场景介绍
VPN是一种解决企业分支和总部之间通过公有网络实现私有数据通信的技术。VPN在企业分支和总部之间,跨公有网络建立一个私有的、专用的虚拟通信隧道,实现分支和总部之间跨公网的私有通信。VPN由于安全、可靠、可信赖、灵活、价格便宜等众多优势,在企业网络中得到广泛应用。VPN加上5G链路的大带宽、低时延、易部署等优点,更能满足远程用户、企业分支和企业总部之间快速、安全、高效的互联需求。
企业分支通过5G链路接入到Internet,然后与企业总部建立VPN,使得分支可以通过Internet接入总部。根据企业分支和总部之间的业务诉求,可以在5G链路上建立不同的VPN隧道。例如GRE是一种三层隧道封装技术,当企业分支和总部之间需要交互三层业务时,可以在总部和分支之间建立GRE隧道,转发分支和总部之间的L3业务流量,满足企业分支用户快速、安全、高效接入总部的需求。
组网需求
如图所示,企业分支和总部之间通过Internet网络互通。企业分支使用AR1企业路由器作为出口网关,AR1企业路由器通过5G链路接入Internet。企业分支和总部之间在5G链路上构建GRE隧道,转发它们之间的三层流量。
MEC:边缘计算技术(Mobile Edge Computing)是ICT融合的产物,结合日渐成熟的SDN/NFV、大数据、人工智能等技术,5G网络成为各行业数字化转型的关键基础设施之时,MEC也成为支撑运营商进行5G网络转型的关键技术,以满足高清视频、VR/AR、工业互联网、车联网等业务发展需求。MEC作为新兴IT技术的代表。
配置详细
项目 |
数据 |
说明 |
|---|---|---|
运营商给分支分配的APN名称 |
5gnet |
APN名称需提前从运营商处获取。 |
运营商给分支5G Cellular接口分配的IP地址 |
1.1.1.1/32 |
5G Cellular接口拨号接入运营商后,运营商给5G Cellular接口自动分配的IP地址。 说明:使用GRE隧道时,要求运营商给5G Cellular接口分配的IP地址为固定IP地址。本例中,假设运营商为5G Cellular接口分配的固定IP地址为1.1.1.1。 |
运营商给总部GE0/0/9接口分配的IP地址 |
2.2.2.2/24 |
总部AR2通过有线的方式接入Internet,该有线接口GE0/0/9采用静态方式配置IP地址。 |
运营商对接总部GE0/0/9接口的IP地址 |
2.2.2.1/24 |
运营商对接总部AR2 GE0/0/9接口的IP地址用于配置路由信息,使总部和Internet之间的路由互通。 |
分支AR1 LAN侧接口信息 |
所属VLAN:10 网关地址:VLANIF10(10.1.1.1/24) LAN侧物理接口:GE0/0/1 |
VLAN 10为分支子网用户所在的VLAN,且分支子网用户的网关为VLANIF10接口。 |
总部AR2 LAN侧接口信息 |
所属VLAN:20 网关地址:VLANIF20(10.2.1.1/24) LAN侧物理接口:GE0/0/1 |
VLAN 20为总部子网用户所在的VLAN,且总部子网用户的网关为VLANIF20接口。 |
分支AR1 Tunnel接口的IP地址 |
10.3.1.1/24 |
分支GRE隧道的地址。 |
总部AR2 Tunnel接口的IP地址 |
10.3.1.2/24 |
总部GRE隧道的地址。 |
配置思路
1、配置5G Cellular接口的连接参数,实现5G Cellular接口接入5G网络。
2、配置企业子网,为内部用户自动分配IP地址。
3、配置Tunnel接口,创建GRE隧道,使分支和总部之间的业务流量通过GRE隧道传输。
4、配置静态路由,使企业分支和总部子网的用户可以互通。
注:在5G Cellular接口下执行命令dialer enable-circular配置轮询拨号功能时,设备会同时下发自动拨号、IP地址协商和5G Modem自愈的相关配置,无需再重复配置。
配置文件代码
AR1配置文件
#
sysname AR1
#
vlan batch 10
#
dhcp enable
#
interface Vlanif10 //配置分支子网,创建VLAN10,将GE0/0/1接口加入VLAN10
ip address 10.1.1.1 255.255.255.0
dhcp select interface
tcp adjust-mss 1200 //配置VLANIF 10接口TCP最大报文段长度为1200字节并配置DHCP功能
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 10
#
interface Cellular1/0/0 //使能轮询DCC功能,配置自动拨号连接
dialer enable-circular
apn-profile 5gprofile //在5G Cellular接口上绑定APN模板
dialer timer autodial 10
modem auto-recovery dial action modem-reboot fail-times 128
modem auto-recovery icmp-unreachable action modem-reboot
modem auto-recovery services-unavailable action modem-reboot test-times 0 interval 3600
ip address negotiate
#
interface Tunnel0/0/1 //配置分支的Tunnel接口
ip address 10.3.1.1 255.255.255.0
tunnel-protocol gre
source Cellular1/0/0
destination 2.2.2.2
#
apn profile 5gprofile //创建APN模板
apn 5gnet
#
ip route-static 2.2.2.2 255.255.255.255 Cellular1/0/0 //配置两条分支静态路由,一条静态路由的出接口为5G Cellular1/0/0,一条静态路由的出接口为Tunnel0/0/1
ip route-static 10.2.1.0 255.255.255.0 Tunnel0/0/1
#
returnAR2配置文件
#
sysname AR2
#
vlan batch 20
#
dhcp enable
#
interface Vlanif20 //配置总部子网,创建VLAN20,将GE0/0/1接口加入VLAN20
ip address 10.2.1.1 255.255.255.0
dhcp select interface
tcp adjust-mss 1200 //配置VLANIF 20接口TCP最大报文段长度为1200字节并配置DHCP功能
#
interface GigabitEthernet0/0/1
port link-type access
port default vlan 20
#
interface GigabitEthernet0/0/9 //配置总部WAN侧接口GE0/0/9的IP地址
ip address 2.2.2.2 255.255.255.0
#
interface Tunnel0/0/1 //配置总部的Tunnel接口
ip address 10.3.1.2 255.255.255.0
tunnel-protocol gre
source GigabitEthernet0/0/9
destination 1.1.1.1
#
ip route-static 1.1.1.0 255.255.255.0 2.2.2.1 //配置两条总部静态路由,一条静态路由的下一跳地址为对端运营商接口的IP地址,一条静态路由的出接口为Tunnel0/0/1
ip route-static 10.1.1.0 255.255.255.0 Tunnel0/0/1
#
return验证
1、在AR1上执行命令display ip interface brief Cellular 1/0/0,查看Cellular1/0/0接口获取到的IP地址。
2、在AR1上执行命令display Cellular 1/0/0 all,查看Cellular1/0/0接口的状态信息。
3、在AR1上执行命令ping -a 10.1.1.1 10.2.1.1,模拟分支用户访问总部用户的流量,流量能Ping通。
