如何用SD-WAN路由器实现串接透明部署？

上次介绍了用交换机做SD-WAN的解决方案（SD-WAN设备的串接透明部署怎么实现？），基本能够满足用户需求。但是，一定程度上讲，交换机的功能比较单一，不好扩展其他SD-WAN功能，仅能实现简单的组网功能。那我们能把交换机替换为其他设备吗？

理论上是可以的，不过H3C V7的路由器MSR3620的路由接口不能切换为桥接口，但是防火墙F1060可以啊，所以用防火墙F1060来替换交换机也是一种比较不错的选择。配置比较简单，只要把接口切换为桥接口就行了，再加上放通安全策略，其他的配置几乎完全一致。

既然防火墙这么没有挑战，我就不想介绍了。反之，我偏要介绍一下用路由器怎么实现。

前面介绍到，使用交换机进行配置时，无需占用额外的接口，只需要将SD-WAN设备串接在网络之间，并分配一个同网段地址就行了。组网图如下所示（图示接口和网段，具体地址请查看配置信息）：

跟上次相比，SD-WAN设备已经由交换机切换为路由器了，并连接到出口设备RT和用户网关设备GW。为SD-WAN设备分配一个同网段的地址10.1.1.3/24，网关指向RT，同时向POP设备建立隧道，模拟访问10.10.10.10/32这个业务地址；并添加去往私网的路由。

虽然路由器接口不支持二层特性，那有什么可以替代的吗？

要不我们试试VXLAN？

很简单，只要配置三层路由接口绑定到同一个VSI（Virtual Switch Instance，虚拟交换实例）就可以了。

#

l2vpn enable

#

vsi sdwan

#

interface GigabitEthernet0/0

 xconnect vsi sdwan

#

interface GigabitEthernet0/1

 xconnect vsi sdwan

配置完成之后，简单测试一下GW到RT的访问。

访问正常，跟直连的效果是一样的。

在创建一个VSI虚接口，并配置IP地址，就和交换机的VLAN虚接口一样了。

#

vsi sdwan

 gateway vsi-interface 10

#

interface Vsi-interface10

 ip address 10.1.1.3 255.255.255.0

测试一下访问GW和RT。

测试正常，然后把其他的配置都配置上就可以了。

#

ip route-static 0.0.0.0 0 10.1.1.1

ip route-static 10.10.10.10 32 10.1.1.1

ip route-static 192.168.1.0 24 10.1.1.2

#

acl advanced 3400

 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.10 0

#

ike keychain SDWAN

 pre-shared-key address 40.1.1.2 key simple QWE123

#

ike profile SDWAN

 keychain SDWAN

 exchange-mode aggressive

 local-identity fqdn SDWAN

 match remote identity address 40.1.1.2 255.255.255.255

#

ipsec transform-set SDWAN

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm sha1

#

ipsec policy SDWAN 10 isakmp

 transform-set SDWAN

 security acl 3400

 remote-address 40.1.1.2

 ike-profile SDWAN

#

interface Vsi-interface10

 ip address 10.1.1.3 255.255.255.0

 ipsec apply policy SDWAN

其他设备无需调整，直接上配置。

GW

#

interface GigabitEthernet0/0

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 ip address 10.1.1.2 255.255.255.0

#

ip route-static 0.0.0.0 0 10.1.1.1

ip route-static 10.10.10.10 32 10.1.1.3

ISP

#

interface GigabitEthernet0/0

 ip address 20.1.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 ip address 30.1.1.1 255.255.255.0

#

interface GigabitEthernet0/2

 ip address 40.1.1.1 255.255.255.0

RT

#

interface GigabitEthernet0/0

 ip address 10.1.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 ip address 20.1.1.2 255.255.255.0

 nat outbound

#

ip route-static 0.0.0.0 0 20.1.1.1

ip route-static 192.168.1.0 24 10.1.1.2

POP

#

interface LoopBack0

 ip address 10.10.10.10 255.255.255.255

#

interface GigabitEthernet0/0

 ip address 40.1.1.2 255.255.255.0

 ipsec apply policy SDWAN

#

ip route-static 0.0.0.0 0 40.1.1.1

#

ike keychain SDWAN

 pre-shared-key hostname SDWAN key simple QWE123

#

ike profile SDWAN

 keychain SDWAN

 exchange-mode aggressive

 local-identity address 40.1.1.2

 match remote identity fqdn SDWAN

#

ipsec transform-set SDWAN

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm sha1

#

ipsec policy-template SDWAN 1

 transform-set SDWAN

 local-address 40.1.1.2

 ike-profile SDWAN

#

ipsec policy SDWAN 1 isakmp template SDWAN

H3C

#

interface GigabitEthernet0/0

 ip address 30.1.1.2 255.255.255.0

#

ip route-static 0.0.0.0 0 30.1.1.1

验证配置

我们直接触发一下PC到POP模拟业务地址10.10.10.10的访问。

可以看到，和往常一样，首包因为触发隧道建立而丢失，后续报文转发正常。TTL值为253，说明经过了3跳，分别是192.168.1.1（网关设备GW）、10.1.1.3（SD-WAN设备）、40.1.1.2（POP设备，拥有IP地址10.10.10.10）。

查看ike sa信息。

查看ipsec sa信息。

最后看一下PC同时访问内外网业务（内网：10.10.10.10，外网H3C：30.1.1.2）。

怎么样，依旧很简单，不是吗？