专家老师好，请教一下，vpn连接的两个地址，连接不上：10.226.50.201 x86-48-37.abc.hicampuscube.com10.226.49.205 x86-48-37.digitalplatform.campus.com是否过期了，还是ip地址更换了，9月份及之前都可以连接的，昨天试了一下，连不上了，帮忙看看，谢谢！以前开发环境一直使用这两个ip地址的。

在当代计算领域，虚拟化已是一项不可或缺的基石技术。然而，对于许多用户和管理员而言，是否应该开启这项功能，常常成为一个令人困惑的抉择。本文旨在深入浅出地解析虚拟化技术，并从多个维度客观分析其利弊，为您提供清晰的决策依据。  一、核心概念：打破“一台一机”的物理枷锁虚拟化技术的核心思想是“资源抽象与隔离”。我们可以通过一个生动的比喻来理解：将一台物理服务器想象成一座庞大的图书馆大楼，其CPU、内存、硬盘和网卡就是大楼的结构、空间、藏书和通信线路。在传统模式下，整座大楼通常只服务于一个特定的“机构”（一个操作系统），导致资源大量闲置。虚拟化技术则如同一位技艺高超的建筑师，它能在图书馆大楼内，巧妙地划分出多个完全独立、安全隔离的“专属阅览室”（即虚拟机）。每个阅览室都拥有自己独立的空调电力（计算资源）、藏书副本（存储空间）和进出通道（网络），互不干扰。管理所有这些阅览室的底层系统，被称为虚拟化层。简而言之，虚拟化实现了将单一的物理硬件资源，抽象成多个可独立运行、灵活调配的虚拟计算单元。二、开启虚拟化的显著优势：为何它成为主流？开启虚拟化功能，能带来立竿见影的收益，这主要体现在以下几个维度：1. 资源整合与成本效益提升利用率：将多台利用率低下的物理服务器工作负载整合到少数几台高性能主机上，使硬件资源（尤其是CPU和内存）得到充分利用。降低TCO：显著减少物理服务器的采购数量，从而直接节约了机房空间、电力消耗和冷却成本，总体拥有成本大幅下降。2. 业务敏捷性与运维效率快速部署：创建一个新的虚拟服务器，通常只需几分钟，远比采购、上架、配置物理硬件要迅速，极大地加速了业务上线和迭代速度。简化管理：管理员可以通过统一的控制台，集中监控和管理成百上千个虚拟工作负载，运维工作变得前所未有的高效。3. 高可用性与业务连续性服务不中断：借助虚拟化的高级功能，可以在物理主机进行维护或发生故障时，将其上的虚拟机在线迁移到其他健康的主机，实现用户无感知的业务连续性。简化备份与恢复：虚拟机本质上是一个文件集合，这使得整个系统的备份、克隆和恢复操作变得非常简单和快速。4. 环境隔离与安全增强每个虚拟机拥有独立的操作系统和应用程序环境。这意味着开发、测试和生产环境可以安全地隔离，一个应用的故障或安全漏洞不易波及其他系统。三、关闭虚拟化的考量：何时应回归物理架构？尽管优势突出，但虚拟化并非放之四海而皆准的解决方案。在以下特定场景中，关闭或避免使用虚拟化可能是更合理的选择：1. 对极致性能有苛刻要求的应用虚拟化层会引入轻微的性能开销（通常很小，但在极端场景下不可忽视）。对于需要直接、无损耗地访问硬件资源的应用，如高频交易系统、顶级科学计算或核心高性能数据库，绕过虚拟化层可以直接获得最强的性能。2. 需要直接访问专属硬件的场景某些专业应用（如特定的GPU计算、高性能存储卡或数据采集设备）需要直接驱动物理硬件。虚拟化虽然支持透传技术，但会增加配置复杂性，在某些情况下可能无法实现最佳兼容性或性能。3. 软件许可与合规性限制部分商业软件许可是基于物理CPU插槽或核心数量来计费的。在虚拟化环境中，许可证的计算方式可能变得复杂且昂贵，从合规性与成本角度考量，直接部署于物理机可能更具优势。4. 追求极简与极致稳定的嵌入式/边缘系统在一些嵌入式或工业边缘计算场景中，系统要求极度精简和稳定。每增加一层软件（虚拟化层），就意味着多一分复杂性和潜在的攻击面。此时，专机专用的物理架构更为可靠。四、决策指南：如何做出明智选择？综合以上分析，我们可以得出一个清晰的决策框架：您应该优先考虑开启虚拟化，如果您的需求是：服务器整合，以提高资源利用率和降低运营成本。快速构建和销毁开发、测试环境。运行大多数常规业务应用（如Web服务器、应用中间件、文件服务器等）。需要构建具备高可用和容灾能力的企业级IT架构。您可能需要考虑关闭或避免使用虚拟化，如果您的场景是：运行对性能延迟零容忍的核心关键应用。应用必须直接、独占地访问特定物理硬件。虚拟化导致的软件许可成本远超其带来的硬件节省。系统设计追求极致的精简、确定性和底层控制。总结而言，虚拟化是一项强大的资源增效技术，其开启与否，本质上是一场在“效率、灵活性与成本”和“极致性能、专属性与精简度”之间的权衡。对于绝大多数现代数据中心和业务场景而言，开启虚拟化带来的巨大效益是毋庸置疑的。然而，充分了解其不适用的边界，才能做出最符合自身技术需求和业务目标的理性决策。 

全虚拟化通过硬件辅助和二进制翻译技术，提供完整的硬件模拟，支持未修改的操作系统，兼容性出色但性能开销较大（5-30%）。半虚拟化需客户操作系统配合修改，采用超调用等协作机制，牺牲部分兼容性换取更高性能（损失3-10%），尤其擅长I/O密集型场景。两者在隔离性、部署复杂度上各有特点：全虚拟化适合多系统混合环境，半虚拟化更适合同类系统的大规模高性能部署。本文将从技术原理、性能表现、兼容性、安全性等多个维度进行深入对比分析，帮助读者全面理解这两种虚拟化方案的特性与适用场景。一、技术原理深度解析1.1 全虚拟化技术原理全虚拟化通过在硬件层面创建完整的虚拟化环境，使客户操作系统无需任何修改即可运行。其核心技术包括：二进制翻译技术：动态转换特权指令，避免直接执行敏感操作硬件辅助虚拟化：利用Intel VT-x或AMD-V等扩展指令集完整的硬件模拟：为客户机提供虚拟化的硬件设备接口1.2 半虚拟化技术原理半虚拟化要求客户操作系统进行特定修改，以意识到自己运行在虚拟化环境中：Hypercall机制：通过专门的API调用与虚拟化管理程序通信前端/后端架构：客户机使用简化的驱动程序与主机交互协作式虚拟化：客户机主动配合虚拟化环境的特殊要求二、性能对比分析2.1 计算性能表现全虚拟化：硬件辅助下性能损失约5-15%，二进制翻译模式下可能达到20-30%半虚拟化：性能损失通常控制在3-10%，在某些I/O密集型场景中表现更优2.2 内存访问效率全虚拟化：需要额外的地址转换层，内存访问开销较大半虚拟化：采用直接内存访问模式，减少了转换层数2.3 I/O操作性能全虚拟化：通过完全模拟设备，兼容性好但性能较低半虚拟化：使用优化的虚拟设备驱动程序，I/O性能提升显著三、兼容性对比3.1 操作系统支持- 全虚拟化：- 支持任何未修改的操作系统- 兼容闭源和遗留系统- 无需操作系统层面的特殊支持- 半虚拟化：- 需要操作系统提供特定支持- 主要支持开源操作系统- 对Windows等闭源系统支持有限3.2 应用程序兼容性- 全虚拟化：完全透明的运行环境，应用程序无需任何修改- 半虚拟化：大多数应用程序无需修改，但某些底层操作可能需要调整四、安全性对比分析4.1 隔离机制- 全虚拟化：提供完整的硬件级隔离，安全性更高- 半虚拟化：依赖修改后的操作系统协作，隔离强度相对较弱4.2 攻击面分析- 全虚拟化：较大的代码基数和复杂的模拟层可能增加攻击面- 半虚拟化：简化的接口和协作模式可能减少潜在漏洞五、部署和维护考量5.1 实施复杂度- 全虚拟化：- 部署简单，无需修改客户操作系统- 管理工具成熟，生态系统完善- 半虚拟化：- 需要定制化的操作系统版本- 维护和更新需要特殊考虑5.2 资源利用率- 全虚拟化：资源开销较大，需要预留更多资源给虚拟化层- 半虚拟化：资源利用更高效，特别在密集工作负载场景六、适用场景分析6.1 全虚拟化优势场景- 企业生产环境：需要运行多种操作系统的场景- 遗留系统迁移：保持硬件兼容性的需求- 开发和测试：快速部署和销毁测试环境6.2 半虚拟化优势场景- 高性能计算：对I/O性能要求极高的应用- 云计算平台：大规模部署同类操作系统的环境- 嵌入式系统：资源受限的专用设备虚拟化七、技术发展趋势7.1 融合发展趋势现代虚拟化技术正在走向融合：- 硬件辅助的全虚拟化性能不断提升- 半虚拟化的优点被逐步整合到全虚拟化方案中- 容器等轻量级虚拟化技术带来新的选择7.2 新兴技术影响- 硬件创新：新的处理器特性缩小两种方案的性能差距- 软件定义一切：软件定义的网络和存储改变虚拟化需求- 云原生技术：Kubernetes等平台重新定义虚拟化角色八、选择建议与最佳实践8.1 选择考量因素- 工作负载特性：计算密集型还是I/O密集型- 兼容性要求：需要支持的操作系统类型- 性能目标：可接受的性能损失范围- 管理复杂度：团队的技术能力和维护资源8.2 混合部署策略在实际环境中，可以采用混合策略：- 对性能要求高的应用使用半虚拟化- 对兼容性要求高的系统使用全虚拟化- 根据具体需求动态调整虚拟化方案全虚拟化和半虚拟化各有其独特的优势和适用场景。全虚拟化以其出色的兼容性和易用性见长，适合需要运行多种操作系统的复杂环境；而半虚拟化则在性能优化方面具有明显优势，特别适合大规模部署同类系统的高性能场景。随着硬件技术的不断进步和软件生态的持续发展，两种技术路径正在相互借鉴和融合。未来的虚拟化解决方案很可能会结合两者的优点，提供既保持兼容性又具备高性能的混合型虚拟化环境。对于技术决策者而言，关键是根据具体的应用需求、性能目标和资源约束，选择最适合的虚拟化方案或组合策略。

CentOS 7.9多种安装方式对比结论镜像来源->(1)官方镜像默认(2)官方镜像+华为源(3)官方镜像+文档推荐源(4)华为云上镜像+默认配置Yum配置文件/etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repoYum源地址cid:link_10 已无法访问https://repo.huaweicloud.comhttps://archives.fedoraproject.orghttps://repo.huaweicloud.comOpenvpn版本无法安装无法安装openvpn-2.4.12-2.el8openvpn-2.4.12-1.el7Ssl版本1.0.2k1.0.2k无法用命令升级1.1.1c默认1.0.2k 默认安装 1.1.1k结论FailFailPassFail官方镜信息Ssl默认版本官方镜像 文档源配置好软件源后，使用下载的openvpn包安装，命令使用curl -O下载，会自动下载依赖的openssl版本官方镜像+华为源华为云镜像ssl默认安装命令yum install -y epel-releaseyum install -y openssl11 openssl11-develssl默认版本ssl命令默认安装版本Openvpn命令默认安装安装后openvpn配套的ssl版本还是1.0.2k，无法建连接解决方案安装的版本Ssl默认安装版本Linux上下载可以使用 wget cid:link_1没有wget 可以使用 curl -O创建客户端虚拟机华为云ECS上拉起虚拟机，镜像使用CentOS 7.9 64bit配置软件源官方镜像备份的时候把老的文件全部挪走，不然老的镜像源不通，无法下载openvpnmkdir /etc/yum.repos.d/repo_bakmv /etc/yum.repos.d/*.repo /etc/yum.repos.d/repo_bak/备份配置文件cp -a /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backupvi /etc/yum.repos.d/epel.repoepel.repo中写入以下内容[epel]name=epelbaseurl=https://archives.fedoraproject.org/pub/archive/epel/7.9/x86_64/gpgcheck=0gpgkey=https://download.fedoraproject.org/pub/epel/RPM-GPG-KEY-EPEL-7安装OpenSSL1.1.1CentOS7.9系统自带的OpenSSL为1.0.2版本，为了支持Openvpn对应的加密套件，需要额外安装1.1.1版本。安装方法如下yum install -y epel-releaseyum install -y openssl11 openssl11-devel成功安装openssl 1.1.1k（此处openssl新版本的二进制文件和原有的1.0.2版本分开存放，不会影响现有依赖下载并安装openvpn客户端yum install openvpn 默认安装的版本无法建连（ssl的默认版本为1.0.2版本导致），需要更新sslvpn版本，方法如下下载指定的openvpn安装包cid:link_3将rpm包上传到Linux系统任意目录下，这里上传到/opt目录安装软件cd /opt/yum install ./openvpn-2.4.12-2.el8.x86_64.rpm可以看到，安装的openvpn客户端链接到OpenSSL 1.1.1k建立连接首先在华为云vpn服务网关列表->下载客户端配置进行客户端配置文件下载由于Centos7.9系统安装的openvpn2.4.12为旧版本，不支持data-ciphers disable-dco参数，因此需要在配置文件中注释掉对应参数验证连通性，ping想要访问的ECS私网地址Centos8多种安装方式对比结论镜像来源->官方镜像官方镜像+华为源官方镜像+清华源华为云上镜像+默认配置Yum配置文件/etc/yum.repos.d//etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repoYum源地址cid:link_10 已无法访问https://repo.huaweicloud.comcid:link_9https://repo.huaweicloud.comOpenvpn版本无法安装2.4.122.4.12openvpn-2.4.12-2.el8Ssl版本1.1.1c1.1.1c1.1.1c1.1.1k结论FailPassPassPass官方镜像官方镜像华为源官方镜像清华源华为云默认安装版本创建虚拟机华为云ECS上拉起虚拟机，镜像使用CentOS 8.2 64bit配置软件源官方镜像备份的时候把老的文件全部挪走，不然老的镜像源不通，无法下载openvpnmkdir /etc/yum.repos.d/repo_bakmv /etc/yum.repos.d/*.repo /etc/yum.repos.d/repo_bak/备份配置文件cp -a /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backupvim /etc/yum.repos.d/epel.repo华为云拉取的CentOS8版本ECS自带OpenSSL1.1.1。CentOS系统中，openvpn的安装包在epel源中，需要先配置epel源。vim /etc/yum.repos.d/epel.repoepel.repo中写入以下内容[epel]name=epelbaseurl=cid:link_9/epel/8/Everything/x86_64/gpgcheck=0gpgkey=https://mirrors.tuna.tsinghua.edu.cn/epel/RPM-GPG-KEY-EPEL-8下载并安装openvpn客户端执行命令“yum install openvpn”，默认安装的版本为openvpn 2.4.12，安装后可以正常建联（需要在配置文件中注释掉data-ciphers disable-dco）建立连接centos stream 9多种安装方式对比结论镜像来源->官方镜像官方镜像+华为源官方镜像+清华源华为云上进行+默认配置华为云上进行+清华源Yum配置文件/etc/yum.repos.d//etc/yum.repos.d/epel.repo/etc/yum.repos.d/epel.repo/etc/yum.repos.d//etc/yum.repos.d/epel.repoYum源地址https://mirrors.centos.orghttps://repo.huaweicloud.comcid:link_9https://repo.huaweicloud.comcid:link_9Openvpn版本默认没有配置epel.repo无法安装报无软件包2.5.112.5.11默认没有配置epel.repo无法安装报无软件包2.5.11Ssl版本3.2.23.2.23.2.23.2.23.2.2结论FailPassPassFailPass官方镜像官方镜像清华源官方镜像华为源华为云默认SSL默认版本华为云镜像 清华源Openvpn-2.5.11-1.e19创建虚拟机华为云ECS上拉起虚拟机，镜像使用CentOS Stream 9 64bit 配置软件源配置epel源# 备份配置文件cp -a /etc/yum.repos.d/epel.repo /etc/yum.repos.d/epel.repo.backupvim /etc/yum.repos.d/epel.repoepel.repo中写入以下内容[epel]name=epelbaseurl=cid:link_9/epel/9/Everything/x86_64/gpgcheck=0gpgkey=https://mirrors.tuna.tsinghua.edu.cn/epel/RPM-GPG-KEY-EPEL-9执行“yum install openvpn"下载的默认版本为openvpn 2.5.11。建立连接Debian12多种安装方式对比结论镜像来源->官方默认镜像官方镜像华为源官方镜像清华源华为云上镜像+默认配置华为云上镜像+清华源Yum配置文件/etc/apt/sources.list/etc/apt/sources.list/etc/apt/sources.list/etc/apt/sources.list/etc/apt/sources.listYum源地址Cdrom 无法命令行安装https://repo.huaweicloud.comcid:link_9https://repo.huaweicloud.comcid:link_9Openvpn版本未知2.5.12.5.12.6.32.5.1Ssl版本3.0.91.1.1w1.1.1w3.0.131.1.1w结论FailPassPassPassPass官方镜像官方镜像华为源官方镜像清华源华为云镜像默认ssl版本Openvpn默认安装版本apt-get updateapt install -y openvpn华为云镜像 清华源Openvpn文档默认安装版本创建虚拟机配置软件源配置apt源cp -a /etc/apt/sources.list /etc/apt/sources.list.bakvi /etc/apt/sources.list修改sources.list为以下内容deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye contrib maindeb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye contrib main#软件更新源deb https://mirrors.tuna.tsinghua.edu.cn/debian-security/ bullseye-security main contribdeb-src https://mirrors.tuna.tsinghua.edu.cn/debian-security/ bullseye-security main contrib#安全更新源deb https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-updates main contribdeb-src https://mirrors.tuna.tsinghua.edu.cn/debian/ bullseye-updates main contrib下载并安装openvpn客户端之后使用“ apt-get updateapt install -y openvpn”可以自动下载openvpn_2.5.1-3_amd64.deb版本以及openssl 1.1.1等相关依赖。安装后的版本如下连接正常 建立连接Ubuntu 24.10多种安装方式对比结论华为云上无镜像镜像来源->官方镜像默认官方镜像+华为源官方镜像+清华源Yum配置文件/etc/apt/sources.list.d/etc/apt/sources.list.d/etc/apt/sources.list.dYum源地址http://archive.ubuntu.comhttps://repo.huaweicloud.comcid:link_9Openvpn版本2.6.122.6.122.6.12Ssl版本3.3.13.3.13.3.1结论PassPassPass默认ssl版本openvpn默认安装版本官方镜像官方源华为源清华源创建虚拟机配置软件源配置apt源cp -a /etc/apt/sources.list.d/ubuntu.sources /etc/apt/sources.list.d/ubuntu.sources.bakvim /etc/apt/sources.list.d/ubuntu.sources修改ubuntu.sources为以下内容Types: debURIs: cid:link_9/ubuntu/Suites: oracular oracular-updates oracular-backportsComponents: main restricted universe multiverseSigned-By: /usr/share/keyrings/ubuntu-archive-keyring.gpgTypes: debURIs: cid:link_9/ubuntu/Suites: oracular-securityComponents: main restricted universe multiverseSigned-By: /usr/share/keyrings/ubuntu-archive-keyring.gpg使用“apt install -y openvpn”可以自动下载openvpn_2.6.12-1ubuntu1_amd64.deb版本以及相关依赖。安装后的版本如下可以正常建联 建立连接Redhat 9.5多种安装方式对比结论华为云上无镜像镜像来源官方镜像默认三方网站Yum配置文件由于需要花钱未验证到如何配置yum文件目前采用的是将RPM包现在到本地进行的验证，故不确定yum的实际生效情况Yum源地址需要订阅从第三方网站下载Openvpn版本未验证，未知2.5.11Ssl版本3.2.23.2.2结论NAPass默认sslRed Hat Enterprise Linux (RHEL) 9.5 的官方 YUM 源配置通常需要订阅服务，因为 RHEL 是一个商业发行版。如果你有有效的 Red Hat 订阅，可以通过 Red Hat Subscription Manager 来管理你的软件仓库。文档下载Openvpn软件下载安装华为和清华的开源镜像仓里均没有找到redhat对应的yum源，这里直接用rpm包安装openvpn。RHEL 9.5可以安装openvpn-2.5.11-1.el9.x86_64，需要额外安装依赖lib64pkcs11-helper1-1.30.0-1-omv2390.x86_64rpm来源wget cid:link_2wget cid:link_0安装完成可以正常建联 建立连接openSUSE 15.5多种安装方式对比结论镜像来源官方默认镜像官方镜像+华为源官方镜像+清华源Yum配置文件/etc/zypp/repos.d//etc/zypp/repos.d//etc/zypp/repos.d/Yum源地址http://download.opensuse.orghttps://repo.huaweicloud.comcid:link_9Openvpn版本2.5.62.5.62.5.6Ssl版本1.1.1l1.1.1l1.1.1l结论PassPassPass默认ssl官方镜像默认安装openvpn华为源清华源创建虚拟机软件源配置配置zypp源# 备份配置文件mkdir /etc/zypp/repos.d/repo_bakmv /etc/zypp/repos.d/*.repo /etc/zypp/repos.d/repo_bak/# 配置镜像源zypper ar -cfg 'https://mirrors.tuna.tsinghua.edu.cn/opensuse/distribution/leap/15.5/repo/oss/?ssl_verify=no' mirror-osszypper ar -cfg 'https://mirrors.tuna.tsinghua.edu.cn/opensuse/distribution/leap/15.5/repo/non-oss/?ssl_verify=no' mirror-non-osszypper ar -cfg 'https://mirrors.tuna.tsinghua.edu.cn/opensuse/update/leap/15.5/oss/?ssl_verify=no' mirror-updatezypper ar -cfg 'https://mirrors.tuna.tsinghua.edu.cn/opensuse/update/leap/15.5/non-oss/?ssl_verify=no' mirror-update-non-oss如果用内网华为源。镜像源配置如下zypper ar -fcg https://mirrors.tools.huawei.com/opensuse/distribution/leap/15.5/repo/oss?ssl_verify=no HuaWeiCloud:15.5:OSSzypper ar -fcg https://mirrors.tools.huawei.com/opensuse/distribution/leap/15.5/repo/non-oss?ssl_verify=no HuaWeiCloud:15.5:NON-OSSzypper ar -fcg https://mirrors.tools.huawei.com/opensuse/update/leap/15.5/oss?ssl_verify=no HuaWeiCloud:15.5:UPDATE-OSSzypper ar -fcg https://mirrors.tools.huawei.com/opensuse/update/leap/15.5/non-oss?ssl_verify=no HuaWeiCloud:15.5:UPDATE-NON-OS执行“zypper install openvpn”即可安装openvpn-2.5.6-150400.3.6.1.x86_64以及相关依赖安装完成可以正常建联建立连接问题和帮助问题1：Centos ping不通公网版本Centos8.2 的解决办法：网卡未启动 修改配置文件 onboot=yes下发命令 nmcli connection reloadVi /etc/sysconfig/network-scripts/ifcfg-ens3版本未Centos 7.9的解决办法：网卡未启动 修改配置文件 onboot=yes下发命令 nmcli connection reloadIfcfg-eth0问题2：.连接时报错“Unrecognized option or missing or extra parameter(s) in xxx.ovpn:108: data-ciphers (2.4.12)”原因及解决办法：openvpn 2.4.x不支持data-ciphers参数，会将其识别为无法匹配的字段后报错。将配置文件中“data-ciphers”所在行注释掉即可。问题3：连接时报错““Unrecognized option or missing or extra parameter(s) in xxx.ovpn:38:disable-dco(2.4.12)”问题解决办法：在客户端配置文件中注释掉disable-dco通过linux命令直接下载rpm包方法使用wget 或者 curl -O，或者本地下载上传到linuxwget cid:link_1curl -O cid:link_1各版本linux镜像下载地址参考Centeos：https://vault.centos.org/CentOS-7-x86_64-DVD-2009.iso下载地址 cid:link_7 CentOS-8.2.2004-x86_64-dvd1.iso下载地址：cid:link_8 CentOS-Stream-9-latest-x86_64-dvd1.iso下载地址：https://www.centos.org/download/ readhat ：rhel-9.5-x86_64-dvd.iso下载地址：https://developers.redhat.com/products/rhel/download#rhelforsap896下载方式可以参考知乎：https://zhuanlan.zhihu.com/p/528869953Debianhttps://mirrors.tools.huawei.com/os/imagedebian-12.0.0-amd64-DVD-1.iso下载地址：cid:link_5OpenSuseopenSUSE-Leap-15.5-DVD-x86_64-Media.iso下载地址：cid:link_4Ubuntuubuntu-24.10-live-server-amd64.iso下载地址：cid:link_6

客户端连接时错误信息：OpenVpn GUI的客户端连接时报错信息：Tue Aug 6 11:31:30 2024 VERIFY ERROR: depth=1, error=unable to get issuer certificate: C=US, O=DigiCert Inc, OU=www.digicert.com, CN=Encryption Everywhere DV TLS CA - G2, serial=xxxxxxxxTue Aug 6 11:31:30 2024 OpenSSL: error:0A000086:SSL routines::certificate verify failed:Tue Aug 6 11:31:30 2024 TLS_ERROR: BIO read tls_read_plaintext errorTue Aug 6 11:31:30 2024 TLS Error: TLS object -> incoming plaintext read errorTue Aug 6 11:31:30 2024 TLS Error: TLS hand...  OpenVPN Connect客户端连接时报错：peer certificate verification failure注: OpenVPN Connect客户端的报错信息很模糊，其他种类的证书问题也可能报该错误，需要结合客户的CA证书是否存在上级证书来判断。如果存在上级证书，则说明是该问题；反之则不是。 问题根因：服务端证书自带的证书链不完整，导致客户端无法认证配置文件中CA证书的有效性  解决方案：需要将完整的CA证书链填充到客户端配置文件中去。具体步骤如下 第一步：获取所使用的CA证书打开下载解压后的客户端的配置文件(client_config.ovpn)，以文本方式打开该文件。截取出其中的CA证书内容(证书内容就是配置内容中中间一段以-----BEGIN CERTIFICATE-----开头，以-----END CERTIFICATE-----的字符串)。将证书内容复制粘贴到新的文本文件中，并将该文件的格式后缀改为.crt第二步：导出所使用的CA证书的上级证书双击该证书，在证书路径中可以看到该证书的上级证书选择当前证书的上级证书，点击"查看证书"，会弹出上级证书的新窗口。在新窗口的"详细信息"页中，点击"复制到文件"点击“下一步”选择"Base64编码"，点击“下一步”输入文件名后，点击"下一步"，再点击“完成”*如果配置文件中的CA证书不只一个，需要将所有CA证书的上级证书都导出。 第三步：将上级证书复制到客户端配置文件中将第二步中导出的上级证书已文本的方式打开， 复制其中的内容(同样是一段以-----BEGIN CERTIFICATE-----开头，以-----END CERTIFICATE-----的字符串)，将它粘贴到OpenVpn客户端配置文件中的已有CA证书后面(注意不是替换！！！)，保存文件。粘贴完之后的示例：......-----BEGIN CERTIFICATE-----xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx......xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-----END CERTIFICATE----------BEGIN CERTIFICATE----- xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx......xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-----END CERTIFICATE----- ......  然后将修改后的客户端配置文件重新导入配置文件到OpenVpn软件中，重新连接即可。        

OpenVPN Connect是开源软件，官方的下载服务器位于国外，下载链接在国内可能无法打开。下面是国内可访问第三方下载链接，仅供参考：windows: https://vpn.shu.edu.cn/index/OpenVPNsysm/Windows_Linux.htm安卓：https://openvpn-connect.apk.watch/3.3.1

组网图如上，红色虚线代表流量路径。 配置步骤如下1、创建或使用两个已有的VPC，他们分别为VPC1和VPC22、创建P2C VPN网关和服务端按照正常创建P2C VPN网关和服务端流程创建即可。需要注意一下几点：2.1 创建网关时，P2C VPN网关的VPC选择VPC22.2 创建服务端，本端网段输入这些网段：1.0.0.0/8,2.0.0.0/7,4.0.0.0/6,8.0.0.0/5,16.0.0.0/4,32.0.0.0/3,64.0.0.0/3,96.0.0.0/4,112.0.0.0/5,120.0.0.0/6,124.0.0.0/7,126.0.0.0/8,128.0.0.0/2,192.0.0.0/32.3 如果客户端认证类型是口令认证，用户所属用户组的访问策略也要有和本端网段一样的目的网段（单个访问策略只能配10个目的网段，同一用户组可以配置多个访问策略）3、创建SNAT创建SNAT时，VPC选择VPC1添加SNAT规则，这里需要选“云专线/云连接”，网段填P2C VPN服务中配置的客户端网段。4、配置对等连接和路由创建对等连接时，本端VPC和对端VPC分别选择VPC1和VPC2在VPC1的路由表中添加目的地址是P2C VPN服务端的客户端网段，下一跳是对等连接的路由。在VPC2的路由表中添加目的地址是0.0.0.0/0，下一跳是对端连接的路由。5、验证客户端连上终端入云VPN后，查询本机IP地址就是SNAT绑定的eip的地址

OpenVPN Connect是开源软件，官方的下载服务器位于国外，下载链接在国内可能无法打开。下面是国内可访问第三方下载链接，仅供参考：安卓：https://openvpn-connect.apk.watch/3.3.1

随着企业信息化的发展，依赖互联网、云服务等协作办公的需求越来越多，组建一个高效适用的企业网络，对于提高企业办公效率，促进企业发展显得至关重要。企业组网的方式主要有： MPLS专线、VPN以及SD-WAN等，至于哪一种才是好的解决方案，网宿君认为没有绝对好的解决方案，选择适合自身企业的解决方案才是关键。下文就不同组网方式进行简要介绍，供参考以便选择。方式一 MPLS专线MPLS专线拓扑图（来源于网络）MPLS专线是运营商提供的一种基于MPLS技术的广域网服务专用线路，该线路为企业的专用通道，以用于企业或行业集团用户各分支机构互联，组建内部信息传送网络，已在企业组网的市场上驰骋二十几年。其突出的优点主要有：1. 可靠性：构建在运营商的网络上，具有足够且灵活的带宽和传输可靠性；2. 安全性：采用了路由隔离、地址隔离和隐藏MPLS内部网络信息等，可提供端到端的安全保证。但因价格高昂、部署周期长、运维复杂、难以规模化应用于云计算及SaaS等原因，在现代企业多样性的场景需求面前已捉襟见肘。对于安全性要求极高、预算充分的政府单位、大型企业，或者是企业的关键任务运行上，MPLS专线依然是良好的选择。方式二 VPN组网VPN组网拓扑图（来源于网络）VPN组网是通过公用网络建立的私有数据传输通道，将企业的总部、分支机构、上下游合作伙伴、移动办公人员等连接起来的一项技术。这种组网方式的显著优势是：1. 较低的成本投入：VPN利用的是公共网络而建立的虚拟专网，企业无需花费高额的硬件设备、线路租赁、维护等费用；2. 部署时间较快：VPN一般是由防火墙或者VPN网关等硬件设备来实现的，路由设备到位后，进行网络配置即可完成；3. 可实现远程访问：无论是在外地出差还是在家中办公的用户，通过互联网连接VPN，即可访问企业的内网资源，为远程办公、移动办公提供了技术基础。随着企业应用场景的变化，尤其是2020年疫情的原因，远程办公的场景爆发式增长，VPN业务体验不好、安全有隐患（网关暴露在公网，容易被黑客扫描到并发起攻击，一旦被黑客侵入，内网数据资源则都有被盗取的风险）等弊端也逐渐凸显出来，但针对于预算不足、安全性要求不高的小型企业，不失为一套适用的解决方案。方式三 SD-WANSD-WAN 即软件定义广域网，其网络架构还是基于公共网络或者专线，但增加了SD-WAN控制器，这也是SD-WAN的管理核心。通过集中控制器，将广阔地理范围的企业网络、数据中心、互联网应用及云服务等集中起来，进行统一管理。随着企业上云、远程办公、数字化管理等场景应用越来越多，MPLS专线和VPN的组网方式已无法满足此类场景的需求，甚至成了企业数字化转型的瓶颈。主要表现在：1. MPLS专线成本投入大：一方面专线单价高，对于大带宽需求的客户如共有云与IDC打通、多分支或项目部访问总部等，投入巨大；另一方面，专线的网络结构复杂，需要专业的IT运维人员负责，也得耗费较大的人力的成本；2. VPN访问体验差：尤其是采用开源的VPN软件，基于互联网平台部署而成的点对点专线网络，不可避免会受网络高峰期的影响，常常伴有网络波动、网络丢包等问题。软件稳定性也有潜在风险，容易导致VPN通道中断，影响正常办公；3. 部署周期长：MPLS专线因为运营商都是本地化行政办公，导致跨区域、跨境的工单审批时间长，审批完后再进行部署，往往需要两个月甚至更长时间。而VPN一般是由防火墙或者VPN网关等硬件设备来实现的，必须采购硬件设备，在大型企业中，硬件设备的采购往往是需要经历长时间的招投标流程。即使是中小企业无需招标，采购新设备到安装上架，也将耗费一周的时间；4. VPN和专线的运维复杂：出现问题时不仅需要专业的IT人员，而且MPLS专线对于企业无监控机制，很难找出问题点，VPN也仅能监控自身的设备性能，无法监控网络问题，这在不同程度上都增加了运维的难度。而SD-WAN具备灵活组网、快速部署、高性价比等诸多优势，现已成为了企业组网的首选解决方案！据Gartner报告称，到2023年，将会有90%的企业采用SD-WAN来实现企业组网。使用这样的组网形式，可以给企业带来：第一， 降本增效：SD-WAN的组网形式，在功能的实现上比专线更加丰富，而成本投入较专线相比可节省50%以上，尤其是SD-WAN可与公有云互通、进行移动端部署等，更适合企业上云、移动办公、SaaS应用等场景的应用；第二， 提升访问体验：SD-WAN可以根据网络情况，实现链路无感知切换，保证访问质量。还可根据管理员的配置策略，实现流量的负载均衡，保证关键应用（如视频会议、OA系统等）或关键用户的链路质量和访问速率；第三， 部署简单，快速接入：SD-WAN支持硬件、软件、客户端等多种部署方式，可实现“零接触部署”，最快15分钟即可完成，且分支机构无需专业IT人员也能完成组网部署；第四， 运维方便快捷：可视化的运维管控平台，管理员可对全网进行统一管理，能及时确认网络情况，快速定位网络问题，大大提升了运维效率。

企业版总共支持的监控指标一共11项，但是默认只有5项，其他的需要手动添加或配置1、默认监控项企业版默认只有5个监控指标：VPN连接状态、发送/接收速率、发送包/接收包速率2、健康检查指标项 - 链路点击VPN连接名称，进入连接详情页面，在此处可以配置健康检查，开启了健康检查之后，会增加3个监控项：链路往返平均时延、链路往返最大时延、链路丢包率探测方式：本端网关ip去ping对端网关ip，因此需要对端网关不禁ping3、使能NQA的监控项（限静态路由模式）- 隧道静态路由模式下，使能了NQA之后，会增加3个监控项：隧道丢包率、隧道往返平均时延、隧道往返最大时延注意：需要配置好本对端隧道接口地址，且保证对端隧道接口地址能ping通，才会有数据打通

报错 807 该检查的都检查了，不知是何原因，如何解决。

由于经典版vpn的带宽规格较小，不支持动态IP、对接ER等特性，需要将业务切到企业版vpn使用，验证割接方案如下：一、准备环境1）  创建华为云VPN网关如果有公网攻击，建议找安全服务申请保障EIP，申请成功后，在创建VPN网关时选择已有EIP。2）  创建对端网关3）  创建华为云VPN连接注意：对端子网填写测试子网（与经典版vpn实际对端子网不同即可，防止路由冲突）4）  验证（连接成功）二、割接动作1）修改经典VPN网关对端子网为无用子网(如：88.88.88.0/24)2）修改专业版VPN远端子网为业务真实子网，即修改之前经典版的对端子网3）验证是否正常，测试ping和scp传输文件，如果出现异常，可以回退割接动作的步骤。

由于企业版VPN在实现上有做NAT-T，因此在与其他设备对接时，建议对端设备打开NAT-T。例如，由于深信服ikev2的版本不支持NAT-T，因此在与深信服设备对接时，建议使用ikev1 的野蛮模式，打开NAT-T常见设备NAT-T开关1、阿里云2、腾讯云界面上没有配置选项，默认支持3、AWS  亚马逊云AWS配置中无NAT相关参数，默认支持。官方文档描述如下： https://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/create-tgw-vpn-attachment.html ​ https://docs.aws.amazon.com/zh_cn/vpn/latest/s2svpn/cgw-options.html4、Azure 微软云AWS配置中无NAT相关参数，默认支持。5、山石防火墙支持配置

1StrongSwan安装将strongswan-5.7.1.rpm上传到服务器，并执行命令：rpm –ivh strongswan-5.7.1 –-force –-nodeps安装成功后执行命令strongswan version看strongswan版本：2华为VPN双活网关策略模式对接StrongSwan组网2.1华为侧VPC及网关创建（单连接）⑴在华为云创建两个VPC，分别设置vpc网段，如下图：(2)在vpc中创建ecs一台，并绑定弹性eip1.1.1.1，带宽根据测试需求自定，本次申请300Mb带宽，(3)在另一个vpc中创建vpn网关，选择策略模式，绑定主eip2.2.2.2,备eip随意。(4)创建一个对端网关，路由模式为静态路由，公网ip选择1.1.1.12.2华为侧VPN连接创建创建vpn连接，本端网关选择步骤(3)中创建的网关，对端网关选择步骤(4)中的网关，分别填写本端子网192.168.0.0/16和对端子网172.16.0.0/16。策略协议如下所示：2.3StrongSwan IPsecVPN配置2.3.1编辑strongswan配置文件，指令为：vi /etc/strongswan/ipsec.conf在配置文件尾部增加配置：参数说明leftid本端标识rightid对端标识left本机IP（私网地址）right对端IP（华为侧EIP）leftsubnet本端子网rightsubnet对端子网auto连接方式。可选“add”,“route”,“start”.“route”表示由连接触发，“add”表示手动，“start”表示自启。left|rightauth指定left,right认证方式，可选“pubkey”“psk”“eap”“xauth”ikeIKE算法，分3个部分组成，用“-”连接，第一部分加密算法3des,aes128,aes192,aes256,第二部分认证算法：md5,sha1,sha256,第三部分DH算法：modp1024,modp1536espesp算法，分3个部分组成，用“-”连接，第一部分加密算法：3des,aes128,ase192,aes256,第二部分认证算法：md5,sha1,sha256,第三部分DH算法：modp1024,modp1536keyexchangeIKE模式，可选“ikev1”“ikev2”ikelifetimeIPSec SA协商间隔lifetimeISAKMP SA协商间隔2.3.2修改ipsec.secrets文件，在文件尾部增加共享密钥：vi /etc/strongswan/ipsec.secrets格式为：本端IP+空格+对端IP+空格+：+空格+PSK+空格+“密钥”若格式不对，启动strongswan后会报错：no shared key between ***found.2.3.3设置允许IP转发。vi /etc/sysctl.conf在文件尾增加以下内容：net.ipv4.ip_forward = 1保存后执行命令/sbin/sysctl –p使配置生效2.4连接状态检查(1)执行命令启动strongswan：service strongswan startstrongswan start执行命令查看IPsec隧道是否成功创建：service strongswan statusstrongswan statusall如图所示：security association(1 up,0 connecting)表示有一个ipsec隧道成功打通，华为云界面连接状态也变为正常。2.5连通性测试流量测试：在华为云网关对应vpc上创建另一个ecs,私有地址为192.168.0.76此时，在strongswan侧直接ping该私有地址（测试地址略有变化）：注：如果strongswan所在ECS需要转发流量给其他ECS，如通过VPN ping同网段其他IP，需要关闭ECS源目的检查开关

一、连接模式：当前VPN连接有4种连接模式：策略模式、静态路由模式、BGP路由模式和策略模板模式策略模板模式仅在VPN网关是非固定IP网关，且选择的对端网关为FQDN类型时可见二、区别和使用场景：1、静态路由模式：使用全0网段与线下设备协商，根椐路由配置（本端子网与对端子网）确定哪些数据进入IPsec VPN隧道。一般推荐使用该模式配置VPN。2、策略模式：根椐策略规则（用户侧到VPC之间通信的数据流信息）确定哪些数据进入IPsec VPN隧道，支持以源网段和目的网段定义策略规则。注意：VPN最多只能配置5个源网段，且源网段和目的网段数量的乘积不能超过100，如果需要联通的子网较多，建议合并子网或者使用路由模式。3、BGP路由模式：根据BGP动态路由确定哪些数据进入IPsec VPN隧道，适用于互通子网数量多或变化频繁、与专线互备等组网场景。因为需要搭建BGP，需要在创建网关时提前规划asn，同时在线下设备配置好隧道接口地址。4、策略模板模式：用于线下公网IP非固定的场景，对端网关类型为FQDN，如需修改策略模板模式的加密策略，可在网关界面修改。