• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR G2系列路由器和MSR系列路由对接dvpn配置

2019-11-28 发表
  • 0关注
  • 0收藏 1434浏览
程咪 九段
粉丝:24人 关注:1人

问题描述

MSR G2系列路由器和MSR系列路由对接dvpn配置

解决方法

MSR G2系列路由器和MSR系列路由对接dvpn配置

MSR G2系列路由器和MSR系列路由器对接DVPN配置

 

一、    组网需求:

要求三台路由器之间之间路由可达,PC使用loopback口代替,并且有如下要求:

1dvpn域名为abc

2MSR5660作为hub端,MSR36203020作为spoke端,采用hub-spoke结构;

3、使用ipsec对数据进行加密;

4MSR5660 作为VAMserver,采用本地认证。

二、      组网图:

IP地址规划:

设备

外网口IP

内网口IP

TunnelIP

Loopback ip

MSR5660

10.0.0.1/24

1.1.1.1/24

192.168.1.1/24

1.1.1.1/32

MSR3620

20.0.0.1/24

2.2.2.2/24

192.168.1.2/24

2.2.2.2/32

MSR3020

30.0.0.1/24

3.3.3.3/24

192.168.1.3/24

3.3.3.3/32

 

 

三、    配置步骤:

各设备上IP地址和默认路由的配置省略

 

MSR5660的配置步骤

1、 MSR5660上配置本地认证策略。为vam client 提供认证

#

domain abc

 authentication advpn local

#

#

local-user hub class network

 password cipher $c$3$E94XBBjAX2uaXnYWL1/Pa4n//W1DpQ==

 service-type advpn

 authorization-attribute user-role network-operator

#

local-user spoke1 class network

 password cipher $c$3$AjqXdiz0AapEEfP0hSDGOPPYBLbaXA==

 service-type advpn

 authorization-attribute user-role network-operator

#

local-user spoke2 class network

 password cipher $c$3$2sk1GhLNtPvmqPSTob81MbnIIta40Q==

 service-type advpn

 authorization-attribute user-role network-admin

 authorization-attribute user-role network-operator

#

2、 MSR5660上配置VAMsever参数,dvpn域名为abc id1

#

vam server advpn-domain abc id 1

 pre-shared-key cipher $c$3$CXwDOAhMccuNG323gs8c/lcT7EIu0A==

 authentication-method chap domain abc

 server enable

 hub-group 0

  hub private-address 192.168.1.1

  spoke private-address range 192.168.1.0 192.168.1.255

#

3、 MSR5660上配置VAM client参数,自己作为hub端。

#             

vam client name hub

 advpn-domain abc

 server primary ip-address 10.0.0.1

 pre-shared-key cipher $c$3$bWr5WXMFR/aUYs7f4O4ktGLFoqRVeg==

 user hub password cipher $c$3$aVtfVTH2c+z+1PYMAWKCMxEj/FERTA==

 client enable

#

4、 MSR5660上配置ipsec安全框架

#

ipsec transform-set 1

 esp encryption-algorithm des-cbc

 esp authentication-algorithm md5

#

ipsec profile 1 isakmp

 transform-set 1

 ike-profile 1

#

ike profile 1

 keychain 1

#

ike keychain 1

 pre-shared-key address 0.0.0.0 0.0.0.0 key cipher $c$3$tdTO/lod2V5nncno4Jl/xviWb3tS6g==

#

5、 MSR5660上配置dvpn隧道,采用udp模式封装。隧道上调用ipsec安全框架,并开启对V5版本的dvpn的兼容。

#

interface Tunnel1 mode advpn udp

 ip address 192.168.1.1 255.255.255.0

 ospf network-type p2mp

 source GigabitEthernet2/0/0

 tunnel protection ipsec profile 1

 vam client hub compatible advpn0

#

6、 MSR5660上配置OSPF,将tunnel口和内网接口宣告进ospf

#

ospf 1

 area 0.0.0.0

  network 1.1.1.0 0.0.0.255

  network 192.168.1.1 0.0.0.0

#

 

MSR3620的配置步骤

 

1、 MSR3620上配置VAM client,自己作为spoke

#

vam client name spoke1

 advpn-domain abc

 server primary ip-address 10.0.0.1

 pre-shared-key cipher $c$3$dAX5ZBSKxvlMfkirBj6bMox17un3Nw==

 user spoke1 password cipher $c$3$tpAUD0x7rQbXGMm+WzzBVgi9vYuKUQ==

 client enable

#

2、 MSR3620上配置ipsec 安全框架

#

ipsec transform-set 1

 esp encryption-algorithm des-cbc

 esp authentication-algorithm md5

#

ipsec profile 1 isakmp

 transform-set 1

 ike-profile 1

#             

ike profile 1

 keychain 1

#

ike keychain 1

 pre-shared-key address 0.0.0.0 0.0.0.0 key cipher $c$3$tAelqptq/gvntIZEeqOlIrFXw5nqug==

#

3、 MSR3620上配置dvpn隧道,采用udp封装模式,并在隧道接口上调用ipsec安全框架

#

interface Tunnel1 mode advpn udp

 ip address 192.168.1.2 255.255.255.0

 ospf network-type p2mp

 source GigabitEthernet0/0

 tunnel protection ipsec profile 1

 vam client spoke1

#

4、 MSR3620上配置OSPF,将tunnel口和内网接口宣告进ospf

#

ospf 1

 area 0.0.0.0

  network 2.2.2.0 0.0.0.255

  network 192.168.1.2 0.0.0.0

#

 

MSR3020的配置步骤

1、 MSR3620上配置VAM client,自己作为spoke

#

vam client name spoke2

 client enable 

 server primary ip-address 10.0.0.1

 user spoke2 password cipher $c$3$JrAPoBzo8JMktfhDYpGyCyBck8LYTA==

 vpn abc

 pre-shared-key cipher $c$3$jC7Ix9gaoRob0xNinoC7qwXeVNsZdQ==

#

2、 MSR3020上配置ipsec安全框架

#

ike peer 1

 pre-shared-key cipher $c$3$xAx7reyenG3PFL9Sq5akSY+hZ9UxVQ==

#

ipsec transform-set 1

 encapsulation-mode tunnel

 transform esp

 esp authentication-algorithm md5

 esp encryption-algorithm des

#

ipsec profile 1

 ike-peer 1

 transform-set 1

#

3、 MSR3020上配置dvpn隧道,采用udp封装模式,并在隧道接口上调用ipsec安全框架

#

interface Tunnel1

 ip address 192.168.1.3 255.255.255.0

 tunnel-protocol dvpn udp

 source GigabitEthernet0/0

 ospf network-type p2mp

 ipsec profile 1

 vam client spoke2

#

4、 MSR3020上配置OSPF,将tunnel口和内网接口宣告进ospf

#              

ospf 1

 area 0.0.0.0

  network 192.168.1.3 0.0.0.0

  network 3.3.3.0 0.0.0.255

#

 

四、    配置验证

1、在VAM severMSR5660)上查看vam client的注册情况。所有hub端和spoke端都应注册上。

<MSR56>display vam server address-map

ADVPN domain name: abc

Total private address mappings: 3

Group      Private address  Public address  Type   NAT  Holding time

0          192.168.1.1      10.0.0.1        Hub    No   0H 17M 49S 

0          192.168.1.2      20.0.0.1        Spoke  No   0H 11M 38S 

0          192.168.1.3      30.0.0.1        Spoke  No   0H 29M 8S  

 

2、在hub端(MSR5660)上查看dvpn 会话状态。State应该为success

<MSR56>display advpn session verbose

Interface         : Tunnel1

Client name       : hub

ADVPN domain name : abc

Link protocol     : IPsec-UDP

Number of sessions: 2

  Private address: 192.168.1.2

  Public address : 20.0.0.1

  ADVPN port     : 18001

  SA's SPI:

    inbound:  1736220816 (0x677ca090) [ESP]

    outbound: 871375101 (0x33f020fd) [ESP]

  Behind NAT     : No

  Session type   : Hub-Spoke

  State          : Success

  Holding time   : 0H 7M 53S

  Input : 68 packets,  65 data packets,  3 control packets

          27 multicasts,  0 errors

  Output: 74 packets,  71 data packets,  2 control packets

          35 multicasts,  1 errors

 

  Private address: 192.168.1.3

  Public address : 30.0.0.1

  ADVPN port     : 4571

  SA's SPI:   

    inbound:  2877476916 (0xab82d034) [ESP]

    outbound: 1028202610 (0x3d492072) [ESP]

  Behind NAT     : No

  Session type   : Hub-Spoke

  State          : Success

  Holding time   : 0H 8M 26S

  Input : 53 packets,  52 data packets,  1 control packets

          19 multicasts,  0 errors

  Output: 60 packets,  59 data packets,  1 control packets

          38 multicasts,  0 errors

3、在vam clien端(MSR3620)查看vam注册状态,current state应该为ONLINE

<MSR36>display vam client fsm

Client name      : spoke1

Status           : Enabled

ADVPN domain name: abc

  Primary server: 10.0.0.1

    Private address: 192.168.1.2

    Interface      : Tunnel1

      Current state           : ONLINE (active)

      Client type             : Spoke

      Holding time            : 0H 1M 31S

      Encryption-algorithm    : AES-CBC-256

      Authentication-algorithm: HMAC-SHA1

      Keepalive               : 180 seconds, 3 times

      Hub number              : 1

 

4、在vam clien端(MSR3620)查看dvpn 会话, state应该为Success

<MSR36>display advpn session verbose

Interface         : Tunnel1

Client name       : spoke1

ADVPN domain name : abc

Link protocol     : IPsec-UDP

Number of sessions: 1

  Private address: 192.168.1.1

  Public address : 10.0.0.1

  ADVPN port     : 18001

  SA's SPI:

    inbound:  1389802046 (0x52d6b23e) [ESP]

    outbound: 3204125641 (0xbefb13c9) [ESP]

  Behind NAT     : No

  Session type   : Spoke-Hub

  State          : Success

  Holding time   : 0H 1M 33S

  Input : 22 packets,  20 data packets,  2 control packets

          6 multicasts,  0 errors

  Output: 19 packets,  17 data packets,  2 control packets

          5 multicasts,  0 errors

 

 

5、在vam clien端(MSR3020)查看vam注册状态,current state应该为ONLINE

<MSR30>dis vam client fsm

 Client name: spoke2

 VPN name:  abc

 Interface: Tunnel1

 Resend interval(seconds): 5

 Client type: Spoke

 Username: spoke2

 

 Primary server:   10.0.0.1

   Current state:  ONLINE

   Holding time:   0h 31m 33s

   Encryption-algorithm:     AES-256

   Authentication-algorithm: SHA1

6vam clien端(MSR3020)查看dvpn 会话, state应该为Success

<MSR30>display dvpn session all 

 Interface: Tunnel1  VPN name: abc  Total number: 1

 

  Private IP:    192.168.1.1

  Public IP:     10.0.0.1

  Session type:  Spoke-Hub

  State:         SUCCESS

  Holding time: 0h 10m 36s

  Input:  64 packets,  63 data packets,  1 control packets

          42 multicasts,  0 errors

  Output: 57 packets,  56 data packets,  1 control packets

          23 multicasts,  0 errors

7、 连通性测试。Hub端和两个spoke端都能互通

<MSR56>ping -a 1.1.1.1 2.2.2.2

Ping 2.2.2.2 (2.2.2.2) from 1.1.1.1: 56 data bytes, press CTRL_C to break

56 bytes from 2.2.2.2: icmp_seq=0 ttl=255 time=0.918 ms

56 bytes from 2.2.2.2: icmp_seq=1 ttl=255 time=0.707 ms

56 bytes from 2.2.2.2: icmp_seq=2 ttl=255 time=0.695 ms

56 bytes from 2.2.2.2: icmp_seq=3 ttl=255 time=1.354 ms

56 bytes from 2.2.2.2: icmp_seq=4 ttl=255 time=0.740 ms

 

<MSR56>ping -a 1.1.1.1 3.3.3.3

Ping 3.3.3.3 (3.3.3.3) from 1.1.1.1: 56 data bytes, press CTRL_C to break

56 bytes from 3.3.3.3: icmp_seq=0 ttl=255 time=1.347 ms

56 bytes from 3.3.3.3: icmp_seq=1 ttl=255 time=1.280 ms

56 bytes from 3.3.3.3: icmp_seq=2 ttl=255 time=1.233 ms

56 bytes from 3.3.3.3: icmp_seq=3 ttl=255 time=1.233 ms

56 bytes from 3.3.3.3: icmp_seq=4 ttl=255 time=6.516 ms

五、    配置关键点

1、V5V7对接DVPNV7设备的tunnel口上需要使用命令vam client xxx compatible advpn0开启兼容模式。否则会出现VAM能注册上,但是dvpn会话协商不起来的情况。

2、如果采用hub-spoke结构,tunnel接口上需要配置ospf网络类型为P2MP

3、配置ipsec安全框架时,不需要指明对端地址,也不需要配置感兴趣流。

 

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作