共计 3124 个字符,预计需要花费 8 分钟才能阅读完成。
作者:天翼云 蒋露
假如有这样一张网络,其中 RTA 和 PCA 示意某公司的 A 分支,通过中国电信 CT 路由器接入互联网 ISP;RTB 和 PCB 示意某公司的 B 分支,通过中国联通 CU 路由器接入互联网 ISP。DNS(8.8.8.8)示意某互联网利用。
为实现 A 分支私网 192.168.2.0/24 和 B 分支私网 192.168.3.0/24 的互通,现打算应用某厂商的 SD-WAN 计划进买通两个内网,像下图这样简略变更一下网络。图中 POP 为某厂商 SD-WAN 计划用户接入点设施,分支侧通过接入 CPE 设施进行互通。为不扭转现有网络结构,将 CPE 设施旁挂在分支的进口设施上,须要可能同时拜访到内网和互联网即可,由 CPE 设施和 POP 设施建设隧道,进而实现内网互通。
这种架构的 SD-WAN 计划是目前实现比较简单的计划,对设施整体要求不高,只有反对 IPsec 即可,所以本案例次要也是通过 IPsec 来实现的。而且分支机构不须要具备公网 IP 地址,只有能拜访互联网即可。
接下来就简略了,能够说是单纯的 IPsec 的配置。
POP
创立 IKE keychain,并配置与两个 CPE 应用的预共享密钥为明文的 qwe123。
ike keychain key1
pre-shared-key hostname cpe1 key simple qwe123
pre-shared-key hostname cpe2 key simple qwe123
创立 IKE profile,指定密钥为 key1,配置 IKE 第一阶段协商应用横蛮模式。指定应用 IP 地址(24.1.1.4)标识本端身份,指定须要匹配对端身份类型为名称 cpe1 和 cpe2。
ike profile pro1
keychain key1
exchange-mode aggressive
local-identity address 24.1.1.4
match remote identity fqdn cpe1
match remote identity fqdn cpe2
创立 IPsec 平安提议,ESP 加密算法为 aes-cbc-128,ESP 认证算法为 sha1。
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
配置 IPsec 平安框架,通过 IKE 协商建设平安联盟。
ipsec profile sdwan isakmp
transform-set tran1
ike-profile pro1
创立模式为 psec-p2mp 的隧道接口 Tunnel1,配置 WAN 口地址为接口的源端地址,并配置 Tunnel1 接口的 IP 地址。最初在 IPsec 隧道接口上利用 IPsec 平安框架 sdwan。
interface Tunnel1 mode ipsec-p2mp
ip address 11.1.1.1 255.255.255.0
source 24.1.1.4
tunnel protection ipsec profile sdwan
增加 A 分支到 B 分支的动态路由。
ip route-static 192.168.2.0 24 Tunnel1 11.1.1.2
ip route-static 192.168.3.0 24 Tunnel1 11.1.1.3
CPE1
创立 IKE keychain,并配置与 POP(地址为 24.1.1.4)的对端应用的预共享密钥为明文的 qwe123。
ike keychain key1
pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123
创立 IKE profile,指定密钥为 key1,配置 IKE 第一阶段协商应用横蛮模式,指定应用名称 cpe1 标识本端身份。指定须要匹配对端身份类型为 IP 地址,取值为 24.1.1.4。
ike profile pro1
keychain key1
exchange-mode aggressive
local-identity fqdn cpe1
match remote identity address 24.1.1.4 255.255.255.0
创立 IPsec 平安提议,ESP 加密算法为 aes-cbc-128,ESP 认证算法为 sha1。
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
配置 IPsec 平安框架,通过 IKE 协商建设平安联盟。
ipsec profile sdwan isakmp
transform-set tran1
ike-profile pro1
创立模式为 IPsec 的隧道接口 Tunnel1,配置 WAN 口地址为接口的源端地址,配置 POP 地址为接口的目标端地址,并配置 Tunnel1 接口的 IP 地址。最初在 IPsec 隧道接口上利用 IPsec 平安框架 sdwan。
interface Tunnel1 mode ipsec
ip address 11.1.1.2 255.255.255.0
source GigabitEthernet2/0
destination 24.1.1.4
tunnel protection ipsec profile sdwan
配置 A 分支到 B 分支的动态路由。
ip route-static 192.168.3.0 24 Tunnel1
ip route-static 4.4.4.0 24 Tunnel1
CPE2
配置同 CPE1,不再赘述,间接上配置。
ike keychain key1
pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123
ike profile pro1
keychain key1
exchange-mode aggressive
local-identity fqdn cpe2
match remote identity address 24.1.1.4 255.255.255.0
ipsec transform-set tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
ipsec profile sdwan isakmp
transform-set tran1
ike-profile pro1
interface Tunnel1 mode ipsec
ip address 22.1.1.2 255.255.255.0
source GigabitEthernet2/0
destination 24.1.1.4
tunnel protection ipsec profile sdwan
ip route-static 192.168.2.0 24 Tunnel1
ip route-static 4.4.4.0 24 Tunnel1
接下来只有在路由器 RTA 和 RTB 上将去往对端私网流量的下一跳指向 CPE 就能够了。
RTA
ip route-static 192.168.3.0 24 192.168.2.10
RTB
ip route-static 192.168.2.0 24 192.168.3.10
验证配置
从 PCA 上测试拜访 PCB 的状况。
能够看到,拜访失常,并且通过 tracert 查看转发门路,流量是先到网关,再到 CPE1,再到 POP,再到 CPE2,最初达到指标主机 PCB。
而且,此时是不影响拜访互联网的,在私网互通的同时能够失常拜访模仿的公网业务。
查看隧道接口状态。
查看以后 IKE SA 的信息。
查看以后 IPsec SA 的信息。
能够看到 POP 上隧道对端的地址是分支的进口公网 IP 地址,而流量是全 0 的,也就是说,任何流量转发过去都会封装 IPsec,这就是 IPsec 隧道的魅力所在。
如果要减少流量,只须要两端内网对应的减少路由就能够了。
