ADVPN:Full-Mesh模型组网实验

于 2024-09-11 21:44:48 发布
阅读量211 收藏 2
点赞数 2
文章标签: 网络 php 服务器 数据库 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gtj0617/article/details/142170334
版权

b89b5d9ffe3f8329cd20a9ec189a2908.gif

正文共:1024 字 12 图,预估阅读时间:2 分钟

前一篇文章我们介绍了ADVPN的Hub-Spoke模型(ADVPN:Hub-Spoke模型组网实验),华三实现ADVPN是基于VAM协议来的。可以看出ADVPN的底层实现还是基于IKE和IPsec来的,采用Client/Server模型,其中VAM作为服务器端,负责收集、维护和分发客户端(ADVPN节点)动态变化的公网地址等信息。

ADVPN节点分为Hub设备和Spoke设备。其中Hub设备是ADVPN网络的中心设备,它是路由信息交换的中心。Spoke设备是ADVPN网络的分支设备,通常是企业分支机构的网关。

从上次的实验中,我们可以看到,Hub-Spoke模型中,Spoke设备之间不能建立隧道直接通信,只能通过Hub设备转发数据。而ADVPN组网结构的另一种模型就是Full-Mesh模型,这种模型下,Spoke设备和Spoke设备之间是可以建立隧道直接通信的。

还是上次的组网拓扑。

4e3e8f8b9833223010b598132d78f87a.png

在Hub-Spoke模型中,只有Hub设备和Spoke设备之间建立的H-S隧道或S-H隧道。

d50df4d170a4a77de0e2c875ee5ee021.png

而在Full-Mesh模型中,Spoke设备和Spoke设备之间也建立起了S-S隧道,可以直接通信,无需绕转Hub设备。这条隧道又称为shortcut(捷径)。

a9536d843e3757e7582d8735a5a9d4d3.png

在Full-Mesh的组网方模型,Spoke设备与Hub设备之间建立永久的ADVPN隧道,Spoke设备之间在有数据时动态建立ADVPN隧道。VAM服务器负责管理、维护各个节点的信息,并兼顾对VAM客户端的认证管理。

5f0005e13795a738072e69f98c87b4b7.png

VAM

VAM的配置和Hub-Spoke模型配置一致。

#
domain advpn
 authentication advpn local
#
domain default enable advpn
#
local-user HUB class network
 password simple HUB
 service-type advpn
#
local-user SPOKE1 class network
 password simple SPOKE1
 service-type advpn
#
local-user SPOKE2 class network
 password simple SPOKE2
 service-type advpn
#
vam server advpn-domain ADVPN id 1
 hub-group HUB
 hub private-address 10.10.10.1
 spoke private-address range 10.10.10.0 10.10.10.255
#
vam server advpn-domain ADVPN id 1
 pre-shared-key simple ADVPN
 authentication-method chap
 server enable

b470e2ddef4a6c0667524e8636423851.png

HUB

HUB设备的配置大体和Hub-Spoke模型配置一致,但需要调整GRE封装的ADVPN隧道接口Tunnel1的配置,将OSPF接口的网络类型由p2mp修改为broadcast。

#
vam client name HUB
 advpn-domain ADVPN
 server primary ip-address 15.1.1.5
 pre-shared-key simple ADVPN
 user HUB password simple HUB
 client enable
#
ike keychain ADVPN
 pre-shared-key address 0.0.0.0 0.0.0.0 key simple ADVPN
#
ike profile ADVPN
 keychain ADVPN
#
ipsec transform-set ADVPN
 encapsulation-mode transport
 esp encryption-algorithm des-cbc
 esp authentication-algorithm sha1
#
ipsec profile ADVPN isakmp
 transform-set ADVPN
 ike-profile ADVPN
#
ospf 1
 area 0.0.0.0
  network 10.10.10.0 0.0.0.255
  network 22.1.1.0 0.0.0.255
#
interface Tunnel1 mode advpn gre
 ip address 10.10.10.1 255.255.255.0
 ospf network-type broadcast
 source GigabitEthernet0/0
 tunnel protection ipsec profile ADVPN
 vam client HUB

14b7657e4bd104586102193c1f42fabc.png

SPOKE1

和HUB设备一样,将ADVPN隧道接口的OSPF接口网络类型由p2mp修改为broadcast。接口的DR优先级决定了该接口在选举DR/BDR时所具有的资格,数值越大,优先级越高。此时需要将DR优先级配置为0,使设备不参与DR/BDR选举。

#
vam client name SPOKE1
 advpn-domain ADVPN
 server primary ip-address 15.1.1.5
 pre-shared-key simple ADVPN
 user SPOKE1 password simple SPOKE1
 client enable
#
ike keychain ADVPN
 pre-shared-key address 0.0.0.0 0.0.0.0 key simple ADVPN
#
ike profile ADVPN
 keychain ADVPN
#
ipsec transform-set ADVPN
 encapsulation-mode transport
 esp encryption-algorithm des-cbc
 esp authentication-algorithm sha1
#
ipsec profile ADVPN isakmp
 transform-set ADVPN
 ike-profile ADVPN
#
ospf 1
 area 0.0.0.0
  network 10.10.10.0 0.0.0.255
  network 33.1.1.0 0.0.0.255
#
interface Tunnel1 mode advpn gre
 ip address 10.10.10.2 255.255.255.0
 ospf network-type broadcast
 ospf dr-priority 0
 source GigabitEthernet0/0
 tunnel protection ipsec profile ADVPN
 vam client SPOKE1

eef40ff50c90bd94861cd045bc56d12b.png

SPOKE2

配置和SPOKE1配置相似,直接上配置。

#
vam client name SPOKE2
 advpn-domain ADVPN
 server primary ip-address 15.1.1.5
 pre-shared-key simple ADVPN
 user SPOKE2 password simple SPOKE2
 client enable
#
ike keychain ADVPN
 pre-shared-key address 0.0.0.0 0.0.0.0 key simple ADVPN
#
ike profile ADVPN
 keychain ADVPN
#
ipsec transform-set ADVPN
 encapsulation-mode transport
 esp encryption-algorithm des-cbc
 esp authentication-algorithm sha1
#
ipsec profile ADVPN isakmp
 transform-set ADVPN
 ike-profile ADVPN
#
ospf 1
 area 0.0.0.0
  network 10.10.10.0 0.0.0.255
  network 44.1.1.0 0.0.0.255
#
interface Tunnel1 mode advpn gre
 ip address 10.10.10.3 255.255.255.0
 ospf network-type broadcast
 ospf dr-priority 0
 source GigabitEthernet0/0
 tunnel protection ipsec profile ADVPN
 vam client SPOKE2

b88b3d1b4d96425f51d59aeb2c855034.png

验证配置

838f2a85075ace001d427e5ec40de574.png

查看注册到主VAM Server的所有VAM Client的IPv4私网地址映射信息,可以看到HUB和SPOKE设备对应的隧道接口地址、公网地址、角色等信息。

6b5fa5ca6f77cd2e0992d2ac349b8736.png

在HUB设备上查看OSPF邻居信息。状态为DROther,表示路由器既不是所连网络的指定路由器,也不是所连网络的备份指定路由器。

6749d49b8dfb7457b22e8635a3308e3f.png

查看HUB上的IPv4 ADVPN隧道信息,可以看到类型是H-S,说明本端是HUB角色,对端是SPOKE角色。

1c7c11901448eda090600ad2323c6139.png

查看SPOKE2上的IPv4 ADVPN隧道信息,可以看到类型是S-H,说明本端是SPOKE角色,对端是HUB角色。

f574938b5caf4e4660e416b81f1a6678.png

此时SPOKE2和SPOKE1之间是没有隧道的,我们需要手工触发一下。

6d5089790b3e3ee4b9cc773430354bcb.png

可以看到,第一次触发的时候,TTL还是254,此时ADVPN的隧道状态是建立中。等隧道建立成功之后,TTL就变成了255,说明SPOKE2和SPOKE1之间成功建立了直连隧道S-S。

查看OSPF邻居状态,SPOKE2还是只和HUB建立邻居关系。

7b4a34401111273224c3663939326564.png

查看SPOKE2设备的路由,已经通过OSPF学习到了HUB和SPOKE1的私网路由,而且可以看到现在SPOKE2和SPOKE1的互联地址是直连路由了,而在Hub-Spoke模型中还是OSPF路由。

ec53ee97573d73a84dceede9040e485c.png

查看SPOKE2建立的IKE SA和IPsec SA信息,可以看到,隧道存在于SPOKE2和HUB、SPOKE2和SPOKE1之间。

5369b3fcee9eac67136fd838faf5c811.png

从SITE1追踪到SITE2的路径信息,可以看到,流量先到达网关SPOKE1,再到达SPOKE2,最后到达SITE2,符合Full-Mesh模型的转发路径,即:Spoke设备和Spoke设备之间建立起了S-S隧道,可以直接通信,无需绕转Hub设备。互访流量走“捷径”转发。

fc89d5a185ac84271dff0996ea8043bf.png

95ccaf9eb94229ed90cf8426505bdca4.gif

长按二维码
关注我们吧

c96a23fb8501a1e23441fbe579b93354.jpeg

c5b10c1d95c48908ef5b0cf9161fe341.png

ADVPN:Hub-Spoke类型组网实验

ADVPN和IPsec有啥关系?

使用以太网 VPN (EVPN) 的网络虚拟化Overlay解决方案

DRNI三层转发配置实验

中华之名,有为之势!看eNSP如何吊打HCL

分享一些关于防火墙的基础知识,你了解了吗?

常用VPN性能对比测试(IPsec、L2TP VPN、SSL VPN、L2TP over IPsec等)

Danileaf_Guo
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Danileaf_Guo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值