14-ADVPN
本章節下載: 14-ADVPN (504.74 KB)
本幫助主要介紹以下內容:
· 特性簡介
· 配置指南
¡ 配置VAMS
¡ 配置VAMC
ADVPN(Auto Discovery Virtual Private Network,自動發現虛擬專用網絡)是一種基於VAM(VPN Address Management,VPN地址管理)協議的動態VPN技術。VAM協議負責收集、維護和分發動態變化的公網地址等信息,采用Client/Server模型。ADVPN網絡中的節點(稱為ADVPN節點)作為VAM Client。當公網地址變化時,VAM Client將當前公網地址注冊到VAM Server。ADVPN節點通過VAM協議從VAM Server獲取另一端ADVPN節點的當前公網地址,從而實現在兩個節點之間動態建立跨越IP核心網絡的ADVPN隧道。
在企業網各分支機構使用動態地址接入公網的情況下,可以利用ADVPN在各分支機構間建立VPN。
ADVPN通過ADVPN域區分不同的VPN網絡,ADVPN域由域ID來標識。屬於同一個VPN的VAM Client需要規劃到相同的ADVPN域中,且一個VAM Client隻能屬於一個ADVPN域;VAM Server可以同時為多個ADVPN域服務,管理多個ADVPN域的VAM Client。
ADVPN節點分為如下兩類:
· Hub:ADVPN網絡的中心設備。它是路由信息交換的中心。
· Spoke:ADVPN網絡的分支設備,通常是企業分支機構的網關。該節點不會轉發收到的其它ADVPN節點的數據。
根據數據轉發方式的不同,ADVPN組網結構分為如下兩種:
· Full-Mesh(全互聯)網絡:Spoke和Spoke之間可以建立隧道直接通信。
· Hub-Spoke網絡:Spoke之間不能建立隧道直接通信,隻能通過Hub轉發數據。
當一個ADVPN域中的ADVPN節點數目較多時,由於某些原因(如動態路由協議鄰居數限製等),Hub無法管理全部的ADVPN節點。此時,可以將ADVPN網絡劃分為多個Hub組,每個Hub組中包含一個或多個Hub,及一部分Spoke節點,以減輕Hub節點的負擔。
如圖-1所示,在Full-Mesh網絡中,Spoke向VAM Server注冊後獲得Spoke所屬ADVPN域所在Hub組中Hub的信息,並與Hub建立永久的ADVPN隧道。當兩個Spoke之間有數據報文交互時,Spoke從VAM Server獲取對端Spoke的公網地址,並在Spoke之間直接建立隧道。Spoke之間的隧道是動態的,當在一段時間(Spoke-Spoke隧道空閑超時時間)內沒有數據報文交互時,則刪除該隧道。
圖-1 Full-Mesh網絡示意圖
如圖-2所示,在Hub-Spoke網絡中,Spoke向VAM Server注冊後獲得Spoke所屬ADVPN域所在Hub組中Hub的信息,並與Hub建立永久的ADVPN隧道。兩個Spoke之間有數據報文交互時,該報文通過Hub轉發,不會在Spoke之間建立隧道。Hub既作為路由信息交換的中心,又作為數據轉發的中心。
圖-2 Hub-Spoke網絡示意圖
如圖-3所示,劃分多個Hub組網絡中,Hub組的劃分方式為:
· 所有Hub必須屬於同一個Hub組,該Hub組作為骨幹區域。骨幹區域采用Full-Mesh組網,即Hub向VAM Server注冊後獲得骨幹區域中所有Hub的信息,並在每兩個Hub之間都建立永久的ADVPN隧道。
· 將Spoke部署到除骨幹區域外的其他Hub組中。這些Hub組內至少有1個Hub,可以使用Full-Mesh組網也可以使用Hub-Spoke組網。Spoke向VAM Server注冊後獲得Spoke所屬ADVPN域所在Hub組中Hub的信息,並與Hub建立永久的ADVPN隧道。一個Hub組內的Spoke隻與本組的Hub建立ADVPN隧道,不與其他Hub組的Hub建立ADVPN隧道。
同一個Hub組內,隧道建立方式和數據轉發方式由其組網方式決定。不同Hub組間,數據需要通過本組的Hub轉發到目的組的Hub,再由目的組Hub轉發到對應的Spoke。
為了減少Hub跨組轉發數據時的壓力,可以允許不同組的Spoke直接建立隧道,但該隧道是動態的,當在一段時間(Spoke-Spoke隧道空閑超時時間)內沒有數據報文交互時,則刪除該隧道。
圖-3 劃分多個Hub組網絡示意圖
ADVPN對VAM Server和VAM Client的地址具有一定要求:
· VAM Server隻需要具有公網地址,且該公網地址必須靜態配置,不能動態變化。
· VAM Client需要具有公網地址和私網地址。公網地址是VAM Client連接IP核心網絡的接口的地址,既可以靜態配置也可以動態獲取。私網地址是ADVPN隧道接口的地址,必須靜態配置。在同一個ADVPN域內,同一個Hub組內的VAM Client的私網地址應該屬於同一個網段。
ADVPN的關鍵是通過VAM Client的私網地址獲取動態變化的公網地址,以便建立ADVPN隧道、轉發報文。ADVPN的工作過程分為連接初始化、注冊、隧道建立、路由學習和報文轉發四個階段,下麵對這四個階段做簡單說明。
· 連接初始化階段:VAM Client和VAM Server之間協商完整性驗證、加密算法及密鑰。
· 注冊階段:VAM Client向VAM Server進行身份認證,並注冊相關信息。
· 隧道建立階段:同一個Hub組內,每個Spoke和每個Hub之間都要建立永久隧道,任意兩個Hub之間也要建立永久隧道。
· 路由學習和報文轉發:路由學習通過路由協議實現,路由協議決定組網方式,組網方式決定報文轉發方法。
當隧道發起方在NAT網關後側時,則可以建立穿越NAT的Spoke-Spoke隧道;如果隧道接收方在NAT網關後側,則數據包要由Hub轉發,直到接收方發起隧道建立請求。如果雙方都在NAT網關後側,則它們都無法與對方建立隧道,所有的數據包都隻能從Hub轉發。
如果NAT網關采用Endpoint-Independent Mapping(不關心對端地址和端口轉換模式),隧道接收方在NAT網關後側時,也可以建立穿越NAT的Spoke-Spoke隧道。
在實際進行配置之前,請先規劃加密、認證相關信息以及組網信息,包括:
· ADVPN域
· VAMS公網地址、預共享密鑰、加密和認證方式
· VAMC公網、私網地址及其所連接的私網信息
在規劃好上述信息之後,則可以在VAMS和VAMC上進行相關配置了。
VAMS功能的支持情況與設備的款型有關,請以設備的實際界麵為準。 |
VAMS的具體配置步驟如下:
1. 選擇“網絡 > VPN > ADVPN > VAMS”。
2. 在“VAMS”頁麵單擊<新建>按鈕,進入“新建VAMS”頁麵。
3. 新建VAMS,具體配置內容如下表所示:
表-1 新建VAMS配置參數表
參數 |
說明 |
ADVPN域 |
VAMS所屬的ADVPN域,不可重複 |
ID |
VAMS的編號,不可重複 |
預共享密鑰 |
VAMS的預共享密鑰,用於與VAMC進行連接初始化。如果選擇對後續的報文進行加密和驗證,則預共享密鑰還用來生成驗證和加密後續報文的連接密鑰 |
身份認證方式 |
VAMS認證VAMC身份的方式 |
ISP域 |
當認證方式為“PAP”或“CHAP”時,此項可以輸入,指定具體的ISP域對VAMC進行驗證。詳細信息請參見“ISP域” |
Hub組 |
當前頁麵顯示已有的Hub組,並提供新建、編輯和刪除功能。關於新建和編輯功能,請參見表-2 |
報文認證算法 |
VAMS和VAMC進行通信時采用的認證算法。算法在配置中的出現順序決定其使用優先級。配置中越靠前的驗證算法,其優先級越高。其中NONE表示不認證,直接通過,所以若要選擇NONE,請將其放在所有算法之後,否則NONE之後的算法不生效 VAMS在與VAMC協商時,從VAMC支持的驗證算法列表中選擇VAMS上配置最靠前的算法作為協商結果,若沒有匹配成功,則拒絕連接 |
報文加密算法 |
VAMS和VAMC進行通信時采用的加密算法。優先級和選擇方式與報文認證算法相同 |
Keepalive報文:時間間隔 |
此參數將決定VAMC向VAMS發送Keepalive報文的時間間隔,當此參數發生改變時,則修改後的參數隻對新注冊的VAMC生效,已經注冊的VAMC不受影響 |
Keepalive報文:重發次數 |
此參數將決定VAMC向VAMS發送Keepalive報文的重發次數,當此參數發生改變時,則修改後的參數隻對新注冊的VAMC生效,已經注冊的VAMC不受影響 |
VAM報文重發間隔 |
VAMS重發報文的時間間隔 |
啟用VAMS |
是否啟用VAMS,勾選為啟用 |
表-2 新建Hub組配置參數表
參數 |
說明 |
組名 |
Hub組的名稱 |
直連隧道規則 |
跨Hub組建立Spoke-Spoke隧道的規則,分為三種選項:NONE表示不可以建立Spoke-Spoke隧道,ACL表示根據具體的ACL規則允許或禁止建立Spoke-Spoke隧道,All表示沒有限製,可以任意建立Spoke-Spoke隧道 |
Hub |
當前頁麵顯示本Hub組中已存在的Hub,並提供新建、編輯和刪除功能。關於新建和編輯功能,請注意,當Hub在NAT網關之後時,“公網地址”和“ADVPN端口”兩項需要填寫,具體填寫為Hub經過NAT轉換後的公網地址和端口 |
Spoke |
當前頁麵顯示本Hub組中已存在的Spoke,並提供新建和刪除功能。 |
4. 在VAMS頁麵,可以開啟、關閉、編輯已有的VAMS。
VAMC的具體配置步驟如下:
1. 選擇“網絡 > VPN > ADVPN > VAMC”。
2. 在“VAMC”頁麵單擊<新建>按鈕,進入“新建VAMC”頁麵。
3. 新建VAMC,具體配置內容如下表所示:
表-3 新建VAMC參數表
參數 |
說明 |
VAMC名稱 |
表示VAMC的名稱,不可重複 |
ADVPN域 |
VAMC所屬的ADVPN域 |
預共享密鑰 |
VAMC和VAMS進行連接初始化時使用的密鑰,如果選擇對後續的報文進行加密和驗證,則預共享密鑰還用來生成驗證和加密後續報文的連接密鑰 |
認證用戶名、密鑰 |
VAMC向VAMS注冊時使用的用戶名和密鑰 |
啟用VAMC |
是否開啟VAMC,勾選為啟用 |
超時靜默時間 |
VAMC在與VAMS連接超時(指Keepalive超時)後,會進入靜默狀態,此時VAMC不處理任何報文。當靜默時間到達後,VAMC將重新發起連接請求 |
VAM報文重發間隔 |
VAMC向VAMS發送請求報文後,如果在指定的時間間隔內沒有收到響應報文,VAMC將重新發送請求報文 |
VAM報文重發次數 |
VAMC向VAMS重新發送請求報文的次數 |
主/備服務器地址 |
主/備VAMS的公網地址,需要靜態分配 |
主/備服務器端口 |
主/備VAMS的監聽端口號 |
模式 |
ADVPN隧道的封裝模式 |
隧道接口ID |
ADVPN隧道接口的編號 |
隧道私網地址 |
ADVPN隧道接口的私網地址以及子網掩碼 |
隧道公網地址 |
ADVPN隧道接口的公網地址,可以為隧道源接口的地址,也可以手動配置 |
VRF |
ADVPN隧道使用的虛擬路由轉發表,具體配置請參見“VRF” |
OSPF路由協議 |
ADVPN隧道采用的OSPF路由協議,具體配置請參見“OSPF” |
網絡類型 |
在選擇OSPF實例後可見,表示OSPF協議的網絡類型,將決定Hub組的組網方式 |
DR優先級 |
在選擇OSPF實例後可見,表示OSPF協議中當前節點的DR優先級 |
GRE key |
當使用GRE封裝模式時,使用的GRE驗證密鑰。不配置的情況下,表示不使用GRE key進行驗證,具體請參見“GRE” |
開啟報文校驗和功能 |
當使用GRE封裝模式時,開啟GRE校驗和驗證功能來檢查報文的完整性,具體請參見“GRE” |
源UDP端口號 |
當使用UDP封裝時,報文的源端口號。若勾選了兼容ADVPN V0,則該參數不能和其他隧道的源端口號相同 |
注冊私網信息列表 |
VAMC向VAMS注冊ADVPN隧道的私網信息。當其他VAMC向VAMS解析私網報文目的地址時,如果解析的地址屬於注冊私網,則VAMS將注冊VAMC的節點信息返回給查詢方 當前頁麵顯示已有私網,並提供新建、編輯和刪除功能。關於新建和編輯功能,請注意,彈出框中的“優先級”,建議高於其他動態路由協議,且低於靜態路由。優先級數值越大,優先級越低 |
兼容ADVPN V0 |
是否兼容ADVPN V0版本,若您的組網中存在Comware V5軟件版本的設備,請勾選此項 |
隧道靜默時間 |
ADVPN隧道建立失敗的靜默時間 |
隧道空閑超時時間 |
Spoke-Spoke類型ADVPN隧道的空閑超時時間,如果在空閑超時時間內,Spoke-Spoke類型ADVPN隧道上沒有數據傳輸,則斷開該隧道 |
封裝後報文的TOS |
ADVPN隧道報文的TOS值 |
封裝後報文的TTL |
ADVPN隧道報文的TTL值 |
封裝後報文不允許分片 |
設置封裝後隧道報文的DF標誌,勾選表示不允許分片 |
IPsec功能 |
是否開啟IPsec功能,勾選為開啟 |
名稱 |
IPsec策略的名稱 |
IKE配置 |
表示以下多個配置為IKE相關配置 |
認證方式 |
IKE認證方式,有“預共享密鑰”和“數字證書認證”兩種方式 |
預共享密鑰 |
在IKE認證方式為“預共享密鑰”的情況下,對應的密鑰 |
PKI域 |
在IKE認證方式為“數字證書認證”的情況下,證書所屬的PKI域,具體配置請參見“PKI” |
證書訪問策略 |
在IKE認證方式為“數字證書認證”的情況下,證書的訪問控製策略,具體配置請參見“PKI” |
IKE提議 |
IPsec策略引用的IKE提議,具體配置請參見“IPsec” |
協商模式 |
IKE協商時采用的模式 |
IPsec配置 |
表示以下多個配置為IPsec相關配置 |
封裝模式 |
IPsec的封裝模式 |
安全協議 |
IPsec采用的安全協議 |
ESP認證算法 |
采用ESP或AH-ESP安全協議時,具體采用的ESP認證算法 |
ESP加密算法 |
采用ESP或AH-ESP安全協議時,具體采用的ESP加密認證算法 |
AH認證算法 |
采用AH或AH-ESP安全協議時,具體采用的AH認證算法 |
PFS |
是否使用PFS特性。PFS是一種安全特性,它解決了密鑰之間相互無關性的需求使用PFS特性後,IKE第二階段協商過程中會增加一次DH交換,使得IKE SA的密鑰和IPsec SA的密鑰之間沒有派生關係。 |
DPD檢測 |
是否開啟IKE DPD檢測功能,勾選為開啟。 |
檢測方式 |
IKE DPD檢測的方式 |
檢測時間間隔 |
觸發IKE DPD探測的時間間隔。對於按需探測模式,指定經過多長時間沒有從對端收到IPsec報文,則觸發一次DPD探測;對於定時探測模式,指觸發一次DPD探測的時間間隔 |
重傳時間間隔 |
IKE DPD報文的重傳時間間隔,如果本端在DPD報文的重傳時間間隔內未收到對端發送的DPD回應報文,則重傳DPD請求報文,若重傳兩次之後仍然沒有收到對端的DPD回應報文,則刪除該IKE SA和對應的IPsec SA |
4. 在VAMC頁麵,可以開啟、關閉、編輯已有的VAMC。
· 在配置好VAMC之後,請將隧道接口加入安全域,並配置到其他VAMC的安全策略,否則網絡不通。
· 在同一個ADVPN域中,VAMS和VAMC的預共享密鑰要一致。
· 在同一個ADVPN域中,所有Tunnel接口的Keepalive報文發送周期及最大發送次數必須一致。
· 除IP地址外,備VAMS的ADVPN配置與主VAMS相同。
· VAMS的監聽端口號與VAMC上指定的VAMS的端口號必須一致。
· VAMC的私網地址需要與VAMS中Hub組劃分的私網地址保持一致,否則注冊失敗。
· 在認證VAMC身份的時候,VAMS會根據VAMC提交的信息對認證和加密算法進行選擇,若無法匹配成功,則VAMC的注冊將會失敗。
· 在同一個Hub組中,OSPF的網絡類型要保持一致,否則可能導致網絡不通。
· 當ADVPN隧道采用GRE封裝模式並使用GRE key對報文進行驗證時,則同一Hub組內的其他VAMC必須使用相同的GRE key。
· 如果一個設備上配置了多個使用GRE封裝的ADVPN隧道接口,且隧道的源端地址或源接口相同時,不同GRE封裝的ADVPN隧道接口的GRE Key必須不同。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!