Хорошо

Настройка маршрутизаторов Huawei серии AR для работы в инфраструктуре Cisco DMVPN Популярное

Последний ответ май 01, 2022 02:16:22 903 7 12 0 0

Приветствую!


В данной статья речь пойдет о том, как совместно использовать маршрутизаторы разных вендоров в одной инфраструктуре. Будем рассматривать технологию Huawei DSVPN в контексте совместимости с подобной технологией от Cisco - DMVPN (Dymamic Multipoint VPN).


Цель

Выяснить, возможна ли совместная работа маршрутизаторов Huawei и Cisco в единой инфраструктуре динамически создаваемых VPN-каналов, рисунок 1. В частности, одна из задач, которая в настоящее время приобретает актуальность - возможно ли расширить существующее "облако" DMVPN, построенное на оборудовании Cisco, с помощью роутеров другого вендора, в частности Huawei.


Схема организации связи

Рисунок 1. Huawei и Cisco в единой инфраструктуре


Исходные данные

Имеется работающая распределенная сеть филиалов с центральным офисом, которая построена на базе маршрутизатров Сisco (в центральном офисе - Cisco 3825, в филиалах Cisco 881). Маршрутизация с использованием протокола динамического роутинга  EIGRP.


Задача

Проверить совместную работу маршрутизаторов Huawei с маршрутизаторами Cisco по протоколу DMVPN. Подключить новые филиалы к существующей сети передачи данных. Для тестирования будем использовать маршрутизаторы Huawei AR151 (аналог Cisco 881) и Huawei AR2240 (аналог Cisco 3825).


Так как существующая DMVPN сеть/облако использует для маршрутизации проприетарный (Cisco) протокол динамического роутинга EIGRP, принято решение для новых подключаемых, посредством роутеров Huawei филиалов, использовать открытый протокол динамического роутинга OSPF и выполнить импорт/экспорт маршрутов из одного протокола в другой.


Настройки центрального маршуртизатора Cisco 3825, являющегося хабом в данной инсталляции DMVPN сети:
=======================================
interface Loopback1
 description dmvpn
 ip address 217.1.11.11 255.255.255.255
!
!
interface Tunnel0
 description mgre
 bandwidth 1000
 ip address 10.10.77.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip hold-time eigrp 1 35
 no ip split-horizon eigrp 1
 ip nat inside
 ip nhrp authentication пароль
 ip nhrp map multicast dynamic
 ip nhrp network-id 77
 ip nhrp holdtime 60
 ip nhrp registration timeout 20
 ip nhrp redirect
 ip virtual-reassembly in
 ip summary-address eigrp 1 0.0.0.0 0.0.0.0
 ip tcp adjust-mss 1300
 tunnel source Loopback1
 tunnel mode gre multipoint
 tunnel key 999


!
interface Tunnel1
 description DSVPN
 ip address 10.9.99.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication пароль2
 ip nhrp map multicast dynamic
 ip nhrp network-id 99
 ip nhrp registration timeout 20
 ip nhrp redirect
 ip ospf network point-to-multipoint
 ip ospf hello-interval 20
 tunnel source Loopback1
 tunnel mode gre multipoint


router eigrp 1
 network 10.1.77.0 0.0.0.255
......
redistribute ospf 209


router ospf 209
 network 10.10.99.0 0.0.0.255 area 0
.....
redistribute eigrp 1 subnets
=======================================



Сеть/облако 77 используется для маршрутизаторов Cisco и EIGRP, 99 - для всех остальных. Активированные лицензии на центральном маршрутизаторе Cisco 3825:
securityk9
ipbasek9


Настройка маршрутизаторов Huawei AR151 и AR2240, в качестве Spoke уже существующей сети DMVPN с Cisco 3825 в качестве Hub с комментариями.

Для запуска DSVPN мы использовали trial лицензии, которые любезно предоставляются вендором на 60 дней. Для дальнейшей работы, конечно же, необходимо покупать лицензию, так как функционал DSVPN является отдельно лицензируемым.


Активация trial лицензии в режиме user>:
license active accept agreement
license function dsvpn 

license function sece


Далее, в режиме system-view:

        interface Ethernet0/0/4

ip address 195.1.1.1 255.255.255.224

       

интерфейс в сторону провайдера. 


Пытаемся создать туннель:
interface tunnel 0


Получаем tunnel-template, на котором нет GRE режима, в отличии от привычного в Cisco. Нужно сделать следующее:
           tunnel  0/0/0

 

Попадаем в нормальный интерфейс. Здесь синтаксис очень похожий на Cisco:
interface Tunnel0/0/0                     
 description DSVPN
 bandwidth 14000                           
 ip address 10.1.99.2 255.255.255.0     
 tunnel-protocol gre p2mp                 
 source Ethernet0/0/4                     
 ospf network-type p2mp                   
 ospf dr-priority 8                       
 ospf timer hello 20                      
 nhrp authentication simple пароль2
 nhrp redirect                            
 nhrp shortcut                            
 nhrp registration interval 20            
 nhrp network-id 99                       
 nhrp entry 10.1.99.1 217.1.11.11 register


ospf 209                                  
 area 0.0.0.0                             
  .....
  network 10.1.99.0 0.0.0.255         
-------


На AR2240 настройки аналогичны, только изменен ip-адрес туннеля, смотрим на центральном маршрутизаторе Cisco 3825:
sho ip nhrp brief
 10.1.77.61/32 10.1.77.61    172.1.1.11   dynamic  Tu0     <   >
 ...
 10.1.77.71/32 10.1.77.71    172.1.2.197   dynamic  Tu0     <   >
 10.1.99.2/32 10.1.99.2     195.1.1.1  dynamic  Tu1    <   >
 ...
 10.1.99.3/32 10.1.99.3     195.1.2.1  dynamic  Tu1    <   >



на центральном видим 2 "облака"
[AR151]display nhrp peer all ?
  <cr>  Please press ENTER to execute command 
[AR151]display nhrp peer all 
------------------------------------------------------------------------------- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag         
------------------------------------------------------------------------------- 


10.1.99.1     32    217.1.11.11    10.1.99.1     static       hub          
[AR151]ping 10.1.99.1
  PING 10.1.99.1: 56  data bytes, press CTRL_C to break
    Reply from 10.1.99.1: bytes=56 Sequence=1 ttl=255 time=63 ms
    Reply from 10.1.99.1: bytes=56 Sequence=2 ttl=255 time=63 ms
    Reply from 10.1.99.1: bytes=56 Sequence=3 ttl=255 time=64 ms
    Reply from 10.1.99.1: bytes=56 Sequence=4 ttl=255 time=63 ms
    Reply from 10.1.99.1: bytes=56 Sequence=5 ttl=255 time=64 ms


На traceroute AR151, по умолчанию, не отвечает, что по началу привело в некоторое замешательство, так как маршрутизаторы Cisco отвечают, по умолчанию. 


На маршрутизаторе Huawei нужно ввести команду:
 icmp port-unreachable send





Пост синхронизирован: Лаборатория конфигураций

  • x

Vasyo
Админ Опубликовано 2021-5-19 11:06:53
Спасибо за труд и востребованную тему: Huawei с другими вендорами - это сливки
Развернуть
  • x

mrppa
MVE Author Опубликовано 2021-5-19 11:09:36
Опубликовано пользователем Vasyo в 2021-05-19 06:06 Спасибо за труд и востребованную тему: Huawei с другими ве ...
Благодарю.
Вот думаю еще тему использования неоригинальных трансиверов осветить. Настройка маршрутизаторов Huawei серии AR для работы в инфраструктуре Cisco DMVPN-3935635-1
Развернуть
  • x

Vasyo
Админ Опубликовано 2021-5-19 11:13:00
Опубликовано пользователем mrppa в 2021-05-19 11:09 Благодарю.Вот думаю еще тему использования неоригина ...
Это может стать довольно запутанной работой с множеством цифр и характеристик.. Как думаете?
Развернуть
  • x

mrppa
MVE Author Опубликовано 2021-5-19 11:19:48
Опубликовано пользователем Vasyo в 2021-05-19 06:13 Это может стать довольно запутанной работой с множес ...
Да не должно, вроде бы.
Практика положительная, в основном.
...так, коротенечко, минут на 40 Настройка маршрутизаторов Huawei серии AR для работы в инфраструктуре Cisco DMVPN-3935647-1
Развернуть
  • x

Kelebrimber
Админ Опубликовано 2021-5-19 17:28:58
Очень крутой материал, большое спасибо!
Развернуть
  • x

mrppa
MVE Author Опубликовано 2021-5-20 09:08:50
Опубликовано пользователем Kelebrimber в 2021-05-19 12:28 Очень крутой материал, большое спасибо!
You welcome!
Развернуть
  • x

user_4693989
Опубликовано 2022-5-1 02:16:22
Мне до такого ещё далеко, добавил этот пост в закладки, перечитаю когда смогу понять)
Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.