文档名称IPSec VPN应用 文档密级
综上所述,Hub的路由相关配置如下 interface Ethernet4/0
ip address 10.1.0.1 255.255.255.0 interface Tunnel0
ip unnumbered Ethernet4/0 tunnel source 9.1.1.22 tunnel destination 9.1.1.130 rip version 2 interface Tunnel1
ip unnumbered Ethernet4/0 tunnel source 9.1.1.22 tunnel destination 9.1.1.134 rip version 2 interface Tunnel2
ip unnumbered Ethernet4/0 tunnel source 9.1.1.22 tunnel destination 9.1.1.138 rip version 2 interface Tunnel3
ip unnumbered Ethernet4/0 tunnel source 9.1.1.22 tunnel destination 9.1.1.142 rip version 2
ip route 0.0.0.0 0.0.0.0 9.1.1.21 rip
network 10.0.0.0 filter-policy 2000 export acl num 2000
2006-04-13
华为三康机密,未经许可不得扩散
第16页, 共26页
文档名称IPSec VPN应用 文档密级
rule permit source 10.1.0.0 0.0.255.255 Spoke2的相关配置如下 interface Ethernet0
ip address 10.0.65.1 255.255.255.0 interface Tunnel0
ip unnumbered Ethernet0 tunnel source 9.1.1.134 tunnel destination 9.1.1.22 rip version 2
ip route 9.1.1.20 255.255.255.252 9.1.1.133 rip
network 10.0.0.0
在这个场景中,对于GRE Tunnel的目的地址路由一定要小心考虑:如果GRE Tunnel的目的地址为公网地址,定义一个到该地址的静态路由或者指向ISP的缺省路由即可;如果GRE Tunnel的目的地址为对端的私网地址,则必须为该私网地址额外定义一个静态路由,一定要避免到达GRE Tunnel目的地址的路由下一跳为该Tunnel接口,这样就造成了路由的环路。
如果对于图3的场景,将需求改为允许各个Spoke之间通过VPN通信,那么就不存在动态路由过滤的问题了,每个Spoke都可以通过Hub学习到所有其它Spoke的路由。在这种情况下,也就可以选择OSPF或者ISIS做为动态路由协议了。
如果对于图3的场景,进一步修改其需求,允许Spoke和Hub内的私网访问Internet,但是所有的Spoke只能通过Hub来访问,此时仍然需要考虑的是路由,因为无法通过保护的流来控制报文的走向。为了完成这个任务,需要使Spoke有缺省路由指向Tunnel接口。如果在各个Spoke上采用静态路由来完成这个需求,就丧失了Internet访问的统一管理性,即由Hub来控制各个Spoke能否通过自己访问Internet。最佳的方式是由Hub向各个Spoke发布一条指向自己的缺省路由。
以OSPF为例,Hub的配置如下 interface Ethernet4/0
ip address 10.1.0.1 255.255.255.0
2006-04-13
华为三康机密,未经许可不得扩散
第17页, 共26页
文档名称IPSec VPN应用 文档密级
interface Tunnel0
ip unnumbered Ethernet4/0 tunnel source 9.1.1.22 tunnel destination 9.1.1.130 interface Tunnel1
ip unnumbered Ethernet4/0 tunnel source 9.1.1.22 tunnel destination 9.1.1.134 interface Tunnel2
ip unnumbered Ethernet4/0 tunnel source 9.1.1.22 tunnel destination 9.1.1.138 interface Tunnel3
ip unnumbered Ethernet4/0 tunnel source 9.1.1.22 tunnel destination 9.1.1.142 ip route 0.0.0.0 0.0.0.0 9.1.1.21 ospf 1 area 0.0.0.0
network 10.1.0.0 0.0.255.255 default-route-advertise Spoke2的配置如下 interface Ethernet0
ip address 10.0.65.1 255.255.255.0 interface Tunnel0
ip unnumbered Ethernet0 tunnel source 9.1.1.134 tunnel destination 9.1.1.22
2006-04-13
华为三康机密,未经许可不得扩散
第18页, 共26页
文档名称IPSec VPN应用 文档密级
ip route 9.1.1.20 255.255.255.252 9.1.1.133 ospf 1
network 10.0.65.0
2.2 Full-Mesh
Full-Mesh结构在每两个站点之间都建立一条IPSec VPN隧道,形成全网状的VPN结构,在这种结构下,每个站点都像Hub一样提供IPSec服务,一般情况下,如果企业网络要求各个站点之间都有较多流量的情况下比较适合使用Full-Mesh结构。
Full-Mesh结构由于VPN的数量较多,尤其是站点较多的情况下,因此拓扑结构看起来相当的复杂,并且每增加一个新的站点,所有站点都需要增加配置,大大增加了配置管理的难度。不过,这种拓扑结构也有其优势,全网状的VPN连接提供了最大的可靠性,任何一个站点故障都不会影响其它站点之间的通信,而且这种拓扑将流量分担到各个站点中去,不会将流量集中到一、二个设备上。
2.2.1 IPSec模型
首先讨论IPSec模型在这种拓扑的应用。假定目前的场景如下
? 建立Full-Mesh的VPN结构,各个站点之间的私网流量通过IPSec保护 ? 每个站点都可以提供Internet访问功能
2006-04-13
华为三康机密,未经许可不得扩散 第19页, 共26页
文档名称IPSec VPN应用 文档密级
10.0.64.0/24 Spoke1 9.1.1.130/30 9.1.1.22/30 10.1.0.0/24 Hub 9.1.1.134/30 9.1.1.138/30 Spoke2 10.0.65.0/24 Spoke3 10.0.66.0/24
图4 Full-Mesh结构
在配置上只需要将各个Spoke当作Hub来考虑即可,在每个设备上分别定义所有其它设备作为自己的IKE Peer,同时为每条VPN定义要保护的流源为自己私网的地址,目的为目的站点私网地址即可。
在每个站点都配置一条指向ISP的缺省路由即可。这样,访问其它私网的流量符合IPSec保护的流,根据策略的配置找到IKE Peer,从而到达目的地;而访问Internet的流不符合IPSec保护的流,直接离开本地。
这种应用方法的配置思路比较简单,但是非常繁琐,很容易出错。而且其对于地址的设计仍然有较高的要求,如果地址设计不当,不仅仅增加配置的复杂程度,也影响了设备的性能,例如将刚才的例子10.1.0.0/24网段对应站点增加一个10.1.2.0/24网段,如图所示
2006-04-13
华为三康机密,未经许可不得扩散 第20页, 共26页