一、实验目的

1.了解阿里VPC服务的配置和使用方法。

2.使用VPC服务创建一个私有云网络。

3.为不同的云主机创建安全组。

二、实验内容

第一部分：创建和使用专有网络。

第二部分：使用VPN连接专有网络。

三、实验步骤及结果分析

第一部分：创建和使用专有网络

1.创建专有网络

在阿里云的产品与服务中选择专有网络VPC，如图1-1所示。

图1-1阿里云专有网络VPC

在管理控制台处选择云服务区域，选择后会显示有一个默认的专有网络，可以直接忽略。单击“创建专有网络”选项，在弹出的对话框中输 入网络名称和交换机名称。输入网络名称为test-vpc，目标网段的IP地址是192.168.0.0/16。两个交换机分别为switch1和switch2，对应的IP 地址分别为192.168.0.0/24和192.168.1.0/24，如图1-2至1-4所示。

图1-2专有网络配置

图1-3专有网络交换机配置（1）

图1-4专有网络交换机配置（2）

单击“确认”按钮后，即创建完成专有网络，通过单击“专有网络详情” 选项查看基础云资源、交换机及路由表等资源如图1-5。

图1-5专有网络详情

2.创建Web服务云主机

按照实验二的方法创建云主机。在选择网络时，需要先选择专有网络，然后分配公网IP地址，并选择开通协议端口或HTTP 80端口。在公网带宽计费方式中，选择按固定带宽方式计费如图1-6所示。

图1-6选择按固定带宽方式计费

实例创建完成后返回ECS的控制界面，如图1-7所示，在该界面可看到已创建的ECS实例信息。此处公网IP地址为47.104.138.152，私有网络IP地址为192.168.0.25。这里私有网络的IP地址和ECS创建时指定的专有网络及交换机的网段一致。

图1-7 ECS的控制界面

使用Xshell工具登录该实例，并安装Apache2。相关命令如下：

apt-get update apt-get install apache2

实现相关命令如图1-8

图1-8 Xshall连接实例安装Apache2

Apache2安装完成后可打开浏览器，输入对应的公网IP地址，可查看Apache2的初始页面。如图1-9

1-9 Apache2的初始页面

3.创建管理云主机

创建一个用于管理Web服务器的云主机。在选择网络时，选择 “switch2”选项，如图1-10所示。

图1-10 创建用于管理Web服务器的云主机

实例创建完成后，在ECS的实例列表中可 以看到两个实例的信息，如图1-11所示。此处新创建实例的私有IP地址是 192.168.1.234，与Web服务器不在同一个网段中。

图1-11 两个实例的信息

使用Xshell连接到新创建的实例中，使用ping命令可以测试两个网络的连通性，实现如图1-12。

图1-12 测试两个网络的连通性

再使用以下ssh命令分别通过公网IP地址47.104.143.219和私有IP地址192.168.0.25连接Web服务器。实现如图1-13

图1-13连接Web服务器

4.创建安全组

为了加强Web服务器的安全性，在此创建一个新的安全组。在ECS的 左侧菜单列表中有“网络和安全”的“安全组”子菜单，如图1-14所示。

图1-14 “网络和安全”的“安全组”子菜单

单击“安全组”子菜单后出现目前已有的安全组列表，图1-15为当前两个实例的安全组列表。

图1-15 当前两个实例的安全组列表

从图1-15中可以看到第一个安全组有两个实例，单击相关实例中的“2”选项，即可看到这两个实例就是刚才创建的Web服务器和管理实例。 单击该安全组的配置规则菜单，可以查看当前两个实例对应的安全组，如图1-16所示。

1-16当前两个实例对应的安全组

单击“创建安全组”按钮，弹出如图1-17所示的页面。在弹出的页面中将安全组的名称修改为sg-public-web，并选择专有网络为test-vpc。

图1-17 “创建安全组”页面

安全组创建完成后，可以在安全组列表中看到三个安全组.

单击“sg-public-web”安全组，修改自定义TCP对应的22端口规则。单 击“修改”按钮后，修改授权对象为192.168.0.0/16，该IP地址是test-vpc专有网络的地址。另外，只有在test-vpc网络中的主机才能通过SSH访问该服务器。 在云服务器列表中，单击Web服务器对应实例后的“更多”选项，选择 “网络和安全组\安全组”配置菜单。将该实例加入新创建的安全组sg-public-web中，并删除原有的安全组。修改完成后的安全组列表如图1-18所示。

图1-18 修改完成后的安全组列表

因为该实例中只加入了一个安全组，所以该实例对应的内网入方向全部规则与安全组规则一致。

以上设置完成后，该Web服务器实例只能通过test-vpc中的主机进行访问。使用Xshell登录管理实例，利用ssh命令分别访问Web服务器的公有IP地址和私有IP地址，可以发现只能访问私有IP地址，而无法访问公有IP 地址。 备注：若ssh 47.105.71.198也可以访问，则需要删除安全组中TCP 22 端口中的0.0.0.0/0，相关命令如下，命令实现如图1-19。

图1-19 访问Web服务器的地址

图3-16是TCP 22端口中0.0.0.0/0的内网入方向全部规则。

图3-16 TCP 22端口中0.0.0.0/0的内网入方向全部规则

第二部分：使用VPN连接专有网络

1.PPTP代理服务器

安装pptpd服务，若是在新建的云服务器上安装该服务，则需要先更新软件，相关命令如下。

修改pptpd的配置文件/etc/pptpd.conf，增加本地IP地址和被分配的IP地址。注意：若计算机安装了无线网卡且在192.168.2.0网段，则需要重新选一个新的网段，相关命令如下。

修改ppp的选项/etc/ppp/pptpd-options文件，一般该文件是新建的。增加Google的DNS服务，相关命令如下。

在/etc/ppp/chap-secrets文件中增加VPN用户，相关命令如下。在/etc/ppp/chap-secrets文件中增加VPN用户，相关命令如下。 重启pptpd服务/etc/init.d/pptpd restart。 设置IP地址转发，修改/etc/sysctl.conf，使sysctl-p生效，相关命令如下。

设置IP地址转发，修改/etc/sysctl.conf，使sysctl-p生效，相关命令如下。

设置防火墙规则，相关命令如下。

相关实现如下图2-1至2-7所示：

图2-1相关实现（1）

图2-2相关实现（2）

图2-3相关实现（3）

图2-4相关实现（4）

2-5相关实现（5）

2-6相关实现（6）

2-7相关实现（7）

2.修改安全组

（1）利用命令reboot重启云主机，相关命令如下。

（2）打开pptpd服务，查看其信息，相关命令如下。

（3）使用netstat命令查看端口号为1723，相关命令如下。

（4）使用#telnet 127.0.0.1 1723测试连接,发现该连接处于监听状态，相关命令如下。

再利用本地连接访问阿里云服务器1723端口，显示无法访问，如图2-8所示。这是因为安全组没有配置1723端口。

图2-8 利用本地连接访问阿里云服务器1723端口

此时，需要设置安全组规则才能连接到1723端口。单击 “添加安全组规则”选项，弹出如图2-9所示。设置端口范围为1723/1723，授权对象为0.0.0.0/0

图2-9 添加安全组规则

根据图2-10中添加规则后的入方向可知，规则添加成功。

图2-10 添加规则后的入方向

重新使用telnet连接云主机的1723端口，显示如图2-11中可以看出，已经可以访问ECS的1723号端口。

图2-11 成功访问ECS的1723端口显示如图

3.VPN服务器的使用

在控制面板中，设置新的连接或网络，如图2-12所示。

图2-12 设置新的连接或网络

在“设置连接或网络”界面，选择“连接到工作区”选项，如图2-13所示。

图2-13 连接到工作区

然后创建新连接，如图2-14所示。

​​​​

图2-14 创建新连接

在“连接到工作区”对话框中，Internet地址为云主机地址（即 47.105.71.198），目标名称设置为hk_aliyun_VM，如图2-15所示。然后，关闭页面。

图2-15 “连接到工作区”对话框

网络中出现了hk_aliyun_VM。 设置hk_aliyun_VM属性，设置VPN类型为点对点隧道协议（PPTP），设置数据加密为可选加密。然后单击“确定”按钮，弹出如图2-16所示对话框。输入用户名和密码后连接到hk_aliyun_VM，如图2-17所示。

图2-16 “ali_us属性”对话框

图2-17 连接到hk_aliyun_VM

用户名和密码验证正确后，显示连接成功。使用 ipconfig/all命令查看hk_aliyun_VM连接状态，如图2-18所示。由图2-18可知，分配的IP地址范围为192.168.2.100～200，符合配置文件的设置。此时可以直接访问在同一个VPC内的其他主机。在本地直接连接Web服务器。在Xshell中新打开一个本地shell，直接输入SSH云主机私有IP地址，可以在本地直接连接Web服务器，如图2-19 所示。

图2-18 查看hk_aliyun_VM连接状态

图2-19 查看hk_aliyun_VM连接状态

四、出现的问题及解决方法

问题1：在PPTP代理服务器操作中输入命令导致报错。

解决方法：因为电子教材上的相关命令给的有的不全，通过在csdn里面查找发现了这个问题并找到了比较全的代码。

问题2： 连接到hk_aliyun_VM时第一次连接不成功。

解决方法:进行第二次连接发现自己密码搞混了重新输入密码后就解决了。

思考题1: 负载均衡SLB与NAT网关？

解答：NAT网关类似于路由器，下可接多个服务器，下服务器需要提供服务的话需要做端口映射。SLB是一种负载均衡服务，可以实现无状态应用请求多服务器负载均衡分发。（多个服务器上都部署一样的无状态程序）。

思考题2：如何提高云主机的安全性？

解答：权限管理：权限要设置成分权管理，尽量不要把权限设置成可以负责所有业务，把权限的分配进行分散。在权限的设置中，对数据的处理和程序上传权限分开。这种方式可以更好地来保障云主机的安全运行。日常的安全监测：记录数据访问日志是一种比较常见的安全防护措施，通过访问日志监测，对信息系统安全进行全面的检查。如果出现了问题，可以及时的提出相应的优化建议，这样可以防患于未然。双重认证：在设置登录权限的时候，可以增加一些短信验证之类的措施，登录的时候不要只是用账号密码就能登录，这样的话除了用户名和密码之外，多了一层账号保护，这样就会更安全一些。

思考题3：企业搭建VPN的用途有哪些？

解答：利用VPN技术让简单宽带技术构建起各分公司的集中交易模式；公司出差员工，可以通过vpn登陆公司内网进行办公；(远程接入VPN)；各个分公司可以通过vpn与总公司联系；（内联网VPN）等。

阿里云网络和安全配置实验（云计算）相关推荐

1. 关于SDN的未来，Linux基金会专访阿里云网络大神

   摘要: 近日,大家熟知的国际开源组织Linux基金会与阿里云进行了一次访谈.专访了阿里云网络团队掌门人江鹤.江鹤执掌阿里云网络产品线,并负责阿里集团网络虚拟化产品的研发管理工作.在软件定义网络(SDN ...

2. 一文读懂阿里云网络 2020 云栖大会新品发布

   凌云时刻 · 极鲜速递 导读:阿里云网络新品来袭! 来源 | 洛神云网络技术 前言 企业上云,网络先行.在 2020 云栖大会上,阿里云基础产品事业部网络产品团队负责人祝顺民宣布了云网络一系列新品发布 ...

3. 阿里云发布飞天2.0云计算操作系统

   阿里云发布飞天2.0云计算操作系统 1991年,<科学美国人>杂志描绘了一种"无处不在的计算设备,没人会感觉到它的存在",拉开了万物智能的序幕. 27年后的2018杭州 ...

4. 揭秘 SIGCOMM 20‘ 论文：阿里云网络洛神 VTrace 系统

   简介:VTrace 是一个解决云网络持续性丢包问题的自动化诊断系统,核心思想是"任务-匹配-染色-采集-分析",结合大数据技术,旨在实时快速的自动分析出云网络端到端的流量拓扑路径, ...

5. 用户需求源源不断，阿里云网络创新不止

   2018杭州云栖大会,阿里云网络产品重点介绍了两个创新产品,智能接入网关和云企业网,以及全球领先的云网络系统-飞天洛神.智能接入网关是业内主要云服务商中第一家提供这样产品的,云企业网更是业内首创的多地 ...

6. 一张图看懂阿里云网络产品［二］ 专有网络VPC

   摘要: 一张图看懂网络产品系列文章,让用户用最少的时间了解网络产品,本文章是第二篇 专有网络VPC 一张图看懂阿里云网络产品系列文章,让用户用最少的时间了解网络产品,本文章是第二篇 专有网络VPC 系 ...

7. 阿里云网络解决方案架构师任江波：全球一张网，支撑游戏业务高效互联

   2022 年 8 月 30 日,阿里云用户组(AUG)第 9 期活动在北京举办.活动现场,阿里云网络解决方案架构师任江波,向参会企业代表分享了全球一张网,支撑游戏业务高效互联.本文根据演讲内容整理而成 ...

8. 如何卸载阿里云ECS服务器的阿里云盾和安骑士

   阿里云盾是阿里云多年来安全技术研究积累的成果,结合阿里云云计算平台强大的数据分析能力.为中小网站提供如安全漏洞检测.网页木马检测以及面向云服务器用户提供的主机入侵检测.防DDOS等一站式安全服务. 购 ...

9. 浅析阿里云网络-SLB负载均衡

   浅析阿里云网络-SLB负载均衡 最近有很多朋友问阿里云网络-SLB负载均衡是什么?怎么样?小编赵一八笔记特意从网上整理相关资料,希望能够帮到大家. 你可以了解阿里云网络SLB负载均衡产品进化史. 你可 ...

10. 阿里云ACA认证在线实验

    目录 在线实验:ECS之初体验(Linux) 在线实验:云服务器的数据备份和恢复 ECS数据盘分区以及挂载 ECS数据盘快照的创建 ECS磁盘回滚 在线实验:云数据库管理初体验 在线实验:数据库上云迁 ...

最新文章

1. mysql怎么升级_MySQL UPDATE 更新
2. 重写CListCtrl滚动条，遇到的问题。
3. linux 下启动mysql
4. .Net序列化与反序列化的2种方法
5. kailinux mysql提权_linux下mysql提权
6. R+工业级GBDT︱微软开源 的LightGBM（R包已经开放）
7. SID与域信任不一致导致AD无法登陆/server2003系统封装
8. Vysor 1.7.6 chrome 插件破解
9. 天思ERP软件常见问题解决方案
10. mac软件下载常用经典网站
11. Raucous Rockers
12. 基于单片机的打地鼠游戏仿真设计(#0040)
13. 基于C的电子通讯录管理系统
14. 获取分辨率函数是什么_浅析EDSR——深度学习超分辨率算法
15. 实验十二、十三 配置PPP协议、配置Frame-relay协议
16. Java容器(集合)
17. AE基础教程第一阶段——07 区域显示，透明网格
18. 一步一步实战HTML音乐播放器
19. 全球及中国BT筒夹行业投资建议与前景策略分析报告2022版
20. vue bus传值（带参数），调用组件之间的方法

热门文章

1. QT概念详解及开发入门简介
2. C++中read和write的区别
3. 5G通讯的认知与见解
4. [京东备注插旗接口]-拼多多商家如何做好直播，直播必备小技巧
5. docker运行rabbitmq
6. 电影外观调色效果Lr预设
7. AI基础-NLP概览-极速入门
8. OSG 场景图(Scene Graph) 类图
9. 延迟队列实现30分钟订单自动过期失效
10. html2canvas.js 截屏微信头像不显示