一个关于SDWAN单臂部署方案验证的实验

天翼云开发者社区
• 阅读 445

假设有这样一张网络,其中RTA和PCA表示某公司的A分支,通过中国电信CT路由器接入互联网ISP;RTB和PCB表示某公司的B分支,通过中国联通CU路由器接入互联网ISP。DNS(8.8.8.8)表示某互联网应用。 一个关于SDWAN单臂部署方案验证的实验

为实现A分支私网192.168.2.0/24和B分支私网192.168.3.0/24的互通,现计划使用某厂商的SD-WAN方案进打通两个内网,像下图这样简单变更一下网络。图中POP为某厂商SD-WAN方案用户接入点设备,分支侧通过接入CPE设备进行互通。为不改变现有网络结构,将CPE设备旁挂在分支的出口设备上,需要能够同时访问到内网和互联网即可,由CPE设备和POP设备建立隧道,进而实现内网互通。 一个关于SDWAN单臂部署方案验证的实验

这种架构的SD-WAN方案是目前实现比较简单的方案,对设备整体要求不高,只要支持IPsec即可,所以本案例主要也是通过IPsec来实现的。而且分支机构不需要具备公网IP地址,只要能访问互联网即可。 一个关于SDWAN单臂部署方案验证的实验

接下来就简单了,可以说是单纯的IPsec的配置。 POP 创建IKE keychain,并配置与两个CPE使用的预共享密钥为明文的qwe123。 # ike keychain key1 pre-shared-key hostname cpe1 key simple qwe123 pre-shared-key hostname cpe2 key simple qwe123 创建IKE profile,指定密钥为key1,配置IKE第一阶段协商使用野蛮模式。指定使用IP地址(24.1.1.4)标识本端身份,指定需要匹配对端身份类型为名称cpe1和cpe2。 # ike profile pro1 keychain key1 exchange-mode aggressive local-identity address 24.1.1.4 match remote identity fqdn cpe1 match remote identity fqdn cpe2 创建IPsec安全提议,ESP加密算法为aes-cbc-128,ESP认证算法为sha1。 # ipsec transform-set tran1 esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1 配置IPsec安全框架,通过IKE协商建立安全联盟。 # ipsec profile sdwan isakmp transform-set tran1 ike-profile pro1 创建模式为psec-p2mp的隧道接口Tunnel1,配置WAN口地址为接口的源端地址,并配置Tunnel1接口的IP地址。最后在IPsec隧道接口上应用IPsec安全框架sdwan。 # interface Tunnel1 mode ipsec-p2mp ip address 11.1.1.1 255.255.255.0 source 24.1.1.4 tunnel protection ipsec profile sdwan 添加A分支到B分支的静态路由。 # ip route-static 192.168.2.0 24 Tunnel1 11.1.1.2 ip route-static 192.168.3.0 24 Tunnel1 11.1.1.3 CPE1 创建IKE keychain,并配置与POP(地址为24.1.1.4)的对端使用的预共享密钥为明文的qwe123。 # ike keychain key1 pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123 创建IKE profile,指定密钥为key1,配置IKE第一阶段协商使用野蛮模式,指定使用名称cpe1标识本端身份。指定需要匹配对端身份类型为IP地址,取值为24.1.1.4。 # ike profile pro1 keychain key1 exchange-mode aggressive local-identity fqdn cpe1 match remote identity address 24.1.1.4 255.255.255.0 创建IPsec安全提议,ESP加密算法为aes-cbc-128,ESP认证算法为sha1。 # ipsec transform-set tran1 esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1 配置IPsec安全框架,通过IKE协商建立安全联盟。 # ipsec profile sdwan isakmp transform-set tran1 ike-profile pro1 创建模式为IPsec的隧道接口Tunnel1,配置WAN口地址为接口的源端地址,配置POP地址为接口的目的端地址,并配置Tunnel1接口的IP地址。最后在IPsec隧道接口上应用IPsec安全框架sdwan。 # interface Tunnel1 mode ipsec ip address 11.1.1.2 255.255.255.0 source GigabitEthernet2/0 destination 24.1.1.4 tunnel protection ipsec profile sdwan 配置A分支到B分支的静态路由。 # ip route-static 192.168.3.0 24 Tunnel1 ip route-static 4.4.4.0 24 Tunnel1 CPE2 配置同CPE1,不再赘述,直接上配置。 # ike keychain key1 pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123 # ike profile pro1 keychain key1 exchange-mode aggressive local-identity fqdn cpe2 match remote identity address 24.1.1.4 255.255.255.0 # ipsec transform-set tran1 esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1 # ipsec profile sdwan isakmp transform-set tran1 ike-profile pro1 # interface Tunnel1 mode ipsec ip address 22.1.1.2 255.255.255.0 source GigabitEthernet2/0 destination 24.1.1.4 tunnel protection ipsec profile sdwan # ip route-static 192.168.2.0 24 Tunnel1 ip route-static 4.4.4.0 24 Tunnel1 接下来只要在路由器RTA和RTB上将去往对端私网流量的下一跳指向CPE就可以了。 RTA # ip route-static 192.168.3.0 24 192.168.2.10 RTB # ip route-static 192.168.2.0 24 192.168.3.10‘ ’ 验证配置 从PCA上测试访问PCB的情况。 一个关于SDWAN单臂部署方案验证的实验

可以看到,访问正常,并且通过tracert查看转发路径,流量是先到网关,再到CPE1,再到POP,再到CPE2,最后到达目标主机PCB。 而且,此时是不影响访问互联网的,在私网互通的同时可以正常访问模拟的公网业务。 一个关于SDWAN单臂部署方案验证的实验

查看隧道接口状态。 一个关于SDWAN单臂部署方案验证的实验

查看当前IKE SA的信息。 一个关于SDWAN单臂部署方案验证的实验

查看当前IPsec SA的信息。 一个关于SDWAN单臂部署方案验证的实验

可以看到POP上隧道对端的地址是分支的出口公网IP地址,而流量是全0的,也就是说,任何流量转发过来都会封装IPsec,这就是IPsec隧道的魅力所在。 如果要增加流量,只需要两端内网对应的增加路由就可以了。 天翼云:SD-WAN:https://www.ctyun.cn/products/sd-wan

点赞
收藏
评论区
推荐文章
特处士 特处士
1年前
什么是路由器?
路由器(路由器)是连接两个或两个以上网络的硬件设备,充当网络之间的网关,是读取每个数据包中的地址,然后决定如何传输的专用智能网络设备。它可以理解不同的协议,例如局域网使用的以太网协议和互联网使用的TCP/IP协议。这样,路由器(https://ww
Wesley13 Wesley13
3年前
CIDR的IP地址的表示与划分方法
早期的ip地址划分:最初设计互联网络时,为了便于寻址以及层次化构造网络,每个IP地址包括两个标识码(ID),即网络ID和主机ID。同一个物理网络上的所有主机都使用同一个网络ID,网络上的一个主机(包括网络上工作站,服务器和路由器等)有一个主机ID与其对应。IP地址是一个32位的二进制字符,为了方便人类的记忆,所以,通常人们会将二进制的IP地址表示成十
Stella981 Stella981
3年前
Git fetch
基于远程跟踪分支创建本地分支如果你想基于远程跟踪分支创建本地分支(在本地分支上工作),你可以使用如下命令:gitbranch–track或gitcheckout–trackb,两个命令都可以让你切换到新创建的本地分支。例如你用gitbranchr命令看到一个远程跟踪分支的名称为“origin/refactored”是你所需要的
Stella981 Stella981
3年前
DMV.P.N学习总结
动态多点V.P.N集成了动态_的动态简化多线_配置和GREoverIPSEC的多协议tunnel传输功能,形成了HUBSPOKER的网络架构模式,既可以实现中心节点一次配置零调整,分支节点无限制接入,又能实现动态协议的部署。DMV.P.N只能部署在Cisco的路由器上,同时还需要注意版本支持。实现DMV.P.N功能的四大技术组件分
Wesley13 Wesley13
3年前
Oracle一张表中实现对一个字段不同值和总值的统计(多个count)
需求:统计WAIT\_ORDER表中的工单总数、未处理工单总数、已完成工单总数、未完成工单总数。表结构:为了举例子方便,WAIT\_ORDER表只有两个字段,分别是ID、STATUS,其中STATUS为工单的状态。1表示未处理,2表示已完成,3表示未完成总数。 SQL:  1.SELECT   2
Stella981 Stella981
3年前
Git本地分支和远程分支关联
转载:https://blog.csdn.net/cherishhere/article/details/52606884(https://www.oschina.net/action/GoToLink?urlhttps%3A%2F%2Fblog.csdn.net%2Fcherishhere%2Farticle%2Fdetails%2F52606884
Stella981 Stella981
3年前
Git常用操作
本文(https://www.oschina.net/action/GoToLink?urlhttp%3A%2F%2Faicode.cc%2Farticle%2F429.html)并非讲解分支管理知识,而是记录了Git分支管理的一些命令使用方法,供使用时参考。以下使用<branch\_name表示用户需要替换的内容创建分支
Cloudvalley Cloudvalley
2年前
SD-WAN助力互联网打破壁垒
在现代SDWAN网络中,包括有线、无线、MPLS、T1、DSL甚至卫星在内的多个宽带源由SDWAN设备和相关的SDWAN控制器、云中继和网关聚合和协调。对于很多中小型企业来说,他们的SDWAN网络完全是由多个本地ISP
小万哥 小万哥
1年前
Git分支教程:详解分支创建、合并、删除等操作
Git是一种强大的分布式版本控制系统,它的分支功能使得团队协作和代码管理变得更加灵活和高效。分支可以让开发人员在不影响主线开发的情况下进行并行开发和实验性工作。本篇博客将详解Git分支的创建、合并、删除等操作,帮助你更好地理解和使用Git的分支功能。分支的
Git的一些基本用法
gitbranch查看当前分支gitbrancha查看所有分支gitpull更新当前分支gitcheckoutXXX切换到某分支
天翼云开发者社区
天翼云开发者社区
Lv1
天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。
文章
696
粉丝
15
获赞
40