需求:客户办公场所分隔两地,一个在北京,一个在深圳,采用专线连接的方式,但传输速度一直很慢,想体验下WOC的加速效果。
一、网络拓扑
北京和深圳的WOC均单臂部署。
左侧为北京,右侧为深圳。
二、WOC配置
1、北京WOC配置。
a.部署设置
路径:【系统】--【部署设置】--【网络接口】
b.启用CDP
路径:【系统】--【部署设置】--【WCCP/CDP/NQA设置】
c.配置加速账号和加速策略
路径:【加速】--【服务端】--【用户】
新建一个“shenzhen”用户。
2、深圳WOC配置。
a.部署设置。
b.启用CDP
路径:【系统】--【部署设置】--【WCCP/CDP/NQA设置】
c.配置加速连接
路径:【加速】--【客户端】--【连接中心端网关】
3、加速连接建立
路径:【状态】--【加速状态】--【加速连接】
三、交换机配置
1、SW1配置
ip route-static 172.16.0.1 255.255.255.255 192.168.1.2
ip route-static 192.168.1.1 255.255.255.255 192.168.1.2
2、SW2配置
ip route-static 192.168.1.1 255.255.255.255 172.16.0.2
ip route-static 172.16.0.1 255.255.255.255 172.16.0.2
3、解释下为什么这样配置:
客户对技术很懂,说PBR不是抓取流量再选路吗?我静态路由不关心那心,将去往终端的流量都交给WOC不就OK了吗?:冷漠:
好像很有道理,我竟无言以对。:石化:
PBR就是将去往对端的流量交给WOC,再将对端访问本端的流量交给WOC,我静态路由一样可以做啊?有问题吗?
三、排查
1、测试
PC1无法访问到PC2。
2、排查
经过我与现场小伙伴的反复沟通,觉得问题出现在路由身上,应该对路由进行修改。
需要将4条静态路由修改为2条。
依据:
a.WOC1与WOC2建立了加速隧道,数据到达WOCX后,会直接通过隧道到达对端,可以忽略中间的广域网络。
想想是不是很有道理?我不需要关心你对端怎么回啊,交给隧道就OK了。 b.对端回过数据后直接到达WOC1设备,根本不需要再指路由到WOC1。
从PC1到PC2的数据流:PC1->SW1->WOC1->WOC2->SW2-> PC2
从PC2到PC1的数据流:PC2>SW2->WOC2->WOC1->SW1-> PC1
于是,我们就这么修改了:
a.SW1配置
ip route-static 172.16.0.1 255.255.255.255 192.168.1.2
b.SW2配置
ip route-static 192.168.1.1 255.255.255.255 172.16.0.2
3.再测试
依旧不通。
我们在PC1上进行了路径跟踪。
我们发现在北京这端形成了一个环路网络。数据并没有像我们想象中的走。
在VPN设备单臂模式部署,需要配置IPSec VPN中,必须要写一条目的是对端地址网段到VPN设备接口的静态路由。为什么在WOC上就不行了呢?:睡觉:
原因:WOC建立的加速连接不会建立隧道。
4、配置IPSec VPN
为了验证上述的判断,我们启用VPN试下。
a.北京WOC配置
<1>北京WOC更改部署模式:
<2>配置VPN用户
路径:【IPSec VPN】--【用户管理】
<3>VPN内网设置
路径:【IPSec VPN】--【VPN接口设置】
b.深圳WOC配置
<1>部署模式更改
<2>配置连接管理
路径:【IPSec VPN】--【连接管理】
<3>VPN内网设置
c.VPN状态
路径:【IPSec VPN】--【VPN状态】
d.跟踪路由
在PC1上测试。
其中192.168.1.2是WOC1的地址,45.102.18.254是深圳WOC的VPN接口地址。说明当建立VPN时,数据是走的隧道,但如果建立WOC加速连接时,数据走的是路由。
四、另一种解决方案
1、PBR配置
解决最初的WOC环路问题除了通过配置VPN解决外,还可以通过配置PBR解决。
a.配置ACL规则
在SW1上创建编码为3001、3002的高级ACL,规则分别为允许源IP地址为192.168.1.1和172.16.0.1的报文通过。
【SW1】acl 3001
【SW1-acl-adv-3001】rule permit ip source 192.168.1.1 0.0.0.0
【SW1-acl-adv-3001】quit
【SW1】acl 3002
【SW1-acl-adv-3002】rule permit ip source 172.16.0.1 0.0.0.0
【SW1-acl-adv-3002】quit
b.配置流分类
在SW1上创建流分类c1、c2,匹配规则分别为ACL 3001和ACL 3002。
【SW1】traffic classfier c1
【SW1-if- classifier-c1】if-match acl 3001
【SW1-if- classifier-c1】quit
【SW1】traffic classfier c2
【SW1-if- classifier-c2】if-match acl 3002
【SW1-if- classifier-c2】quit
c.配置流行为
在SW1上创建流行为b1、b2,并指定重定向到192.168.1.2的动作。
【SW1】traffic behavior b1
【SW1-behavior-b1】redirect ip-nexthop 192.168.1.2
【SW1-behavior-b1】quit
【SW1】traffic behavior b2
【SW1-behavior-b2】redirect ip-nexthop 192.168.1.2
【SW1-behavior-b2】quit
d.配置流策略
在SW1上创建流策略。
【SW1】traffic policy p1
【SW1-trafficpolicy-p1】classifier c1 behavior b1
【SW1-trafficpolicy-p1】quit
【SW1】traffic policy p2
【SW1-trafficpolicy-p2】classifier c2 behavior b2
【SW1-trafficpolicy-p2】quit
e.将策略应用到接口上
将流策略p1、p2应用到接口GE 0/0/1(靠近PC1)和GE 0/0/2(靠近Router1)的入方向上。
【SW1】interface gigabitethernet 0/0/1
【SW1-GigabitEthernet 0/0/1】traffic-policy p1 inbound
【SW1-GigabitEthernet 0/0/1】quit
【SW1】interface gigabitethernet 0/0/2
【SW1-GigabitEthernet 0/0/2】traffic-policy p1 inbound
【SW1-GigabitEthernet 0/0/2】quit
f.深圳端的SW2照北京端的SW1配置即可。
五、其他注意事项
1、默认无法使用光口。
至9.5.8版本,控制台界面无法显示光口。即只会显示Eth0、Eth1、Eth2、Eth3四个网口。
如果需要使用光口,需要使用Sangfor Firmware Update.exe升级客户端进行网口交换。
操作步骤:
a.打开升级客户端,输入设备地址及ADMIN帐号的密码后点击【连接】进入设备
b.进入设备后按【F10】后,在新弹出的窗口中选择【命令】-【交换网卡物理位置】
c.在对应弹出的网卡交互窗口中,选择需交换的两个物理网口,点击【确认】后提交
2、配置网卡交换后,WOC设备会重启。
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-5-29 09:31
发表于 2020-5-29 09:48
技术专家4级