记录第二段工作最后一个Case的TS过程。

背景

这是去年一个项目留下的尾巴。落实到网络层的工作是需要在深圳和上海之间建立VPN隧道,最终需实现上海的测试人员能够访问到深圳星通实验室卫星Modem下的业务网络资源。

整个工作分为两个阶段:

第一阶段完成了IPsec VPN的配置和测试。

第二阶段优化了第一阶段的配置,调整内网路由,最终实现端到端通信。

拓扑

难点

过程中主要遇到两个问题:

基于vrf的IPsec VPN的配置:之前没有遇到过类似问题,也没有配置思路,咨询H3C技术支持后得知需要在配置VPN的同时绑定相应的vrf。

内网不同vrf之间的路由泄漏:在卫星Modem下查看trace路径定位为内网路由优选问题,后加一条静态路由泄漏命令解决。

过程

上海到深圳的IPsec VPN配置

H3C防火墙的IPsec第一阶段配置(ike):

ike profile 10
 keychain 10
 dpd interval 5 on-demand
 exchange-mode aggressive
 local-identity user-fqdn h3c
 match remote identity user-fqdn sangfor
 proposal 10
 inside-vpn vpn-instance VPN123_Service_SHZH_HQ   //绑定vrf

H3C防火墙的IPsec第一阶段配置(isakmp):

ipsec policy ZYHY_SH 10 isakmp
 transform-set ZYHY_SH
 security acl 3002
 local-address 119.147.218.13
 remote-address 180.167.215.226
 sa duration time-based 28800

H3C防火墙的IPsec第二阶段配置:

ipsec transform-set ZYHY_SH
 esp encryption-algorithm aes-cbc-128 aes-cbc-192 aes-cbc-256
 esp authentication-algorithm sha1

IPsec VPN 兴趣流:

acl advanced 3002
 rule 1 permit ip vpn-instance VPN123_Service_SHZH_HQ source 10.64.14.0 0.0.0.255 destination 10.18.35.0 0.0.0.255
 rule 2 permit ip vpn-instance VPN123_Service_SHZH_HQ source 10.64.14.0 0.0.0.255 destination 10.18.2.0 0.0.0.255
 rule 3 permit ip vpn-instance VPN123_Service_SHZH_HQ source 10.64.14.0 0.0.0.255 destination 10.18.9.0 0.0.0.255
 rule 4 permit ip vpn-instance VPN123_Service_SHZH_HQ source 10.64.14.0 0.0.0.255 destination 10.18.1.0 0.0.0.255
 rule 9 permit ip vpn-instance VPN123_Service_SHZH_HQ source 10.200.201.0 0.0.0.255 destination 10.18.2.0 0.0.0.255
 rule 10 permit ip vpn-instance VPN123_Service_SHZH_HQ source 10.18.2.0 0.0.0.255 destination 10.200.201.0 0.0.0.255

内网路由配置:

这个问题很隐蔽,且整个调试过程卡在这个问题的时间最长,因为一直没有条件从卫星站接入终端进行trace来查看路径。

用户业务流量在香港落地进入地面网,vrf为 VPN123_Service_SHZH:

流量通过港深专线到达深圳后community id被导入到两个vrf中,分别为:

而vrf VPN110_Internet_GIS_Charge对用户流量通过策略下发了默认路由:

于是本应该流向VPN123_Service_SHZH_HQ的流量流到了VPN110_Internet_GIS_Charge中,导致两端无法通信。

所以需要泄漏路由,添加静态明细路由使其成为优选路径:

至此,所有设备路由正常,通信正常。

结果

终端IP为兴趣流内地址,ping对端成功,测试成功。

参考

Case study of H3C TC mail.

AND…

Hew,终于解决了这个问题,前后持续将近一个月。

不管它是不是在星通的最后一个TS,总是对自己有个交代。

在这里工作将近一年半,过程中也遇到很多问题,技术或非技术的,顺利和不顺的,得意和失意的……

无论如何,也算光明磊落,无愧于心。

只是后来兜兜转转一直在跟各色人等打交道,那些所谓共识和分歧,终于都不及解决一个实实在在的技术问题来得开心。

就像最初来时的样子。