- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
45-网络引流典型配置
本章节下载: 45-网络引流典型配置 (341.89 KB)
网络引流的功能是指通过设备将终端访问外网的流量引流到云平台,流量经过云平台处理后再回流到设备,然后从原路径转发出去。使用GRE VPN或者IPsec VPN实现隧道的互通,通过策略路由实现引流,并解决流量二次过设备问题。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
l CPE只支持IPv4引流,不支持IPv6引流(IPv6数据可正常转发)。
l VPE侧建立GRE隧道只支持IP地址不支持域名配置。
l CPE侧出口FW的NAT功能须支持GRE协议。
l CPE引流不支持带vlan tag。
l GRE隧道无状态检测机制,CPE设备侧需配接口状态探测功能做引流动态切换。
l 设备作为VPE时到安全模块无引流链路检测机制,当链路不通会造成CPE侧业务不通。
l CPE引流支持协议icmp,tcp,udp
如下图所示,SASE平台部署在城域汇聚节点,客户侧部署一台CPE设备,用于和POP点建立隧道,并转发指定流量到SASE平台,最后将过滤后的流量转发到CPE设备出接口。
具体需求如下:
(1) 设备作为CPE部署在用户PC与出口FW之间,用户流量通过出口FW转发到外网。
(2) SASE平台部署一台设备作为VPE,与CPE之间部署隧道。
(3) CPE将接收到的流量通过GRE隧道上送到SASE平台的VPE。
(4) VPE将CPE送上来的流量转发给VRouter,使其能达到安全模块进行安全检查;并能将VRouter返回的流量重新转发回CPE。
(5) CPE将二次过来的流量转发出去。
· 配置网桥接口,将连接PC和出口FW的接口加入网桥接口。
· 配置静态路由。
· 新建隧道接口。
· 配置网络引流。
· 创建隧道接口。
· 配置VPE的接口地址。
· 配置策略路由。
· 在VPE上开启GRE引流功能。
本举例是在R6616版本上进行配置和验证的。
(1) 进入“网络配置>接口配置>网桥接口”,将连接PC和出口FW的接口加入网桥接口,并配置此网桥接口的IP为30.30.30.1/24。
(2) 进入“网络配置>路由管理>静态路由”,新建静态路由,下一跳为出口FW的入接口IP。
(3) 进入“网络配置>接口配置>隧道接口”,新建隧道接口,源IP为CPE上的出接口IP,目的IP为VPE上入接口的IP。
(4) 进入“策略配置>对象管理>地址对象”,新建内网PC地址段为30.30.30.0/24;
(5) 进入“网络配置>基础网络>网络引流”,新建网络引流,引流接口引用步骤(3)中新建的隧道接口,引流对象引用步骤(4)中新建的内网pc地址段。
(1) 进入“网络配置>接口配置>隧道接口”,新建隧道接口,源IP为VPE的出接口IP,目的IP为CPE侧出口FW上出接口IP。
(2) 进入“网络配置>接口配置>物理接口”,配置连接VRouter的接口ge0的IP为6.6.6.1/24;接口ge2的IP为1.1.1.92/24。
(3) 进入“网络配置>路由管理>策略路由”,新建策略路由,入接口引用新建的隧道接口tunnel1,下一跳指向Vrouter,VPE与VRouter之间的流量转发需要配置策略路由。
(4) 在VPE上通过命令gre drainage enable开启GRE引流功能。
(1) 按照上述组网,启用引流功能,在PC终端使用ping命令测试网络可以正常连通。
(2) 在PC终端可以正常访问网站。
(3) 在上述步骤中,启用引流功能时,分别在测试PC、CPE设备和VPE设备上通过Debug和抓包的方式查看流量,有正确GRE引流和回流。
(4) 在上述步骤中,不启用引流功能时,分别在测试PC、CPE设备和VPE设备上通过debug和抓包的方式查看流量,没有相关的GRE引流和回流。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
