15-ADVPN
本章节下载: 15-ADVPN (487.65 KB)
本帮助主要介绍以下内容:
· 特性简介
· 配置指南
○ 配置VAMS
○ 配置VAMC
ADVPN(Auto Discovery Virtual Private Network,自动发现虚拟专用网络)是一种基于VAM(VPN Address Management,VPN地址管理)协议的动态VPN技术。VAM协议负责收集、维护和分发动态变化的公网地址等信息,采用Client/Server模型。ADVPN网络中的节点(称为ADVPN节点)作为VAM Client。当公网地址变化时,VAM Client将当前公网地址注册到VAM Server。ADVPN节点通过VAM协议从VAM Server获取另一端ADVPN节点的当前公网地址,从而实现在两个节点之间动态建立跨越IP核心网络的ADVPN隧道。
在企业网各分支机构使用动态地址接入公网的情况下,可以利用ADVPN在各分支机构间建立VPN。
ADVPN通过ADVPN域区分不同的VPN网络,ADVPN域由域ID来标识。属于同一个VPN的VAM Client需要规划到相同的ADVPN域中,且一个VAM Client只能属于一个ADVPN域;VAM Server可以同时为多个ADVPN域服务,管理多个ADVPN域的VAM Client。
ADVPN节点分为如下两类:
· Hub:ADVPN网络的中心设备。它是路由信息交换的中心。
· Spoke:ADVPN网络的分支设备,通常是企业分支机构的网关。该节点不会转发收到的其它ADVPN节点的数据。
根据数据转发方式的不同,ADVPN组网结构分为如下两种:
· Full-Mesh(全互联)网络:Spoke和Spoke之间可以建立隧道直接通信。
· Hub-Spoke网络:Spoke之间不能建立隧道直接通信,只能通过Hub转发数据。
当一个ADVPN域中的ADVPN节点数目较多时,由于某些原因(如动态路由协议邻居数限制等),Hub无法管理全部的ADVPN节点。此时,可以将ADVPN网络划分为多个Hub组,每个Hub组中包含一个或多个Hub,及一部分Spoke节点,以减轻Hub节点的负担。
如图-1所示,在Full-Mesh网络中,Spoke向VAM Server注册后获得Spoke所属ADVPN域所在Hub组中Hub的信息,并与Hub建立永久的ADVPN隧道。当两个Spoke之间有数据报文交互时,Spoke从VAM Server获取对端Spoke的公网地址,并在Spoke之间直接建立隧道。Spoke之间的隧道是动态的,当在一段时间(Spoke-Spoke隧道空闲超时时间)内没有数据报文交互时,则删除该隧道。
图-1 Full-Mesh网络示意图
如图-2所示,在Hub-Spoke网络中,Spoke向VAM Server注册后获得Spoke所属ADVPN域所在Hub组中Hub的信息,并与Hub建立永久的ADVPN隧道。两个Spoke之间有数据报文交互时,该报文通过Hub转发,不会在Spoke之间建立隧道。Hub既作为路由信息交换的中心,又作为数据转发的中心。
图-2 Hub-Spoke网络示意图
如图-3所示,划分多个Hub组网络中,Hub组的划分方式为:
· 所有Hub必须属于同一个Hub组,该Hub组作为骨干区域。骨干区域采用Full-Mesh组网,即Hub向VAM Server注册后获得骨干区域中所有Hub的信息,并在每两个Hub之间都建立永久的ADVPN隧道。
· 将Spoke部署到除骨干区域外的其他Hub组中。这些Hub组内至少有1个Hub,可以使用Full-Mesh组网也可以使用Hub-Spoke组网。Spoke向VAM Server注册后获得Spoke所属ADVPN域所在Hub组中Hub的信息,并与Hub建立永久的ADVPN隧道。一个Hub组内的Spoke只与本组的Hub建立ADVPN隧道,不与其他Hub组的Hub建立ADVPN隧道。
同一个Hub组内,隧道建立方式和数据转发方式由其组网方式决定。不同Hub组间,数据需要通过本组的Hub转发到目的组的Hub,再由目的组Hub转发到对应的Spoke。
为了减少Hub跨组转发数据时的压力,可以允许不同组的Spoke直接建立隧道,但该隧道是动态的,当在一段时间(Spoke-Spoke隧道空闲超时时间)内没有数据报文交互时,则删除该隧道。
图-3 划分多个Hub组网络示意图
ADVPN对VAM Server和VAM Client的地址具有一定要求:
· VAM Server只需要具有公网地址,且该公网地址必须静态配置,不能动态变化。
· VAM Client需要具有公网地址和私网地址。公网地址是VAM Client连接IP核心网络的接口的地址,既可以静态配置也可以动态获取。私网地址是ADVPN隧道接口的地址,必须静态配置。在同一个ADVPN域内,同一个Hub组内的VAM Client的私网地址应该属于同一个网段。
ADVPN的关键是通过VAM Client的私网地址获取动态变化的公网地址,以便建立ADVPN隧道、转发报文。ADVPN的工作过程分为连接初始化、注册、隧道建立、路由学习和报文转发四个阶段,下面对这四个阶段做简单说明。
· 连接初始化阶段:VAM Client和VAM Server之间协商完整性验证、加密算法及密钥。
· 注册阶段:VAM Client向VAM Server进行身份认证,并注册相关信息。
· 隧道建立阶段:同一个Hub组内,每个Spoke和每个Hub之间都要建立永久隧道,任意两个Hub之间也要建立永久隧道。
· 路由学习和报文转发:路由学习通过路由协议实现,路由协议决定组网方式,组网方式决定报文转发方法。
当隧道发起方在NAT网关后侧时,则可以建立穿越NAT的Spoke-Spoke隧道;如果隧道接收方在NAT网关后侧,则数据包要由Hub转发,直到接收方发起隧道建立请求。如果双方都在NAT网关后侧,则它们都无法与对方建立隧道,所有的数据包都只能从Hub转发。
如果NAT网关采用Endpoint-Independent Mapping(不关心对端地址和端口转换模式),隧道接收方在NAT网关后侧时,也可以建立穿越NAT的Spoke-Spoke隧道。
· 在配置好VAMC之后,请将隧道接口加入安全域,并配置到其他VAMC的安全策略,否则网络不通。
· 在同一个ADVPN域中,VAMS和VAMC的预共享密钥要一致。
· 在同一个ADVPN域中,所有Tunnel接口的Keepalive报文发送周期及最大发送次数必须一致。
· 除IP地址外,备VAMS的ADVPN配置与主VAMS相同。
· VAMS的监听端口号与VAMC上指定的VAMS的端口号必须一致。
· VAMC的私网地址需要与VAMS中Hub组划分的私网地址保持一致,否则注册失败。
· 在认证VAMC身份的时候,VAMS会根据VAMC提交的信息对认证和加密算法进行选择,若无法匹配成功,则VAMC的注册将会失败。
· 在同一个Hub组中,OSPF的网络类型要保持一致,否则可能导致网络不通。
· 当ADVPN隧道采用GRE封装模式并使用GRE key对报文进行验证时,则同一Hub组内的其他VAMC必须使用相同的GRE key。
· 如果一个设备上配置了多个使用GRE封装的ADVPN隧道接口,且隧道的源端地址或源接口相同时,不同GRE封装的ADVPN隧道接口的GRE Key必须不同。
在实际进行配置之前,请先规划加密、认证相关信息以及组网信息,包括:
· ADVPN域
· VAMS公网地址、预共享密钥、加密和认证方式
· VAMC公网、私网地址及其所连接的私网信息
在规划好上述信息之后,则可以在VAMS和VAMC上进行相关配置了。
VAMS功能的支持情况与设备的款型有关,请以设备的实际界面为准。 |
VAMS的具体配置步骤如下:
1. 选择“网络 > VPN > ADVPN > VAMS”。
2. 在“VAMS”页面单击<新建>按钮,进入“新建VAMS”页面。
3. 新建VAMS,具体配置内容如下表所示:
表-1 新建VAMS配置参数表
参数 |
说明 |
ADVPN域 |
VAMS所属的ADVPN域,不可重复 |
ID |
VAMS的编号,不可重复 |
预共享密钥 |
VAMS的预共享密钥,用于与VAMC进行连接初始化。如果选择对后续的报文进行加密和验证,则预共享密钥还用来生成验证和加密后续报文的连接密钥 |
身份认证方式 |
VAMS认证VAMC身份的方式 |
ISP域 |
当认证方式为“PAP”或“CHAP”时,此项可以输入,指定具体的ISP域对VAMC进行验证。详细信息请参见“ISP域” |
Hub组 |
当前页面显示已有的Hub组,并提供新建、编辑和删除功能。关于新建和编辑功能,请参见表-2 |
报文认证算法 |
VAMS和VAMC进行通信时采用的认证算法。算法在配置中的出现顺序决定其使用优先级。配置中越靠前的验证算法,其优先级越高。其中NONE表示不认证,直接通过,所以若要选择NONE,请将其放在所有算法之后,否则NONE之后的算法不生效 VAMS在与VAMC协商时,从VAMC支持的验证算法列表中选择VAMS上配置最靠前的算法作为协商结果,若没有匹配成功,则拒绝连接 |
报文加密算法 |
VAMS和VAMC进行通信时采用的加密算法。优先级和选择方式与报文认证算法相同 |
Keepalive报文:时间间隔 |
此参数将决定VAMC向VAMS发送Keepalive报文的时间间隔,当此参数发生改变时,则修改后的参数只对新注册的VAMC生效,已经注册的VAMC不受影响 |
Keepalive报文:重发次数 |
此参数将决定VAMC向VAMS发送Keepalive报文的重发次数,当此参数发生改变时,则修改后的参数只对新注册的VAMC生效,已经注册的VAMC不受影响 |
VAM报文重发间隔 |
VAMS重发报文的时间间隔 |
启用VAMS |
是否启用VAMS,勾选为启用 |
表-2 新建Hub组配置参数表
参数 |
说明 |
组名 |
Hub组的名称 |
直连隧道规则 |
跨Hub组建立Spoke-Spoke隧道的规则,分为三种选项:NONE表示不可以建立Spoke-Spoke隧道,ACL表示根据具体的ACL规则允许或禁止建立Spoke-Spoke隧道,All表示没有限制,可以任意建立Spoke-Spoke隧道 |
Hub |
当前页面显示本Hub组中已存在的Hub,并提供新建、编辑和删除功能。关于新建和编辑功能,请注意,当Hub在NAT网关之后时,“公网地址”和“ADVPN端口”两项需要填写,具体填写为Hub经过NAT转换后的公网地址和端口 |
Spoke |
当前页面显示本Hub组中已存在的Spoke,并提供新建和删除功能。 |
4. 在VAMS页面,可以开启、关闭、编辑已有的VAMS。
VAMC的具体配置步骤如下:
1. 选择“网络 > VPN > ADVPN > VAMC”。
2. 在“VAMC”页面单击<新建>按钮,进入“新建VAMC”页面。
3. 新建VAMC,具体配置内容如下表所示:
表-3 新建VAMC参数表
参数 |
说明 |
VAMC名称 |
表示VAMC的名称,不可重复 |
ADVPN域 |
VAMC所属的ADVPN域 |
预共享密钥 |
VAMC和VAMS进行连接初始化时使用的密钥,如果选择对后续的报文进行加密和验证,则预共享密钥还用来生成验证和加密后续报文的连接密钥 |
认证用户名、密钥 |
VAMC向VAMS注册时使用的用户名和密钥 |
启用VAMC |
是否开启VAMC,勾选为启用 |
超时静默时间 |
VAMC在与VAMS连接超时(指Keepalive超时)后,会进入静默状态,此时VAMC不处理任何报文。当静默时间到达后,VAMC将重新发起连接请求 |
VAM报文重发间隔 |
VAMC向VAMS发送请求报文后,如果在指定的时间间隔内没有收到响应报文,VAMC将重新发送请求报文 |
VAM报文重发次数 |
VAMC向VAMS重新发送请求报文的次数 |
主/备服务器地址 |
主/备VAMS的公网地址,需要静态分配 |
主/备服务器端口 |
主/备VAMS的监听端口号 |
模式 |
ADVPN隧道的封装模式 |
隧道接口ID |
ADVPN隧道接口的编号 |
隧道私网地址 |
ADVPN隧道接口的私网地址以及子网掩码 |
隧道公网地址 |
ADVPN隧道接口的公网地址,可以为隧道源接口的地址,也可以手动配置 |
VRF |
ADVPN隧道使用的虚拟路由转发表,具体配置请参见“VRF” |
OSPF路由协议 |
ADVPN隧道采用的OSPF路由协议,具体配置请参见“OSPF” |
网络类型 |
在选择OSPF实例后可见,表示OSPF协议的网络类型,将决定Hub组的组网方式 |
DR优先级 |
在选择OSPF实例后可见,表示OSPF协议中当前节点的DR优先级 |
GRE key |
当使用GRE封装模式时,使用的GRE验证密钥。不配置的情况下,表示不使用GRE key进行验证,具体请参见“GRE” |
开启报文校验和功能 |
当使用GRE封装模式时,开启GRE校验和验证功能来检查报文的完整性,具体请参见“GRE” |
源UDP端口号 |
当使用UDP封装时,报文的源端口号。若勾选了兼容ADVPN V0,则该参数不能和其他隧道的源端口号相同 |
注册私网信息列表 |
VAMC向VAMS注册ADVPN隧道的私网信息。当其他VAMC向VAMS解析私网报文目的地址时,如果解析的地址属于注册私网,则VAMS将注册VAMC的节点信息返回给查询方 当前页面显示已有私网,并提供新建、编辑和删除功能。关于新建和编辑功能,请注意,弹出框中的“优先级”,建议高于其他动态路由协议,且低于静态路由。优先级数值越大,优先级越低 |
兼容ADVPN V0 |
是否兼容ADVPN V0版本 |
隧道静默时间 |
ADVPN隧道建立失败的静默时间 |
隧道空闲超时时间 |
Spoke-Spoke类型ADVPN隧道的空闲超时时间,如果在空闲超时时间内,Spoke-Spoke类型ADVPN隧道上没有数据传输,则断开该隧道 |
封装后报文的TOS |
ADVPN隧道报文的TOS值 |
封装后报文的TTL |
ADVPN隧道报文的TTL值 |
封装后报文不允许分片 |
设置封装后隧道报文的DF标志,勾选表示不允许分片 |
IPsec功能 |
是否开启IPsec功能,勾选为开启 |
名称 |
IPsec策略的名称 |
IKE配置 |
表示以下多个配置为IKE相关配置 |
认证方式 |
IKE认证方式,有“预共享密钥”和“数字证书认证”两种方式 |
预共享密钥 |
在IKE认证方式为“预共享密钥”的情况下,对应的密钥 |
PKI域 |
在IKE认证方式为“数字证书认证”的情况下,证书所属的PKI域,具体配置请参见“PKI” |
证书访问策略 |
在IKE认证方式为“数字证书认证”的情况下,证书的访问控制策略,具体配置请参见“PKI” |
IKE提议 |
IPsec策略引用的IKE提议,具体配置请参见“IPsec” |
协商模式 |
IKE协商时采用的模式 |
IPsec配置 |
表示以下多个配置为IPsec相关配置 |
封装模式 |
IPsec的封装模式 |
安全协议 |
IPsec采用的安全协议 |
ESP认证算法 |
采用ESP或AH-ESP安全协议时,具体采用的ESP认证算法 |
ESP加密算法 |
采用ESP或AH-ESP安全协议时,具体采用的ESP加密认证算法 |
AH认证算法 |
采用AH或AH-ESP安全协议时,具体采用的AH认证算法 |
PFS |
是否使用PFS特性。PFS是一种安全特性,它解决了密钥之间相互无关性的需求使用PFS特性后,IKE第二阶段协商过程中会增加一次DH交换,使得IKE SA的密钥和IPsec SA的密钥之间没有派生关系。 |
DPD检测 |
是否开启IKE DPD检测功能,勾选为开启 |
检测方式 |
IKE DPD检测的方式 |
检测时间间隔 |
触发IKE DPD探测的时间间隔。对于按需探测模式,指定经过多长时间没有从对端收到IPsec报文,则触发一次DPD探测;对于定时探测模式,指触发一次DPD探测的时间间隔 |
重传时间间隔 |
IKE DPD报文的重传时间间隔,如果本端在DPD报文的重传时间间隔内未收到对端发送的DPD回应报文,则重传DPD请求报文,若重传两次之后仍然没有收到对端的DPD回应报文,则删除该IKE SA和对应的IPsec SA |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!