如何用SD-WAN路由器实现串接透明部署?

最新推荐文章于 2024-10-10 09:52:24 发布
最新推荐文章于 2024-10-10 09:52:24 发布
阅读量1.2k 收藏 24
点赞数 21
文章标签: 智能路由器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/136753485
版权

79eaf563e6807c2f102cc8547e095218.gif

正文共:1024 字 7 图,预估阅读时间:1 分钟

我们上次介绍了用交换机做SD-WAN的解决方案SD-WAN设备的串接透明部署怎么实现?,基本能够满足用户需求。但是,一定程度上讲,交换机的功能比较单一,不好扩展其他SD-WAN功能,仅能实现简单的组网功能。那我们能把交换机替换为其他设备吗?

理论上是可以的,不过H3C V7的路由器MSR3620的路由接口不能切换为桥接口,但是防火墙F1060可以啊,所以用防火墙F1060来替换交换机也是一种比较不错的选择。配置比较简单,只要把接口切换为桥接口就行了,再加上放通安全策略防火墙安全策略功能入门,其他的配置几乎完全一致。

既然防火墙这么没有挑战,我就不想介绍了。反之,我偏要介绍一下用路由器怎么实现。

前面介绍到,使用交换机进行配置时,无需占用额外的接口,只需要将SD-WAN设备串接在网络之间,并分配一个同网段地址就行了。组网图如下所示(图示接口和网段,具体地址请查看配置信息):

a0a599c080e5a5ebabaa0c54c4e7e883.png

跟上次相比,SD-WAN设备已经由交换机切换为路由器了,并连接到出口设备RT和用户网关设备GW。为SD-WAN设备分配一个同网段的地址10.1.1.3/24,网关指向RT,同时向POP设备建立隧道,模拟访问10.10.10.10/32这个业务地址;并添加去往私网的路由。

虽然路由器接口不支持二层特性,那有什么可以替代的吗?

要不我们试试VXLAN?

很简单,只要配置三层路由接口绑定到同一个VSI(Virtual Switch Instance,虚拟交换实例)就可以了。

#
l2vpn enable
#
vsi sdwan
#
interface GigabitEthernet0/0
 xconnect vsi sdwan
#
interface GigabitEthernet0/1
 xconnect vsi sdwan

配置完成之后,简单测试一下GW到RT的访问。

80fe91f033eaee7d4ada8f828eaf9ec7.png

访问正常,跟直连的效果是一样的。

再创建一个VSI虚接口,并配置IP地址,就和交换机的VLAN虚接口一样了。

#
vsi sdwan
 gateway vsi-interface 10
#
interface Vsi-interface10
 ip address 10.1.1.3 255.255.255.0

测试一下访问GW和RT。

f98ba336700e6e524f3d27eceb16f057.png

测试正常,然后把其他的配置都配置上就可以了。

#
ip route-static 0.0.0.0 0 10.1.1.1
ip route-static 10.10.10.10 32 10.1.1.1
ip route-static 192.168.1.0 24 10.1.1.2
#
acl advanced 3400
 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 10.10.10.10 0
#
ike keychain SDWAN
 pre-shared-key address 40.1.1.2 key simple QWE123
#
ike profile SDWAN
 keychain SDWAN
 exchange-mode aggressive
 local-identity fqdn SDWAN
 match remote identity address 40.1.1.2 255.255.255.255
#
ipsec transform-set SDWAN
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm sha1
#
ipsec policy SDWAN 10 isakmp
 transform-set SDWAN
 security acl 3400
 remote-address 40.1.1.2
 ike-profile SDWAN
#
interface Vsi-interface10
 ip address 10.1.1.3 255.255.255.0
 ipsec apply policy SDWAN

其他设备无需调整,直接上配置。

bd75fc69a115a17f54b13cc6e740c757.png

GW

#
interface GigabitEthernet0/0
 ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet0/1
 ip address 10.1.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0 10.1.1.1
ip route-static 10.10.10.10 32 10.1.1.3

c429ee79846e2422ec334e1f8eea0a67.png

ISP

#
interface GigabitEthernet0/0
 ip address 20.1.1.1 255.255.255.0
#
interface GigabitEthernet0/1
 ip address 30.1.1.1 255.255.255.0
#
interface GigabitEthernet0/2
 ip address 40.1.1.1 255.255.255.0

9732ca9d742798fc7a3cff9d2c68e72e.png

RT

#
interface GigabitEthernet0/0
 ip address 10.1.1.1 255.255.255.0
#
interface GigabitEthernet0/1
 ip address 20.1.1.2 255.255.255.0
 nat outbound
#
ip route-static 0.0.0.0 0 20.1.1.1
ip route-static 192.168.1.0 24 10.1.1.2

4692fabc5c9a36b14a3412a8eccf0ded.png

POP

#
interface LoopBack0
 ip address 10.10.10.10 255.255.255.255
#
interface GigabitEthernet0/0
 ip address 40.1.1.2 255.255.255.0
 ipsec apply policy SDWAN
#
ip route-static 0.0.0.0 0 40.1.1.1
#
ike keychain SDWAN
 pre-shared-key hostname SDWAN key simple QWE123
#
ike profile SDWAN
 keychain SDWAN
 exchange-mode aggressive
 local-identity address 40.1.1.2
 match remote identity fqdn SDWAN
#
ipsec transform-set SDWAN
 esp encryption-algorithm 3des-cbc
 esp authentication-algorithm sha1
#
ipsec policy-template SDWAN 1
 transform-set SDWAN
 local-address 40.1.1.2
 ike-profile SDWAN
#
ipsec policy SDWAN 1 isakmp template SDWAN

d53d89e858348c4b309cdaf6227ece87.png

H3C

#
interface GigabitEthernet0/0
 ip address 30.1.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0 30.1.1.1

13739cd53491697d3bb98238c29e2991.png

验证配置

68336147b0388d3fb8c1ba3a3a2e0f01.png

我们直接触发一下PC到POP模拟业务地址10.10.10.10的访问。

4e444d5a8b20c026895f013845f6b1d8.png

可以看到,和往常一样,首包因为触发隧道建立而丢失,后续报文转发正常。TTL值为253,说明经过了3跳,分别是192.168.1.1(网关设备GW)、10.1.1.3(SD-WAN设备)、40.1.1.2(POP设备,拥有IP地址10.10.10.10)。

查看ike sa信息。

5ae9b8de11ade4b35568d71d9fa7dbe5.png

查看ipsec sa信息。

040b61a60eedadc8f315e886a57ff77f.png

最后看一下PC同时访问内外网业务(内网:10.10.10.10,外网H3C:30.1.1.2)。

c1da56eb648a49a9947e4d2a1aa5d7ea.png

怎么样,依旧很简单,不是吗?

2bf070c51a091a5dd7c748132def53cf.gif

长按二维码
关注我们吧

753705cadcc8582000fea607f3bc4d88.jpeg

33ab41e7c9b40618308ce00750f16246.png

SD-WAN设备的串接透明部署怎么实现?

如果私人定制VMWare ESXi 6.7和7.0的安装镜像?

如何将VMWare ESXi 6.7升级版本到7.0?

一次看够H3C NFV在VMware ESXi中的安装、组网和配置

Netmaker服务器端快速搭建WireGuard网络

某度网盘人工审核不安全?家庭小NAS搞起来!

不会吧!KVM竟然不支持磁盘的精简置备!?

仅需一个公网IP地址,就能在互联网搞一张大二层网络

ADVPN的S-S捷径到底有没有从总部绕转?

一种基于IPsec的VXLAN“专线”解决方案

Danileaf_Guo
关注
WAN 革命:SD-WAN 与传统 WAN 对比
网络技术联盟站
06-02 992
广域网(WAN,Wide Area Network)是一种覆盖广泛地理区域的计算机网络。它的主要目的是连接分布在不同地理位置的局域网(LAN)和其他网络,使它们能够进行数据通信。WAN通常跨越城市、国家,甚至跨越大陆,通过专用链路、卫星通信和公共网络基础设施等实现远距离的网络连接。在WAN的架构中,数据传输的核心是通过路由器和交换机等网络设备,根据预定的路由协议将数据从一个地点传送到另一个地点。WAN连接方式包括租用专线、数字订户线(DSL)、光纤、微波和卫星等多种技术手段。
深信服防火墙——透明主主部署
weixin_42899191的博客
09-01 1721
透明主主部署是两台AF做网桥部署网络中,均处于工作状态,根据流量转发到不同AF的情况,来进行数据处理,通过心跳口同步配置及会话(网桥模式包括透明模式和虚拟网线模式)。 透明主主模式配置案例 某企业内部网络路由器和核心交换机做链路聚合,现购买了两台AF虚拟网线模式部署网络中,两台AF需要做网桥主主部署,经过两台AF的流量会存在来回流量路径不一致的问题,需要开启双机聚合功能,具体拓扑如下图所示...
SD-WAN搭建指南
TIANGEKUAJING的博客
08-09 484
SD-WAN(软件定义广域网)是一种现代化的网络架构,通过软件实现网络的管理和控制,为企业提供更高的可视性、控制和性能优化。搭建SD-WAN的过程包括多个步骤和技术考量,旨在确保网络的安全性、性能和可靠性。
透明路由
梁桥江的专栏
10-12 2609
Transparent Routers There are two basic models for interconnecting local-area networks and wide-area (or long-haul) networks in the Internet. In the first, the local-area network is assigned a
实用攻略——SD-WAN网络配置步骤详解
Cloudvalley的博客
11-28 2126
本文将详细介绍企业组网中SD-WAN涉及的配置过程,并提供一些配置技巧,以帮助企业快速了解企业组网的配置。
透明模式与路由模式
午夜安全
03-14 1万+
透明模式与路由模式 1. 透明模式 透明模式:对用户是透明的,即用户意识不到防火墙的存在。接口无法配置IP地址,唯一IP地址配置在Management 接口,用于设备的管理。用于2层网络的安全隔离。控制同一局域网内部安全访问。 流量转发:与交换机类似,接口无IP地址,通过目的MAC地址转发数据包。 优缺点:不需要重新做IP地址规划。 2. 路由模式 路由模式:每个接口都配置IP地址...
2021-2027全球与中国SD-WAN路由器市场现状及未来发展趋势.docx
12-17
SD-WAN路由器市场现状及未来发展趋势分析 SD-WAN(Software-Defined Wide Area Network,软件定义广域网)路由器是一种新型的网络设备,它通过软件定义的方式,将传统的硬件网络功能转化为可编程的软件服务,从而...
SD-WAN的几种典型部署和实践
SDWAN_Cheap的博客
08-11 4047
第一类部署场景: SD-WAN接入服务 ,也是最典型和最通俗的场景,有时也称为SD-WAN Edge 解决方案,运营商可以用这个技术作为MPLS互补或下一代MPLS替代,企业可以利用这个技术实现分支机构按需组网。 代表客户案例:2018年3月 南凌科技宣布“成为国内第一家有能力为客户提供全国范围内集MPLS VPN、IPSEC VPN、SD-WAN等多种应用的广域网解决方案服务商” 市场需求情况:随着企业上云和广域网按需接入的需求日益增加,传统的MSTP和MPLS等专线业务由于成本和部署周期长等问..
SD-WAN解决方案概述测试题.docx
05-15
3. **L3接口互联**:在SD-WAN分支站点设计时,如果LAN侧存在第三方设备,通常推荐使用三层(L3)接口实现互联,以确保不同设备之间的通信。但是,这并不绝对,也可以根据实际需求和兼容性选择其他方法。 4. **HUB-...
SD-WAN是怎么实现的?纯技术篇(下)
SDWAN_Cheap的博客
08-12 2353
二、SP Oriented SD-WAN 关于“SD-WAN能否取代传统的MPLS VPN”,其实这个问题的答案很明显。SD-WAN最大的价值之一,就是在Hybrid WAN的场景下更有效地去管理与使用WAN线路,帮助企业提高在WAN这一块的ROI。因此,SD-WAN的出发点并不是要对抗MPLS VPN,因此就谈不上要取代MPLS VPN,因为两者并不在一个层面上。 无论是从纸面上来看设计,还是从实践中看效果,SD-WAN确实实现了它所承诺的价值。运营商也很快地就看清楚了问题的本质,尽管SD-WAN..
sdwan实验】versa分支vxlan双向NAT打通
yb890102的博客
11-01 915
versa sdwan实验
10.12 ——透明网桥,路由策略,准入技术
GaLeng_Yang的博客
10-12 1522
准入
还有人不知道Overlay网络?看完这个你就全懂了
热门推荐
最铁头的网工博客
04-13 1万+
1、什么是Overlay网络? overlay(又叫叠加网络、覆盖网络)简单理解就是把一个逻辑网络建立在一个实体网络之上。其在大体框架上对基础网络不进行大规模修改就能实现应用在网络上的承载,并能与其它网络业务分离,通过控制协议对边缘的网络设备进行网络构建和扩展是SD-WAN以及数据中心等解决方案使用的核心组网技术。 2、为什么需要Overlay 网络? 说到为什么要用到Overlay网络就要提到它的对立面--underlay。 undeelay和overlay图 underlay是
【高级篇 / SDWAN】(7.0) ❀ 01. 如何将正在使用的宽带加入 SD-WAN ❀ FortiGate 防火墙
防火墙技术专栏
08-04 5774
  SD-WAN是FortiGate非常有特色的功能,可以将多条宽带集合成一个虚拟接口,简化配置的同时还能更好的利用宽带。 FortiOS 7.0版对SD-WAN配置界面做了很大的改动,选择菜单 【网络】-【SD-WAN】,点击【新建】-【SD-WAN】成员。   ① 当我们对接口下拉的时候,发现可以选择的接口里并没有我们正在使用的Wan口。这是因为SD-WAN的接口必须“很干净”,没有被策略或路由引用。   ③ 选择菜单【网络】-【接口】,这里我们为了接口窗口内容更简捷,鼠标右击小标题,
透明网桥(计算机网络
公众号:风景邮递Yuan的博客
10-04 4948
若转发表中给出的接口就是该帧进入网桥的接口,则应丢弃这个帧(因 为这时不需要经过网桥进行转发)。2、“透明”是指局域网上的站点并不知道所发送的帧将经过哪几个网桥,对各站点来说,网桥好像是“透明” 的,是看不见的。4、在网桥的转发表中写入的信息除了地址和接口外,还 有帧进入该网桥的时间。5、定期丢弃陈旧的信息,使网桥中的转发表能反映当前 网络的最新拓扑状态。1、在转发表中记录接收到帧的源地址及接收到该帧的接口。查找转发表中与收到帧的目的地址有无相匹配的项目。若转发表中给出的接口就是该帧进入网桥的接口,则应。
SD-WAN部署与安全
たかなし りっか
09-20 1307
一.加密算法 1. 对称算法 加解密双方使用相同的密钥与算法进行加解密 • 优点:速度快、紧凑 • 缺点:密钥膨胀、需要传输密钥、不支持数字签名 2. 非对称算法 公钥加密私钥解密,私钥加密公钥解密 • 优点:公钥共享、私钥不需要传输、支持数字签名 • 缺点:速度慢、不够紧凑 二.证书颁发机构 1. CA(Certificate Authority) • CA为每个使用公钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户 合法拥有证书中列出的公开密钥。 • CA的数字签名使得攻击者不能伪造和篡改
SD-WAN介绍
lingshengxiyou的博客
11-19 813
这里再引用一个报告,Riverbed 2015年通过对260个样本调查发现,29%的用户正在研究SD-WAN,而已经有5%的用户在使用SD-WAN。Hybrid WAN仍然占据了WAN市场较大一部分,当用户需要升级或者需要更灵活的WAN连接管理时,SD-WAN会是一个不错的替代。传统的网络厂商一般是在自己的WAN edge device(路由器,NGFW)里集成SD-WAN功能,而新兴的SD-WAN创业公司,更倾向于专有的SD-WAN设备,或者虚拟的SD-WAN产品,来配合WAN edge router。
防火墙的三种工作模式:路由模式、透明模式(网桥)、混合模式
最新发布
zhouwu_linux的专栏
10-10 2047
路由器基本功能的数据转发,都是采用防火墙的功能来实现
Flutter 路由跳转透明背景
flutter_learner的博客
07-05 1465
Flutter路由跳转时想要只显示跳转页面有内容的部分,剩余部分设置透明显示跳转前的页面。 如上图:具体实现 Navigator.of(context).push(PageRouteBuilder( //跳转背景透明路由 opaque: false, pageBuilder: (context, animation, secondaryAnimation) { return LoginPage().
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值