【华三】ADVPN的Full-Mesh组网实验

最新推荐文章于 2024-11-06 22:31:51 发布
最新推荐文章于 2024-11-06 22:31:51 发布
阅读量1.5k 收藏 6
点赞数 60
分类专栏: # 新华三 文章标签: 华三 ADVPN VPN 网络 数通
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_77161465/article/details/142719250
版权

【华三】ADVPN的Full-Mesh组网实验

在这里插入图片描述

基础内容可以查看本篇文章:【华三】ADVPN概述和组成

实验需求

根据拓扑结构和地址规划表,完成Hub和Spoke之间的ADVPN建立。
在这里插入图片描述
在这里插入图片描述

配置

拓扑

在这里插入图片描述

ISP

基础配置

[H3C]sysname ISP

[ISP]int g1/0
[ISP-GigabitEthernet1/0]ip address 202.101.100.254 24
[ISP-GigabitEthernet1/0]quit

[ISP]int g2/0
[ISP-GigabitEthernet2/0]ip address 202.101.10.1 30
[ISP-GigabitEthernet2/0]quit

[ISP]int g3/0
[ISP-GigabitEthernet3/0]ip address 202.101.20.1 30
[ISP-GigabitEthernet3/0]quit

[ISP]int g4/0
[ISP-GigabitEthernet4/0]ip address 202.101.30.1 30
[ISP-GigabitEthernet4/0]quit

VAM Server

基础配置

[H3C]sysname VAM_Server

[VAM_Server]int g1/0
[VAM_Server-GigabitEthernet1/0]ip address 202.101.100.100 24
[VAM_Server-GigabitEthernet1/0]quit

[VAM_Server]ip route-static 0.0.0.0 0 202.101.100.254

AAA设置

# i配置RADIUS方案 advpn
[VAM_Server]radius scheme advpn
[VAM_Server-radius-advpn]primary authentication 202.101.100.110 # 指定AAA服务器地址
[VAM_Server-radius-advpn]primary accounting 202.101.100.110     # AAA认证审计地址
[VAM_Server-radius-advpn]key authentication simple 123456       # AAA:客户端和服务器 认证密钥
[VAM_Server-radius-advpn]key accounting simple 123456		  	# AAA:客户端和服务器 审计密钥
[VAM_Server-radius-advpn]user-name-format without-domain 		# AAA认证域:用户认证时不用携带域名
[VAM_Server-radius-advpn]quit

# AAA认证激活
[VAM_Server]radius session-control enable 

# i配置ISP域的AAA方案‘advpn’
# i目的是调用前面的RADIUS方案‘advpn’
[VAM_Server]domain advpn
[VAM_Server-isp-advpn] authentication advpn radius-scheme advpn
[VAM_Server-isp-advpn] accounting advpn radius-scheme advpn
[VAM_Server-isp-advpn] quit

# i启用AAA方案‘advpn’
[VAM_Server]domain default enable advpn

指定谁是Hub、Spoke

# i创建ADVPN 的VAM 域‘advpn’‘1
[VAM_Server]vam server advpn-domain advpn id 1
[VAM_Server-vam-server-domain-advpn]hub-group 1    								  # 创建Hub组“1[VAM_Server-vam-server-domain-advpn-hub-group-1]hub private-address 10.255.1.1	  # 指定hub的私网地址
[VAM_Server-vam-server-domain-advpn-hub-group-1]spoke private-address network 10  # 指定spoke的私网地址范围
.255.1.0 255.255.255.0
[VAM_Server-vam-server-domain-advpn-hub-group-1]quit
# i配置VAM Server的预共享密钥和认证方式,并开启server 功能
[VAM_Server-vam-server-domain-advpn]pre-shared-key simple 123456   
[VAM_Server-vam-server-domain-advpn]authentication-method chap 
[VAM_Server-vam-server-domain-advpn]server enable 
[VAM_Server-vam-server-domain-advpn]quit

Hub

基础配置

[H3C]sysname Hub

[Hub]int g1/0
[Hub-GigabitEthernet1/0]ip address 202.101.10.2 30
[Hub-GigabitEthernet1/0]qu

[Hub]int LoopBack 1
[Hub-LoopBack1]ip address 172.16.1.1 32
[Hub-LoopBack1]qu

[Hub]int LoopBack 2
[Hub-LoopBack2]ip address 172.16.1.2 32
[Hub-LoopBack2]quit

[Hub]int LoopBack 3
[Hub-LoopBack3]ip address 172.16.1.3 32
[Hub-LoopBack3]quit

[Spoke1]ip route-static 0.0.0.0 0 202.101.10.1

配置VAM Client

# i创建vam的client为“Hub”
[Hub]vam client name Hub
[Hub-vam-client-Hub]advpn-domain advpn            # 配置VAM Client所属的ADVPN域为“advpn”
[Hub-vam-client-Hub]pre-shared-key simple 123456  # 配置VAM Client的认证信息
[Hub-vam-client-Hub]user hub password simple hub 
[Hub-vam-client-Hub]server primary ip-address 202.101.100.100 # 指定VAM Server的IP地址
[Hub-vam-client-Hub]client enable                 # 启用client
[Hub-vam-client-Hub]quit

IPSec安全策略

# 因为与Hub进行数据传输的有很多Spoke,所以这边keychain的对等体地址设为匹配所有
[Hub]ike keychain advpn
[Hub-ike-keychain-advpn]pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456
[Hub-ike-keychain-advpn]quit

[Hub]ike profile advpn
[Hub-ike-profile-advpn]keychain advpn
[Hub-ike-profile-advpn]quit

[Hub]ipsec transform-set advpn
[Hub-ipsec-transform-set-advpn]encapsulation-mode transport 
[Hub-ipsec-transform-set-advpn]esp encryption-algorithm des-cbc 
[Hub-ipsec-transform-set-advpn]esp authentication-algorithm md5 
[Hub-ipsec-transform-set-advpn]quit

[Hub]ipsec profile advpn isakmp 
[Hub-ipsec-profile-isakmp-advpn]transform-set advpn
[Hub-ipsec-profile-isakmp-advpn]ike-profile advpn
[Hub-ipsec-profile-isakmp-advpn]quit

隧道配置ADVPN

[Hub]ospf 1
[Hub-ospf-1]area 0
[Hub-ospf-1-area-0.0.0.0]network 10.255.1.0 0.0.0.255
[Hub-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255

# 配置GRE封装的ADVPN隧道接口Tunnel1
[Hub]interface Tunnel1 mode advpn gre
[Hub-Tunnel1lip address 10.255.1.1 255.255.255.0
[Hub-Tunnel1]vam client Hub # 注意区分大小写
# Tunnel默认ospf网络类型为p2p,但此时Hub需要对多个Spoke建立邻居关系
# P2P并不支持,所以修改OSPF的网络类型为广播 
[Hub-Tunnel1]ospf network-type broadcast
[Hub-Tunnel1]source g1/0
# 调用IPSec安全策略
[Hub-Tunnel1]tunnel protection ipsec profile advpn

Spoke 1

基础配置

[H3C]sysname Spoke1

[Spoke1]int g1/0
[Spoke1-GigabitEthernet1/0]ip address 202.101.20.2 30
[Spoke1-GigabitEthernet1/0]quit

[Spoke1]int LoopBack 1
[Spoke1-LoopBack1]ip address 172.16.2.1 32
[Spoke1-LoopBack1]quit

[Spoke1]int LoopBack 2
[Spoke1-LoopBack2]ip address 172.16.2.2 32
[Spoke1-LoopBack2]quit

[Spoke1]int LoopBack 3
[Spoke1-LoopBack3]ip address 172.16.2.3 32
[Spoke1-LoopBack3]quit

[Spoke1]ip route-static 0.0.0.0 0 202.101.20.1

配置VAM Client

[Spoke1]vam client name Spoke1
[Spoke1-vam-client-Spoke1]advpn-domain advpn
[Spoke1-vam-client-Spoke1]pre-shared-key simple 123456
[Spoke1-vam-client-Spoke1]user spoke1 password simple spoke1
[Spoke1-vam-client-Spoke1]server primary ip-address 202.101.100.100
[Spoke1-vam-client-Spoke1]client enable 
[Spoke1-vam-client-Spoke1]quit

IPSec安全策略

[Spoke1]ike keychain advpn
[Spoke1-ike-keychain-advpn]pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456
[Spoke1-ike-keychain-advpn]quit

[Spoke1]ike profile advpn
[Spoke1-ike-profile-advpn]keychain advpn
[Spoke1-ike-profile-advpn]quit

[Spoke1]ipsec transform-set advpn
[Spoke1-ipsec-transform-set-advpn]encapsulation-mode transport 
[Spoke1-ipsec-transform-set-advpn]esp encryption-algorithm des-cbc 
[Spoke1-ipsec-transform-set-advpn]esp authentication-algorithm md5
[Spoke1-ipsec-transform-set-advpn]quit

[Spoke1]ipsec profile advpn isakmp 
[Spoke1-ipsec-profile-isakmp-advpn]ike-profile advpn
[Spoke1-ipsec-profile-isakmp-advpn]transform-set advpn
[Spoke1-ipsec-profile-isakmp-advpn]quit

配置advpn隧道

[Spoke1]ospf 1
[spoke1-ospf-1]area 0
[Spoke1-ospf-1-area-0.0.0.0]network 10.255.1.0 0.0.0.255
[Spoke1-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[spoke1-ospf-1-area-0.0.0.0]quit
[spoke1-ospf-1]quit

# 配置ADVPN隧道,并修改网络类型
[Spoke1]interface Tunnel1 mode advpn gre
[Spoke1-Tunnel1] ip address 10.255.1.2 255.255.255.0
[Spoke1-Tunnel1] ospf network-type broadcast
# Hub为DR,其它Spoke为DRother,所以DR优先级为 0
[Spoke1-Tunnel1] ospf dr-priority 0
[Spoke1-Tunnel1] source GigabitEthernet1/0
[Spoke1-Tunnel1] tunnel protection ipsec profile advpn
[Spoke1-Tunnel1] vam client Spoke1

Spoke 2

基础配置

[H3C]sysname Spoke2

[Spoke2]int g1/0
[Spoke2-GigabitEthernet1/0]ip address 202.101.30.2 30
[Spoke2-GigabitEthernet1/0]quit

[Spoke2]int LoopBack 1
[Spoke2-LoopBack1] ip address 172.16.3.1 32
[Spoke2-LoopBack1] quit

[Spoke2] int LoopBack 2
[Spoke2-LoopBack2] ip address 172.16.3.2 32
[Spoke2-LoopBack2] quit

[Spoke2] int LoopBack 3
[Spoke2-LoopBack3] ip address 172.16.3.3 32
[Spoke2-LoopBack3] quit

[Spoke2] ip route-static 0.0.0.0 0 202.101.30.1

配置VAM Client

[Spoke2]vam client name Spoke2
[Spoke2-vam-client-Spoke2]advpn-domain advpn
[Spoke2-vam-client-Spoke2]pre-shared-key simple 123456
[Spoke2-vam-client-Spoke2]user spoke2 password simple spoke2
[Spoke2-vam-client-Spoke2]server primary ip-address 202.101.100.100
[Spoke2-vam-client-Spoke2]client enable 
[Spoke2-vam-client-Spoke2]quit

IPSec安全策略

[Spoke2]ike keychain advpn
[Spoke2-ike-keychain-advpn]pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456
[Spoke2-ike-keychain-advpn]quit

[Spoke2]ike profile advpn
[Spoke2-ike-profile-advpn]keychain advpn
[Spoke2-ike-profile-advpn]quit

[Spoke2]ipsec transform-set advpn
[Spoke2-ipsec-transform-set-advpn]encapsulation-mode transport 
[Spoke2-ipsec-transform-set-advpn]esp encryption-algorithm des-cbc 
[Spoke2-ipsec-transform-set-advpn]esp authentication-algorithm md5
[Spoke2-ipsec-transform-set-advpn]quit

[Spoke2]ipsec profile advpn isakmp 
[Spoke2-ipsec-profile-isakmp-advpn]transform-set advpn
[Spoke2-ipsec-profile-isakmp-advpn]ike-profile advpn
[Spoke2-ipsec-profile-isakmp-advpn]quit

配置advpn隧道

[Spoke2]ospf 1
[Spoke2-ospf-1]area 0
[Spoke2-ospf-1-area-0.0.0.0]network 10.255.1.0 0.0.0.255
[Spoke2-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255
[Spoke2-ospf-1-area-0.0.0.0]quit
[Spoke2-ospf-1]quit

[Spoke2]int Tunnel1 mode advpn gre 
[Spoke2-Tunnel1]ip address 10.255.1.3 24
[Spoke2-Tunnel1]source g1/0
[Spoke2-Tunnel1]vam client Spoke2
[Spoke2-Tunnel1]ospf dr-priority 0
[Spoke2-Tunnel1]ospf network-type broadcast 
[Spoke2-Tunnel1]tunnel protection ipsec profile advpn
[Spoke2-Tunnel1]quit

AAA服务器(Win7)

配置IP地址和网关

在这里插入图片描述
ping成功
在这里插入图片描述

WinRadius配置

多重秘钥

在这里插入图片描述

在这里插入图片描述

添加用来认证的本地用户

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

查看WinRadius的日志

在添加好本地用户后,Hub和Spoke都认证通过了

在这里插入图片描述

检查

查看注册到VAM Server的VAM Client映射信息

在这里插入图片描述

查看Hub上的IPv4 ADVPN隧道信息

在这里插入图片描述

查看Spoke上的IPv4 ADVPN隧道信息

在这里插入图片描述

查看Spoke上的IPv4 ADVPN隧道信息(Spoke数据交互)

在这里插入图片描述

查看Hub和Spoke的路由表

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

张白夕
关注
专栏目录
移动云产品工作记录
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
02-02 3322
背景 记录移动云相关理解和记录 初认识 1、移动云全家桶 2、云主机 云主机是一种按需获取的云端服务器,为您提供高可靠、弹性扩展的计算资源服务,您可以根据需求选择不同规格的CPU、内存、操作系统、硬盘和网络来创建您的云主机。云主机从订购到开通使用仅需数分钟时间。云主机服务可用性达到99.95%,云主机备份数据以多副本形式保存,数据可靠性可达99.9999999%。 规格: vCPU / 内存比为1:1、1:2、1:4、1:8,从“1核2G”到“80核1280G”;采用2.3GHz主频的Intel
ADVPN:Full-Mesh模型组网实验
衡水铁头哥的博客
09-11 476
正文共:1024 字 12 图,预估阅读时间:2 分钟前一篇文章我们介绍了ADVPN的Hub-Spoke模型(ADVPN:Hub-Spoke模型组网实验),华三实现ADVPN是基于VAM协议来的。可以看出ADVPN的底层实现还是基于IKE和IPsec来的,采用Client/Server模型,其中VAM作为服务器端,负责收集、维护和分发客户端(ADVPN节点)动态变化的公网地址等信息。ADVPN节点...
华三 H3C ER2100V2 路由器组网配置
bbjj的博客
07-31 7350
引言:该路由器与普通路由器不同,没有复位键。 静态局域网配置 一:获取路由器登录IP 1、windows电脑端设置为自动获取IP 2、将电脑端口和路由器LAN口连接 3、查看电脑端网络详细信息,记住网关(比如为192.168.1.1) 4、电脑端登录路由器:输入网关地址—-192.168.1.1 二、静态配置(主要是LAN和WAN) WAN配置: IP:10.168.22.150...
【新华三网络工程师】H3C如何配置三层组网技术
最铁头的网工博客
04-03 6067
1.1组网一:新华三-三层交换组网实验 1.1.1组网拓扑 1.1.2.实验任务与实验目标 (1)实现上述组网二层广播域VLAN隔离和三层全网全连通。 (2) 分析Vlan8、 Vlan10、 Vlan11的广播域大小及二层网络通信范围。 (3) 分析PC1 ping PC4的三层通信过程和二层通信过程。. (4)掌握层次化配置与排错在局域网项目中的运用。 (5)掌握三层逻辑拓扑与二层逻辑拓扑抽...
华三ADVPN概述和组成
2301_77161465的博客
10-07 1239
ADVPN(Auto Discovery Virtual Private Network,自动发现虚拟专用网络)是一种基于VAM(VPN Address Management,VPN地址管理)协议的动态VPN技术。
SD-WAN流量及路由模型
fdasasfasfdasf的博客
03-13 5218
自我理解的SD-WAN的全景视图!
华三讲堂:Overlay网络与物理网络的关系
liukuan73的专栏
10-09 4037
http://www.ctiforum.com/news/guandian/441144.html 在以往IT建设中,硬件服务器上运行的是虚拟层的计算,物理网络为了与虚拟服务器对接,需要网络自己进行调整,以便和新的计算层对接(如图1所示)。Overlay是在传统网络上虚拟出一个虚拟网络来,传统网络不需要在做任何适配,这样物理层网络只对应物理层的计算(物理机、虚拟化层管理网),虚拟的网络
HCIE_NO.4典型组网之一:CSS+Eth-Trunk+iStack)
weixin_45723435的博客
07-15 1305
** 典型组网之一:CSS+Eth-Trunk+iStack ** 核心层汇聚层用CSS,接入层不用那么多性能所以用iStack。用聚合做层与层之间的连接(聚合的两个口一定要分布在不同框、不同板上) 这种排列方式除了性能好了,还更简单(设备少,好管理,流量模型好理解切换快:线路是毫秒级别的切换。从设备讲也是内存级别的切换)。不过成本高,且升级和割接麻烦。 一、iStack:堆叠(本质上是一种硬件技术) 1.堆叠的概念 2.堆叠建立的过程 3.要求:版本一致,设备型号一致 4.堆叠的连接方式 5
华三GB0-321.rar
06-14
华三GB0-321.rar word和vce版 稳过
华三模拟器HCL-v5.10.0-Setup.zip
12-25
华三模拟器HCL-v5.10.0-Setup.zip】是一个包含华三(H3C)网络设备模拟器软件的压缩包,版本号为5.10.0。这个模拟器,通常称为HCL(H3C Comware Learning),是专为教育和学习网络技术设计的。通过HCL,用户可以在...
H3C华三 HCL模拟器-HCL_7.1.59
08-20
《H3C华三HCL模拟器:网络学习与实践的得力助手》 H3C华三HCL(Huawei Certified Network Associate)模拟器是一款专为网络学习者和从业者设计的强大工具,其版本HCL_7.1.59为用户提供了一个真实的网络环境模拟平台...
华三 F5000-M 最新IPE固件CMW710-R9628P2416_IPE
05-31
华三 F5000-M 最新IPE固件 SECPATH5080F-CMW710-R9628P2416_IPE
华三*锐捷-M-LAG模拟实验(接入)
weixin_45306690的博客
03-19 1123
peer-keepalive local 1.1.1.1 peer 1.1.1.2 配置双主检测三层通道本地和对端IP地址。recover up-delay 120 none-vap 60 配置接口延迟恢复时间。no mac-address-learning 关闭接口上的MAC地址学习功能。登录设备相关配置(部分信息设备可能未配置,需要检查)核心上联出口交换机、下联接入交换机聚合组配置。核心上联出口交换机、下联接入交换机接口配置。
tcp三次握手和四次挥手
qq_25096749的博客
11-06 608
三次握手与四次挥手
防火墙|WAF|漏洞|网络安全
最新发布
qq_43777616的博客
11-06 865
防火墙|WAF|漏洞|网络安全
第六章传输层协议、ACL
2401_86349554的博客
11-05 854
第六章传输层协议、ACL
Docker配置宿主机目录和网络映射
BigBookX's Blog
11-03 992
host网络模式在某些场景下非常有用,特别是当你需要高性能的网络连接或简化端口管理时。然而,它也有其局限性,特别是在处理端口冲突和网络隔离方面。根据你的具体需求选择合适的网络模式。
嵌入式通信协议:MODBUS简明学习笔记
weixin_73867577的博客
11-02 391
学习Modbus的简明学习笔记
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

张白夕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值