1. 隧道2
2. 隧道1
3. 隧道6+隧道5,以隧道间路由的方式
1. gre1隧道:是基于sangfor vpn隧道建立的。其运行在哪条物理链路上,由分段的sangfor vpn隧道选路策略决定。途经SD-WAN_1、 SD-WAN_2、 SD-WAN_3。
2. gre2 隧道:同gre1隧道,但路径唯一,由隧道7和隧道5组成。途径SD-WAN_1、 SD-WAN_4、 SD-WAN_3。
在总行边界路由器R2(思科)上的引流配置:
1、配置ACL匹配感兴趣流:指定哪些数据流进入到VPN隧道中。
ip access-list extended R1
permit ip 188.68.1.0 0.0.0.255 198.70.100.0 0.0.0.255 log
permit icmp 188.68.1.0 0.0.0.255 198.70.100.0 0.0.0.255 log
permit ip 188.68.1.0 0.0.0.255 198.70.1.0 0.0.0.255 log
permit icmp 188.68.1.0 0.0.0.255 198.70.1.0 0.0.0.255 log
采用的是扩展ACL,匹配的是源地址为188.68.1.0/24,目的地址为198.70.100.0/24的IP、ICMP包为感兴趣流。
2、配置route-map,修改感兴趣流的下一跳为WOC设备的lan口地址
route-map YL permit 10
match ip address R1
set ip next-hop 192.168.1.2
!
route-map YL permit 20
3、在总行数据流流向R2的入向接口gi1/0/1上调用route-map
interface GigabitEthernet1/0/1
description to hexin
no switchport
ip address 188.68.48.10 255.255.255.252
ip ospf network point-to-point
ip policy route-map YL
分行、支行引流配置和总行类似,只有ACL的源目IP、感兴趣流下一跳地址、调用route-map的接口发生改动,其余不变。
1.1 路径在这次方案中,环境中的每条专线上都只有一个唯一的隧道。
隧道1-7分别一一对应着客户的不同专线。当专线发生中断时,隧道就断了。举例:当R2到R4的专线1发生中断时,隧道2就中断了,不会出现隧道2跑到专线2的情况。这样做的目的是为了避免出现两条隧道运行在同一个物理专线时,无法做qos的情况。
为实现每条专线上有且仅有一个隧道,针对客户的不同底层网络做分析:
这个方案中,总、分行之间运行的是BGP协议:
以隧道2为例,隧道2两端IP:192.168.1.12/24(SD-WAN_1)、192.168.3.2/24(SD-WAN_2)
在R2的BGP上向R4只传递192.168.1.12/32路由(32位不是24位)
在R4的BGP上向R2只传递192.168.3.2/32路由(32位不是24位)
在R2上的具体配置:
1、先定义前缀列表:
ip prefix-list sdwan seq 5 permit 198.70.1.0/24
ip prefix-list sdwan seq 10 permit 198.70.100.0/24
ip prefix-list sdwan seq 15 permit 188.68.1.0/24
ip prefix-list sdwan seq 20 permit 192.168.1.12/32
ip prefix-list sdwan seq 25 permit 192.168.3.2/32
为保证当SDWAN设备故障时,流量仍能通过底层网路通信,所以这里加入总行、分行、支行的服务器网段。
2、配置route-map:调用步骤1的前缀列表,允许前缀列表里的IP,拒绝其他所有IP
route-map sdwan permit 10
match ip address prefix-list sdwan
!
route-map sdwan deny 20
!
3、在BGP协议中启用route-map,向R4只传递前缀列表中定义的IP
为保证BGP路由正确的发给BGP邻居,本地必须存在该路由。发布32位路由的方法有两种:
Ⅰ、写一条32位的静态路由,在BGP中本地宣告出去。
Ⅱ、写一条32位的静态路由,重分发静态路由到BGP中。
隧道2在R4上的底层配置和R2类似,其他的隧道请参照隧道2的建立方法。
1. WOC配置1.1 GRE配置GRE隧道建立在sangfor vpn的基础上,智能选路策略、安全访问控制、QOS等都由每段sangfor vpn决定。
1.1.1 总行端
总行和支行建立两个gre隧道,gre1和gre2
gre1使用两端的vpn接口地址作为gre的源目端地址
gre2使用两端的lan口地址作为gre的源目端地址
Gre1的配置如下:
Gre2的配置如下:
1.1.1 支行端
总行和支行建立两个gre隧道,gre1和gre2
gre1使用两端的vpn接口地址作为gre的源目端地址
gre2使用两端的lan口地址作为gre的源目端地址
Gre1隧道
1.1 策略路由1.1.1 总行端
配置策略路由:
1. 策略路由线路,开启ping链路故障检测。
1. 策略路由规则:
匹配源目IP地址,选择策略路由线路,规则从上至下依次匹配。
在[策略路由线路]观察线路的链路状态,若链路状态正常,参与策略路由规则的选路;若链路状态故障,不参与策略路由规则的选路。
1.1.1 支行端
配置策略路由:
1. 策略路由线路,开启ping链路故障检测。
1. 策略路由规则:
匹配源目IP地址,选择策略路由线路,规则从上至下依次匹配。
在[策略路由线路]观察线路的链路状态,若链路状态正常,参与策略路由规则的选路;若链路状态故障,不参与策略路由规则的选路。