-
如何用SD-WAN路由器实现串接透明部署?
正文共:1024 字 7 图,预估阅读时间:1 分钟
我们上次介绍了用交换机做SD-WAN的解决方案(SD-WAN设备的串接透明部署怎么实现?),基本能够满足用户需求。但是,一定程度上讲,交换机的功能比较单一,不好扩展其他SD-WAN功能,仅能实现简单的组网功能。那我们能把交换机替换为其他设备吗?
理论上是可以的,不过H3C V7的路由器MSR3620的路由接口不能切换为桥接口,但是防火墙F1060可以啊,所以用防火墙F1060来替换交换机也是一种比较不错的选择。配置比较简单,只要把接口切换为桥接口就行了,再加上放通安全策略(防火墙安全策略功能入门),其他的配置几乎完全一致。
既然防火墙这么没有挑战,我就不想介绍了。反之,我偏要介绍一下用路由器怎么实现。
前面介绍到,使用交换机进行配置时,无需占用额外的接口,只需要将SD-WAN设备串接在网络之间,并分配一个同网段地址就行了。组网图如下所示(图示接口和网段,具体地址请查看配置信息):
跟上次相比,SD-WAN设备已经由交换机切换为路由器了,并连接到出口设备RT和用户网关设备GW。为SD-WAN设备分配一个同网段的地址10.1.1.3/24,网关指向RT,同时向POP设备建立隧道,模拟访问10.10.10.10/32这个业务地址;并添加去往私网的路由。
虽然路由器接口不支持二层特性,那有什么可以替代的吗?
要不我们试试VXLAN?
很简单,只要配置三层路由接口绑定到同一个VSI(Virtual Switch Instance,虚拟交换实例)就可以了。
- #
- l2vpn enable
- #
- vsi sdwan
- #
- interface GigabitEthernet0/0
- xconnect vsi sdwan
- #
- interface GigabitEthernet0/1
- xconnect vsi sdwan
配置完成之后,简单测试一下GW到RT的访问。
访问正常,跟直连的效果是一样的。
再创建一个VSI虚接口,并配置IP地址,就和交换机的VLAN虚接口一样了。
- #
- vsi sdwan
- gateway vsi-interface 10
- #
- interface Vsi-interface10
- ip address 10.1.1.3 255.255.255.0
测试一下访问GW和RT。
测试正常,然后把其他的配置都配置上就可以了。
- #
- ip route-static 0.0.0.0 0 10.1.1.1
- ip route-static 10.10.10.10 32 10.1.1.1
- ip route-static 192.168.1.0 24 10.1.1.2
- #
- acl advanced 3400
- rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.10 0
- #
- ike keychain SDWAN
- pre-shared-key address 40.1.1.2 key simple QWE123
- #
- ike profile SDWAN
- keychain SDWAN
- exchange-mode aggressive
- local-identity fqdn SDWAN
- match remote identity address 40.1.1.2 255.255.255.255
- #
- ipsec transform-set SDWAN
- esp encryption-algorithm 3des-cbc
- esp authentication-algorithm sha1
- #
- ipsec policy SDWAN 10 isakmp
- transform-set SDWAN
- security acl 3400
- remote-address 40.1.1.2
- ike-profile SDWAN
- #
- interface Vsi-interface10
- ip address 10.1.1.3 255.255.255.0
- ipsec apply policy SDWAN
其他设备无需调整,直接上配置。
GW
- #
- interface GigabitEthernet0/0
- ip address 192.168.1.1 255.255.255.0
- #
- interface GigabitEthernet0/1
- ip address 10.1.1.2 255.255.255.0
- #
- ip route-static 0.0.0.0 0 10.1.1.1
- ip route-static 10.10.10.10 32 10.1.1.3
ISP
- #
- interface GigabitEthernet0/0
- ip address 20.1.1.1 255.255.255.0
- #
- interface GigabitEthernet0/1
- ip address 30.1.1.1 255.255.255.0
- #
- interface GigabitEthernet0/2
- ip address 40.1.1.1 255.255.255.0
RT
- #
- interface GigabitEthernet0/0
- ip address 10.1.1.1 255.255.255.0
- #
- interface GigabitEthernet0/1
- ip address 20.1.1.2 255.255.255.0
- nat outbound
- #
- ip route-static 0.0.0.0 0 20.1.1.1
- ip route-static 192.168.1.0 24 10.1.1.2
POP
- #
- interface LoopBack0
- ip address 10.10.10.10 255.255.255.255
- #
- interface GigabitEthernet0/0
- ip address 40.1.1.2 255.255.255.0
- ipsec apply policy SDWAN
- #
- ip route-static 0.0.0.0 0 40.1.1.1
- #
- ike keychain SDWAN
- pre-shared-key hostname SDWAN key simple QWE123
- #
- ike profile SDWAN
- keychain SDWAN
- exchange-mode aggressive
- local-identity address 40.1.1.2
- match remote identity fqdn SDWAN
- #
- ipsec transform-set SDWAN
- esp encryption-algorithm 3des-cbc
- esp authentication-algorithm sha1
- #
- ipsec policy-template SDWAN 1
- transform-set SDWAN
- local-address 40.1.1.2
- ike-profile SDWAN
- #
- ipsec policy SDWAN 1 isakmp template SDWAN
H3C
- #
- interface GigabitEthernet0/0
- ip address 30.1.1.2 255.255.255.0
- #
- ip route-static 0.0.0.0 0 30.1.1.1
验证配置
我们直接触发一下PC到POP模拟业务地址10.10.10.10的访问。
可以看到,和往常一样,首包因为触发隧道建立而丢失,后续报文转发正常。TTL值为253,说明经过了3跳,分别是192.168.1.1(网关设备GW)、10.1.1.3(SD-WAN设备)、40.1.1.2(POP设备,拥有IP地址10.10.10.10)。
查看ike sa信息。
查看ipsec sa信息。
最后看一下PC同时访问内外网业务(内网:10.10.10.10,外网H3C:30.1.1.2)。
怎么样,依旧很简单,不是吗?
长按二维码
关注我们吧
如果私人定制VMWare ESXi 6.7和7.0的安装镜像?
一次看够H3C NFV在VMware ESXi中的安装、组网和配置
-
相关阅读:
Spring(二)- BeanFactory与ApplicationContext
密码暴力破解漏洞(kali crunch)
模型分类model
【ARM AMBA5 CHI 入门 12.2 -- CHI 协议层详细介绍 】
Mysql事务原理
自定义MVC原理
LabVIEW样式检查表2
MyBatis学习:#占位符和 $占位符的区别
SQL server创建数据库
django建站过程(3)定义模型与管理页
- 原文地址:https://blog.csdn.net/gtj0617/article/details/136753485
