• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

06-网络

目录

15-ADVPN

本章节下载 15-ADVPN  (487.65 KB)

15-ADVPN

 

本帮助主要介绍以下内容:

·     特性简介

     ADVPN组网结构

     ADVPN工作机制

     穿越NATADVPN隧道

·     使用限制和注意事项

·     配置指南

     配置VAMS

     配置VAMC

特性简介

ADVPNAuto Discovery Virtual Private Network,自动发现虚拟专用网络)是一种基于VAMVPN Address ManagementVPN地址管理)协议的动态VPN技术。VAM协议负责收集、维护和分发动态变化的公网地址等信息,采用Client/Server模型。ADVPN网络中的节点(称为ADVPN节点)作为VAM Client。当公网地址变化时,VAM Client将当前公网地址注册到VAM ServerADVPN节点通过VAM协议从VAM Server获取另一端ADVPN节点的当前公网地址,从而实现在两个节点之间动态建立跨越IP核心网络的ADVPN隧道。

在企业网各分支机构使用动态地址接入公网的情况下,可以利用ADVPN在各分支机构间建立VPN

ADVPN组网结构

ADVPN通过ADVPN域区分不同的VPN网络,ADVPN域由域ID来标识。属于同一个VPNVAM Client需要规划到相同的ADVPN域中,且一个VAM Client只能属于一个ADVPN域;VAM Server可以同时为多个ADVPN域服务,管理多个ADVPN域的VAM Client

ADVPN节点分为如下两类:

·     HubADVPN网络的中心设备。它是路由信息交换的中心。

·     SpokeADVPN网络的分支设备,通常是企业分支机构的网关。该节点不会转发收到的其它ADVPN节点的数据。

根据数据转发方式的不同,ADVPN组网结构分为如下两种:

·     Full-Mesh(全互联)网络:SpokeSpoke之间可以建立隧道直接通信。

·     Hub-Spoke网络:Spoke之间不能建立隧道直接通信,只能通过Hub转发数据。

当一个ADVPN域中的ADVPN节点数目较多时,由于某些原因(如动态路由协议邻居数限制等),Hub无法管理全部的ADVPN节点。此时,可以将ADVPN网络划分为多个Hub组,每个Hub组中包含一个或多个Hub,及一部分Spoke节点,以减轻Hub节点的负担。

Full-Mesh网络

-1所示,在Full-Mesh网络中,SpokeVAM Server注册后获得Spoke所属ADVPN域所在Hub组中Hub的信息,并与Hub建立永久的ADVPN隧道。当两个Spoke之间有数据报文交互时,SpokeVAM Server获取对端Spoke的公网地址,并在Spoke之间直接建立隧道。Spoke之间的隧道是动态的,当在一段时间(Spoke-Spoke隧道空闲超时时间)内没有数据报文交互时,则删除该隧道。

图-1 Full-Mesh网络示意图

 

Hub-Spoke网络

-2所示,在Hub-Spoke网络中,SpokeVAM Server注册后获得Spoke所属ADVPN域所在Hub组中Hub的信息,并与Hub建立永久的ADVPN隧道。两个Spoke之间有数据报文交互时,该报文通过Hub转发,不会在Spoke之间建立隧道。Hub既作为路由信息交换的中心,又作为数据转发的中心。

图-2 Hub-Spoke网络示意图

 

划分多个Hub组网络

-3所示,划分多个Hub组网络中,Hub组的划分方式为:

·     所有Hub必须属于同一个Hub组,该Hub组作为骨干区域。骨干区域采用Full-Mesh组网,即HubVAM Server注册后获得骨干区域中所有Hub的信息,并在每两个Hub之间都建立永久的ADVPN隧道。

·     Spoke部署到除骨干区域外的其他Hub组中。这些Hub组内至少有1Hub,可以使用Full-Mesh组网也可以使用Hub-Spoke组网。SpokeVAM Server注册后获得Spoke所属ADVPN域所在Hub组中Hub的信息,并与Hub建立永久的ADVPN隧道。一个Hub组内的Spoke只与本组的Hub建立ADVPN隧道,不与其他Hub组的Hub建立ADVPN隧道。

同一个Hub组内,隧道建立方式和数据转发方式由其组网方式决定。不同Hub组间,数据需要通过本组的Hub转发到目的组的Hub,再由目的组Hub转发到对应的Spoke

为了减少Hub跨组转发数据时的压力,可以允许不同组的Spoke直接建立隧道,但该隧道是动态的,当在一段时间(Spoke-Spoke隧道空闲超时时间)内没有数据报文交互时,则删除该隧道。

图-3 划分多个Hub组网络示意图

 

ADVPN工作机制

ADVPNVAM ServerVAM Client的地址具有一定要求:

·     VAM Server只需要具有公网地址,且该公网地址必须静态配置,不能动态变化。

·     VAM Client需要具有公网地址和私网地址。公网地址是VAM Client连接IP核心网络的接口的地址,既可以静态配置也可以动态获取。私网地址是ADVPN隧道接口的地址,必须静态配置。在同一个ADVPN域内,同一个Hub组内的VAM Client的私网地址应该属于同一个网段。

ADVPN的关键是通过VAM Client的私网地址获取动态变化的公网地址,以便建立ADVPN隧道、转发报文。ADVPN的工作过程分为连接初始化、注册、隧道建立、路由学习和报文转发四个阶段,下面对这四个阶段做简单说明。

·     连接初始化阶段:VAM ClientVAM Server之间协商完整性验证、加密算法及密钥。

·     注册阶段:VAM ClientVAM Server进行身份认证,并注册相关信息。

·     隧道建立阶段:同一个Hub组内,每个Spoke和每个Hub之间都要建立永久隧道,任意两个Hub之间也要建立永久隧道。

·     路由学习和报文转发:路由学习通过路由协议实现,路由协议决定组网方式,组网方式决定报文转发方法。

穿越NATADVPN隧道

当隧道发起方在NAT网关后侧时,则可以建立穿越NATSpoke-Spoke隧道;如果隧道接收方在NAT网关后侧,则数据包要由Hub转发,直到接收方发起隧道建立请求。如果双方都在NAT网关后侧,则它们都无法与对方建立隧道,所有的数据包都只能从Hub转发。

如果NAT网关采用Endpoint-Independent Mapping(不关心对端地址和端口转换模式),隧道接收方在NAT网关后侧时,也可以建立穿越NATSpoke-Spoke隧道。

使用限制和注意事项

·     在配置好VAMC之后,请将隧道接口加入安全域,并配置到其他VAMC的安全策略,否则网络不通。

·     在同一个ADVPN域中,VAMSVAMC的预共享密钥要一致。

·     在同一个ADVPN域中,所有Tunnel接口的Keepalive报文发送周期及最大发送次数必须一致。

·     IP地址外,备VAMSADVPN配置与主VAMS相同。

·     VAMS的监听端口号与VAMC上指定的VAMS的端口号必须一致。

·     VAMC的私网地址需要与VAMSHub组划分的私网地址保持一致,否则注册失败。

·     在认证VAMC身份的时候,VAMS会根据VAMC提交的信息对认证和加密算法进行选择,若无法匹配成功,则VAMC的注册将会失败。

·     在同一个Hub组中,OSPF的网络类型要保持一致,否则可能导致网络不通。

·     ADVPN隧道采用GRE封装模式并使用GRE key对报文进行验证时,则同一Hub组内的其他VAMC必须使用相同的GRE key

·     如果一个设备上配置了多个使用GRE封装的ADVPN隧道接口,且隧道的源端地址或源接口相同时,不同GRE封装的ADVPN隧道接口的GRE Key必须不同。

配置指南

在实际进行配置之前,请先规划加密、认证相关信息以及组网信息,包括:

·     ADVPN

·     VAMS公网地址、预共享密钥、加密和认证方式

·     VAMC公网、私网地址及其所连接的私网信息

在规划好上述信息之后,则可以在VAMSVAMC上进行相关配置了。

配置VAMS

VAMS功能的支持情况与设备的款型有关,请以设备的实际界面为准。

 

VAMS的具体配置步骤如下:

1.     选择“网络 > VPN > ADVPN > VAMS”。

2.     在“VAMS”页面单击<新建>按钮,进入“新建VAMS”页面。

3.     新建VAMS,具体配置内容如下表所示:

表-1 新建VAMS配置参数表

参数

说明

ADVPN

VAMS所属的ADVPN域,不可重复

ID

VAMS的编号,不可重复

预共享密钥

VAMS的预共享密钥,用于与VAMC进行连接初始化。如果选择对后续的报文进行加密和验证,则预共享密钥还用来生成验证和加密后续报文的连接密钥

身份认证方式

VAMS认证VAMC身份的方式

ISP

当认证方式为“PAP”或“CHAP”时,此项可以输入,指定具体的ISP域对VAMC进行验证。详细信息请参见“ISP域”

Hub

当前页面显示已有的Hub组,并提供新建、编辑和删除功能。关于新建和编辑功能,请参见-2

报文认证算法

VAMSVAMC进行通信时采用的认证算法。算法在配置中的出现顺序决定其使用优先级。配置中越靠前的验证算法,其优先级越高。其中NONE表示不认证,直接通过,所以若要选择NONE,请将其放在所有算法之后,否则NONE之后的算法不生效

VAMS在与VAMC协商时,从VAMC支持的验证算法列表中选择VAMS上配置最靠前的算法作为协商结果,若没有匹配成功,则拒绝连接

报文加密算法

VAMSVAMC进行通信时采用的加密算法。优先级和选择方式与报文认证算法相同

Keepalive报文:时间间隔

此参数将决定VAMCVAMS发送Keepalive报文的时间间隔,当此参数发生改变时,则修改后的参数只对新注册的VAMC生效,已经注册的VAMC不受影响

Keepalive报文:重发次数

此参数将决定VAMCVAMS发送Keepalive报文的重发次数,当此参数发生改变时,则修改后的参数只对新注册的VAMC生效,已经注册的VAMC不受影响

VAM报文重发间隔

VAMS重发报文的时间间隔

启用VAMS

是否启用VAMS,勾选为启用

 

表-2 新建Hub组配置参数表

参数

说明

组名

Hub组的名称

直连隧道规则

Hub组建立Spoke-Spoke隧道的规则,分为三种选项:NONE表示不可以建立Spoke-Spoke隧道,ACL表示根据具体的ACL规则允许或禁止建立Spoke-Spoke隧道,All表示没有限制,可以任意建立Spoke-Spoke隧道

Hub

当前页面显示本Hub组中已存在的Hub,并提供新建、编辑和删除功能。关于新建和编辑功能,请注意,当HubNAT网关之后时,“公网地址”和“ADVPN端口”两项需要填写,具体填写为Hub经过NAT转换后的公网地址和端口

Spoke

当前页面显示本Hub组中已存在的Spoke,并提供新建和删除功能。

 

4.     VAMS页面,可以开启、关闭、编辑已有的VAMS

配置VAMC

VAMC的具体配置步骤如下:

1.     选择“网络 > VPN > ADVPN > VAMC”。

2.     在“VAMC”页面单击<新建>按钮,进入“新建VAMC”页面。

3.     新建VAMC,具体配置内容如下表所示:

表-3 新建VAMC参数表

参数

说明

VAMC名称

表示VAMC的名称,不可重复

ADVPN

VAMC所属的ADVPN

预共享密钥

VAMCVAMS进行连接初始化时使用的密钥,如果选择对后续的报文进行加密和验证,则预共享密钥还用来生成验证和加密后续报文的连接密钥

认证用户名、密钥

VAMCVAMS注册时使用的用户名和密钥

启用VAMC

是否开启VAMC,勾选为启用

超时静默时间

VAMC在与VAMS连接超时(指Keepalive超时)后,会进入静默状态,此时VAMC不处理任何报文。当静默时间到达后,VAMC将重新发起连接请求

VAM报文重发间隔

VAMCVAMS发送请求报文后,如果在指定的时间间隔内没有收到响应报文,VAMC将重新发送请求报文

VAM报文重发次数

VAMCVAMS重新发送请求报文的次数

/备服务器地址

/VAMS的公网地址,需要静态分配

/备服务器端口

/VAMS的监听端口号

模式

ADVPN隧道的封装模式

隧道接口ID

ADVPN隧道接口的编号

隧道私网地址

ADVPN隧道接口的私网地址以及子网掩码

隧道公网地址

ADVPN隧道接口的公网地址,可以为隧道源接口的地址,也可以手动配置

VRF

ADVPN隧道使用的虚拟路由转发表,具体配置请参见“VRF

OSPF路由协议

ADVPN隧道采用的OSPF路由协议,具体配置请参见“OSPF

网络类型

在选择OSPF实例后可见,表示OSPF协议的网络类型,将决定Hub组的组网方式

DR优先级

在选择OSPF实例后可见,表示OSPF协议中当前节点的DR优先级

GRE key

当使用GRE封装模式时,使用的GRE验证密钥。不配置的情况下,表示不使用GRE key进行验证,具体请参见“GRE

开启报文校验和功能

当使用GRE封装模式时,开启GRE校验和验证功能来检查报文的完整性,具体请参见“GRE

UDP端口号

当使用UDP封装时,报文的源端口号。若勾选了兼容ADVPN V0,则该参数不能和其他隧道的源端口号相同

注册私网信息列表

VAMCVAMS注册ADVPN隧道的私网信息。当其他VAMCVAMS解析私网报文目的地址时,如果解析的地址属于注册私网,则VAMS将注册VAMC的节点信息返回给查询方

当前页面显示已有私网,并提供新建、编辑和删除功能。关于新建和编辑功能,请注意,弹出框中的“优先级”,建议高于其他动态路由协议,且低于静态路由。优先级数值越大,优先级越低

兼容ADVPN V0

是否兼容ADVPN V0版本

隧道静默时间

ADVPN隧道建立失败的静默时间

隧道空闲超时时间

Spoke-Spoke类型ADVPN隧道的空闲超时时间,如果在空闲超时时间内,Spoke-Spoke类型ADVPN隧道上没有数据传输,则断开该隧道

封装后报文的TOS

ADVPN隧道报文的TOS

封装后报文的TTL

ADVPN隧道报文的TTL

封装后报文不允许分片

设置封装后隧道报文的DF标志,勾选表示不允许分片

IPsec功能

是否开启IPsec功能,勾选为开启

名称

IPsec策略的名称

IKE配置

表示以下多个配置为IKE相关配置

认证方式

IKE认证方式,有“预共享密钥”和“数字证书认证”两种方式

预共享密钥

IKE认证方式为“预共享密钥”的情况下,对应的密钥

PKI

IKE认证方式为“数字证书认证”的情况下,证书所属的PKI域,具体配置请参见“PKI

证书访问策略

IKE认证方式为“数字证书认证”的情况下,证书的访问控制策略,具体配置请参见“PKI

IKE提议

IPsec策略引用的IKE提议,具体配置请参见“IPsec

协商模式

IKE协商时采用的模式

IPsec配置

表示以下多个配置为IPsec相关配置

封装模式

IPsec的封装模式

安全协议

IPsec采用的安全协议

ESP认证算法

采用ESPAH-ESP安全协议时,具体采用的ESP认证算法

ESP加密算法

采用ESPAH-ESP安全协议时,具体采用的ESP加密认证算法

AH认证算法

采用AHAH-ESP安全协议时,具体采用的AH认证算法

PFS

是否使用PFS特性。PFS是一种安全特性,它解决了密钥之间相互无关性的需求使用PFS特性后,IKE第二阶段协商过程中会增加一次DH交换,使得IKE SA的密钥和IPsec SA的密钥之间没有派生关系。

DPD检测

是否开启IKE DPD检测功能,勾选为开启

检测方式

IKE DPD检测的方式

检测时间间隔

触发IKE DPD探测的时间间隔。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔

重传时间间隔

IKE DPD报文的重传时间间隔,如果本端在DPD报文的重传时间间隔内未收到对端发送的DPD回应报文,则重传DPD请求报文,若重传两次之后仍然没有收到对端的DPD回应报文,则删除该IKE SA和对应的IPsec SA

 

4.     VAMC页面,可以开启、关闭、编辑已有的VAMC

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们