如何用SD-WAN路由器实现串接透明部署?

发布时间:2022-09-21 13:00:02 作者:衡水铁头哥阅读:0

[导读]:上次介绍了用交换机做SD-WAN的解决方案(SD-WAN设备的串接透明部署怎么实现?),基本能够满足用户需求。但是,一定程度上讲,交换机的功能比较单一,不好扩展其他SD-WAN功能,仅能实现简单的组网...

上次介绍了用交换机做SD-WAN的解决方案(SD-WAN设备的串接透明部署怎么实现?),基本能够满足用户需求。但是,一定程度上讲,交换机的功能比较单一,不好扩展其他SD-WAN功能,仅能实现简单的组网功能。那我们能把交换机替换为其他设备吗?

理论上是可以的,不过H3C V7的路由器MSR3620的路由接口不能切换为桥接口,但是防火墙F1060可以啊,所以用防火墙F1060来替换交换机也是一种比较不错的选择。配置比较简单,只要把接口切换为桥接口就行了,再加上放通安全策略,其他的配置几乎完全一致。

既然防火墙这么没有挑战,我就不想介绍了。反之,我偏要介绍一下用路由器怎么实现。

前面介绍到,使用交换机进行配置时,无需占用额外的接口,只需要将SD-WAN设备串接在网络之间,并分配一个同网段地址就行了。组网图如下所示(图示接口和网段,具体地址请查看配置信息):

如何用SD-WAN路由器实现串接透明部署?

跟上次相比,SD-WAN设备已经由交换机切换为路由器了,并连接到出口设备RT和用户网关设备GW。为SD-WAN设备分配一个同网段的地址10.1.1.3/24,网关指向RT,同时向POP设备建立隧道,模拟访问10.10.10.10/32这个业务地址;并添加去往私网的路由。

虽然路由器接口不支持二层特性,那有什么可以替代的吗?

要不我们试试VXLAN?

很简单,只要配置三层路由接口绑定到同一个VSI(Virtual Switch Instance,虚拟交换实例)就可以了。

#

l2vpn enable

#

vsi SDWAN

#

interface GigabitEthernet0/0

 xconnect vsi sdwan

#

interface GigabitEthernet0/1

 xconnect vsi sdwan

配置完成之后,简单测试一下GW到RT的访问。

如何用SD-WAN路由器实现串接透明部署?

访问正常,跟直连的效果是一样的。

在创建一个VSI虚接口,并配置IP地址,就和交换机的VLAN虚接口一样了。

#

vsi sdwan

 gateway vsi-interface 10

#

interface Vsi-interface10

 ip address 10.1.1.3 255.255.255.0

测试一下访问GW和RT。

如何用SD-WAN路由器实现串接透明部署?

测试正常,然后把其他的配置都配置上就可以了。

#

ip route-static 0.0.0.0 0 10.1.1.1

ip route-static 10.10.10.10 32 10.1.1.1

ip route-static 192.168.1.0 24 10.1.1.2

#

acl advanced 3400

 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.10 0

#

ike keychain SDWAN

 pre-shared-key address 40.1.1.2 key simple QWE123

#

ike profile SDWAN

 keychain SDWAN

 exchange-mode aggressive

 local-identity fqdn SDWAN

 match remote identity address 40.1.1.2 255.255.255.255

#

ipsec transform-set SDWAN

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm sha1

#

ipsec policy SDWAN 10 isakmp

 transform-set SDWAN

 security acl 3400

 remote-address 40.1.1.2

 ike-profile SDWAN

#

interface Vsi-interface10

 ip address 10.1.1.3 255.255.255.0

 ipsec apply policy SDWAN

其他设备无需调整,直接上配置。

GW

#

interface GigabitEthernet0/0

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 ip address 10.1.1.2 255.255.255.0

#

ip route-static 0.0.0.0 0 10.1.1.1

ip route-static 10.10.10.10 32 10.1.1.3

ISP

#

interface GigabitEthernet0/0

 ip address 20.1.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 ip address 30.1.1.1 255.255.255.0

#

interface GigabitEthernet0/2

 ip address 40.1.1.1 255.255.255.0

RT

#

interface GigabitEthernet0/0

 ip address 10.1.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 ip address 20.1.1.2 255.255.255.0

 nat outbound

#

ip route-static 0.0.0.0 0 20.1.1.1

ip route-static 192.168.1.0 24 10.1.1.2

POP

#

interface LoopBack0

 ip address 10.10.10.10 255.255.255.255

#

interface GigabitEthernet0/0

 ip address 40.1.1.2 255.255.255.0

 ipsec apply policy SDWAN

#

ip route-static 0.0.0.0 0 40.1.1.1

#

ike keychain SDWAN

 pre-shared-key hostname SDWAN key simple QWE123

#

ike profile SDWAN

 keychain SDWAN

 exchange-mode aggressive

 local-identity address 40.1.1.2

 match remote identity fqdn SDWAN

#

ipsec transform-set SDWAN

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm sha1

#

ipsec policy-template SDWAN 1

 transform-set SDWAN

 local-address 40.1.1.2

 ike-profile SDWAN

#

ipsec policy SDWAN 1 isakmp template SDWAN

H3C

#

interface GigabitEthernet0/0

 ip address 30.1.1.2 255.255.255.0

#

ip route-static 0.0.0.0 0 30.1.1.1

验证配置

我们直接触发一下PC到POP模拟业务地址10.10.10.10的访问。


如何用SD-WAN路由器实现串接透明部署?

可以看到,和往常一样,首包因为触发隧道建立而丢失,后续报文转发正常。TTL值为253,说明经过了3跳,分别是192.168.1.1(网关设备GW)、10.1.1.3(SD-WAN设备)、40.1.1.2(POP设备,拥有IP地址10.10.10.10)。

查看ike sa信息。

如何用SD-WAN路由器实现串接透明部署?

查看ipsec sa信息。

如何用SD-WAN路由器实现串接透明部署?

最后看一下PC同时访问内外网业务(内网:10.10.10.10,外网H3C:30.1.1.2)。

如何用SD-WAN路由器实现串接透明部署?

怎么样,依旧很简单,不是吗?

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:sales@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

标题:如何用SD-WAN路由器实现串接透明部署?

TAG标签:SD-WAN

地址:http://www.kd010.com/hyzs/1341.html

上一篇:加速云网融合 Aruba宣布将SD-WAN服务扩展至阿里云
下一篇:中国电信国际新加坡TAI SENG数据中心

Vecloud云网络解决方案

点击获取方案