以某厂商方案为例,讲一下如何手工配置传统网络到SD-WAN网络的改造实施

0554b05d06908f575609c1a01e7b94a8.gif

正文共:1024 字 8 图,预估阅读时间:3 分钟

假设有这样一张网络,其中RTA和PCA表示某公司的A分支,通过中国电信CT路由器接入互联网ISP;RTB和PCB表示某公司的B分支,通过中国联通CU路由器接入互联网ISP。DNS(8.8.8.8)表示某互联网应用。

7a75eff33fbcd8890d076b65c89beb8b.png

为实现A分支私网192.168.2.0/24和B分支私网192.168.3.0/24的互通,现计划使用某厂商的SD-WAN方案进打通两个内网,像下图这样简单变更一下网络。图中POP为某厂商SD-WAN方案用户接入点设备,分支侧通过接入CPE设备进行互通。为不改变现有网络结构,将CPE设备旁挂在分支的出口设备上,需要能够同时访问到内网和互联网即可,由CPE设备和POP设备建立隧道,进而实现内网互通。

d7406007ce8663c3eea099b952ed633c.png

这种架构的SD-WAN方案是目前实现比较简单的方案,对设备整体要求不高,只要支持IPsec即可,所以本案例主要也是通过IPsec来实现的。而且分支机构不需要具备公网IP地址,只要能访问互联网即可。

2ce819c2c9ec4df91dcf51f069ce5b61.png

接下来就简单了,可以说是单纯的IPsec的配置。

324db0aaab92f4f5d2fa74313aa20ee7.png

POP

创建IKE keychain,并配置与两个CPE使用的预共享密钥为明文的qwe123。

#
ike keychain key1
 pre-shared-key hostname cpe1 key simple qwe123
 pre-shared-key hostname cpe2 key simple qwe123

创建IKE profile,指定密钥为key1,配置IKE第一阶段协商使用野蛮模式。指定使用IP地址(24.1.1.4)标识本端身份,指定需要匹配对端身份类型为名称cpe1和cpe2。

#
ike profile pro1
 keychain key1
 exchange-mode aggressive
 local-identity address 24.1.1.4
 match remote identity fqdn cpe1
 match remote identity fqdn cpe2

创建IPsec安全提议,ESP加密算法为aes-cbc-128,ESP认证算法为sha1。

#
ipsec transform-set tran1
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1

配置IPsec安全框架,通过IKE协商建立安全联盟。

#
ipsec profile sdwan isakmp
 transform-set tran1
 ike-profile pro1

创建模式为psec-p2mp的隧道接口Tunnel1,配置WAN口地址为接口的源端地址,并配置Tunnel1接口的IP地址。最后在IPsec隧道接口上应用IPsec安全框架sdwan。

#
interface Tunnel1 mode ipsec-p2mp
 ip address 11.1.1.1 255.255.255.0
 source 24.1.1.4
 tunnel protection ipsec profile sdwan

添加A分支到B分支的静态路由。

#
ip route-static 192.168.2.0 24 Tunnel1 11.1.1.2
ip route-static 192.168.3.0 24 Tunnel1 11.1.1.3

fe48f1790a9425fcb1dd582ed45801b8.png

CPE1

创建IKE keychain,并配置与POP(地址为24.1.1.4)的对端使用的预共享密钥为明文的qwe123。

#
ike keychain key1
 pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123

创建IKE profile,指定密钥为key1,配置IKE第一阶段协商使用野蛮模式,指定使用名称cpe1标识本端身份。指定需要匹配对端身份类型为IP地址,取值为24.1.1.4。

#
ike profile pro1
 keychain key1
 exchange-mode aggressive
 local-identity fqdn cpe1
 match remote identity address 24.1.1.4 255.255.255.0

创建IPsec安全提议,ESP加密算法为aes-cbc-128,ESP认证算法为sha1。

#
ipsec transform-set tran1
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1

配置IPsec安全框架,通过IKE协商建立安全联盟。

#
ipsec profile sdwan isakmp
 transform-set tran1
 ike-profile pro1

创建模式为IPsec的隧道接口Tunnel1,配置WAN口地址为接口的源端地址,配置POP地址为接口的目的端地址,并配置Tunnel1接口的IP地址。最后在IPsec隧道接口上应用IPsec安全框架sdwan。

#
interface Tunnel1 mode ipsec
 ip address 11.1.1.2 255.255.255.0
 source GigabitEthernet2/0
 destination 24.1.1.4
 tunnel protection ipsec profile sdwan

配置A分支到B分支的静态路由。

#
ip route-static 192.168.3.0 24 Tunnel1
ip route-static 4.4.4.0 24 Tunnel1

2e838bfccc133ed855a23323ada74470.png

CPE2

配置同CPE1,不再赘述,直接上配置。

#
ike keychain key1
 pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123
#
ike profile pro1
 keychain key1
 exchange-mode aggressive
 local-identity fqdn cpe2
 match remote identity address 24.1.1.4 255.255.255.0
#
ipsec transform-set tran1
 esp encryption-algorithm aes-cbc-128
 esp authentication-algorithm sha1
#
ipsec profile sdwan isakmp
 transform-set tran1
 ike-profile pro1
#
interface Tunnel1 mode ipsec
 ip address 22.1.1.2 255.255.255.0
 source GigabitEthernet2/0
 destination 24.1.1.4
 tunnel protection ipsec profile sdwan
#
ip route-static 192.168.2.0 24 Tunnel1
ip route-static 4.4.4.0 24 Tunnel1

接下来只要在路由器RTA和RTB上将去往对端私网流量的下一跳指向CPE就可以了。

e7eabaf13953c8d0a0eb0ee2c91c3dc1.png

RTA

#
ip route-static 192.168.3.0 24 192.168.2.10

269088c60a996cfee74a5a4870b150f0.png

RTB

#
ip route-static 192.168.2.0 24 192.168.3.10

3ed27b4454288ed77fbcc6f39a9f38d6.png

验证配置

从PCA上测试访问PCB的情况。

320b299d0ef007e85f87a06933f2b06c.png

可以看到,访问正常,并且通过tracert查看转发路径,流量是先到网关,再到CPE1,再到POP,再到CPE2,最后到达目标主机PCB。

而且,此时是不影响访问互联网的,在私网互通的同时可以正常访问模拟的公网业务。

c7cd3d598d98e2e6ccf493b4475958af.png

查看隧道接口状态。

25c184277931195036a5a344cdc3d125.png

查看当前IKE SA的信息。

e8a228da972f62757fa69fc0457c1755.png

查看当前IPsec SA的信息。

0f03d18517225a378c15b21df83e469e.png

可以看到POP上隧道对端的地址是分支的出口公网IP地址,而流量是全0的,也就是说,任何流量转发过来都会封装IPsec,这就是IPsec隧道的魅力所在。

如果要增加流量,只需要两端内网对应的增加路由就可以了。

7118ddeab062b7f2d26d38c08d2db565.gif

长按二维码
关注我们吧

c127691c8a9fd08fb7b08d2ff9b2e9c3.jpeg

5b9f9dac8c79219abc8a4c2536091a1b.png

巧用VSR的L2TP VPN功能实现访问云上业务

VSR白送的的SSL VPN功能,你要不要?

L2TP over IPsec复杂吗?有点!所以建议你看看这篇文章

常用VPN性能对比测试(IPsec、L2TP VPN、SSL VPN、L2TP over IPsec等)

Wireshark如何解密IPSec报文?

WireGuard性能竟然比IPsec性能高出7-13倍,亮瞎了!

虚拟专用网络 (VPN) 术语

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mfbz.cn/a/449869.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【webrtc】m122:PacingController 源码阅读

【webrtc】m122:PacingController 源码阅读

PacingController 关系与BitrateProber 关系更为密切PacingController 内置BitrateProber G:\CDN\signalapp_webrtc\modules\pacing\pacing_controller.hPacingControllerBitrateProber prober_;PacingController 关系与BitrateProber 关系更为密切,在整个系统中的地位也更重要…
阅读更多...
ssm+vue的高校课程评价系统(有报告)。Javaee项目,ssm vue前后端分离项目。

ssm+vue的高校课程评价系统(有报告)。Javaee项目,ssm vue前后端分离项目。

演示视频: ssmvue的高校课程评价系统(有报告)。Javaee项目,ssm vue前后端分离项目。 项目介绍: 采用M(model)V(view)C(controller)三层体系结构&…
阅读更多...
大语言模型系列-GPT-2

大语言模型系列-GPT-2

文章目录 前言一、GPT-2做的改进二、GPT-2的表现总结 前言 《Language Models are Unsupervised Multitask Learners,2019》 前文提到,GPT-1利用不同的模型结构微调初步解决了多任务学习的问题,但是仍然是预训练微调的形式,GPT-…
阅读更多...
防御保护--IPSec VPN实验

防御保护--IPSec VPN实验

防御保护--IPsec VPN实验 一、实验需求二、配置IP地址三、配置IPSec通道四、配置NAT策略4.1 配置NAT策略4.2 配置服务器映射 五、配置安全策略5.1 查看IKE协商是否建立: 六、配置静态路由七、测试 一、实验需求 基础配置和实验步骤可参考: 防御保护–防…
阅读更多...
设计模式前置了解uml图

设计模式前置了解uml图

在开发前,会进行系统的设计,而数据模型的设计大多通过 UML 类图实现。为了在 UML 类图中清晰地表达类之间的关系,需要对类之间的关系有一定的认识,并且了解相关的表达符号。 类之间的关系有以下几种: 组合 聚合 关联…
阅读更多...
202012青少年软件编程(图形化) 等级考试试卷(一级)

202012青少年软件编程(图形化) 等级考试试卷(一级)

青少年软件编程(图形化) 等级考试试卷(一级)2020年12月 第1题:【 单选题】 下面哪个区域是“舞台区” ?( ) A:A B:B C:C D:D 【正确答案】: B 【试题解析】 : 第2题:【 单选题】 下图为小猫的初始方向, 哪个积木可以让小猫面向正右方?( ) A: B: C:…
阅读更多...
【Linux基础(三)】信号

【Linux基础(三)】信号

学习分享 1、信号的基本概念2、查看信号列表3、常见信号名称4、signal库函数5、发送信号kill6、kill - signal (无参信号)示例6.1、kill - signal (不可靠信号)示例6.2、kill - signal (可靠信号)示例 7、信号分类7.1、信号运行原理分类7.2、信号是否携带…
阅读更多...
云服务器2核4G配置,阿里云和腾讯云哪个便宜?性能更好?

云服务器2核4G配置,阿里云和腾讯云哪个便宜?性能更好?

租用2核4G服务器费用多少?2核4G云服务器多少钱一年?1个月费用多少?阿里云2核4G服务器30元3个月、轻量应用服务器2核4G4M带宽165元一年、企业用户2核4G5M带宽199元一年;腾讯云轻量2核4G服务器5M带宽165元一年、252元15个月、540元三…
阅读更多...
【Stable Diffusion】入门:原理简介+应用安装(Windows)+生成步骤

【Stable Diffusion】入门:原理简介+应用安装(Windows)+生成步骤

【Stable Diffusion】入门:原理简介应用安装(Windows)生成步骤 原理简介应用安装 原理简介 稳定扩散生成模型(Stable Diffusion)是一种潜在的文本到图像扩散模型,能够在给定任何文本输入的情况下生成照片般逼真的图像。 应用安…
阅读更多...
蓝桥杯2019年第十届省赛真题-修改数组

蓝桥杯2019年第十届省赛真题-修改数组

查重类题目,想到用标记数组记录是否出现过 但是最坏情况下可能会从头找到小尾巴,时间复杂度O(n2),数据范围106显然超时 再细看下题目,我们重复进行了寻找是否出现过,干脆把每个元素出现过的次数k记录下来,直…
阅读更多...
C++:2024/3/11

C++:2024/3/11

作业1&#xff1a;编程 要求&#xff1a;提示并输入一个字符串&#xff0c;统计该字符中大写、小写字母个数、数字个数、空格个数以及其他字符个数 代码&#xff1a; #include <iostream>using namespace std;int main() {//定义一个字符串string str;//提示输入字符串…
阅读更多...
【计算机网络】1.5 分组交换网中的时延、丢包和吞吐量

【计算机网络】1.5 分组交换网中的时延、丢包和吞吐量

A.分组交换网中的时延 当分组从一个节点沿着路径到后一节点时&#xff0c;该分组在沿途的各个节点经受了几种不同类型的时延。 时延的类型 处理时延 - d n o d a l d_{nodal} dnodal​ 处理时延包括以下部分—— a. 检查分组首部 b. 决定分组导向 排队时延 - d p r o c d_{…
阅读更多...
华为OD机试 - 垃圾信息拦截(Java 2024 C卷 100分)

华为OD机试 - 垃圾信息拦截(Java 2024 C卷 100分)

目录 专栏导读一、题目描述二、输入描述三、输出描述1、输入2、输出3、说明 四、解题思路五、Java算法源码六、效果展示1、输入2、输出3、说明 华为OD机试 2024C卷题库疯狂收录中&#xff0c;刷题点这里 专栏导读 本专栏收录于《华为OD机试&#xff08;JAVA&#xff09;真题&a…
阅读更多...
选择短信群发平台要小心陷阱

选择短信群发平台要小心陷阱

你知道短信群发平台也有陷阱吗&#xff1f;选择短信群发平台很重要&#xff0c;今天小编就为您介绍短信群发平台有哪些陷阱&#xff1f; 这几点你要注意了&#xff1a; 1、扣量&#xff0c;有些不靠谱的短信群发平台开始以低价诱惑“客户”&#xff0c;但是发送过程中就暗中扣…
阅读更多...
【前端寻宝之路】学习和使用CSS的所有选择器

【前端寻宝之路】学习和使用CSS的所有选择器

&#x1f308;个人主页: Aileen_0v0 &#x1f525;热门专栏: 华为鸿蒙系统学习|计算机网络|数据结构与算法|MySQL| ​&#x1f4ab;个人格言:“没有罗马,那就自己创造罗马~” #mermaid-svg-blSAMs8NTfBKaPl8 {font-family:"trebuchet ms",verdana,arial,sans-serif;f…
阅读更多...
前端网页如何在 Windows 上测试 Safari

前端网页如何在 Windows 上测试 Safari

“Windows上的Safari&#xff1f;”&#xff0c;“那不可能&#xff01; Safari 无法在 Windows 上运行。当然的&#xff01; 曾经可以在windows上运行&#xff0c;但苹果早在 2012 年就停止支持 Windows。对于想要测试 Safari 兼容性的 Web 开发人员来说&#xff0c;这真是太不…
阅读更多...
ubuntu 23开机界面美化教程

ubuntu 23开机界面美化教程

效果 方法 GRUB开机界面美化 从上述网站中&#xff0c;查找GRUB Themes分类&#xff0c;并下载GRUB主题包&#xff08;tar.gz格式&#xff09;&#xff0c;如CyberSynchro.tar.gz&#xff1b; 解压下载得到的压缩包&#xff0c;得到CyberSynchro&#xff1b; 将CyberSynchro…
阅读更多...
connection SQLException, url:jdbc ,errorCode 0, state 08S01

connection SQLException, url:jdbc ,errorCode 0, state 08S01

connection SQLException, url: jdbc:mysql://localhost:3306/itcast_health?useUnicodetrue&characterEncodingutf-8, errorCode 0, state 08S01 添加&#xff1a;&useSSLfalse 添加前 添加后&#xff1a; 查询数据库正常
阅读更多...
2.1 关系数据结构及形式化定义 数据库概论

2.1 关系数据结构及形式化定义 数据库概论

目录 2.1.1 关系 关系&#xff1a;概念 1. 域&#xff08;Domain&#xff09; 2.笛卡尔积 元组&#xff08;Tuple&#xff09; 分量&#xff08;Component&#xff09; 基数&#xff08;Cardinal number&#xff09; 3. 关系 候选码&#xff08;Candidate key&#xf…
阅读更多...
解决 Webpack 中 ERROR in main Module not found: Error: Can‘t resolve ‘./src‘ 问题

解决 Webpack 中 ERROR in main Module not found: Error: Can‘t resolve ‘./src‘ 问题

出自 BV1MN411y7pw&#xff0c; P98 黑马AJAX-Node.js-Webpack教学视频中webpack部分&#xff0c;打包的时候出错 ERROR in main Module not found: Error: Cant resolve ./src in V:\Web\mycode\webpack\01_webpack_use resolve ./src in V:\Web\mycode\webpack\01_webpack_us…
阅读更多...
最新文章

Copyright @ 2022~2023

友情链接: 我的编程经验分享 一条长河网 尧图网站开发 尧图建网站