ADVPN的S-S捷径到底有没有从总部绕转?

最新推荐文章于 2024-07-08 16:47:57 发布
最新推荐文章于 2024-07-08 16:47:57 发布
阅读量913 收藏 15
点赞数 21
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/136161375
版权

8b0692fa2a72be742dc1b41202ca201a.gif

正文共:1234 字 11 图,预估阅读时间:10 分钟

前面我们已经分别介绍了ADVPN的两种组网结构:Hub-SpokeADVPN:Hub-Spoke类型组网实验和Full-MeshADVPN:Full-Mesh模型组网实验,并且介绍了穿越NAT场景下的Full-Mesh组网HPE VSR配置穿越NAT场景下的ADVPN案例

现在有个问题,那就是Spoke-Spoke隧道的转发到底有没有经过HUB节点,我们今天就来验证一下。

实验组网如下图所示:

3ad1d2cdcf656f78aa23fcf25eebb5cc.png

两个SPOKE节点我们使用内网的两台VSR设备,HUB节点我们使用公网的VSR设备,这样一来,分支的Spoke设备就要经过运营商的NAT设备和总部的Hub设备建立连接。同时,组网结构也使用Full-Mesh模型。

上次的案例中,因为SPOKE1和SPOKE2都在NAT设备后面,所以无法直接建立点对点隧道,官网给的方法是把GRE封装的ADVPN隧道修改为UDP封装的ADVPN隧道,也就是取消了IPsec保护。我们本次把封装模式修改为IPsec,以保护数据安全性。

本案例主要基于HPE VSR配置穿越NAT场景下的ADVPN案例进行配置调整。

0dbc0619e4eb1686d897dc206e7988ea.png

HUB

HUB设备同时担当3个设备角色:Hub设备、VAM服务器和AAA认证服务器。需要注意的是,在HUB设备上需要放通VAM Server监听的UDP端口18000

#
sysname HUB
#
ospf 1
 area 0.0.0.0
  network 172.30.1.0 0.0.0.255
  network 10.1.1.0 0.0.0.255
#
interface GigabitEthernet1/0
 ip address 172.30.3.19 255.255.255.0
#
interface GigabitEthernet2/0
 ip address 172.30.1.29 255.255.255.0
#
interface Tunnel1 mode advpn udp
 ip address 10.1.1.254 255.255.255.0
 ospf network-type broadcast
 source GigabitEthernet1/0
 tunnel protection ipsec profile ADVPN
 vam client HUB
#
ip route-static 0.0.0.0 0 172.30.3.1
#
domain advpn
 authentication advpn local
#
domain default enable advpn
#
local-user HUB class network
 password simple HUB
 service-type advpn
#
local-user SPOKE1 class network
 password simple SPOKE1
 service-type advpn
#
local-user SPOKE2 class network
 password simple SPOKE2
 service-type advpn
#
ipsec transform-set ADVPN
 encapsulation-mode transport
 esp encryption-algorithm des-cbc
 esp authentication-algorithm sha1
#
ipsec profile ADVPN isakmp
 transform-set ADVPN
 ike-profile ADVPN
#
ike profile ADVPN
 keychain ADVPN
#
ike keychain ADVPN
 pre-shared-key address 0.0.0.0 0.0.0.0 key simple ADVPN
#
vam client name HUB
 advpn-domain ADVPN
 server primary ip-address 49.7.205.89
 pre-shared-key simple ADVPN
 user HUB password simple HUB
 client enable
#
vam server advpn-domain ADVPN id 1
 pre-shared-key simple ADVPN
 server enable
 hub-group HUB
 hub private-address 10.1.1.254
 spoke private-address range 10.1.1.0 10.1.1.255

519dd56339e4f49940065f4b933eea2b.png

SPOKE1

设备配置我们保持不变。

#
vam client name SPOKE1
 advpn-domain ADVPN
 server primary ip-address 49.7.205.89
 pre-shared-key simple ADVPN
 user SPOKE1 password simple SPOKE1
 client enable
#
ike keychain ADVPN
 pre-shared-key address 0.0.0.0 0.0.0.0 key simple ADVPN
#
ike profile ADVPN
 keychain ADVPN
#
ipsec transform-set ADVPN
 encapsulation-mode transport
 esp encryption-algorithm des-cbc
 esp authentication-algorithm sha1
#
ipsec profile ADVPN isakmp
 transform-set ADVPN
 ike-profile ADVPN
#
ip route-static 0.0.0.0 0 192.168.1.1
#
ospf 1
 area 0.0.0.0
  network 10.1.1.0 0.0.0.255
  network 11.1.1.0 0.0.0.255
#
interface Tunnel1 mode advpn udp
 ip address 10.1.1.1 255.255.255.0
 ospf network-type broadcast
 ospf dr-priority 0
 source GigabitEthernet1/0
 tunnel protection ipsec profile ADVPN
 vam client SPOKE1

d01040b39a0a0857b8720ad2e41d3634.png

SPOKE2

配置和SPOKE1配置相似,直接上配置。

#
vam client name SPOKE2
 advpn-domain ADVPN
 server primary ip-address 49.7.205.89
 pre-shared-key simple ADVPN
 user SPOKE2 password simple SPOKE2
 client enable
#
ike keychain ADVPN
 pre-shared-key address 0.0.0.0 0.0.0.0 key simple ADVPN
#
ike profile ADVPN
 keychain ADVPN
#
ipsec transform-set ADVPN
 encapsulation-mode transport
 esp encryption-algorithm des-cbc
 esp authentication-algorithm sha1
#
ipsec profile ADVPN isakmp
 transform-set ADVPN
 ike-profile ADVPN
#
ip route-static 0.0.0.0 0 192.168.1.1
#
ospf 1
 area 0.0.0.0
  network 10.1.1.0 0.0.0.255
  network 22.1.1.0 0.0.0.255
#
interface Tunnel1 mode advpn udp
 ip address 10.1.1.2 255.255.255.0
 ospf network-type broadcast
 ospf dr-priority 0
 source GigabitEthernet1/0
 tunnel protection ipsec profile ADVPN
 vam client SPOKE2

941953448b53f92a4eb6dcae00d631b4.png

验证配置

756d7bd4a3a0854846f7b96c96a866b1.png

现在可以直接在HUB设备上查看注册上线的所有VAM Client的IPv4私网地址映射信息,可以看到HUB和SPOKE设备对应角色、隧道接口地址、公网地址、注册地址和IPsec地址+端口等信息。

18448cec3dab0fdc0af5add6cf239fb3.png

有点意外的是,同一个公网下的两台SPOKE竟然也能同时上线。可以看到,SPOKE1和SPOKE2都在NAT设备后面,公网地址是相同的,但是注册地址不相同;HUB设备使用的是自己的公网IP地址上线,显示也穿越了NAT设备。还可以看出链路协议是IPsec over UDP,是有安全封装的。

查看VAM Client的状态机信息。

838c8b94ad2b38104571c16abe5fa185.png

在HUB设备上查看OSPF邻居信息。状态为DROther,表示路由器既不是所连网络的指定路由器,也不是所连网络的备份指定路由器。

5aead58356064aafd50eff691a44f573.png

查看HUB上的IPv4 ADVPN隧道信息,可以看到类型都是Hub-Spoke,说明本端是HUB角色,对端是SPOKE角色。

d672a84cc0f90e9df00742e0fa28c62a.png

查看VSR1上的IPv4 ADVPN隧道信息,可以看到类型是Spoke-Hub,说明本端是SPOKE角色,对端是HUB角色。

ede4a497567db684a493fcf1bd378be5.png

此时SPOKE2和SPOKE1之间是没有隧道的,我们还是和上次一样,手工触发一下。

de0729943738e5e86bdf2f6a54786f8b.png

建立失败。难道是因为两个SPOKE使用同一个公网IP地址的原因吗?

没办法,只能换个IP地址再装一次了。

重装之后,两个SPOKE的公网IP地址不一样了。

6afae7096f7c4c41105a6f9313f71eb5.png

再测试就好了。

d5d865d6bea7660ccacf14686fca2516.png

可以看到TTL从254变成了255,时延也从15 MS降到了6 MS。

e2dfdbe5f1a51494af70c8e76561df94.png

通过对比时延,可以看到,分支互访的时延比分支到总部的还要低1 MS,说明分支之间的互访是没有从总部绕转的。

4e00d11dd4cd60cbf81ef00d96ec17bf.png

会话类型是Spoke-Spoke的捷径,链路协议是IPsec-UDP的加密封装。

所以,分支之间的互访是没有从总部绕转的,而且分支不能使用同一个公网IP地址上线,否则无法建立Spoke-Spoke捷径。当然,应该也没人这么用吧?

b07bc8e89ab064b554fd65a925e2376a.gif

长按二维码
关注我们吧

f483cb6aac3b1cfffb6a6153f3461208.jpeg

1aa4b45f7ed1e00938ab9a1a05d2fbbb.png

快速部署新鲜出炉的EVE-NG 5.0,并导入VSR镜像

把EVE-NG干趴下了!34台设备+1600行配置的小实验有多可怕

付出总有回报,全国SRv6组网实验成功了!

一种基于IPsec的VXLAN“专线”解决方案

如何给最小化安装的主机装个远程桌面?

VPP配置指南:配置VXLAN隧道

VPP配置指南:穿越NAT的IPsec VPN配置及性能测试

IPsec VPN文章及知识点汇总【墙裂建议收藏】

Danileaf_Guo
关注
  • 21
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Elastic认证工程师到底有没有用?
铭毅天下Elasticsearch
04-25 1万+
2个月时间,7 位球友通过了Elastic认证考试(去年通过一位,截止:20200424星球共 8 位通过认证,全国社群、圈子遥遥领先)!图片来源:https://t.zsxq.com/...
【隧道篇 / IPsec】(6.0) ❀ 01. 点对多星状拓扑IPsec动态BGP路由 ❀ FortiGate 防火墙
防火墙技术专栏
09-03 4097
  【简介】我们已经了解并熟悉点对多星状IPsecVPN的好处了,它可以非常方便的让各个分支访问中心。但是,分支与分支之间的访问仍需要通过中心转发。另外,当允许访问的中心IP有变动的时候,各个分支都要进行手动修改,有没有什么方法可以解决这些问题呢? ADVPN   传统的点对多星状方式中,分支只能和中心建立永久隧道,分支之间的流量需要通过中心来转发,这种方式减轻了分支的负担(只要和中心建立......
教程篇(6.4) 07. 自动发现 ❀ SD-WAN ❀ Fortinet 网络安全架构师 NSE7
防火墙技术专栏
07-14 1593
在这节课中,你将学习自动发现VPN (ADVPN)。 完成本课程后,你应该能够实现在这张幻灯片上显示的目标。   通过演示ADVPN的能力,你将能够配置ADVPN,排除ADVPN故障,并理解SD-WAN对ADVPN的支持。 为什么要使用ADVPN?为了找到答案,你将回顾最常见的VPN拓扑。   一个点到多拓扑变化称为中心辐射。正如它的名字所描述的,所有的客户连接通过一个中心轮毂,类似辐条连接到轮毂上的方式。   在本幻灯片所示的示例中,每个客户端辐条都是一个分支机构Forti...
教程篇(7.2) 11. 自动发现VPN & 企业防火墙 ❀ Fortinet 网络安全架构师 NSE7
防火墙技术专栏
10-26 339
在本课中,你将了解IKE版本2的自动发现VPNADVPN)。
k8s-dns-gateway 网关网络扩展实战
小刚的博客
06-28 7690
dns以及网络扩展实战*k8s-dns-gateway dns网关网络扩展实战* k8s服务暴露分为几种情况 1.svc-nodeport暴露 缺点所有node上开启端口监听,需要记住端口号。 2.ingress http 80端口暴露 必需通过域名引入。 3.tcp–udp–ingress tcp udp 端口暴露需要配置一个ingress lb,一次只能一条规则,很麻烦,要先规划好l
非计算机科班如何顺利转行计算机领域?
热门推荐
想你依然心痛的博客
08-16 1万+
近年来,很多人想要从其他行业跳槽转入计算机领域。非计算机科班如何丝滑转码?跨行转其实很常见,特别是当下比较火的行业,目前较火的计算机尤其常见,笔者自己身边就有很多这样的案例,有工厂打螺丝转过来的,有化学、数学等专业转过来。随着计算机技术的迅速发展和应用范围的不断扩大,计算机行业已经成为了近年来最热门的行业之一。因此,越来越多的人想要从其他行业跳槽转入计算机领域。然而,对于那些没有计算机科班背景的人来说,想要成功转行也是一件非常有挑战性的事情。
python中 s是什么意思_python – “S”在同情中意味着什么
weixin_39928993的博客
11-25 4750
有一点混乱,因为S实际上是两件事.首先是SingletonRegistry. SymPy中的几个类经常出现,它们是单例化的,也就是说,使用一些元编程,它们只能被实例化一次.例如,每次创建Integer(0)时,这将返回相同的实例Zero.所有单例实例都是S对象的属性,因此Integer(0)也可以作为S.Zero访问.单一化有两个优点:它可以节省内存,并且可以进行快速比较.它节省了内存,因为无论单...
C++到底有没有必要学?
NekoTail的博客
04-11 8659
标题为我自己的,内容转自网上,原作者已丢失。这里转载,吸取教训,听取经验。 我从去年11月份开始自学C++(本人现在做C#开发),现在把我这10来个月学习体会写出来和大家分享。   1。关于要不要学习C++?(结论:要学,一定要学!)   如今在网上很多为要不要学C++争的不可开交,因为现在JAVA,C#,。NET都炒的很火,特别是JAVA,大有炸平庐山,停止地球转动之势。用林锐同志的话说,...
2⼩小时躲坑k8s-⼤大型分布式集群环境捷径部署.pdf
02-23
对应视频地址 http://yun.itheima.com/open/415.html?1907zzp1,黑马老师的公开课笔记
何为捷径?文章-需求.docx
05-18
何为捷径?文章-需求.docx
tfboys---梦想的捷径是坚持-作文.pdf
08-28
tfboys---梦想的捷径是坚持-作文.pdf
丹的Sitecore捷径「Dan's Sitecore Shortcuts」-crx插件
03-10
Sitecore快捷方式的列表 Sitecore中一个非常基本的位置列表 使用: 1)转到您的Sitecore域 2)点击按钮 支持语言:English (UK)
k8s-for-docker-desktop-1.16.5.zip
09-01
标题中的"k8s-for-docker-desktop-1.16.5.zip"指示了这是一个与Kubernetes(k8s)和Docker Desktop相关的压缩文件,版本为1.16.5,专为在Windows 10的Windows Subsystem for Linux 2(WSL2)环境中使用。这个压缩包...
Iperf基本用法
peterhunter0320的博客
07-04 340
Iperf支持TCP和UDP协议,可以用于点对点或客户端-服务器等模式的网络测试。在Windows系统中,您可以下载Iperf的预编译版本,并将其解压到任意文件夹中。以上是Iperf的一些基本用法,您可以根据实际需要调整各种参数来满足不同的测试需求。更多详细的使用方法和参数,您可以通过运行iperf3 -h命令来查看帮助文档。在Linux系统中,您可以使用包管理器安装Iperf。Iperf的使用非常灵活,可以通过命令行参数来调整测试的各种参数。iperf3 -c <服务器IP地址> -u -b 10M。
Zabbix自动发现
最新发布
Lzcsfg的博客
07-08 522
在 Zabbix 中,自动发现(Auto Discovery)是一种强大的功能,用于自动识别和监控网络设备、服务或应用程序中的动态变化。通过自动发现功能,Zabbix 可以自动添加、配置和监控新的网络节点或服务,大大简化了管理和监控大规模环境的复杂性。
基于STM32设计的管道有害气体检测装置(ESP8266局域网)176
07-06 425
基于STM32设计的管道有害气体检测装置采用了一系列先进的传感器技术,针对多种有害气体进行检测,通过实时监测烟雾浓度、甲烷、一氧化碳、甲醛等有害气体的浓度以及温湿度等参数,并通过OLED显示和ESP8266上传数据至手机端,可以使相关工作人员及时了解管道环境的情况,采取相应的控制和调节措施,从而保障工作人员和公众的健康与安全。 为了确保传感器正常工作和数据的准确性,装置还引入了温湿度检测机制,因为气体传感器的性能受温湿度影响较大,适宜的温度和湿度条件能够确保传感器的稳定工作和数据准确性。
RedHat运维-LinuxSELinux基础4-端口绑定SELinux上下文
a15735748145a的博客
07-06 629
12. 将60001/tcp端口上的SELinux上下文由http_port_t调整为gopher_port_t的方法是______________________;13. 将60002/tcp端口上的SELinux上下文由gopher_port_t调整为ssh_port_t的方法是______________________;14. 将60003/tcp端口上的SELinux上下文由ssh_port_t调整为http_port_t的方法是_______________________;
常见网络攻击方式及防御方法
2301_76786857的博客
07-04 951
网络攻击对个人、组织和整个社会都带来了严重的威胁,因此必须采取有效的安全措施来保护网络系统和用户的信息安全。
智慧水利信息化解决方案.pptx
04-25
借鉴其他行业的转型经验,实现“弯道超车”,是传统行业转型的捷径,也是水利行业未来实现跨越式发展所需要的。 从业界技术趋势来看,无处不在的联接、无处不在的算力、无所不及的智能是未来信息技术的发展趋势。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值