13.3.2H3C路由器Hub-Spoke结构DVPN配置示例
本示例的拓扑结构如图13-8所示。示例中的网络结构为Hub-Spoke结构,数据仅通过Hub-Spoke隧道进行转发,Spoke与Hub之间建立永久隧道连接;Spoke之间不能直接构建虚拟隧道进行数据转发。示例中的各设备接口IP地址分配如表13-10所示。主/备VAM服务器负责管理、维护各个节点的信息;AAA服务器负责对VAM客户端进行认证和计费管理;两个Hub互为备份,负责数据的转发和路由信息的交换。两个Hub和两Spoke上均只配置一个隧道接口Tunnel 1,也就只需配置一个VPN域VPN 1。
图13-8 Hub-Spoke结构DVPN配置示例的拓扑结构
表13-10 Hub-Spoke结构DVPN配置示例中的设备接口IP地址分配
|
设备
|
接口
|
IP地址
|
设备
|
接口
|
IP地址
|
|
Hub 1
|
Eth1/1
|
192.168.1.1/24
|
Spoke 1
|
Eth1/1
|
192.168.1.3/24
|
|
Tunnel1
|
10.0.1.1/24
|
Eth1/2
|
10.0.2.1/24
|
|
Hub 2
|
Eth1/1
|
192.168.1.2/24
|
Tunnel1
|
10.0.1.3/24
|
|
Tunnel1
|
10.0.1.2/24
|
Spoke 2
|
Eth1/1
|
192.168.1.4/24
|
|
主VAM服务器
|
Eth1/1
|
192.168.1.22/24
|
Eth1/2
|
10.0.3.1/24
|
|
备份VAM服务器
|
Eth1/1
|
192.168.1.33//24
|
Tunnel1
|
10.0.1.4/24
|
|
AAA服务器
|
|
192.168.1.11/24
|
|
|
|
一、主VAM服务器的配置
(1)按照图中标注配置主VAM服务器上各接口的IP地址(略)
(2)配置AAA认证(认证方案为RADIUS)。
<MainServer> system-view
[MainServer] radius scheme rad1 !---创建一个名为rad1的RADIUS认证方案
[MainServer-radius-radsun] primary authentication 192.168.1.11 1812 !--- 配置主RADIUS认证/授权服务器的IP地址为192.168.1.11,UDP端口采用默认的1812号端口
[MainServer-radius-radsun] primary accounting 192.168.1.11 1813 !--- 配置主RADIUS计费服务器的IP地址为192.168.1.11,UDP端口采用默认的1813号端口
[MainServer-radius-radsun] key authentication lycb !--- 配置RADIUS认证/授权报文的共享密钥为lycb
[MainServer-radius-radsun] key accounting lycb !--- 配置RADIUS计费报文的共享密钥为lycb
[MainServer-radius-radsun] server-type standard !--- 指定采用标准类型的RADIUS服务器,还可以选择“extended”选项,指定RADIUS服务器支持私有RADIUS标准
[MainServer-radius-radsun] user-name-format with-domain !--- 设置发送给RADIUS服务器的用户名采用带ISP域名的格式:userid@isp-name,还可以选择“without-domain”选项,则用户名格式不带ISP域名。如果采用不带域名格式,则不同域中的用户名不要一样
[MainServer-radius-radsun] quit
(3)配置ISP域的AAA方案。
[MainServer] domain domain1 !---创建一个名为domain1的ISP域
[MainServer-isp-domain1] authentication default radius-scheme rad1 !---指定domain1中所有用户默认采用名为前面创建的名为rad1的RADIUS认证/授权方案
[MainServer-isp-domain1] accounting default radius-scheme rad1 !---指定domain1中所有用户默认采用名为前面创建的名为rad1的RADIUS计费方案
[MainServer-isp-domain1] quit
[MainServer] domain default enable domain1 !--- 配置系统缺省的ISP域为domain1,所有在登录时没有提供ISP域名的用户都属于这个域
(4)配置主VAM服务器。
[MainServer] vam server ip-address 192.168.1.22 !----指定VAM服务器上的监听IP地址
[MainServer] vam server vpn 1 !----创建VPN域1
[MainServer-vam-server-vpn-1] pre-shared-key simple 123456 !---配置预共享密钥为123456
[MainServer-vam-server-vpn-1] authentication-method chap !----配置对客户端进行CHAP认证
!---下面三条用来指定VPN域1中的两个Hub地址。
[MainServer-vam-server-vpn-1] hub private-ip 10.0.1.1
[MainServer-vam-server-vpn-1] hub private-ip 10.0.1.2
[MainServer-vam-server-vpn-1] quit
[MainServer] vam server vpn 2 !---创建VPN域2
[MainServer-vam-server-vpn-2] pre-shared-key simple 654321 !----配置预共享密钥为654321
[MainServer-vam-server-vpn-2] authentication-method pap !---配置对客户端进行PAP认证
!---下面三条指定VPN域2中的两个Hub地址。
[MainServer-vam-server-vpn-2] hub private-ip 10.0.2.1
[MainServer-vam-server-vpn-2] hub private-ip 10.0.2.2
[MainServer-vam-server-vpn-1] quit
[MainServer] vam server enable all !----启动所有VPN域的VAM Server功能
二、备份VAM服务器的配置
下面再来配置备份VAM服务器。这部分除监听IP地址外,备份VAM Server的DVPN配置与主VAM服务器的相同,参见前面介绍的主VAM服务器配置。
三、Hub1的配置
(1)配置各接口的IP地址(略)。
(2)配置VAM客户端。
<Hub1> system-view
!---下面两条是创建VPN域1的客户端dvpn1hub1。
[Hub1] vam client name dvpn1hub1
[Hub1-vam-client-name-dvpn1hub1] vpn 1
!---下面三条是配置VAM服务器的IP地址及VAM客户端的预共享密钥。
[Hub1-vam-client-name-dvpn1hub1] server primary ip-address 192.168.1.22
[Hub1-vam-client-name-dvpn1hub1] server secondary ip-address 192.168.1.33
[Hub1-vam-client-name-dvpn1hub1] pre-shared-key simple 123456
!---下面三条是配置Hub1的本地用户,用户名为dvpn1hub1,密码为dvpn1hub1。
[Hub1-vam-client-name-dvpn1hub1] user dvpn1hub1 password simple dvpn1hub1
[Hub1-vam-client-name-dvpn1hub1] client enable
[Hub1-vam-client-name-dvpn1hub1] quit
(3)配置IPsec安全框架
!---下面几条是配置IPsec安全提议。
[Hub1] ipsec proposal proppo1
[Hub1-ipsec-proposal-vam] encapsulation-mode tunnel
[Hub1-ipsec-proposal-vam] transform esp
[Hub1-ipsec-proposal-vam] esp encryption-algorithm des
[Hub1-ipsec-proposal-vam] esp authentication-algorithm sha1
[Hub1-ipsec-proposal-vam] quit
!---下面几条是配置IKE对等体。
[Hub1] ike peer peer1
[Hub1-ike-peer-vam] pre-shared-key abcdef
[Hub1-ike-peer-vam] quit
!---下面几条是配置IPsec安全框架。
[Hub1] ipsec profile profile1
[Hub1-ipsec-profile-vamp] proposal propo1
[Hub1-ipsec-profile-vamp] ike-peer peer1
[Hub1-ipsec-profile-vamp] sa duration time-based 600
[Hub1-ipsec-profile-vamp] pfs dh-group2
[Hub1-ipsec-profile-vamp] quit
(4)配置DVPN隧道,配置VPN域1的隧道接口Tunnel1及属性。
[Hub1] interface tunnel 1
[Hub1-Tunnel1] tunnel-protocol dvpn udp
[Hub1-Tunnel1] vam client dvpn1hub1
[Hub1-Tunnel1] ip address 10.0.1.1 255.255.255.0
[Hub1-Tunnel1] source ethernet 1/1
[Hub1-Tunnel1] ospf network-type broadcast
[Hub1-Tunnel1] ipsec profile profile1
[Hub1-Tunnel1] quit
(5)配置OSPF路由
!---下面几条是配置公网的路由信息。
[Hub1] ospf 100
[Hub1-ospf-100] area 0
[Hub1-ospf-100-area-0.0.0.0] network 192.168.1.1 0.0.0.255
[Hub1-ospf-100-area-0.0.0.0] quit
!---下面几条是配置私网的路由信息。
[Hub1] ospf 200
[Hub1-ospf-200] area 0
[Hub1-ospf-200-area-0.0.0.0] network 10.0.1.1 0.0.0.255
[Hub1-ospf-200-area-0.0.0.0] quit
四、Hub2的配置
(1)配置各接口的IP地址(略)。
(2)配置VAM客户端。
<Hub2> system-view
!---下面两条是创建VPN域1的客户端dvpn1hub2。
[Hub2] vam client name dvpn1hub2
[Hub2-vam-client-name-dvpn1hub2] vpn 1
!---下面三条是配置VAM服务器的IP地址及VAM客户端的预共享密钥。
[Hub2-vam-client-name-dvpn1hub2] server primary ip-address 192.168.1.22
[Hub2-vam-client-name-dvpn1hub2] server secondary ip-address 192.168.1.33
[Hub2-vam-client-name-dvpn1hub2] pre-shared-key simple 123456
!---下面三条是配置Hub1的本地用户,用户名为dvpn1hub2,密码为dvpn1hub2。
[Hub2-vam-client-name-dvpn1hub2] user dvpn1hub1 password simple dvpn1hub2
[Hub2-vam-client-name-dvpn1hub2] client enable
[Hub2-vam-client-name-dvpn1hub2] quit
(3)配置IPsec安全框架
!---下面几条是配置IPsec安全提议。
[Hub2] ipsec proposal propo1
[Hub2-ipsec-proposal-vam] encapsulation-mode tunnel
[Hub2-ipsec-proposal-vam] transform esp
[Hub2-ipsec-proposal-vam] esp encryption-algorithm des
[Hub2-ipsec-proposal-vam] esp authentication-algorithm sha1
[Hub2-ipsec-proposal-vam] quit
!---下面几条是配置IKE对等体。
[Hub2] ike peer peer1
[Hub2-ike-peer-vam] pre-shared-key abcdef
[Hub2-ike-peer-vam] quit
!---下面几条是配置IPsec安全框架。
[Hub2] ipsec profile profile1
[Hub2-ipsec-profile-vamp] proposal propo1
[Hub2-ipsec-profile-vamp] ike-peer peer1
[Hub2-ipsec-profile-vamp] sa duration time-based 600
[Hub2-ipsec-profile-vamp] pfs dh-group2
[Hub2-ipsec-profile-vamp] quit
(4)配置DVPN隧道,配置VPN域1的隧道接口Tunnel1及属性。
[Hub2] interface tunnel 1
[Hub2-Tunnel1] tunnel-protocol dvpn udp
[Hub2-Tunnel1] vam client dvpn1hub2
[Hub2-Tunnel1] ip address 10.0.1.2 255.255.255.0
[Hub2-Tunnel1] source ethernet 1/1
[Hub2-Tunnel1] ospf network-type broadcast
[Hub2-Tunnel1] ipsec profile profile1
[Hub2-Tunnel1] quit
(5)配置OSPF路由
!---下面几条是配置公网的路由信息。
[Hub2] ospf 100
[Hub2-ospf-100] area 0
[Hub2-ospf-100-area-0.0.0.0] network 192.168.1.2 0.0.0.255
[Hub2-ospf-100-area-0.0.0.0] quit
!---下面几条是配置私网的路由信息。
[Hub2] ospf 200
[Hub2-ospf-200] area 0
[Hub2-ospf-200-area-0.0.0.0] network 10.0.1.2 0.0.0.255
[Hub2-ospf-200-area-0.0.0.0] quit
五、Spoke1配置。
(1)配置各接口的IP地址(略)。
(2)配置VAM客户端。
<Spoke1> system-view
!---下面两条是创建VPN域1的客户端dvpn1spoke1。
styl
分享到:
相关推荐
在这个“一例通过运营商的hub-spoke配置案例”中,我们将深入探讨VRF(Virtual Routing and Forwarding)、单臂路由、MPLS(Multiprotocol Label Switching)以及EBGP(External Border Gateway Protocol)等关键...
3. OSPF配置思路:在配置OSPF支持Hub-And-Spoke组网时,需要根据实际网络情况,选择合适的OSPF配置思路。通常情况下,需要配置Hub设备和Spoke设备的OSPF邻居关系,并确保OSPF协议能够正确地计算最短路径。 4. OSPF...
在MPLS Hub-Spoke模型中,Hub设备(通常是路由器)负责为所有Spoke设备提供中央接入点,处理所有到其他Spoke或外部网络的通信。数据包在进入MPLS域时,会被分配一个标签,这个标签将决定数据包的传输路径。由于标签...
H3C的OSPF优化方案旨在提升Hub-And-Spoke组网的效率和稳定性,包括减少LSA的生成和传播,控制SPF(Shortest Path First,最短路径优先)计算频率,以及优化邻居关系的建立和维护等,从而降低了网络资源的消耗,提升...
5. **性能优化**:针对Hub设备邻居过多可能导致的问题,如邻居超时和网络收敛慢,H3C可能提供了特定的OSPF优化策略,如调整OSPF的定时器参数,或者使用更高效的路由策略。 配置步骤通常包括: - **配置Hub设备**:...
为此,H3C提出了一系列控制LSA生成的方法: - **LSA老化机制**:合理设置LSA的老化时间,避免不必要的更新。 - **LSA抑制时间**:引入LSA抑制时间,即在一段时间内不发送重复的LSA更新,减少不必要的网络负载。 ...
RT based-hub-and-spoke.pdf
Nicole Adler在其论文《Hub-Spoke Network Choice Under Competition with an Application to Western Europe》中提出了一个模型结构,用于分析竞争框架内的轴辐网络设计问题。该模型基于微观经济理论,评估了在自由...
DVPN HUB-SPOKE 2 DVPN HUB-SPOKE DVPN DVPN故障排查 E1POS故障排查 E1接口故障排查 FCM故障排查 HDLC故障排查 IPSEC VPN NAT IPSec VPN故障排查 IRF II故障排查 MPLS L2VPN故障排查 MSTP故障排查 NAT outbound故障...
4. **HUB-Spoke组网**:HUB-Spoke是一种常见的SD-WAN网络结构,其中Hub站点作为中心节点,Spoke站点作为分支节点。双HUB设计意味着每个HUB可以支持一个或多个CPE,并且可以工作在active/standby或active/active模式...
【网络售前专家[高级] H3CE-Presales-Network (A)模拟题】是新华三集团为准备H3C售前认证考试的专业人士设计的一套模拟试题,旨在帮助考生深入了解H3C的数通网络产品线,包括交换机和路由器产品。这套模拟题覆盖了多...
点到点子接口(Hub and Spoke)是帧中继(Frame Relay)网络中的一个典型配置模式,常用于构建中心节点(Hub)与多个远程节点(Spoke)之间的连接。在本文中,我们将深入理解这一配置实例,以及如何在思科设备上实现...
14OSP支持Hub- Spoke组网技术白皮书,pdf g15s- S for IPv6技术白皮书po 161s1sGR技术白皮书pdf df v6BGP技术白皮书 18MPLS技术白皮书pdf pdf 19 LDP GR技术白皮pdf 20 MPLS TE快速重路由技术白皮书,p 21嵌套PN技术...
oci-hub-spoke使用Terraform部署和管理中心辐射型拓扑的网络和计算层讲习班先决条件访问OCI租赁(帐户) OCI政策:Allow group GROUPNAME to manage instance-family in compartment COMPARTMENTNAMEAllow group ...
4. **设置PE(Provider Edge)路由器**:在HUB和SPOKE上,PE路由器是MPLS网络和用户网络的边界,需要配置适当的路由策略,如BGP(Border Gateway Protocol),以通告VRF路由信息。 5. **配置接口绑定VRF**:在HUB和...
帧中继作为一种非广播多址(NBMA)网络技术,被广泛应用于广域网中,尤其在Hub-and-Spoke结构中,这种网络架构通过中心节点连接多个分支节点,从而实现节约成本和简化配置的目的。在本章节中,我们将深入探讨如何在...
北京HUB:CPE双线接入MPLS网络和宽带网络,宽带网络具有全球IP。杭州HUB:CPE双线接入MPLS网络和移动网络,宽带网络具有全球IP。SPOKE1:单线旁挂接入站点核心交换机,无全球IP。SPOKE2:CPE双线接入MPLS网络和宽带...
配置HUB-SPOKE的VPLS示例 配置透传VLAN的VPLS示例 配置VPLS的灵活QinQ示例 配置基本的VPLS示例 组网需求 如图8-3,三台路由器PE1、PE2和PE3作为PE启动VPLS功能。PC1挂在PE1路由器上,PC2、PC3通过交换机CE2的...
Business Solutions Sales Scenario - Hub and Spoke1.ppt
01H3C以太网交换机通过Tene登录设备配置mp4 02H3C以太网交换机 Combo口配置mp4 03H3C以太网交换机DHCP服务器配置mp4 04H3C以太网交换机通过 Console口登录设备配置mp4 05H3C以太网交换机通过Web登录设备配置mp4 06H3...