置ecs-01登陆管理ecs-03

当前VPN连接已正常，ecs-01和ecs-02可正常通信。接下来，ecs-01要登录管理ecs-03，需要进行如下配置：

 vpc-3的路由表中增加去往vpc-1子网网段（192.168.1.0/24）的路由，并指向与vpc-2的对等连接（先前步骤2中的对等连接，添加路由时仅添加了）。

将vpc-2的vpn-vpc2连接中“本端子网”类型改为网段，并加入vpc-3子网网段（192.168.3.0/24）。

上面两个小步骤，增加配置后，vpc-3拥有了去往192.168.1.0/24的路由，vpn-vpc2连接中本端子网也包含了192.168.3.0/24网段，当报文到达vpc-2时，会正常触发IPSec封装。

5、创建NAT网关，让vpc-2/vpc-3内主机访问公网

在北京四购买一个EIP，nat-eip，创建NAT网关，nat-vpc2，添加两条SNAT规则，在vpc-3中再添加一条路由（该默认路由配置为了引流vpc-3中公网访问流量通过对等连接至vpc-2中，通过vpc-2再匹配NAT网关的SNAT规则，从而访问公网）。

验证，登陆上海一的ecs-01，分别ssh登陆ecs-02和ecs-03，成功模拟了线下局点的运维主机（ecs-01）可以对云上资源进行远程开发部署及运维。

在ecs-02和ecs-03分别ping www.baidu.com，均可以通过vpc-2的NAT网关进行公网访问。

至此，整个实验完成。通过本次实验，一共用到了VPC、ECS、EIP、VPN、NAT这几个服务，可以对这几个服务进行一个整体的认识。

最关键的，不是为了熟悉了这几个服务，而是熟悉了一个跨VPC跨地域互通的“云上云下”（模拟）互通访问方案架构。

HCIP主页： https://edu.huaweicloud.com/training/csssa.html?ticket=ST-83206975-oYwb2Xebob5atv4p4BcV0tPc-sso

在线实验手册：https://res-static.hc-cdn.cn/cloudbu-site/china/zh-cn/%E4%BA%91%E5%AD%A6%E9%99%A2/Materials%20for%20certification/HCIP-CloudServiceSolutionsArchitectV3.0LabGuide20220901.pdf