`
izuoyan
  • 浏览: 9219832 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

H3C路由器Hub-Spoke网络结构DVPN配置案例(试读连载一)

阅读更多

[博主按]从本期开始,应广大网友的要求,将从我的两本即将在10月底出版的路由器新书《路由器配置与管理完全手册》(CiscoH3C各一本)中抽取一些精彩小节,在11月底,每星期发表一篇内容试读文章,以便大家对这两本新书有更加充分的了解。

这两本书的目录参见:

http://blog.csdn.net/lycb_gz/archive/2010/06/19/5680564.aspx

http://blog.csdn.net/lycb_gz/archive/2010/07/20/5750498.aspx

目前这两本新书正接受限量300预订的读者(目前已预订了100多名了)将享受特别优惠的7折预订,并且赠送价值在10元以上的,为纪念我著书十周年而特制的2011年精美台历(满员后不再享受7折优惠,也没有礼品赠送)。要预订的请把你的姓名、地址、邮编、邮箱、电话、开发票单位告诉我即可。联系方式QQ93220994

13.3.2H3C路由器Hub-Spoke结构DVPN配置示例

本示例的拓扑结构如图13-8所示。示例中的网络结构为Hub-Spoke结构,数据仅通过Hub-Spoke隧道进行转发,SpokeHub之间建立永久隧道连接;Spoke之间不能直接构建虚拟隧道进行数据转发。示例中的各设备接口IP地址分配如表13-10所示。主/VAM服务器负责管理、维护各个节点的信息;AAA服务器负责对VAM客户端进行认证和计费管理;两个Hub互为备份,负责数据的转发和路由信息的交换。两个Hub和两Spoke上均只配置一个隧道接口Tunnel 1,也就只需配置一个VPNVPN 1

13-8 Hub-Spoke结构DVPN配置示例的拓扑结构

13-10 Hub-Spoke结构DVPN配置示例中的设备接口IP地址分配

设备

接口

IP地址

设备

接口

IP地址

Hub 1

 

Eth1/1

192.168.1.1/24

Spoke 1

 

 

Eth1/1

192.168.1.3/24

Tunnel1

10.0.1.1/24

Eth1/2

10.0.2.1/24

Hub 2

 

Eth1/1

192.168.1.2/24

Tunnel1

10.0.1.3/24

Tunnel1

10.0.1.2/24

Spoke 2

 

 

Eth1/1

192.168.1.4/24

VAM服务器

Eth1/1

192.168.1.22/24

Eth1/2

10.0.3.1/24

备份VAM服务器

Eth1/1

192.168.1.33//24

Tunnel1

10.0.1.4/24

AAA服务器

 

192.168.1.11/24

 

 

 

一、主VAM服务器的配置

1)按照图中标注配置主VAM服务器上各接口的IP地址(略)

2)配置AAA认证(认证方案为RADIUS)。

<MainServer> system-view

[MainServer] radius scheme rad1 !---创建一个名为rad1RADIUS认证方案

[MainServer-radius-radsun] primary authentication 192.168.1.11 1812 !--- 配置主RADIUS认证/授权服务器的IP地址为192.168.1.11UDP端口采用默认的1812号端口

[MainServer-radius-radsun] primary accounting 192.168.1.11 1813 !--- 配置主RADIUS计费服务器的IP地址为192.168.1.11UDP端口采用默认的1813号端口

[MainServer-radius-radsun] key authentication lycb !--- 配置RADIUS认证/授权报文的共享密钥为lycb

[MainServer-radius-radsun] key accounting lycb !--- 配置RADIUS计费报文的共享密钥为lycb

[MainServer-radius-radsun] server-type standard !--- 指定采用标准类型的RADIUS服务器,还可以选择“extended”选项,指定RADIUS服务器支持私有RADIUS标准

[MainServer-radius-radsun] user-name-format with-domain !--- 设置发送给RADIUS服务器的用户名采用带ISP域名的格式:userid@isp-name,还可以选择“without-domain选项,则用户名格式不带ISP域名。如果采用不带域名格式,则不同域中的用户名不要一样

[MainServer-radius-radsun] quit

3)配置ISP域的AAA方案。

[MainServer] domain domain1 !---创建一个名为domain1ISP

[MainServer-isp-domain1] authentication default radius-scheme rad1 !---指定domain1中所有用户默认采用名为前面创建的名为rad1RADIUS认证/授权方案

[MainServer-isp-domain1] accounting default radius-scheme rad1 !---指定domain1中所有用户默认采用名为前面创建的名为rad1RADIUS计费方案

[MainServer-isp-domain1] quit

[MainServer] domain default enable domain1 !--- 配置系统缺省的ISP域为domain1,所有在登录时没有提供ISP域名的用户都属于这个域

4)配置主VAM服务器。

[MainServer] vam server ip-address 192.168.1.22 !----指定VAM服务器上的监听IP地址

[MainServer] vam server vpn 1 !----创建VPN1

[MainServer-vam-server-vpn-1] pre-shared-key simple 123456 !---配置预共享密钥为123456

[MainServer-vam-server-vpn-1] authentication-method chap !----配置对客户端进行CHAP认证

!---下面三条用来指定VPN1中的两个Hub地址。

[MainServer-vam-server-vpn-1] hub private-ip 10.0.1.1

[MainServer-vam-server-vpn-1] hub private-ip 10.0.1.2

[MainServer-vam-server-vpn-1] quit

[MainServer] vam server vpn 2 !---创建VPN2

[MainServer-vam-server-vpn-2] pre-shared-key simple 654321 !----配置预共享密钥为654321

[MainServer-vam-server-vpn-2] authentication-method pap !---配置对客户端进行PAP认证

!---下面三条指定VPN2中的两个Hub地址。

[MainServer-vam-server-vpn-2] hub private-ip 10.0.2.1

[MainServer-vam-server-vpn-2] hub private-ip 10.0.2.2

[MainServer-vam-server-vpn-1] quit

[MainServer] vam server enable all !----启动所有VPN域的VAM Server功能

二、备份VAM服务器的配置

下面再来配置备份VAM服务器。这部分除监听IP地址外,备份VAM ServerDVPN配置与主VAM服务器的相同,参见前面介绍的主VAM服务器配置。

三、Hub1的配置

1)配置各接口的IP地址(略)。

2)配置VAM客户端。

<Hub1> system-view

!---下面两条是创建VPN1的客户端dvpn1hub1

[Hub1] vam client name dvpn1hub1

[Hub1-vam-client-name-dvpn1hub1] vpn 1

!---下面三条是配置VAM服务器的IP地址及VAM客户端的预共享密钥。

[Hub1-vam-client-name-dvpn1hub1] server primary ip-address 192.168.1.22

[Hub1-vam-client-name-dvpn1hub1] server secondary ip-address 192.168.1.33

[Hub1-vam-client-name-dvpn1hub1] pre-shared-key simple 123456

!---下面三条是配置Hub1的本地用户,用户名为dvpn1hub1,密码为dvpn1hub1

[Hub1-vam-client-name-dvpn1hub1] user dvpn1hub1 password simple dvpn1hub1

[Hub1-vam-client-name-dvpn1hub1] client enable

[Hub1-vam-client-name-dvpn1hub1] quit

3)配置IPsec安全框架

!---下面几条是配置IPsec安全提议。

[Hub1] ipsec proposal proppo1

[Hub1-ipsec-proposal-vam] encapsulation-mode tunnel

[Hub1-ipsec-proposal-vam] transform esp

[Hub1-ipsec-proposal-vam] esp encryption-algorithm des

[Hub1-ipsec-proposal-vam] esp authentication-algorithm sha1

[Hub1-ipsec-proposal-vam] quit

!---下面几条是配置IKE对等体。

[Hub1] ike peer peer1

[Hub1-ike-peer-vam] pre-shared-key abcdef

[Hub1-ike-peer-vam] quit

!---下面几条是配置IPsec安全框架。

[Hub1] ipsec profile profile1

[Hub1-ipsec-profile-vamp] proposal propo1

[Hub1-ipsec-profile-vamp] ike-peer peer1

[Hub1-ipsec-profile-vamp] sa duration time-based 600

[Hub1-ipsec-profile-vamp] pfs dh-group2

[Hub1-ipsec-profile-vamp] quit

4)配置DVPN隧道,配置VPN1的隧道接口Tunnel1及属性。

[Hub1] interface tunnel 1

[Hub1-Tunnel1] tunnel-protocol dvpn udp

[Hub1-Tunnel1] vam client dvpn1hub1

[Hub1-Tunnel1] ip address 10.0.1.1 255.255.255.0

[Hub1-Tunnel1] source ethernet 1/1

[Hub1-Tunnel1] ospf network-type broadcast

[Hub1-Tunnel1] ipsec profile profile1

[Hub1-Tunnel1] quit

5)配置OSPF路由

!---下面几条是配置公网的路由信息。

[Hub1] ospf 100

[Hub1-ospf-100] area 0

[Hub1-ospf-100-area-0.0.0.0] network 192.168.1.1 0.0.0.255

[Hub1-ospf-100-area-0.0.0.0] quit

!---下面几条是配置私网的路由信息。

[Hub1] ospf 200

[Hub1-ospf-200] area 0

[Hub1-ospf-200-area-0.0.0.0] network 10.0.1.1 0.0.0.255

[Hub1-ospf-200-area-0.0.0.0] quit

四、Hub2的配置

1)配置各接口的IP地址(略)。

2)配置VAM客户端。

<Hub2> system-view

!---下面两条是创建VPN1的客户端dvpn1hub2

[Hub2] vam client name dvpn1hub2

[Hub2-vam-client-name-dvpn1hub2] vpn 1

!---下面三条是配置VAM服务器的IP地址及VAM客户端的预共享密钥。

[Hub2-vam-client-name-dvpn1hub2] server primary ip-address 192.168.1.22

[Hub2-vam-client-name-dvpn1hub2] server secondary ip-address 192.168.1.33

[Hub2-vam-client-name-dvpn1hub2] pre-shared-key simple 123456

!---下面三条是配置Hub1的本地用户,用户名为dvpn1hub2,密码为dvpn1hub2

[Hub2-vam-client-name-dvpn1hub2] user dvpn1hub1 password simple dvpn1hub2

[Hub2-vam-client-name-dvpn1hub2] client enable

[Hub2-vam-client-name-dvpn1hub2] quit

3)配置IPsec安全框架

!---下面几条是配置IPsec安全提议。

[Hub2] ipsec proposal propo1

[Hub2-ipsec-proposal-vam] encapsulation-mode tunnel

[Hub2-ipsec-proposal-vam] transform esp

[Hub2-ipsec-proposal-vam] esp encryption-algorithm des

[Hub2-ipsec-proposal-vam] esp authentication-algorithm sha1

[Hub2-ipsec-proposal-vam] quit

!---下面几条是配置IKE对等体。

[Hub2] ike peer peer1

[Hub2-ike-peer-vam] pre-shared-key abcdef

[Hub2-ike-peer-vam] quit

!---下面几条是配置IPsec安全框架。

[Hub2] ipsec profile profile1

[Hub2-ipsec-profile-vamp] proposal propo1

[Hub2-ipsec-profile-vamp] ike-peer peer1

[Hub2-ipsec-profile-vamp] sa duration time-based 600

[Hub2-ipsec-profile-vamp] pfs dh-group2

[Hub2-ipsec-profile-vamp] quit

4)配置DVPN隧道,配置VPN1的隧道接口Tunnel1及属性。

[Hub2] interface tunnel 1

[Hub2-Tunnel1] tunnel-protocol dvpn udp

[Hub2-Tunnel1] vam client dvpn1hub2

[Hub2-Tunnel1] ip address 10.0.1.2 255.255.255.0

[Hub2-Tunnel1] source ethernet 1/1

[Hub2-Tunnel1] ospf network-type broadcast

[Hub2-Tunnel1] ipsec profile profile1

[Hub2-Tunnel1] quit

5)配置OSPF路由

!---下面几条是配置公网的路由信息。

[Hub2] ospf 100

[Hub2-ospf-100] area 0

[Hub2-ospf-100-area-0.0.0.0] network 192.168.1.2 0.0.0.255

[Hub2-ospf-100-area-0.0.0.0] quit

!---下面几条是配置私网的路由信息。

[Hub2] ospf 200

[Hub2-ospf-200] area 0

[Hub2-ospf-200-area-0.0.0.0] network 10.0.1.2 0.0.0.255

[Hub2-ospf-200-area-0.0.0.0] quit

五、Spoke1配置。

1)配置各接口的IP地址(略)。

2)配置VAM客户端。

<Spoke1> system-view

!---下面两条是创建VPN1的客户端dvpn1spoke1

styl

分享到:
评论

相关推荐

    一例通过运营商的hub-spoke配置案例

    在这个“一例通过运营商的hub-spoke配置案例”中,我们将深入探讨VRF(Virtual Routing and Forwarding)、单臂路由、MPLS(Multiprotocol Label Switching)以及EBGP(External Border Gateway Protocol)等关键...

    IP路由-OSPF支持Hub-And-Spoke组网典型配置举例.pdf

    3. OSPF配置思路:在配置OSPF支持Hub-And-Spoke组网时,需要根据实际网络情况,选择合适的OSPF配置思路。通常情况下,需要配置Hub设备和Spoke设备的OSPF邻居关系,并确保OSPF协议能够正确地计算最短路径。 4. OSPF...

    MPLS Hub-Spoke 模拟实验(ENSP)

    在MPLS Hub-Spoke模型中,Hub设备(通常是路由器)负责为所有Spoke设备提供中央接入点,处理所有到其他Spoke或外部网络的通信。数据包在进入MPLS域时,会被分配一个标签,这个标签将决定数据包的传输路径。由于标签...

    IP路由-OSPF支持Hub-And-Spoke组网技术白皮书-D.docx

    H3C的OSPF优化方案旨在提升Hub-And-Spoke组网的效率和稳定性,包括减少LSA的生成和传播,控制SPF(Shortest Path First,最短路径优先)计算频率,以及优化邻居关系的建立和维护等,从而降低了网络资源的消耗,提升...

    IP路由-OSPF支持Hub-And-Spoke组网典型配置举例-D.docx

    5. **性能优化**:针对Hub设备邻居过多可能导致的问题,如邻居超时和网络收敛慢,H3C可能提供了特定的OSPF优化策略,如调整OSPF的定时器参数,或者使用更高效的路由策略。 配置步骤通常包括: - **配置Hub设备**:...

    IP路由-OSPF支持Hub-And-Spoke组网技术白皮书.pdf

    为此,H3C提出了一系列控制LSA生成的方法: - **LSA老化机制**:合理设置LSA的老化时间,避免不必要的更新。 - **LSA抑制时间**:引入LSA抑制时间,即在一段时间内不发送重复的LSA更新,减少不必要的网络负载。 ...

    RT based-hub-and-spoke.pdf

    RT based-hub-and-spoke.pdf

    Hub-Spoke Network Choice Under Competition with an Application to Western Europe

    Nicole Adler在其论文《Hub-Spoke Network Choice Under Competition with an Application to Western Europe》中提出了一个模型结构,用于分析竞争框架内的轴辐网络设计问题。该模型基于微观经济理论,评估了在自由...

    H3CIE故障排查重点技术参考资料汇总集.rar

    DVPN HUB-SPOKE 2 DVPN HUB-SPOKE DVPN DVPN故障排查 E1POS故障排查 E1接口故障排查 FCM故障排查 HDLC故障排查 IPSEC VPN NAT IPSec VPN故障排查 IRF II故障排查 MPLS L2VPN故障排查 MSTP故障排查 NAT outbound故障...

    SD-WAN解决方案概述测试题.docx

    4. **HUB-Spoke组网**:HUB-Spoke是一种常见的SD-WAN网络结构,其中Hub站点作为中心节点,Spoke站点作为分支节点。双HUB设计意味着每个HUB可以支持一个或多个CPE,并且可以工作在active/standby或active/active模式...

    网络售前专家[高级] H3CE-Presales-Network (A)模拟题

    【网络售前专家[高级] H3CE-Presales-Network (A)模拟题】是新华三集团为准备H3C售前认证考试的专业人士设计的一套模拟试题,旨在帮助考生深入了解H3C的数通网络产品线,包括交换机和路由器产品。这套模拟题覆盖了多...

    FR的配置实例之Hub and Spoke点到点子接口-思科.pdf

    点到点子接口(Hub and Spoke)是帧中继(Frame Relay)网络中的一个典型配置模式,常用于构建中心节点(Hub)与多个远程节点(Spoke)之间的连接。在本文中,我们将深入理解这一配置实例,以及如何在思科设备上实现...

    H3C核心路由器技术白皮书汇总集.rar

    14OSP支持Hub- Spoke组网技术白皮书,pdf g15s- S for IPv6技术白皮书po 161s1sGR技术白皮书pdf df v6BGP技术白皮书 18MPLS技术白皮书pdf pdf 19 LDP GR技术白皮pdf 20 MPLS TE快速重路由技术白皮书,p 21嵌套PN技术...

    oci-hub-spoke:使用Terraform部署和管理中心辐射型拓扑的网络层

    oci-hub-spoke使用Terraform部署和管理中心辐射型拓扑的网络和计算层讲习班先决条件访问OCI租赁(帐户) OCI政策:Allow group GROUPNAME to manage instance-family in compartment COMPARTMENTNAMEAllow group ...

    MPLS VNPHUB and SPOKE.zip

    4. **设置PE(Provider Edge)路由器**:在HUB和SPOKE上,PE路由器是MPLS网络和用户网络的边界,需要配置适当的路由策略,如BGP(Border Gateway Protocol),以通告VRF路由信息。 5. **配置接口绑定VRF**:在HUB和...

    CCNA实验手册chp17帧中继上的OSPF

    帧中继作为一种非广播多址(NBMA)网络技术,被广泛应用于广域网中,尤其在Hub-and-Spoke结构中,这种网络架构通过中心节点连接多个分支节点,从而实现节约成本和简化配置的目的。在本章节中,我们将深入探讨如何在...

    SD-WAN技术实现方案(细节)

    北京HUB:CPE双线接入MPLS网络和宽带网络,宽带网络具有全球IP。杭州HUB:CPE双线接入MPLS网络和移动网络,宽带网络具有全球IP。SPOKE1:单线旁挂接入站点核心交换机,无全球IP。SPOKE2:CPE双线接入MPLS网络和宽带...

    7750Service Route VPLS配置实例与排障手册.doc

    配置HUB-SPOKE的VPLS示例 配置透传VLAN的VPLS示例 配置VPLS的灵活QinQ示例 配置基本的VPLS示例 组网需求 如图8-3,三台路由器PE1、PE2和PE3作为PE启动VPLS功能。PC1挂在PE1路由器上,PC2、PC3通过交换机CE2的...

    Business Solutions Sales Scenario - Hub and Spoke1.ppt

    Business Solutions Sales Scenario - Hub and Spoke1.ppt

    华为SD-WAN最佳实践(金融行业).zip

    01H3C以太网交换机通过Tene登录设备配置mp4 02H3C以太网交换机 Combo口配置mp4 03H3C以太网交换机DHCP服务器配置mp4 04H3C以太网交换机通过 Console口登录设备配置mp4 05H3C以太网交换机通过Web登录设备配置mp4 06H3...

Global site tag (gtag.js) - Google Analytics