天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、cdn、云电脑、大数据及ai等全线产品和场景化凯发app官方网站的解决方案。
- ·
- ·
- ·
- ·
- ·
- ·
- ·
- ·
- ·
- ·
分类: 网络与安全
2022-05-26 17:01:22
假设有这样一张网络,其中rta和pca表示某公司的a分支,通过中国电信ct路由器接入互联网isp;rtb和pcb表示某公司的b分支,通过中国联通cu路由器接入互联网isp。dns(8.8.8.8)表示某互联网应用。
为实现a分支私网192.168.2.0/24和b分支私网192.168.3.0/24的互通,现计划使用某厂商的sd-wan方案进打通两个内网,像下图这样简单变更一下网络。图中pop为某厂商sd-wan方案用户接入点设备,分支侧通过接入cpe设备进行互通。为不改变现有网络结构,将cpe设备旁挂在分支的出口设备上,需要能够同时访问到内网和互联网即可,由cpe设备和pop设备建立隧道,进而实现内网互通。
这种架构的sd-wan方案是目前实现比较简单的方案,对设备整体要求不高,只要支持ipsec即可,所以本案例主要也是通过ipsec来实现的。而且分支机构不需要具备公网ip地址,只要能访问互联网即可。
接下来就简单了,可以说是单纯的ipsec的配置。
pop
创建ike keychain,并配置与两个cpe使用的预共享密钥为明文的qwe123。
#
ike keychain key1
pre-shared-key hostname cpe1 key simple qwe123
pre-shared-key hostname cpe2 key simple qwe123
创建ike profile,指定密钥为key1,配置ike第一阶段协商使用野蛮模式。指定使用ip地址(24.1.1.4)标识本端身份,指定需要匹配对端身份类型为名称cpe1和cpe2。
#
ike profile pro1
keychain key1
exchange-mode aggressive
local-identity address 24.1.1.4
match remote identity fqdn cpe1
match remote identity fqdn cpe2
创建ipsec安全提议,esp加密算法为aes-cbc-128,esp认证算法为sha1。
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
配置ipsec安全框架,通过ike协商建立安全联盟。
#
ipsec profile sdwan isakmp
transform-set tran1
ike-profile pro1
创建模式为psec-p2mp的隧道接口tunnel1,配置wan口地址为接口的源端地址,并配置tunnel1接口的ip地址。最后在ipsec隧道接口上应用ipsec安全框架sdwan。
#
interface tunnel1 mode ipsec-p2mp
ip address 11.1.1.1 255.255.255.0
source 24.1.1.4
tunnel protection ipsec profile sdwan
添加a分支到b分支的静态路由。
#
ip route-static 192.168.2.0 24 tunnel1 11.1.1.2
ip route-static 192.168.3.0 24 tunnel1 11.1.1.3
cpe1
创建ike keychain,并配置与pop(地址为24.1.1.4)的对端使用的预共享密钥为明文的qwe123。
#
ike keychain key1
pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123
创建ike profile,指定密钥为key1,配置ike第一阶段协商使用野蛮模式,指定使用名称cpe1标识本端身份。指定需要匹配对端身份类型为ip地址,取值为24.1.1.4。
#
ike profile pro1
keychain key1
exchange-mode aggressive
local-identity fqdn cpe1
match remote identity address 24.1.1.4 255.255.255.0
创建ipsec安全提议,esp加密算法为aes-cbc-128,esp认证算法为sha1。
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
配置ipsec安全框架,通过ike协商建立安全联盟。
#
ipsec profile sdwan isakmp
transform-set tran1
ike-profile pro1
创建模式为ipsec的隧道接口tunnel1,配置wan口地址为接口的源端地址,配置pop地址为接口的目的端地址,并配置tunnel1接口的ip地址。最后在ipsec隧道接口上应用ipsec安全框架sdwan。
#
interface tunnel1 mode ipsec
ip address 11.1.1.2 255.255.255.0
source gigabitethernet2/0
destination 24.1.1.4
tunnel protection ipsec profile sdwan
配置a分支到b分支的静态路由。
#
ip route-static 192.168.3.0 24 tunnel1
ip route-static 4.4.4.0 24 tunnel1
cpe2
配置同cpe1,不再赘述,直接上配置。
#
ike keychain key1
pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123
#
ike profile pro1
keychain key1
exchange-mode aggressive
local-identity fqdn cpe2
match remote identity address 24.1.1.4 255.255.255.0
#
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipsec profile sdwan isakmp
transform-set tran1
ike-profile pro1
#
interface tunnel1 mode ipsec
ip address 22.1.1.2 255.255.255.0
source gigabitethernet2/0
destination 24.1.1.4
tunnel protection ipsec profile sdwan
#
ip route-static 192.168.2.0 24 tunnel1
ip route-static 4.4.4.0 24 tunnel1
接下来只要在路由器rta和rtb上将去往对端私网流量的下一跳指向cpe就可以了。
rta
#
ip route-static 192.168.3.0 24 192.168.2.10
rtb
#
ip route-static 192.168.2.0 24 192.168.3.10
验证配置
从pca上测试访问pcb的情况。
可以看到,访问正常,并且通过tracert查看转发路径,流量是先到网关,再到cpe1,再到pop,再到cpe2,最后到达目标主机pcb。
而且,此时是不影响访问互联网的,在私网互通的同时可以正常访问模拟的公网业务。
查看隧道接口状态。
查看当前ike sa的信息。
查看当前ipsec sa的信息。
可以看到pop上隧道对端的地址是分支的出口公网ip地址,而流量是全0的,也就是说,任何流量转发过来都会封装ipsec,这就是ipsec隧道的魅力所在。
如果要增加流量,只需要两端内网对应的增加路由就可以了。
sd-wan:https://www.ctyun.cn/products/sd-wan
上一篇:
下一篇: