一个关于SDWAN单臂部署方案验证的实验

天翼云开发者社区
• 阅读 84

假设有这样一张网络,其中RTA和PCA表示某公司的A分支,通过中国电信CT路由器接入互联网ISP;RTB和PCB表示某公司的B分支,通过中国联通CU路由器接入互联网ISP。DNS(8.8.8.8)表示某互联网应用。 一个关于SDWAN单臂部署方案验证的实验

为实现A分支私网192.168.2.0/24和B分支私网192.168.3.0/24的互通,现计划使用某厂商的SD-WAN方案进打通两个内网,像下图这样简单变更一下网络。图中POP为某厂商SD-WAN方案用户接入点设备,分支侧通过接入CPE设备进行互通。为不改变现有网络结构,将CPE设备旁挂在分支的出口设备上,需要能够同时访问到内网和互联网即可,由CPE设备和POP设备建立隧道,进而实现内网互通。 一个关于SDWAN单臂部署方案验证的实验

这种架构的SD-WAN方案是目前实现比较简单的方案,对设备整体要求不高,只要支持IPsec即可,所以本案例主要也是通过IPsec来实现的。而且分支机构不需要具备公网IP地址,只要能访问互联网即可。 一个关于SDWAN单臂部署方案验证的实验

接下来就简单了,可以说是单纯的IPsec的配置。 POP 创建IKE keychain,并配置与两个CPE使用的预共享密钥为明文的qwe123。 # ike keychain key1 pre-shared-key hostname cpe1 key simple qwe123 pre-shared-key hostname cpe2 key simple qwe123 创建IKE profile,指定密钥为key1,配置IKE第一阶段协商使用野蛮模式。指定使用IP地址(24.1.1.4)标识本端身份,指定需要匹配对端身份类型为名称cpe1和cpe2。 # ike profile pro1 keychain key1 exchange-mode aggressive local-identity address 24.1.1.4 match remote identity fqdn cpe1 match remote identity fqdn cpe2 创建IPsec安全提议,ESP加密算法为aes-cbc-128,ESP认证算法为sha1。 # ipsec transform-set tran1 esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1 配置IPsec安全框架,通过IKE协商建立安全联盟。 # ipsec profile sdwan isakmp transform-set tran1 ike-profile pro1 创建模式为psec-p2mp的隧道接口Tunnel1,配置WAN口地址为接口的源端地址,并配置Tunnel1接口的IP地址。最后在IPsec隧道接口上应用IPsec安全框架sdwan。 # interface Tunnel1 mode ipsec-p2mp ip address 11.1.1.1 255.255.255.0 source 24.1.1.4 tunnel protection ipsec profile sdwan 添加A分支到B分支的静态路由。 # ip route-static 192.168.2.0 24 Tunnel1 11.1.1.2 ip route-static 192.168.3.0 24 Tunnel1 11.1.1.3 CPE1 创建IKE keychain,并配置与POP(地址为24.1.1.4)的对端使用的预共享密钥为明文的qwe123。 # ike keychain key1 pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123 创建IKE profile,指定密钥为key1,配置IKE第一阶段协商使用野蛮模式,指定使用名称cpe1标识本端身份。指定需要匹配对端身份类型为IP地址,取值为24.1.1.4。 # ike profile pro1 keychain key1 exchange-mode aggressive local-identity fqdn cpe1 match remote identity address 24.1.1.4 255.255.255.0 创建IPsec安全提议,ESP加密算法为aes-cbc-128,ESP认证算法为sha1。 # ipsec transform-set tran1 esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1 配置IPsec安全框架,通过IKE协商建立安全联盟。 # ipsec profile sdwan isakmp transform-set tran1 ike-profile pro1 创建模式为IPsec的隧道接口Tunnel1,配置WAN口地址为接口的源端地址,配置POP地址为接口的目的端地址,并配置Tunnel1接口的IP地址。最后在IPsec隧道接口上应用IPsec安全框架sdwan。 # interface Tunnel1 mode ipsec ip address 11.1.1.2 255.255.255.0 source GigabitEthernet2/0 destination 24.1.1.4 tunnel protection ipsec profile sdwan 配置A分支到B分支的静态路由。 # ip route-static 192.168.3.0 24 Tunnel1 ip route-static 4.4.4.0 24 Tunnel1 CPE2 配置同CPE1,不再赘述,直接上配置。 # ike keychain key1 pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123 # ike profile pro1 keychain key1 exchange-mode aggressive local-identity fqdn cpe2 match remote identity address 24.1.1.4 255.255.255.0 # ipsec transform-set tran1 esp encryption-algorithm aes-cbc-128 esp authentication-algorithm sha1 # ipsec profile sdwan isakmp transform-set tran1 ike-profile pro1 # interface Tunnel1 mode ipsec ip address 22.1.1.2 255.255.255.0 source GigabitEthernet2/0 destination 24.1.1.4 tunnel protection ipsec profile sdwan # ip route-static 192.168.2.0 24 Tunnel1 ip route-static 4.4.4.0 24 Tunnel1 接下来只要在路由器RTA和RTB上将去往对端私网流量的下一跳指向CPE就可以了。 RTA # ip route-static 192.168.3.0 24 192.168.2.10 RTB # ip route-static 192.168.2.0 24 192.168.3.10‘ ’ 验证配置 从PCA上测试访问PCB的情况。 一个关于SDWAN单臂部署方案验证的实验

可以看到,访问正常,并且通过tracert查看转发路径,流量是先到网关,再到CPE1,再到POP,再到CPE2,最后到达目标主机PCB。 而且,此时是不影响访问互联网的,在私网互通的同时可以正常访问模拟的公网业务。 一个关于SDWAN单臂部署方案验证的实验

查看隧道接口状态。 一个关于SDWAN单臂部署方案验证的实验

查看当前IKE SA的信息。 一个关于SDWAN单臂部署方案验证的实验

查看当前IPsec SA的信息。 一个关于SDWAN单臂部署方案验证的实验

可以看到POP上隧道对端的地址是分支的出口公网IP地址,而流量是全0的,也就是说,任何流量转发过来都会封装IPsec,这就是IPsec隧道的魅力所在。 如果要增加流量,只需要两端内网对应的增加路由就可以了。 天翼云:SD-WAN:https://www.ctyun.cn/products/sd-wan

点赞
收藏
评论区
推荐文章
Stella981 Stella981
1年前
Git fetch
基于远程跟踪分支创建本地分支如果你想基于远程跟踪分支创建本地分支(在本地分支上工作),你可以使用如下命令:gitbranch–track或gitcheckout–trackb,两个命令都可以让你切换到新创建的本地分支。例如你用gitbranchr命令看到一个远程跟踪分支的名称为“origin/refactored”是你所需要的
Stella981 Stella981
1年前
Git常用操作
本文(https://www.oschina.net/action/GoToLink?urlhttp%3A%2F%2Faicode.cc%2Farticle%2F429.html)并非讲解分支管理知识,而是记录了Git分支管理的一些命令使用方法,供使用时参考。以下使用<branch\_name表示用户需要替换的内容创建分支
Stella981 Stella981
1年前
Git 技巧
在日常开发中,我们经常需要创建新分支,如果希望新分支仅对本人可见,则创建一个本地分支,如果希望在多个成员之间共享,则创建一个远程分支,其他成员可以通过pull或fetch命令拉取远程分支。本文主要讨论远程分支的创建方法。有两种方式可以创建一个远程分支,一是在远程仓库上直接创建,例如我们可以在GitHub或码云的Web界面上创建远程分支;二是在先创建一
天翼云高可用虚拟IP(HAVIP)实践
(一)产品概述天翼云高可用虚拟IP(HighAvailabilityVirtualIPAddress,简称HAVIP)是一种可用独立创建和删除的私有网络IP地址资源。通过在VIPCIDR中申请一个私有网络IP地址,然后与高可用软件(如高可用软件Keepalived)配合使用,可用在VPC中搭建高可用的主备集群服务,提高VPC中服务的可用性。限制和说明
高性能API网关Kong介绍
本文关键词:高性能、API网关、Kong、微服务1.Introduction是随着微服务(Microservice)概念兴起的一种架构模式。原本一个庞大的单体应用(Allinone)业务系统被拆分成许多微服务(Microservice)系统进行独立的维护和部署,服务拆分带来的变化是API的规模成倍增长,API的管理难度也在日益增加,使用API网关发布和管
SPDK对接Ceph性能优化
关键词:SPDK、NVMeOF、Ceph、CPU负载均衡SPDK是intel公司主导开发的一套存储高性能开发套件,提供了一组工具和库,用于编写高性能、可扩展和用户态存储应用。它通过使用一些关键技术实现了高性能:1.将所有必需的驱动程序移到用户空间,以避免系统调用并且支持零拷贝访问2.IO的完成通过轮询硬件而不是依赖中断,以降低时延3.使用消息传递,以避免IO
3A网络 3A网络
5个月前
理解 virt、res、shr 之间的关系(linux 系统篇)
理解virt、res、shr之间的关系(linux系统篇)前言想必在linux上写过程序的同学都有分析进程占用多少内存的经历,或者被问到这样的问题——你的程序在运行时占用了多少内存(物理内存)?通常我们可以通过t
3A网络 3A网络
5个月前
开发一个不需要重写成 Hive QL 的大数据 SQL 引擎
开发一个不需要重写成HiveQL的大数据SQL引擎学习大数据技术的核心原理,掌握一些高效的思考和思维方式,构建自己的技术知识体系。明白了原理,有时甚至不需要学习,顺着原理就可以推导出各种实现细节。各种知识表象看杂乱无章,若只是学习
初识DevOps
基本概念和延伸的思考DevOps,是Development(开发)和Operations(运维)组成的复合词,一般译为“开发运维一体化”。看到这个概念,首先会产生几个问题:开发是什么,哪些环节是开发?运维是什么,哪些环节是运维?开发人员写好代码在本地调试,环境出问题了自己来调整,这是开发工作还是运维工作?系统故障后,运维人员发现是配置文件内容出错了就改成了正
SPDK QOS机制解析
本文关键词:intelspdkbdevqos序:intelspdk软件在存储领域应用广泛。因其可以高效管理linux系统的nvmessd盘,又支持vhostuser协议可以对接qemu虚拟机,在云计算领域通常被用来做本地盘云主机的存储管理软件。如此优秀的一款软件,有必要仔细分析其内部的实现机制,本篇文章主要介绍spdkqos机制。spdk
天翼云开发者社区
天翼云开发者社区
Lv1
天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。
278
文章
0
粉丝
1
获赞