一個關於SDWAN單臂部署方案驗證的實驗

假設有這樣一張網路，其中 RTA和PCA表示某公司的A分支，透過中國電信CT路由器接入網際網路ISP；RTB和PCB表示某公司的B分支，透過中國聯通CU路由器接入網際網路ISP。 DNS （ 8 .8.8.8 ）表示某網際網路應用。

 

為實現 A分支私網1 92.168.2.0 / 24 和 B分支私網1 92.168.3.0 / 24 的互通，現計劃使用某廠商的 SD-WAN方案進打通兩個內網，像下圖這樣簡單變更一下網路。圖中POP為某廠商SD-WAN方案使用者接入點裝置，分支側透過接入CPE裝置進行互通。為不改變現有網路結構，將CPE裝置旁掛在分支的出口裝置上，需要能夠同時訪問到內網和網際網路即可，由CPE裝置和POP裝置建立隧道，進而實現內網互通。

 

這種架構的 SD-WAN() 方案是目前實現比較簡單的方案，對裝置整體要求不高，只要支援 IPsec即可，所以本案例主要也是透過IPsec來實現的。而且分支機構不需要具備公網IP地址，只要能訪問網際網路即可。

 

接下來就簡單了，可以說是單純的 IPsec的配置。

POP

建立 IKE keychain ， 並配置與 兩個 CPE 使用的預共享金鑰為明文的qwe123 。

#

ike keychain key1

 pre-shared-key hostname cpe1 key simple qwe123

 pre-shared-key hostname cpe2 key simple qwe123

建立IKE profile ， 指定 金鑰為 key1，配置IKE第一階段協商使用野蠻模式 。 指定使用IP地址 （ 24.1.1.4 ） 標識本端身份 ， 指定需要匹配對端身份型別為 名稱 cpe1 和 cpe2。

#

ike profile pro1

 keychain key1

 exchange-mode aggressive

 local-identity address 24.1.1.4

 match remote identity fqdn cpe1

 match remote identity fqdn cpe2

建立 IPsec安全提議 ， ESP加密演算法為aes-cbc-128 ， ESP認證演算法為sha1 。

#

ipsec transform-set tran1

 esp encryption-algorithm aes-cbc-128

 esp authentication-algorithm sha1

配置 IPsec安全框架，透過IKE協商建立安全聯盟 。

#

ipsec profile sdwan isakmp

 transform-set tran1

 ike-profile pro1

建立模式為 psec-p2mp 的 隧道介面Tunnel1 ，配置 WAN口地址為 介面的源端地址 ，並 配置Tunnel1介面的IP地址。 最後 在IPsec隧道介面上應用IPsec安全框架sdwan 。

#

interface Tunnel1 mode ipsec-p2mp

 ip address 11.1.1.1 255.255.255.0

 source 24.1.1.4

 tunnel protection ipsec profile sdwan

新增 A分支 到B 分支 的靜態路由 。

#

ip route-static 192.168.2.0 24 Tunnel1 11.1.1.2

ip route-static 192.168.3.0 24 Tunnel1 11.1.1.3

CPE 1

建立 IKE keychain ， 並配置與 POP（ 地址為24.1.1.4 ） 的對端使用的預共享金鑰為明文的qwe123 。

#

ike keychain key1

 pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123

建立IKE profile ， 指定 金鑰為 key1，配置IKE第一階段協商使用野蠻模式 ， 指定使用 名稱 cpe1標識本端身份。指定需要匹配對端身份型別為IP地址，取值為24.1.1.4。

#

ike profile pro1

 keychain key1

 exchange-mode aggressive

 local-identity fqdn cpe1

 match remote identity address 24.1.1.4 255.255.255.0

建立 IPsec安全提議 ， ESP加密演算法為aes-cbc-128 ， ESP認證演算法為sha1 。

#

ipsec transform-set tran1

 esp encryption-algorithm aes-cbc-128

 esp authentication-algorithm sha1

配置 IPsec安全框架，透過IKE協商建立安全聯盟 。

#

ipsec profile sdwan isakmp

 transform-set tran1

 ike-profile pro1

建立模式為 IPsec的 隧道 介面Tunnel1 ，配置 WAN口地址為 介面的源端地址 ，配置 POP地址為 介面的目的端地址 ，並 配置Tunnel1介面的IP地址。 最後 在IPsec隧道介面上應用IPsec安全框架sdwan 。

#

interface Tunnel1 mode ipsec

 ip address 11.1.1.2 255.255.255.0

 source GigabitEthernet2/0

 destination 24.1.1.4

 tunnel protection ipsec profile sdwan

配置 A分支 到B 分支 的靜態路由 。

#

ip route-static 192.168.3.0 24 Tunnel1

ip route-static 4.4.4.0 24 Tunnel1

CPE 2

配置同 CPE 1 ，不再贅述，直接上配置。

#

ike keychain key1

 pre-shared-key address 24.1.1.4 255.255.255.0 key simple qwe123

#

ike profile pro1

 keychain key1

 exchange-mode aggressive

 local-identity fqdn cpe2

 match remote identity address 24.1.1.4 255.255.255.0

#

ipsec transform-set tran1

 esp encryption-algorithm aes-cbc-128

 esp authentication-algorithm sha1

#

ipsec profile sdwan isakmp

 transform-set tran1

 ike-profile pro1

#

interface Tunnel1 mode ipsec

 ip address 22.1.1.2 255.255.255.0

 source GigabitEthernet2/0

 destination 24.1.1.4

 tunnel protection ipsec profile sdwan

#

ip route-static 192.168.2.0 24 Tunnel1

ip route-static 4.4.4.0 24 Tunnel1

接下來只要在路由器 RTA和RTB上將去往對端私網流量的下一跳指向CPE就可以了。

RTA

#

ip route-static 192.168.3.0 24 192.168.2.10

RTB

#

ip route-static 192.168.2.0 24 192.168.3.10

驗證配置

從 PCA上測試訪問PCB的情況。

 

可以看到，訪問正常，並且透過 tracert檢視轉發路徑，流量是先到閘道器，再到CPE 1 ，再到 POP，再到CPE 2 ，最後到達目標主機 PCB。

而且，此時是不影響訪問網際網路的，在私網互通的同時可以正常訪問模擬的公網業務。

 

檢視隧道介面狀態。

 

檢視當前 IKE SA的資訊 。

 

檢視當前 IPsec  SA的資訊 。

 

可以看到 POP上隧道對端的地址是分支的出口公網IP地址，而流量是全0的，也就是說，任何流量轉發過來都會封裝IPsec，這就是IPsec隧道的魅力所在。

如果要增加流量，只需要兩端內網對應的增加路由就可以了。