我们前面大概介绍了这样一种SD-WAN接入方案(以某厂商方案为例,讲一下如何手工配置传统网络到SD-WAN网络的改造实施):图中POP为某厂商SD-WAN方案用户接入点设备,分支侧通过接入CPE设备进行互通。为不改变现有网络结构,将CPE设备旁挂在分支的出口设备上,需要能够同时访问到内网和互联网即可,由CPE设备和POP设备建立隧道,进而实现内网互通。
一定程度上讲,这种方案已经比较不错了,不引入新的网段,也不改变原有网络结构,只需要一个接口、一个IP地址就能实现两个站点的互访。但是有客户还不满意,比如说网络中没有多余的接口了,想直接串在网络里面,那能不能实现呢?
存在即有其合理性,怎么会不行呢?看下面这张组网图:
本次,我们使用交换机来进行模拟配置,将原本出口设备RT和用户网关设备GW之间的连线断开,分别接入到交换设备SD-WAN的两端。为SD-WAN设备分配一个同网段的地址10.1.1.3/24,网关指向RT,同时向POP设备建立隧道,模拟访问10.10.10.10/32这个业务地址。
接下来要做的配置就是配置SD-WAN设备到POP设备的隧道,并在GW上新增一条去往10.10.10.10/32的路由,下一跳指向10.1.1.3/24就行了。
是不是很简单?直接上配置。
GW
#
interface GigabitEthernet0/0
ip address 192.168.1.1255.255.255.0
#
interface GigabitEthernet0/1
ip address 10.1.1.2255.255.255.0
#
ip route-static 0.0.0.0010.1.1.1
ip route-static 10.10.10.103210.1.1.3
SD-WAN
#
vlan 1
#
interfaceVlan-interface1
ipaddress 10.1.1.3 255.255.255.0
ipsecapplypolicySDWAN
#
iproute-static 0.0.0.0 0 10.1.1.1
iproute-static 10.10.10.10 32 10.1.1.1
iproute-static 192.168.1.0 24 10.1.1.2
#
acladvanced 3400
rule 0 permitipsource 192.168.1.0 0.0.0.255destination 10.10.10.10 0
#
ikekeychainSDWAN
pre-shared-keyaddress 40.1.1.2keysimpleQWE123
#
ikeprofileSDWAN
keychainSDWAN
exchange-modeaggressive
local-identityfqdnSDWAN
matchremoteidentityaddress 40.1.1.2 255.255.255.255
#
ipsectransform-setSDWAN
espencryption-algorithm 3des-cbc
espauthentication-algorithmsha1
#
ipsecpolicySDWAN 10 isakmp
transform-set SDWAN
securityacl 3400
remote-address 40.1.1.2
ike-profileSDWAN
ISP
#
interface GigabitEthernet0/0
ip address 20.1.1.1255.255.255.0
#
interface GigabitEthernet0/1
ip address 30.1.1.1255.255.255.0
#
interface GigabitEthernet0/2
ip address 40.1.1.1255.255.255.0
RT
#
interface GigabitEthernet0/0
ip address 10.1.1.1255.255.255.0
#
interface GigabitEthernet0/1
ip address 20.1.1.2255.255.255.0
nat outbound
#
ip route-static 0.0.0.0020.1.1.1
ip route-static 192.168.1.02410.1.1.2
POP
#
interfaceLoopBack0
ipaddress 10.10.10.10 255.255.255.255
#
interfaceGigabitEthernet0/0
ipaddress 40.1.1.2 255.255.255.0
ipsecapply policy SDWAN
#
iproute-static 0.0.0.0 0 40.1.1.1
#
ikekeychain SDWAN
pre-shared-keyhostname SDWAN key simple QWE123
#
ikeprofile SDWAN
keychainSDWAN
exchange-modeaggressive
local-identityaddress 40.1.1.2
matchremote identity fqdn SDWAN
#
ipsectransform-set SDWAN
espencryption-algorithm 3des-cbc
espauthentication-algorithm sha1
#
ipsecpolicy-template SDWAN 1
transform-setSDWAN
local-address40.1.1.2
ike-profileSDWAN
#
ipsecpolicy SDWAN 1 isakmp template SDWAN
H3C
#
interface GigabitEthernet0/0
ip address 30.1.1.2255.255.255.0
#
ip route-static 0.0.0.0030.1.1.1
验证配置
我们首先检查PC到H3C和POP的可达性。
通信全部正常。接下来我们触发一下PC到POP模拟业务地址10.10.10.10的访问。
可以看到,和往常一样,首包因为触发隧道建立而丢失,后续报文转发正常。TTL值为253,说明经过了3跳,分别是192.168.1.1(网关设备GW)、10.1.1.3(SD-WAN设备)、40.1.1.2(POP设备,拥有IP地址10.10.10.10)。
查看ike sa信息。
查看ipsec sa信息。
最后看一下PC同时访问内外网业务(内网:10.10.10.10,外网H3C:30.1.1.2)。
这不就成了吗?多简单。
声明:来自铁军哥,仅代表创作者观点。链接:https://eyangzhen.com/3306.html
