SD-WAN
集团多分支节点智能化组网
发布时间:2022-09-20 13:00:09 作者:衡水铁头哥阅读:0
前面介绍了这样一种SD-WAN接入方案(如何将传统网络改造成SD-WAN?):图中POP为某厂商SD-WAN方案用户接入点设备,分支侧通过接入CPE设备进行互通。为不改变现有网络结构,将CPE设备旁挂在分支的出口设备上,需要能够同时访问到内网和互联网即可,由CPE设备和POP设备建立隧道,进而实现内网互通。
一定程度上讲,这种方案已经比较不错了,不引入新的网段,也不改变原有网络结构,只需要一个接口、一个IP地址就能实现两个站点的互访。但是有客户还不满意,比如说网络中没有多余的接口了,想直接串在网络里面,那能不能实现呢?
存在即有其合理性,怎么会不行呢?看下面这张组网图:
本次,我们使用交换机来进行模拟配置,将原本出口设备RT和用户网关设备GW之间的连线断开,分别接入到交换设备SD-WAN的两端。为SD-WAN设备分配一个同网段的地址10.1.1.3/24,网关指向RT,同时向POP设备建立隧道,模拟访问10.10.10.10/32这个业务地址。
接下来要做的配置就是配置SD-WAN设备到POP设备的隧道,并在GW上新增一条去往10.10.10.10/32的路由,下一跳指向10.1.1.3/24就行了。
是不是很简单?直接上配置。
GW
#
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/1
ip address 10.1.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0 10.1.1.1
ip route-static 10.10.10.10 32 10.1.1.3
SD-WAN
#
vlan 1
#
interface Vlan-interface1
ip address 10.1.1.3 255.255.255.0
ipsec apply policy SDWAN
#
ip route-static 0.0.0.0 0 10.1.1.1
ip route-static 10.10.10.10 32 10.1.1.1
ip route-static 192.168.1.0 24 10.1.1.2
#
acl advanced 3400
rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.10 0
#
ike keychain SDWAN
pre-shared-key address 40.1.1.2 key simple QWE123
#
ike profile SDWAN
keychain SDWAN
exchange-mode aggressive
local-identity fqdn SDWAN
match remote identity address 40.1.1.2 255.255.255.255
#
ipsec transform-set SDWAN
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
#
ipsec policy SDWAN 10 isakmp
transform-set SDWAN
security acl 3400
remote-address 40.1.1.2
ike-profile SDWAN
ISP
#
interface GigabitEthernet0/0
ip address 20.1.1.1 255.255.255.0
#
interface GigabitEthernet0/1
ip address 30.1.1.1 255.255.255.0
#
interface GigabitEthernet0/2
ip address 40.1.1.1 255.255.255.0
RT
#
interface GigabitEthernet0/0
ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/1
ip address 20.1.1.2 255.255.255.0
nat outbound
#
ip route-static 0.0.0.0 0 20.1.1.1
ip route-static 192.168.1.0 24 10.1.1.2
POP
#
interface LoopBack0
ip address 10.10.10.10 255.255.255.255
#
interface GigabitEthernet0/0
ip address 40.1.1.2 255.255.255.0
ipsec apply policy SDWAN
#
ip route-static 0.0.0.0 0 40.1.1.1
#
ike keychain SDWAN
pre-shared-key hostname SDWAN key simple QWE123
#
ike profile SDWAN
keychain SDWAN
exchange-mode aggressive
local-identity address 40.1.1.2
match remote identity fqdn SDWAN
#
ipsec transform-set SDWAN
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
#
ipsec policy-template SDWAN 1
transform-set SDWAN
local-address 40.1.1.2
ike-profile SDWAN
#
ipsec policy SDWAN 1 isakmp template SDWAN
H3C
#
interface GigabitEthernet0/0
ip address 30.1.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0 30.1.1.1
我们首先检查PC到H3C和POP的可达性。
通信全部正常。接下来我们触发一下PC到POP模拟业务地址10.10.10.10的访问。
可以看到,和往常一样,首包因为触发隧道建立而丢失,后续报文转发正常。TTL值为253,说明经过了3跳,分别是192.168.1.1(网关设备GW)、10.1.1.3(SD-WAN设备)、40.1.1.2(POP设备,拥有IP地址10.10.10.10)。
查看ike sa信息。
查看ipsec sa信息。
最后看一下PC同时访问内外网业务(内网:10.10.10.10,外网H3C:30.1.1.2)。
这不就成了吗?多简单。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
标题:SD-WAN设备的串接透明部署怎么实现?
TAG标签:SD-WAN
地址:https://www.kd010.com/hyzs/1339.html
全天服务支持
资源覆盖全球
专属优质服务
技术全线支持