为什么需要私网隔离跨地域连接
很多公司在北京有总部,在上海和深圳也有分部,每个地方的办公网都自成一套内网系统。财务、人事这些敏感部门的数据不能随便让人访问,所以做了私网隔离。但问题来了——跨城市协作时,怎么让授权的人安全地访问资源?直接开公网端口风险太大,黑客扫一下就可能中招。
这时候就得靠私网隔离下的跨地域连接方案,既不让内部网络暴露在公网上,又能打通必要的通路。
常见实现方式:IPSec + VPC 互联
以阿里云和腾讯云为例,不同地域的 VPC(虚拟私有云)默认是不通的。我们可以用 IPSec 隧道把北京和上海的 VPC 连起来。先在北京 VPC 创建一个 VPN 网关,再在上海配一个用户网关,两边设置相同的预共享密钥。
关键点在于子网路由表的配置。比如北京的办公网段是 192.168.10.0/24,上海的是 192.168.20.0/24,两边的路由表都要加一条:目标地址 192.168.20.0/24(或 192.168.10.0/24),下一跳指向 VPN 隧道。
<ike-config>
pre-shared-key: mysecretpsk123
ike-version: 2
encryption-algorithm: aes-256-cbc
authentication-algorithm: sha1
</ike-config>
<ipsec-config>
encryption-algorithm: aes-256-cbc
encapsulation-mode: tunnel
lifetime-seconds: 3600
</ipsec-config>防火墙策略别忘了细粒度控制
隧道通了不代表所有服务都能互访。在上海的防火墙规则里,可以只放行北京 IP 段对数据库 3306 端口的访问,其他一律拒绝。这样即使有人从北京内网发起扫描,也碰不到研发服务器的 SSH 端口。
某次我们给客户上线时就遇到过这种情况:运维说“连不上上海的 Redis”,查了一圈发现是 ACL 规则写成了允许全部,反而被安全策略拦截了。改成明确指定源 IP 和端口后才恢复正常。
替代方案:SD-WAN 更适合多分支场景
如果除了北上深,还在成都、西安有小办公室,一个个配 IPSec 隧道太麻烦。这时候用 SD-WAN 设备更省事。设备插上网自动连管理平台,后台点几下就能让所有分支互相通信,还能根据链路质量自动选最优路径。
有个客户之前用传统 MPLS 专线,每月费用两万三,延迟还高。换成 SD-WAN 后月均成本降到七千,视频会议卡顿明显减少。关键是所有流量依然走加密隧道,私网依旧隔离,安全性没打折。
本地办公网如何接入云端私网
有些公司把核心系统搬到云上,但员工还在本地办公楼。这时候可以在总部机房部署一台物理专线接入设备,通过 AWS Direct Connect 或阿里云高速通道,把本地 10.0.0.0/8 网段和云端 VPC 打通。员工访问云上测试环境就像访问隔壁部门服务器一样自然。
注意 DNS 要统一调度。建议部署一个内部 DNS 服务器,北京查到的云数据库地址返回内网 IP,外部人员查则返回空或者公网映射地址,避免信息泄露。