一种基于IPsec的VXLAN“专线”解决方案

于 2024-02-16 16:30:55 发布
阅读量477 收藏 7
点赞数 7
文章标签: 网络 服务器 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/136134662
版权

11d8a463b5e6d80e23b6cc248f8e5940.gif

正文共:888 字 14 图,预估阅读时间:1 分钟

我们前面曾经做过一个小实验VXLAN小实验:降本增效,将MV互联网专线伪装成数字电路,那就是将互联网专线伪装成数字电路。实现的方案就是将具有公网IP地址的设备作为VXLAN的VTEP,采用VXLAN头端复制的方式,实现两端互联IP的直接通信。

从上次的测试结果来看,传输带宽基本可以跑满,并且VXLAN封装对业务几乎无感知。但是受互联网传输的影响,实际链路稳定性可能比数字电路、裸纤等方式稍差,同时成本会有所降低,需要用户综合考虑。

那如果用户连互联网专线也没有呢?

那就只能再退一步了,我们不是还有IPsec吗?前面那么多IPsec的实验你当我是白做的吗?

接下来我们就用穿越NAT的组网来测试一下。

cd6b416179071638c35eb0f0cc77ba09.png

首先我们先完成IPsec的配置。配置参考(VPP配置指南:穿越NAT的IPsec VPN配置及性能测试)。

VPP72设备配置。

vppctl set int state eth2 up
vppctl set int ip address eth2 12.1.1.1/24
vppctl ip route add 23.1.1.0/24 via 12.1.1.2
vppctl ikev2 profile add vxlan
vppctl ikev2 profile set vxlan auth shared-key-mic string vxlan
vppctl ikev2 profile set vxlan id local fqdn vpp72
vppctl ikev2 profile set vxlan id remote ip4-addr 23.1.1.3
vppctl ikev2 profile set vxlan traffic-selector local ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
vppctl ikev2 profile set vxlan traffic-selector remote ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
vppctl ikev2 profile set vxlan responder eth2 23.1.1.3
vppctl ikev2 profile set vxlan ike-crypto-alg aes-cbc 256 ike-integ-alg sha1-96 ike-dh modp-2048
vppctl ikev2 profile set vxlan esp-crypto-alg aes-cbc 256 esp-integ-alg sha1-96 esp-dh ecp-256
vppctl ikev2 profile set vxlan sa-lifetime 3600 10 5 0

706530b162c5480dc59b3e6d0a7547c7.png

NAT设备配置。

#
interface GigabitEthernet2/0
 ip address 12.1.1.2 255.255.255.0
#
interface GigabitEthernet3/0
 ip address 23.1.1.2 255.255.255.0
 nat outbound

VPP73设备配置。

vppctl set int state eth2 up
vppctl set int ip address eth2 23.1.1.3/24
vppctl ikev2 profile add vxlan
vppctl ikev2 profile set vxlan auth shared-key-mic string vxlan
vppctl ikev2 profile set vxlan id local ip4-addr 23.1.1.3
vppctl ikev2 profile set vxlan id remote fqdn vpp72
vppctl ikev2 profile set vxlan traffic-selector local ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0
vppctl ikev2 profile set vxlan traffic-selector remote ip-range 0.0.0.0 - 255.255.255.255 port-range 0 - 65535 protocol 0

e4584d627309c8e878f7656fa2330ad4.png

在发起者和响应者网络可达且配好了IKEv2策略之后,配置VPP72发起协商。

vppctl ikev2 initiate sa-init vxlan

1322b635a94e5406a9f329a6c92fda46.png

然后我们在VPP72上配置隧道接口的IP地址。

vppctl set interface state ipip0 up
vppctl set interface ip address ipip0 130.1.1.1/24

3cc6fe64344ef57831e53433ad268971.png

同理,在VPP73上配置隧道接口的IP地址。

vppctl set interface state ipip0 up
vppctl set interface ip address ipip0 130.1.1.3/24

0368e4e5550d00911e84e33a152dd73f.png

接下来配置VXLAN,配置参考VPP配置指南:配置VXLAN隧道

VPP72设备配置。

vppctl create bridge-domain 11 learn 1 forward 1 uu-flood 1 flood 1 arp-term 0
vppctl create vxlan tunnel src 130.1.1.1 dst 130.1.1.3 vni 11 decap-next l2
vppctl set interface l2 bridge vxlan_tunnel0 11
vppctl loopback create mac 1a:2b:3c:4d:5e:6f
vppctl set interface l2 bridge loop0 11 bvi
vppctl set interface state loop0 up
vppctl set interface ip address loop0 13.1.1.1/24
vppctl set interface state eth1 up
vppctl set interface l2 bridge eth1 11

407c75deba026e2fe541744ef61dc709.png

VPP73设备配置。

vppctl create bridge-domain 11 learn 1 forward 1 uu-flood 1 flood 1 arp-term 0
vppctl create vxlan tunnel src 130.1.1.3 dst 130.1.1.1 vni 11 decap-next l2
vppctl set interface l2 bridge vxlan_tunnel0 11
vppctl loopback create mac a1:b2:c3:d4:e5:f6
vppctl set interface l2 bridge loop0 11 bvi
vppctl set interface state loop0 up
vppctl set interface ip address loop0 13.1.1.3/24
vppctl set interface state eth1 up
vppctl set interface l2 bridge eth1 11

2fe87eb4f62274efb8f8ebc32a79df60.png

在VPP73上查看IKEv2的SA信息。

bb3dc07a6d614b4b682faa7c0f353d13.png

在VPP73上查看IPsec的所有信息。

d5ab779b6ffe8e9638840674c7c2bbad.png

在VPP73上查看VXLAN隧道信息。

f10ee4453d73adc11cfd522504b82205.png

在VPP73上查看桥接域信息。

323735d7fde2b23b850a83e9e67ccba8.png

在主机上测试业务互通情况。

a6322b75300065359dd211e5df49d706.png

打个流测试一下。

558e4c5a524c032e1ec594e023f700d5.png

2.93 Gbps,你感觉这个数据怎么样呢?

我感觉,竟然能测出来,那肯定还是有优化的空间的。

2459d68e5c60bc55ede55160c0b0b1dd.gif

长按二维码
关注我们吧

afb1975c70a32eee1ad05c3df51838ca.jpeg

c7d898bb3ed6fd250f6dad39f6ce1a61.png

VPP配置指南:基于IKEv2的IPsec VPN

VPP配置指南:穿越NAT的IPsec VPN配置及性能测试

VPP配置指南:配置VXLAN隧道

如何给最小化安装的主机装个远程桌面?

居家办公?快来了解一下办公电脑如何秒变云桌面

数据中心基准测试术语

数据中心基准测试方法

成了!基于VPN虚链路的负载均衡测试成功!

不用半小时,最快8分钟即可在CentOS上完成VPP的部署

谁说2C4G的VPP性能差,IPsec性能5 Gbps也叫差?

Danileaf_Guo
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
VXLAN:数据中心网络的未来
Rocky006的博客
06-21 742
VXLAN一种网络虚拟化技术,旨在解决传统以太网的限制,并提供更好的可扩展性和隔离性。VXLAN通过在现有的IP网络上创建一个虚拟的二层网络,将传统的以太网帧封装在UDP报文中进行传输。这种封装使得VXLAN可以在现有的网络基础设施上运行,而无需对网络进行大规模改造。VXLAN使用一个24位的VXLAN标识符(VNI)来标识虚拟网络,允许同时存在多个独立的虚拟网络VXLAN报文的目的地MAC地址被替换为VXLAN网络中的虚拟机或物理主机的MAC地址,从而实现虚拟机之间的通信。
VPP上利用IPSec加密Vxlan隧道实验
FZUMRWANG的博客
11-12 934
VPP类似于电脑上的路由器模拟,可以在VPP中构建网络组网。本文讲述了如何在VPP中使用IPSec对二层的Vxlan隧道进行加密
vxlanIPsec结合使用
xingyeping的博客
05-09 7014
一、使用IPsec封装Vxlan报文 如果希望Vxlan报文通过IPsec加密,可以通过ip xfrm命令在VM1和VM2上创建手工IPsec隧道来加密报文。配置如下: 创建VM1的手工SA:  ip xfrm state add src 192.168.233.180 dst 192.168.233.190 proto esp spi 0x00000301 mode tunnel auth
VxLAN网络虚拟化技术详解(HCIE)
qq_45022073的博客
11-28 2158
VxLAN网络虚拟化技术详解(HCIE)
FD.IO-VPP研究及使用五 (隧道环境搭建)
weixin_40815457的博客
01-25 4164
搭建IPSEC vpn vpp搭建IPSEC 有两种方式: 1,使用create ipsec tunnel方式 2,使用发起者响应者模式(ikev2) 1、使用ikev2配置ipsec 拓扑如下: //#发起者配置: set int state GigabitEthernet4/0/2 up set int ip address GigabitEthernet4/0/2 ...
基于VxLAN组网的云数据中心互联方案
01-19
VxLAN技术实现现状、云数据中心底层承载网络现状等维度,多视角地对基于VxLAN组网的云数据中心之间的互联互通方案进行了研究与测试验证,并分析了各种方案的优缺点及适用场景。通过本文的研究,以期为运营商的云...
运营商基于SDN和VXLAN技术的云网一体化专线方案探讨
03-17
综上所述,基于SDN和VXLAN技术的云网一体化专线方案是应对政企用户日益增长的云服务需求的有效解决方案。通过采用这些先进的网络技术,不仅可以显著提高网络的灵活性和可扩展性,还能有效降低运维成本,提升服务质量...
数据中心SDN VXLAN技术方案.pdf
10-10
VXLAN一种在常用的网络和虚拟基础架构的顶层“浮动”虚拟域的方法,能够创建大量虚拟域,并且他们彼此之间以及与底层网络之间完全隔离。 1. 需求说明 随着 IT 组织向聚合基础架构和面向服务的模式转移,数据...
智慧园区网解决方案.pptx
10-03
"智慧园区网解决方案" 智慧园区网解决方案旨在解决传统园区面临的挑战,包括网络...智慧园区网解决方案提供了一个智能化、自动化、安全的网络解决方案,满足园区用户和企业的需求,提高网络灵活性、可靠性和安全性。
65页智慧园区网络解决方案.pptx
06-23
智慧园区网络解决方案旨在通过技术创新,构建一个适应现代办公需求,支持物联网发展,具备高安全性和灵活性的网络环境。这不仅解决了传统园区网络的局限性,也为未来智慧城市的持续创新提供了有力的技术支撑。
vxlan配置详解
04-26
vxlan配置详解本文提供高水平概述虚拟可扩展LAN (VXLAN)和验证命令和输出按照的一些配置示例
VPN理论入门及GRE、L2TP、IPsec(HCIP)
最新发布
qq_45022073的博客
12-22 2905
IPsec(Internet Protocol Security,因特网协议安全协议)是ETF制定的一组开放的网络安全协议(标准,厂商共同支持)。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合。数据来源验证:接收方验证发送方身份是否合法(带ID)。数据加密:发送方对数据进行加密,以密文的形式在开放网络上传送,接收方对接收的加密数据进行解密后处理或直接转发(第一阶段5、6包秘钥加密)。数据完整性:接收方对接收的数据进行验证,以判定报文是否被算改(带秘钥的哈希)。
VXLAN与园区网络虚拟化
pass99vs的博客
01-04 1234
VXLAN与园区网络虚拟化
深入解读IPsec V*N
heibaikong6的博客
09-26 1151
解读IPsec VP*的原因是其使用比较广泛,技术比较成熟,比如企业互联是最常用的场景,在VXLAN那篇中提到了阿里云CPE端到端解决方案也用到了IPsec,还有SDWAN服务中IPsec是使用最多的(在underlay层面CPE与Controller、CPE之间通信几乎都是使用XXX over IPsec的方案) 一、IPSec V*N应用场景 Site——to——Site(站点到站点或网关...
IPsec VPN 原理与配置
qq_45953122的博客
08-27 1570
IPSec是IETF定义的一个协议组。通信双方在IP层通过加密、完整性校验、数据源认证等方式,保证了IP数据报文在网络上传输的机密性、完整性和防重放。
云中网络的隔离:GRE、VXLAN
lingshengxiyou的博客
11-23 1718
32 位,够任何云平台喝一壶的了!load:NXM_NX_TUN_ID[]->NXM_NX_TUN_ID[]的意思是,在 Table 20 中,将包从物理机发出去的时候,设置 Tunnel ID,进来的时候是多少,发送的时候就是多少,所以学习完了之后,Table 20 中会有 set_tunnel。虚拟机 2 回复的包,到达 VTEP2 的时候,它当然也记得刚才学的东西,要找虚拟机 1,就去 VTEP1,于是将包封装在 VXLAN 里面,外层加上 VTEP1 和 VTEP2 的 IP 地址,也发送出去。
记录在两台VPP打通vxlan隧道遇到的网卡状态error问题
Jonsephhy的博客
05-26 425
项目场景: VxLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)技术很好地解决了现有VLAN技术无法满足大二层网络需求的问题。VxLAN技术是一种大二层的虚拟网络技术,主要原理是引入一个UDP格式的外层隧道作为数据链路层,而原有数据报文内容作为隧道净荷加以传输。由于外层采用了UDP作为传输手段,净荷数据可以轻松地在二三层网络中传送。VxLAN已成为业界主流的虚拟网络技术之一,IETF正在制定相关标准。 问题描述 PC1和vpp1的GE1网卡相连,PC2和
Vxlan学习笔记——原理
mywolfking的专栏
03-15 2178
1. 为什么需要Vxlan   普通的VLAN数量只有4096个,无法满足大规模云计算IDC的需求,而IDC为何需求那么多VLAN呢,因为目前大部分IDC内部结构主要分为两种L2,L3。L2结构里面,所有的服务器都在一个大的局域网里面,TOR透明L2,不同交换机上的服务器互通靠MAC地址,通信隔离和广播隔离靠的vlan,网关在内网核心上。而L3结构这是从TOR级别上就开始用协议进行互联,网关在T...
数据中心——Vxlan基本概念2
m0_49864110的博客
06-13 4725
(基于IP的封装,封装的对象始终是以太网数据帧)例如:IPSec可以利用IKE动态建立隧道、MPLS可以利用LDP/BGP建立隧道等Vxlan网络做了两次虚拟化1.Vxlan将IP网络先抽象成一台拥有无限端口的交换机2.通过VNI(虚拟网络标识符)来实现广播域隔离(每一个Vni代表vxlan网络中的一个广播域,类似Vlan id)静态方式:手动指定Vxlan的源、目地址,建立静态隧道动态方式:建立BGP EVPN邻居关系,通过BGP EVPN协议动态建立隧道NVE。
VXLAN部署深度解析:思科数据中心解决方案
在当前的网络环境中,VXLAN(Virtual Extensible LAN,虚拟可扩展局域网)作为一种重要的二层网络扩展技术,被广泛应用于数据中心的网络架构中。CISCO LIVE 的这个课程主要探讨了VXLAN的基本概念,以及如何在实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值