×

AF中gre over ipsec vpn的使用分享
  

nihongliang Lv4发表于 2017-5-19 17:11

本帖最后由 nihongliang 于 2017-5-25 16:41 编辑

前言: sangforvpn支持总部与分支组网,但默认分支与分支无法互访,必须要通过两端配置隧道间路由,将去往另外一个分支的路由丢给vpntun。标准的ipsec不支持动态路由,gre支持动态路由,所以将两者结合即gre over ipsec vpn。

这个文档官方一直没更新,但对个功能还是蛮关心的,去优酷上看了下更新的三个视频,gre,ospf,gre over ipsec。然后将三个知识点结合一下,找了三台AF测试机升到7.2(ps:超融合的vAF只有6.9不支持gre,坑啊),自己动手做了个实验,分享一下吧。

首先配置基础网络,然后配置gre的部分,gre里面ip地址就是tunnel接口地址,然后源地址填本端的lan口ip,目的地址填分支lan口ip。设置好gre后,要配置动态路由协议,ospf将本地网段发布出来,最后配置ipsec部分进行数据加密(ps:这里ipsec是标准的ipsec 不是sangforvpn),ipsec第三方对接这里就不具体贴图了,直接用主模式配就行了。
拓扑.jpg
01-网络配置.jpg
02-网络配置.jpg
03-网络配置.jpg
总部-tun1.jpg
总部-tun2.jpg
分支2-tun.jpg
总部-ospf.jpg
分支2-ospf.jpg
总部ipsec-01.jpg
总部ipsec-02.jpg
分支1路由表.jpg

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

nihongliang Lv4发表于 2017-5-19 17:33
  
本帖最后由 nihongliang 于 2017-5-22 10:23 编辑

vpn建立好之后,我们可以看下分支2的路由表,已经通过总部学习到了分支1的路由(192.168.2.0/24),如果我们将ipsecvpn停止服务器,那么路由表中只会有tunnel接口的直连路由。
分支2-路由表.jpg
vpn断开后的路由表.jpg
杨帆 Lv2发表于 2017-5-19 17:59
  
帖子必须赞一个咯,这样才凑的起字数
7情6欲 Lv15发表于 2017-5-20 13:53
  
分享不错
sangforshanghai Lv3发表于 2017-5-22 09:46
  
真是好帖呀,大神级人物,膜拜膜拜膜拜。。。
低了低头 Lv3发表于 2017-5-22 09:47
  
倪大神,牛皮
悟空我在这 Lv4发表于 2017-8-13 22:28
  
手动点赞