SD-WAN设备的串接透明部署怎么实现?

发布时间:2022-09-20 13:00:09 作者:衡水铁头哥阅读:0

[导读]:前面介绍了这样一种SD-WAN接入方案(如何将传统网络改造成SD-WAN?):图中POP为某厂商SD-WAN方案用户接入点设备,分支侧通过接入CPE设备进行互通。为不改变现有网络结构,将CPE设备旁挂...

前面介绍了这样一种SD-WAN接入方案(如何将传统网络改造成SD-WAN?):图中POP为某厂商SD-WAN方案用户接入点设备,分支侧通过接入CPE设备进行互通。为不改变现有网络结构,将CPE设备旁挂在分支的出口设备上,需要能够同时访问到内网和互联网即可,由CPE设备和POP设备建立隧道,进而实现内网互通。

SD-WAN设备的串接透明部署怎么实现?

一定程度上讲,这种方案已经比较不错了,不引入新的网段,也不改变原有网络结构,只需要一个接口、一个IP地址就能实现两个站点的互访。但是有客户还不满意,比如说网络中没有多余的接口了,想直接串在网络里面,那能不能实现呢?

存在即有其合理性,怎么会不行呢?看下面这张组网图:

SD-WAN设备的串接透明部署怎么实现?

本次,我们使用交换机来进行模拟配置,将原本出口设备RT和用户网关设备GW之间的连线断开,分别接入到交换设备SD-WAN的两端。为SD-WAN设备分配一个同网段的地址10.1.1.3/24,网关指向RT,同时向POP设备建立隧道,模拟访问10.10.10.10/32这个业务地址。

接下来要做的配置就是配置SD-WAN设备到POP设备的隧道,并在GW上新增一条去往10.10.10.10/32的路由,下一跳指向10.1.1.3/24就行了。

是不是很简单?直接上配置。


GW

#

interface GigabitEthernet0/0

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 ip address 10.1.1.2 255.255.255.0

#

ip route-static 0.0.0.0 0 10.1.1.1

ip route-static 10.10.10.10 32 10.1.1.3

SD-WAN

#

vlan 1

#

interface Vlan-interface1

 ip address 10.1.1.3 255.255.255.0

 ipsec apply policy SDWAN

#

ip route-static 0.0.0.0 0 10.1.1.1

ip route-static 10.10.10.10 32 10.1.1.1

ip route-static 192.168.1.0 24 10.1.1.2

#

acl advanced 3400

 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.10 0

#

ike keychain SDWAN

 pre-shared-key address 40.1.1.2 key simple QWE123

#

ike profile SDWAN

 keychain SDWAN

 exchange-mode aggressive

 local-identity fqdn SDWAN

 match remote identity address 40.1.1.2 255.255.255.255

#

ipsec transform-set SDWAN

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm sha1

#

ipsec policy SDWAN 10 isakmp

 transform-set SDWAN

 security acl 3400

 remote-address 40.1.1.2

 ike-profile SDWAN

ISP

#

interface GigabitEthernet0/0

 ip address 20.1.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 ip address 30.1.1.1 255.255.255.0

#

interface GigabitEthernet0/2

 ip address 40.1.1.1 255.255.255.0

RT

#

interface GigabitEthernet0/0

 ip address 10.1.1.1 255.255.255.0

#

interface GigabitEthernet0/1

 ip address 20.1.1.2 255.255.255.0

 nat outbound

#

ip route-static 0.0.0.0 0 20.1.1.1

ip route-static 192.168.1.0 24 10.1.1.2

POP

#

interface LoopBack0

 ip address 10.10.10.10 255.255.255.255

#

interface GigabitEthernet0/0

 ip address 40.1.1.2 255.255.255.0

 ipsec apply policy SDWAN

#

ip route-static 0.0.0.0 0 40.1.1.1

#

ike keychain SDWAN

 pre-shared-key hostname SDWAN key simple QWE123

#

ike profile SDWAN

 keychain SDWAN

 exchange-mode aggressive

 local-identity address 40.1.1.2

 match remote identity fqdn SDWAN

#

ipsec transform-set SDWAN

 esp encryption-algorithm 3des-cbc

 esp authentication-algorithm sha1

#

ipsec policy-template SDWAN 1

 transform-set SDWAN

 local-address 40.1.1.2

 ike-profile SDWAN

#

ipsec policy SDWAN 1 isakmp template SDWAN

H3C

#

interface GigabitEthernet0/0

 ip address 30.1.1.2 255.255.255.0

#

ip route-static 0.0.0.0 0 30.1.1.1

验证配置

我们首先检查PC到H3C和POP的可达性。

SD-WAN设备的串接透明部署怎么实现?

通信全部正常。接下来我们触发一下PC到POP模拟业务地址10.10.10.10的访问。

SD-WAN设备的串接透明部署怎么实现?

可以看到,和往常一样,首包因为触发隧道建立而丢失,后续报文转发正常。TTL值为253,说明经过了3跳,分别是192.168.1.1(网关设备GW)、10.1.1.3(SD-WAN设备)、40.1.1.2(POP设备,拥有IP地址10.10.10.10)。

查看ike sa信息。

SD-WAN设备的串接透明部署怎么实现?

查看ipsec sa信息。

SD-WAN设备的串接透明部署怎么实现?

最后看一下PC同时访问内外网业务(内网:10.10.10.10,外网H3C:30.1.1.2)。

SD-WAN设备的串接透明部署怎么实现?

这不就成了吗?多简单。

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

标题:SD-WAN设备的串接透明部署怎么实现?

TAG标签:SD-WAN

地址:https://www.kd010.com/hyzs/1339.html

Vecloud致力于为企业全球化发展提供综合网络方案

开启合作

7x24小时
7x24小时

全天服务支持

全球可达
全球可达

资源覆盖全球

在线服务
1v1在线服务

专属优质服务

安全保障
安全保障

技术全线支持

返回顶部