• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

05-網絡

目錄

14-ADVPN

本章節下載 14-ADVPN  (504.74 KB)

14-ADVPN

 

本幫助主要介紹以下內容:

·     特性簡介

¡     ADVPN組網結構

¡     ADVPN工作機製

¡     穿越NATADVPN隧道

·     配置指南

¡     配置VAMS

¡     配置VAMC

·     使用限製和注意事項

特性簡介

ADVPNAuto Discovery Virtual Private Network,自動發現虛擬專用網絡)是一種基於VAMVPN Address ManagementVPN地址管理)協議的動態VPN技術。VAM協議負責收集、維護和分發動態變化的公網地址等信息,采用Client/Server模型。ADVPN網絡中的節點(稱為ADVPN節點)作為VAM Client。當公網地址變化時,VAM Client將當前公網地址注冊到VAM ServerADVPN節點通過VAM協議從VAM Server獲取另一端ADVPN節點的當前公網地址,從而實現在兩個節點之間動態建立跨越IP核心網絡的ADVPN隧道。

在企業網各分支機構使用動態地址接入公網的情況下,可以利用ADVPN在各分支機構間建立VPN

ADVPN組網結構

ADVPN通過ADVPN域區分不同的VPN網絡,ADVPN域由域ID來標識。屬於同一個VPNVAM Client需要規劃到相同的ADVPN域中,且一個VAM Client隻能屬於一個ADVPN域;VAM Server可以同時為多個ADVPN域服務,管理多個ADVPN域的VAM Client

ADVPN節點分為如下兩類:

·     HubADVPN網絡的中心設備。它是路由信息交換的中心。

·     SpokeADVPN網絡的分支設備,通常是企業分支機構的網關。該節點不會轉發收到的其它ADVPN節點的數據。

根據數據轉發方式的不同,ADVPN組網結構分為如下兩種:

·     Full-Mesh(全互聯)網絡:SpokeSpoke之間可以建立隧道直接通信。

·     Hub-Spoke網絡:Spoke之間不能建立隧道直接通信,隻能通過Hub轉發數據。

當一個ADVPN域中的ADVPN節點數目較多時,由於某些原因(如動態路由協議鄰居數限製等),Hub無法管理全部的ADVPN節點。此時,可以將ADVPN網絡劃分為多個Hub組,每個Hub組中包含一個或多個Hub,及一部分Spoke節點,以減輕Hub節點的負擔。

Full-Mesh網絡

-1所示,在Full-Mesh網絡中,SpokeVAM Server注冊後獲得Spoke所屬ADVPN域所在Hub組中Hub的信息,並與Hub建立永久的ADVPN隧道。當兩個Spoke之間有數據報文交互時,SpokeVAM Server獲取對端Spoke的公網地址,並在Spoke之間直接建立隧道。Spoke之間的隧道是動態的,當在一段時間(Spoke-Spoke隧道空閑超時時間)內沒有數據報文交互時,則刪除該隧道。

圖-1 Full-Mesh網絡示意圖

 

Hub-Spoke網絡

-2所示,在Hub-Spoke網絡中,SpokeVAM Server注冊後獲得Spoke所屬ADVPN域所在Hub組中Hub的信息,並與Hub建立永久的ADVPN隧道。兩個Spoke之間有數據報文交互時,該報文通過Hub轉發,不會在Spoke之間建立隧道。Hub既作為路由信息交換的中心,又作為數據轉發的中心。

圖-2 Hub-Spoke網絡示意圖

 

劃分多個Hub組網絡

-3所示,劃分多個Hub組網絡中,Hub組的劃分方式為:

·     所有Hub必須屬於同一個Hub組,該Hub組作為骨幹區域。骨幹區域采用Full-Mesh組網,即HubVAM Server注冊後獲得骨幹區域中所有Hub的信息,並在每兩個Hub之間都建立永久的ADVPN隧道。

·     Spoke部署到除骨幹區域外的其他Hub組中。這些Hub組內至少有1Hub,可以使用Full-Mesh組網也可以使用Hub-Spoke組網。SpokeVAM Server注冊後獲得Spoke所屬ADVPN域所在Hub組中Hub的信息,並與Hub建立永久的ADVPN隧道。一個Hub組內的Spoke隻與本組的Hub建立ADVPN隧道,不與其他Hub組的Hub建立ADVPN隧道。

同一個Hub組內,隧道建立方式和數據轉發方式由其組網方式決定。不同Hub組間,數據需要通過本組的Hub轉發到目的組的Hub,再由目的組Hub轉發到對應的Spoke

為了減少Hub跨組轉發數據時的壓力,可以允許不同組的Spoke直接建立隧道,但該隧道是動態的,當在一段時間(Spoke-Spoke隧道空閑超時時間)內沒有數據報文交互時,則刪除該隧道。

圖-3 劃分多個Hub組網絡示意圖

 

ADVPN工作機製

ADVPNVAM ServerVAM Client的地址具有一定要求:

·     VAM Server隻需要具有公網地址,且該公網地址必須靜態配置,不能動態變化。

·     VAM Client需要具有公網地址和私網地址。公網地址是VAM Client連接IP核心網絡的接口的地址,既可以靜態配置也可以動態獲取。私網地址是ADVPN隧道接口的地址,必須靜態配置。在同一個ADVPN域內,同一個Hub組內的VAM Client的私網地址應該屬於同一個網段。

ADVPN的關鍵是通過VAM Client的私網地址獲取動態變化的公網地址,以便建立ADVPN隧道、轉發報文。ADVPN的工作過程分為連接初始化、注冊、隧道建立、路由學習和報文轉發四個階段,下麵對這四個階段做簡單說明。

·     連接初始化階段:VAM ClientVAM Server之間協商完整性驗證、加密算法及密鑰。

·     注冊階段:VAM ClientVAM Server進行身份認證,並注冊相關信息。

·     隧道建立階段:同一個Hub組內,每個Spoke和每個Hub之間都要建立永久隧道,任意兩個Hub之間也要建立永久隧道。

·     路由學習和報文轉發:路由學習通過路由協議實現,路由協議決定組網方式,組網方式決定報文轉發方法。

穿越NATADVPN隧道

當隧道發起方在NAT網關後側時,則可以建立穿越NATSpoke-Spoke隧道;如果隧道接收方在NAT網關後側,則數據包要由Hub轉發,直到接收方發起隧道建立請求。如果雙方都在NAT網關後側,則它們都無法與對方建立隧道,所有的數據包都隻能從Hub轉發。

如果NAT網關采用Endpoint-Independent Mapping(不關心對端地址和端口轉換模式),隧道接收方在NAT網關後側時,也可以建立穿越NATSpoke-Spoke隧道。

配置指南

在實際進行配置之前,請先規劃加密、認證相關信息以及組網信息,包括:

·     ADVPN

·     VAMS公網地址、預共享密鑰、加密和認證方式

·     VAMC公網、私網地址及其所連接的私網信息

在規劃好上述信息之後,則可以在VAMSVAMC上進行相關配置了。

配置VAMS

VAMS功能的支持情況與設備的款型有關,請以設備的實際界麵為準。

 

VAMS的具體配置步驟如下:

1.     選擇“網絡 > VPN > ADVPN > VAMS”。

2.     在“VAMS”頁麵單擊<新建>按鈕,進入“新建VAMS”頁麵。

3.     新建VAMS,具體配置內容如下表所示:

表-1 新建VAMS配置參數表

參數

說明

ADVPN

VAMS所屬的ADVPN域,不可重複

ID

VAMS的編號,不可重複

預共享密鑰

VAMS的預共享密鑰,用於與VAMC進行連接初始化。如果選擇對後續的報文進行加密和驗證,則預共享密鑰還用來生成驗證和加密後續報文的連接密鑰

身份認證方式

VAMS認證VAMC身份的方式

ISP

當認證方式為“PAP”或“CHAP”時,此項可以輸入,指定具體的ISP域對VAMC進行驗證。詳細信息請參見“ISP域”

Hub

當前頁麵顯示已有的Hub組,並提供新建、編輯和刪除功能。關於新建和編輯功能,請參見-2

報文認證算法

VAMSVAMC進行通信時采用的認證算法。算法在配置中的出現順序決定其使用優先級。配置中越靠前的驗證算法,其優先級越高。其中NONE表示不認證,直接通過,所以若要選擇NONE,請將其放在所有算法之後,否則NONE之後的算法不生效

VAMS在與VAMC協商時,從VAMC支持的驗證算法列表中選擇VAMS上配置最靠前的算法作為協商結果,若沒有匹配成功,則拒絕連接

報文加密算法

VAMSVAMC進行通信時采用的加密算法。優先級和選擇方式與報文認證算法相同

Keepalive報文:時間間隔

此參數將決定VAMCVAMS發送Keepalive報文的時間間隔,當此參數發生改變時,則修改後的參數隻對新注冊的VAMC生效,已經注冊的VAMC不受影響

Keepalive報文:重發次數

此參數將決定VAMCVAMS發送Keepalive報文的重發次數,當此參數發生改變時,則修改後的參數隻對新注冊的VAMC生效,已經注冊的VAMC不受影響

VAM報文重發間隔

VAMS重發報文的時間間隔

啟用VAMS

是否啟用VAMS,勾選為啟用

 

表-2 新建Hub組配置參數表

參數

說明

組名

Hub組的名稱

直連隧道規則

Hub組建立Spoke-Spoke隧道的規則,分為三種選項:NONE表示不可以建立Spoke-Spoke隧道,ACL表示根據具體的ACL規則允許或禁止建立Spoke-Spoke隧道,All表示沒有限製,可以任意建立Spoke-Spoke隧道

Hub

當前頁麵顯示本Hub組中已存在的Hub,並提供新建、編輯和刪除功能。關於新建和編輯功能,請注意,當HubNAT網關之後時,“公網地址”和“ADVPN端口”兩項需要填寫,具體填寫為Hub經過NAT轉換後的公網地址和端口

Spoke

當前頁麵顯示本Hub組中已存在的Spoke,並提供新建和刪除功能。

 

4.     VAMS頁麵,可以開啟、關閉、編輯已有的VAMS

配置VAMC

VAMC的具體配置步驟如下:

1.     選擇“網絡 > VPN > ADVPN > VAMC”。

2.     在“VAMC”頁麵單擊<新建>按鈕,進入“新建VAMC”頁麵。

3.     新建VAMC,具體配置內容如下表所示:

表-3 新建VAMC參數表

參數

說明

VAMC名稱

表示VAMC的名稱,不可重複

ADVPN

VAMC所屬的ADVPN

預共享密鑰

VAMCVAMS進行連接初始化時使用的密鑰,如果選擇對後續的報文進行加密和驗證,則預共享密鑰還用來生成驗證和加密後續報文的連接密鑰

認證用戶名、密鑰

VAMCVAMS注冊時使用的用戶名和密鑰

啟用VAMC

是否開啟VAMC,勾選為啟用

超時靜默時間

VAMC在與VAMS連接超時(指Keepalive超時)後,會進入靜默狀態,此時VAMC不處理任何報文。當靜默時間到達後,VAMC將重新發起連接請求

VAM報文重發間隔

VAMCVAMS發送請求報文後,如果在指定的時間間隔內沒有收到響應報文,VAMC將重新發送請求報文

VAM報文重發次數

VAMCVAMS重新發送請求報文的次數

/備服務器地址

/VAMS的公網地址,需要靜態分配

/備服務器端口

/VAMS的監聽端口號

模式

ADVPN隧道的封裝模式

隧道接口ID

ADVPN隧道接口的編號

隧道私網地址

ADVPN隧道接口的私網地址以及子網掩碼

隧道公網地址

ADVPN隧道接口的公網地址,可以為隧道源接口的地址,也可以手動配置

VRF

ADVPN隧道使用的虛擬路由轉發表,具體配置請參見“VRF

OSPF路由協議

ADVPN隧道采用的OSPF路由協議,具體配置請參見“OSPF

網絡類型

在選擇OSPF實例後可見,表示OSPF協議的網絡類型,將決定Hub組的組網方式

DR優先級

在選擇OSPF實例後可見,表示OSPF協議中當前節點的DR優先級

GRE key

當使用GRE封裝模式時,使用的GRE驗證密鑰。不配置的情況下,表示不使用GRE key進行驗證,具體請參見“GRE

開啟報文校驗和功能

當使用GRE封裝模式時,開啟GRE校驗和驗證功能來檢查報文的完整性,具體請參見“GRE

UDP端口號

當使用UDP封裝時,報文的源端口號。若勾選了兼容ADVPN V0,則該參數不能和其他隧道的源端口號相同

注冊私網信息列表

VAMCVAMS注冊ADVPN隧道的私網信息。當其他VAMCVAMS解析私網報文目的地址時,如果解析的地址屬於注冊私網,則VAMS將注冊VAMC的節點信息返回給查詢方

當前頁麵顯示已有私網,並提供新建、編輯和刪除功能。關於新建和編輯功能,請注意,彈出框中的“優先級”,建議高於其他動態路由協議,且低於靜態路由。優先級數值越大,優先級越低

兼容ADVPN V0

是否兼容ADVPN V0版本,若您的組網中存在Comware V5軟件版本的設備,請勾選此項

隧道靜默時間

ADVPN隧道建立失敗的靜默時間

隧道空閑超時時間

Spoke-Spoke類型ADVPN隧道的空閑超時時間,如果在空閑超時時間內,Spoke-Spoke類型ADVPN隧道上沒有數據傳輸,則斷開該隧道

封裝後報文的TOS

ADVPN隧道報文的TOS

封裝後報文的TTL

ADVPN隧道報文的TTL

封裝後報文不允許分片

設置封裝後隧道報文的DF標誌,勾選表示不允許分片

IPsec功能

是否開啟IPsec功能,勾選為開啟

名稱

IPsec策略的名稱

IKE配置

表示以下多個配置為IKE相關配置

認證方式

IKE認證方式,有“預共享密鑰”和“數字證書認證”兩種方式

預共享密鑰

IKE認證方式為“預共享密鑰”的情況下,對應的密鑰

PKI

IKE認證方式為“數字證書認證”的情況下,證書所屬的PKI域,具體配置請參見“PKI

證書訪問策略

IKE認證方式為“數字證書認證”的情況下,證書的訪問控製策略,具體配置請參見“PKI

IKE提議

IPsec策略引用的IKE提議,具體配置請參見“IPsec

協商模式

IKE協商時采用的模式

IPsec配置

表示以下多個配置為IPsec相關配置

封裝模式

IPsec的封裝模式

安全協議

IPsec采用的安全協議

ESP認證算法

采用ESPAH-ESP安全協議時,具體采用的ESP認證算法

ESP加密算法

采用ESPAH-ESP安全協議時,具體采用的ESP加密認證算法

AH認證算法

采用AHAH-ESP安全協議時,具體采用的AH認證算法

PFS

是否使用PFS特性。PFS是一種安全特性,它解決了密鑰之間相互無關性的需求使用PFS特性後,IKE第二階段協商過程中會增加一次DH交換,使得IKE SA的密鑰和IPsec SA的密鑰之間沒有派生關係。

DPD檢測

是否開啟IKE DPD檢測功能,勾選為開啟。

檢測方式

IKE DPD檢測的方式

檢測時間間隔

觸發IKE DPD探測的時間間隔。對於按需探測模式,指定經過多長時間沒有從對端收到IPsec報文,則觸發一次DPD探測;對於定時探測模式,指觸發一次DPD探測的時間間隔

重傳時間間隔

IKE DPD報文的重傳時間間隔,如果本端在DPD報文的重傳時間間隔內未收到對端發送的DPD回應報文,則重傳DPD請求報文,若重傳兩次之後仍然沒有收到對端的DPD回應報文,則刪除該IKE SA和對應的IPsec SA

 

4.     VAMC頁麵,可以開啟、關閉、編輯已有的VAMC

使用限製和注意事項

·     在配置好VAMC之後,請將隧道接口加入安全域,並配置到其他VAMC的安全策略,否則網絡不通。

·     在同一個ADVPN域中,VAMSVAMC的預共享密鑰要一致。

·     在同一個ADVPN域中,所有Tunnel接口的Keepalive報文發送周期及最大發送次數必須一致

·     IP地址外,備VAMSADVPN配置與主VAMS相同

·     VAMS的監聽端口號與VAMC上指定的VAMS的端口號必須一致。

·     VAMC的私網地址需要與VAMSHub組劃分的私網地址保持一致,否則注冊失敗。

·     在認證VAMC身份的時候,VAMS會根據VAMC提交的信息對認證和加密算法進行選擇,若無法匹配成功,則VAMC的注冊將會失敗。

·     在同一個Hub組中,OSPF的網絡類型要保持一致,否則可能導致網絡不通。

·     ADVPN隧道采用GRE封裝模式並使用GRE key對報文進行驗證時,則同一Hub組內的其他VAMC必須使用相同的GRE key

·     如果一個設備上配置了多個使用GRE封裝的ADVPN隧道接口,且隧道的源端地址或源接口相同時,不同GRE封裝的ADVPN隧道接口的GRE Key必須不同。

 

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們