一个关于SDWAN单臂部署方案验证的实验
假设有这样一张网络,其中RTA和PCA表示某公司的A分支,通过中国电信CT路由器接入互联网ISP;RTB和PCB表示某公司的B分支,通过中国联通CU路由器接入互联网ISP。DNS(8.8.8.8)表示某互联网应用。
为实现A分支私网192.168.2.0/24和B分支私网192.168.3.0/24的互通,现计划使用某厂商的SD-WAN方案进打通两个内网,像下图这样简单变更一下网络。图中POP为某厂商SD-WAN方案用户接入点设备,分支侧通过接入CPE设备进行互通。为不改变现有网络结构,将CPE设备旁挂在分支的出口设备上,需要能够同时访问到内网和互联网即可,由CPE设备和POP设备建立隧道,进而实现内网互通。
这种架构的SD-WAN方案是目前实现比较简单的方案,对设备整体要求不高,只要支持IPsec即可,所以本案例主要也是通过IPsec来实现的。而且分支机构不需要具备公网IP地址,只要能访问互联网即可。
接下来就简单了,可以说是单纯的IPsec的配置。
POP
创建IKE keychain,并配置与两个CPE使用的预共享密钥为明文的qwe123。
#
ike keychain key1
pre-shared-key hostname cpe1 key simple qwe123
pre-shared-key hostname cpe2 key simple qwe123
创建IKE profile,指定密钥为key1,配置IKE第一阶段协商使用野蛮模式。指定使用IP地址(24.1.1.4)标识本端身份,指定需要匹配对端身份类型为名称cpe1和cpe2。
#
ike profile pro1
keychain key1
exchange-mode aggressive
local-identity address 24.1.1.4
match remote identity fqdn cpe1
match remote identity fqdn cpe2
创建IPsec安全提议,ESP加密算法为aes-cbc-128,ESP认证算法为sha1。
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
配置IPsec安全框架,通过IKE协商建立安全联盟。
#
ipsec profile sdwan isakmp
transform-set tran1
ike-profile pro1
创建模式为psec-p2mp的隧道接口Tunnel1,配置WAN口地址为接口的源端地址,并配置Tunnel1接口的IP地址。最后在IPsec隧道接口上应用IPsec安全框架sdwan。
#
interface Tunnel1 mode ipsec-p2mp
ip address 11.1.1.1 255.255.255.0
source 24.1.1.4
tunnel protection ipsec profile sdwan
添加A分支到B分支的静态路由。
#
ip route-static 192.168.2.0 24 Tunnel1 11.1.1.2
ip route-static 192.168.3.0 24 Tunnel1 11.1.1.3
CPE1
创建IKE keychain,并配置与POP(地址为24.1.1.4)的对端使用的预共享密钥为明文的qwe123。
#
ike keychain key1
pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123
创建IKE profile,指定密钥为key1,配置IKE第一阶段协商使用野蛮模式,指定使用名称cpe1标识本端身份。指定需要匹配对端身份类型为IP地址,取值为24.1.1.4。
#
ike profile pro1
keychain key1
exchange-mode aggressive
local-identity fqdn cpe1
match remote identity address 24.1.1.4 255.255.255.0
创建IPsec安全提议,ESP加密算法为aes-cbc-128,ESP认证算法为sha1。
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
配置IPsec安全框架,通过IKE协商建立安全联盟。
#
ipsec profile sdwan isakmp
transform-set tran1
ike-profile pro1
创建模式为IPsec的隧道接口Tunnel1,配置WAN口地址为接口的源端地址,配置POP地址为接口的目的端地址,并配置Tunnel1接口的IP地址。最后在IPsec隧道接口上应用IPsec安全框架sdwan。
#
interface Tunnel1 mode ipsec
ip address 11.1.1.2 255.255.255.0
source GigabitEthernet2/0
destination 24.1.1.4
tunnel protection ipsec profile sdwan
配置A分支到B分支的静态路由。
#
ip route-static 192.168.3.0 24 Tunnel1
ip route-static 4.4.4.0 24 Tunnel1
CPE2
配置同CPE1,不再赘述,直接上配置。
#
ike keychain key1
pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123
#
ike profile pro1
keychain key1
exchange-mode aggressive
local-identity fqdn cpe2
match remote identity address 24.1.1.4 255.255.255.0
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec profile sdwan isakmp
transform-set tran1
ike-profile pro1
#
interface Tunnel1 mode ipsec
ip address 22.1.1.2 255.255.255.0
source GigabitEthernet2/0
destination 24.1.1.4
tunnel protection ipsec profile sdwan
#
ip route-static 192.168.2.0 24 Tunnel1
ip route-static 4.4.4.0 24 Tunnel1
接下来只要在路由器RTA和RTB上将去往对端私网流量的下一跳指向CPE就可以了。
RTA
#
ip route-static 192.168.3.0 24 192.168.2.10
RTB
#
ip route-static 192.168.2.0 24 192.168.3.10
验证配置
从PCA上测试访问PCB的情况。
可以看到,访问正常,并且通过tracert查看转发路径,流量是先到网关,再到CPE1,再到POP,再到CPE2,最后到达目标主机PCB。
而且,此时是不影响访问互联网的,在私网互通的同时可以正常访问模拟的公网业务。
查看隧道接口状态。
查看当前IKE SA的信息。
查看当前IPsec SA的信息。
可以看到POP上隧道对端的地址是分支的出口公网IP地址,而流量是全0的,也就是说,任何流量转发过来都会封装IPsec,这就是IPsec隧道的魅力所在。
如果要增加流量,只需要两端内网对应的增加路由就可以了。
一个关于SDWAN单臂部署方案验证的实验相关推荐
- IPS与IDS部署场景(直路部署,单臂部署,旁路部署,阻断)
NIP介绍 NIP简介: NIP是华为的IPS设备. NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离.您可以将每对接口对视作一台虚拟IPS设备或IDS设 ...
- VLAN间路由:每个VLAN一个物理连接,单臂路由,三层交换
VLAN间路由3种方式:每个VLAN一个物理连接,单臂路由,三层交换. 每个VLAN一个物理连接:在路由器上为每个VLAN分配一个单独的接口,并使用一条物理链路连接到二层交换机上.当VLAN间的主机需 ...
- eNSP-配置单臂路由与静态路由实验
单臂路由: 交换机和路由器之间仅有一条物理链路连接.在交换机上,把连接到路由器的端口配置为Trunk口,并允许Vlan的帧通过.在路由器上设置子接口,在逻辑上把一条物理链路分成多条逻辑链路. 一般步骤 ...
- Java实现最小二乘法线性拟合,传感与检测,单臂半桥全桥实验,江南大学自动化
因为作为资源上传不方便我们获取且我想免费分享给有需要的小伙伴,以后所有实验报告都通过文章形式记录输出了,仅供参考,欢迎交流.(最小二乘法代码在文末) 电桥特性曲线: Java实现最小二乘法线性拟合及计 ...
- VLAN间通信(多臂路由、单臂路由、三层交换、VLAN聚合)
文章目录 VLAN间流量通信的几种解决方案 前言 参考阅读 一.多臂路由 二.单臂路由 三.三层交换 四.VLAN聚合 VLAN间流量通信的几种解决方案 前言 不同的解决方案对应不同的应用场景 多臂路 ...
- 华为防火墙做单臂路由_华为单臂路由配置实例
华为单臂路由实验配置(共8篇)华为 AR2200路由器单臂路由配置实例华为 AR2200路由器单臂路由配置实例作者:救世主220实验日期:2015 6 29实验拓扑如下:AR5配置:[AR5]dis ...
- 单臂路由与三层交换机实现VLAN通信
不同VLAN之间相互通信的两种方式 (单臂路由.三层交换) 试验环境:东郊二楼第三机房 试验设备:Catalyst 2950-24(SW3) Cisco 2611( ...
- 实验: GVRP 配置,三层交换机通讯 ,VLAN 间路由,单臂路由与路由器子接口的配置,vlan-单臂路由技术
目录 一,实验1-3: GVRP 配置 [实验目的] [实验环境] [实验过程] 拓扑图 步骤一. 开启 GVRP 功能 步骤二. 在交换机之间配置 Trunk 链路 [实验总结] 二,实验1-4: ...
- 路由器的基本配置和单臂路由配置
实验名称 路由器的基本设置和单臂路由配置 任务一 路由器的基本配置 一.实验目标 1.掌握路由器几种常用配置方法: 2.掌握采用Console线缆配置路由器的方法: 3.掌握采用Telnet方式配置路 ...
最新文章
- JAVA中一维数组的作用,JAVA中一维数组和二维数组的定义
- linux iptables扩展,脚本防火墙
- MongoDB 权限认证
- Redis学习笔记(五) 总结
- ViewPager 详解(二)---详解四大函数
- php 检验类,php实现的简单检验登陆类
- python excel插件_django使用插件下载excel的方法
- stl非变易算法(一)
- spring官网下载
- Leetcode之最长公共前缀
- tomcat下载安装及配置【图文教程】
- 馈线中的VSWR电压驻波比
- python 生成word,插入图片如何居中显示
- 批量图片压缩解决方案之Imagine
- 为什么要学习Go语言?
- linux进阶52——pthread_cond_t
- java在线观看(jav在线网站)
- 软件自动化测试项目总结,自动化测试总结报告.docx
- Turtlebot+ROS Stage仿真环境实现MPC轨迹跟踪
- kindle导出电子书pc_使用Kindle for PC在计算机上阅读Kindle电子书