写在前面,本人博客里面所写的所有博客都是经过实战以及安全稳定部署在客户企业网络中。所以各位大可放心这不是纯理论,纯理想主义。
应用环境:中大型企业分支点数据稳定加密通信
VPN设备:Hillstone 【近期在国内很逆天的一款设备品牌】
VPNmode:tunnel
运营商线路:双线
部署方式:拓扑边缘、出口都可
关于hillstone的VPN小白扫盲部署,会在日后补充至博客,请各位同行继续关注此博客。
第一步:我们利用双线双出口的概念,将CTC to CTC 、CNC to CNC 的VPN挖通。
此步记住。
1、将隧道接口、隧道zone用自定义zone,否则后期不好扩展或者出现排错运维等众多问题。
2、隧道注意走的是tunel 路由的模式。需要定义对端路由,别忘了。同时在写tunnel路由时候
下一条空着(网关)不要填写,直接将流量从tunnel接口中扔出去即可。如下:
ip route 10.0.1.0/24 tunnel1
ip route 10.0.2.0/24 tunnel1
ip route 10.0.3.0/24 tunnel1
ip route 10.0.4.0/24 tunnel1
3、hillstone VPN tunnel模式不涉及到源转换,内网到公网俩条对应的snat即可。
第二步:hillstone在做完双出口,其实就是负载均衡。相当于:juniper-ECMP 敲了一样。这一点咱们
国产产商还是很人性化的。【ecmp-route-select by-src-and-dst】
1、也就是,俩条隧道最好之后,内网主机的流量同样是从俩条隧道平摊走的。
当然,如果你觉得电信网络质量好。
2、可以在隧道路由的选项中,将路由权值提高。保证该线路转发数据量占总百分比大于另外一条线路。
到此,IPsec-VPN的负载均衡即做好了。
1、如果要做成HA类型的IPSEC-VPN,在路由选项中,将需要冗余的tunnel路由,优先级改大一点即可。【hillstone 路由权值 越大转发越多 路由优先级 越小越优先(与其他产商一致)】
第三步:此时就是最终要的一步,我们在调试完VPN的正常工作status后,就要模拟测试隧道故障,演 练,验证冗余的说法和最理想的情况。
首先,这里介绍一个hillstone中在此次研究中很重要的一项参数,VPN隧道监测。【这项参数不同于DPD、以及Juniper中Heartbeat的参数】,但功能类似。他是基于公网点对点的监测,即本地公网地址ping对端公网地址。
【vpn-track interval 3 threshold 3】
【track-event-notify enable】
一旦检测ping不可达,立刻让路由失效。让另外一条隧道接手所有traffic。
第四步:逐一演练隧道故障,利用内网互Ping的方式。观察内网丢包情况。
【因为此篇只介绍,不做部署】笔者说道。
笔者个人演练时候,城域网内,丢包小于3个。城域网之间丢包5个左右。国际线路/跨运营商丢包大于10个。
至于各位同行测试结果,请各位有环境有时间自行多做测试。毕竟这是售前在客户面前谈冗余谈隧道相当给力的本钱。个人已经靠这个技术,揽到很多客户做迁移和搬迁。技术部署部分的详细讲解,会在日后尽快补上。
2015年6月27日10:26:27