- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载 (727.20 KB)
目录
以5G为代表的新基建,已经成为经济发展的新动能。随着5G技术的愈加成熟,5G网络也开始逐渐的普及,由此,网络产品支持5G能力也就显得越发重要,H3C MSR SIC-5G接口模块可实现5G无线网络接入,将SIC-5G接口模块安装在H3C MSR系列路由器上,可以帮助路由器获得支持5G无线网络的能力,进而完成用户的业务需求。
H3C MSR SIC-5G接口模块可以支持5G NR、LTE和WCDMA类型的网络。在使用SIC-5G接口模块时,需要在接口模块上安装SIM卡和5G天线。
H3C MSR SIC-5G接口模块有两个SIM卡槽位,编号为SIM1和SIM2和四个天线接口,编号为M0~M3。其中,SIM卡的两个槽位分别对应设备的Cellular x/0接口、Cellular x/1接口,x表示设备中SIC-5G接口模块所在的槽位号,0和1对应SIM卡槽位SIM1和SIM2。
图1-1 SIC-5G接口模块前面板
图1-2 SIC-5G接口模块底面板
表1-1 SIC-5G接口模块信息描述表
|
序号 |
描述 |
说明 |
|
1和3 |
M0、M2天线接口 |
主用天线接口,必须使用5G磁吸延长天线 |
|
2和4 |
M1、M3天线接口 |
辅助天线接口,可以使用5G棒状天线和5G磁吸延长天线 |
|
5和6 |
SIM1、SIM2 |
三大运营商都支持 |
H3C MSR SIC-5G接口模块的天线分为两种,5G棒状天线和5G磁吸延长天线。5G棒状天线可以直接安装在接口模块的M1、M3天线接口,起到增强5G信号的作用;5G磁吸延长天线由磁吸延长线和5G棒状天线组合而成,可以安装在接口模块的任意一对天线接口,5G磁吸延长天线可以更灵活的放置在5G信号更强的位置。
表1-2 5G棒状天线及磁吸延长线
|
线缆 |
外观 |
|
5G棒状天线 |
|
|
磁吸延长线 |
|
本节仅简单介绍H3C MSR SIC-5G接口模块的安装方法,详细的安装方法请参见《H3C MSR 5G SIC模块 SIM卡及天线延长线 安装指导-AP100》。
· H3C MSR SIC-5G接口模块支持热插拔,但不可直接取下接口模块。可以按住接口模块面板上的“REMOVE”按钮3秒或执行remove命令,待指示灯熄灭后,取下接口模块。
· H3C MSR SIC-5G接口模块重启恢复时间约1分半钟,重启时需要稍作等待。
· H3C MSR SIC-5G接口模块的5G模式性能比4G、3G模式高,当5G可用时优先使用5G模式。
当H3C MSR SIC-5G接口模块的两个SIM卡槽位都安装了SIM卡时,默认仅SIM1槽位工作,SIM2槽位作为备用槽位。通过sim switch-to命令可以切换主备槽位。
图2-1 安装SIM卡
本方案适用于将MSR 5G路由器安装在5G信号较强的位置。此场景下仅需要在SIC-5G接口模块的M0、M2天线接口上使用5G磁吸延长天线并放置在5G信号较强的位置,在M1、M3天线接口上使用5G棒状天线即可。
图2-2 两长两短安装示意图
本方案适用于将MSR 5G路由器安装在5G信号较弱的地方。此场景下需要在SIC-5G接口模块M0~M3天线接口上都使用5G磁吸延长天线并将天线置于5G信号较强的位置。
图2-3 四延长线安装示意图
H3C MSR SIC-5G接口模块上具有六个指示灯,在接口模块的运行至相应的阶段,指示灯会显示出对应的状态,关于指示灯各种状态的详细说明。请参见表2-1。
表2-1 SIC-5G接口模块指示灯说明
|
指示灯 |
状态 |
说明 |
|
WWAN |
绿色长亮 |
表示链路已经连通 |
|
绿色快闪 |
表示表示有数据收发 |
|
|
绿色慢闪 |
表示网络搜索 |
|
|
灭 |
表示链路未连通 |
|
|
5G |
绿色长亮(SA模式) |
表示5G信号强度高(RSRP大于或等于-85dBm) |
|
绿色快闪(SA模式) |
表示5G信号强度中(RSRP大于或等于-100dBm且小于-85dBm) |
|
|
绿色慢闪(SA模式) |
表示5G信号强度低(RSRP大于或等于-115dBm且小于-100dBm) |
|
|
黄色长亮(NSA模式) |
表示5G信号强度高(RSRP大于或等于-85dBm) |
|
|
黄色快闪(NSA模式) |
表示5G信号强度中(RSRP大于或等于-100dBm且小于-85dBm) |
|
|
黄色慢闪(NSA模式) |
表示5G信号强度低(RSRP大于或等于-115dBm且小于-100dBm) |
|
|
灭 |
表示5G无服务 |
|
|
LTE |
绿色长亮 |
表示4G信号强度高(RSSI大于或等于-70dBm) |
|
绿色快闪 |
表示4G信号强度中(RSSI大于或等于-100dBm且小于-70dBm) |
|
|
绿色慢闪 |
表示4G信号强度低(RSSI大于或等于-125且小于-100dBm) |
|
|
黄色长亮 |
表示3G信号强度高(RSSI大于或等于-70dBm) |
|
|
黄色快闪 |
表示3G信号强度中(RSSI大于或等于-100dBm且小于-70dBm) |
|
|
黄色慢闪 |
表示3G信号强度低(RSSI大于或等于-125且小于-100dBm) |
|
|
灭 |
表示3G/4G均无服务 |
|
|
SIM |
绿色长亮 |
选中SIM卡1 |
|
黄色长亮 |
选中SIM卡2 |
|
|
灭 |
两个卡槽均未插SIM卡 |
|
|
GNSS |
绿色长亮 |
表示定位服务有效 |
|
灭 |
表示定位没有服务 |
|
|
REMOVE |
绿灯快闪 |
有初始化和移除操作,不可取下接口模块 |
|
绿灯常亮 |
才可以按按键 |
|
|
灭 |
表示可以取下接口模块 |
H3C MSR SIC-5G接口模块安装前,需要先在接口模块上将SIM卡安装完成,然后将接口模块安装到适配的MSR路由器上,最后在接口模块的天线接口上安装5G天线。H3C MSR SIC-5G接口模块与MSR路由器的适配关系与设备型号有关,具体请参见《H3C MSR系列路由器 接口模块手册(V7)-6W132》中的“附录B”。
本节将基于MSR 5G路由器的应用,介绍以下几种常见应用举例,相关的配置及参数设置仅供参考,具体请以实际情况为准。
有关5G Modem的配置命令的详细介绍和使用方法,请参见《H3C MSR810[830][2600][3600]路由器 命令参考(V7)-R0821-6W500》中的“二层技术-广域网接入命令参考”内的“移动通信Modem管理命令”。
配置举例如下:
本例适用于小型企业,门店或家庭内部使用5G无线链路访问Internet的场景。
需要实现,用户连接通过5G无线链路访问Internet,实现上网需求。
· Router A所在的子网为192.168.1.0/24。
· Router A通过DDR拨号接入运营商网络,实现与公网互通。
在5G路由器Cellular1/0接口上通道化出以太网接口Eth-channel1/0:0,将Eth-channel1/0:0接口作为DDR拨号接口,使用DDR拨号接入Internet,并建立永久5G在线连接。
图3-1 5G Modem拨号上网组网图
(1) 配置Router A。
# 开启DHCP功能,创建名称为pool1的DHCP地址池,并配置如下。
<RouterA> system-view
[RouterA] dhcp enable
[RouterA] dhcp server ip-pool pool1
[RouterA-dhcp-pool-pool1] network 192.168.1.0 mask 255.255.255.0
[RouterA-dhcp-pool-pool1] gateway-list 192.168.1.1
[RouterA-dhcp-pool-pool1] dns-list 192.168.1.1
[RouterA-dhcp-pool-pool1] forbidden-ip 192.168.1.1
# 配置接口GigabitEthernet1/0/1的IP地址,并引用DHCP地址池pool1。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[RouterA-GigabitEthernet1/0/1] dhcp server apply ip-pool pool1
[RouterA-GigabitEthernet1/0/1] quit
# 开启DNS proxy功能。
[RouterA] dns proxy enable
# 配置拨号访问组1以及对应的拨号访问控制条件。
[RouterA] dialer-group 1 rule ip permit
# 配置5G Modem参数模板,并配置5G接入点为动态接入点。
[RouterA] apn-profile dynamic1
[RouterA-apn-profile-dynamic] apn dynamic
[RouterA-apn-profile-dynamic] quit
# 将Cellular1/0接口通道化出以太网通道接口。
[RouterA] controller cellular 1/0
[RouterA-Cellular1/0] eth-channel 0
[RouterA-Cellular1/0] quit
# 配置Eth-channel1/0:0接口采用Modem私有协议获取运营商自动分配的IP地址。
[RouterA] interface eth-channel 1/0:0
[RouterA-Eth-channel1/0:0] ip address cellular-alloc
# 配置Eth-channel1/0:0接口使用的5G Modem参数模板。
[RouterA-Eth-channel1/0:0] apn-profile apply dynamic1
# 在Eth-channel1/0:0接口上开启传统DDR,并与拨号访问组1关联。
[RouterA-Eth-channel1/0:0] dialer circular enable
[RouterA-Eth-channel1/0:0] dialer-group 1
# 配置允许链路空闲的时间为0,呼叫建立超时时间为30秒,自动拨号的时间间隔为5秒。
[RouterA-Eth-channel1/0:0] dialer timer idle 0
[RouterA-Eth-channel1/0:0] dialer timer wait-carrier 30
[RouterA-Eth-channel1/0:0] dialer timer autodial 5
# 配置数据包去往对端的拨号串,一般移动/联通配置“*99#”,电信配置“#777”。
[RouterA-Eth-channel1/0:0] dialer number *99# autodial
# 配置Eth-channel1/0:0接口允许对内部网络中的报文进行地址转换。
[RouterA-Eth-channel1/0:0] nat outbound
[RouterA-Eth-channel1/0:0] quit
# 配置缺省路由。
[RouterA] ip route-static 0.0.0.0 0 eth-channel 1/0:0
# 查看路由表,5G无线链路的静态路由生效。
[RouterA] display ip routing-table
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 0.0.0.0 E-Ch1/0:0
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
1.0.0.2/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
...
本例可以适用于小型企业,门店或家庭内部访问Internet的场景,5G链路作为备份链路,可以保证网络的可靠性。
需要实现,用户可以通过有线链路和5G无线链路接入Internet。有线链路作为主链路,链路正常时,则通过有线链路上网;链路不通时,则通过5G无线链路上网,当有线链路恢复正常后,切回到有线链路上网。具体要求如下:
· Router A所在的子网为192.168.1.0/24。
· Router A可以通过有线链路和5G无线链路实现与公网互通。
· 有线链路路由优先级高于5G无线链路,配置NQA和track项联动,监测有线链路。
在5G路由器Cellular1/0接口上通道化出以太网接口Eth-channel1/0:0,将Eth-channel1/0:0接口作为DDR拨号接口,使用DDR拨号接入Internet,并建立永久5G在线连接。同时在Router A和Internet之间建立有线链路Router A->Router B->Internet。
图3-2 5G Modem拨号备份组网图
(1) 配置Router A。
# 开启DHCP功能,创建名称为pool1的DHCP地址池,并配置如下。
<RouterA> system-view
[RouterA] dhcp enable
[RouterA] dhcp server ip-pool pool1
[RouterA-dhcp-pool-pool1] network 192.168.1.0 mask 255.255.255.0
[RouterA-dhcp-pool-pool1] gateway-list 192.168.1.1
[RouterA-dhcp-pool-pool1] dns-list 192.168.1.1
[RouterA-dhcp-pool-pool1] forbidden-ip 192.168.1.1
# 配置接口GigabitEthernet1/0/1的IP地址,并引用DHCP地址池pool1。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[RouterA-GigabitEthernet1/0/1] dhcp server apply ip-pool pool1
[RouterA-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[RouterA] interface gigabitethernet 1/0/2
[RouterA-GigabitEthernet1/0/2] ip address 192.168.2.2 255.255.255.0
[RouterA-GigabitEthernet1/0/2] quit
# 开启DNS proxy功能。
[RouterA] dns proxy enable
# 配置有线链路缺省路由。
[RouterA] ip route-static 0.0.0.0 0 gigabitethernet 1/0/2 192.168.2.1 track 1 preference 50
# 创建ICMP-echo类型的NQA测试组(管理员为admin,操作标签为test),并配置探测报文的目的地址为220.20.2.1。
[RouterA] nqa entry admin test
[RouterA-nqa-admin-test] type icmp-echo
[RouterA-nqa-admin-test-icmp-echo] destination ip 220.20.2.1
# 配置探测报文的出接口为GigabitEthernet1/0/2和下一跳地址为192.168.2.1。
[RouterA-nqa-admin-test-icmp-echo] next-hop ip 192.168.2.1
[RouterA-nqa-admin-test-icmp-echo] out interface gigabitethernet 1/0/2
# 配置可选参数:一次NQA测试中探测的次数为5,探测的超时时间为500毫秒,测试组连续测试开始时间的时间间隔为5000毫秒。
[RouterA-nqa-admin-test-icmp-echo] probe count 5
[RouterA-nqa-admin-test-icmp-echo] probe timeout 500
[RouterA-nqa-admin-test-icmp-echo] frequency 5000
# 建立序号为1的联动项,连续探测失败2次,触发其他模块联动。
[RouterA-nqa-admin-test-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 2 action-type trigger-only
[RouterA-nqa-admin-test-icmp-echo] quit
[RouterA-nqa-admin-test] quit
# 测试组的立即启动测试,并一直进行测试持续。
[RouterA] nqa schedule admin test start-time now lifetime forever
# 配置Track项1,关联NQA测试组(管理员为admin,操作标签为test)的联动项1。
[RouterA] track 1 nqa entry admin test reaction 1
# 配置5G Modem拨号访问组1以及对应的拨号访问控制条件。
[RouterA] dialer-group 1 rule ip permit
# 配置5G Modem参数模板,配置动态接入点作为参数模板。
[RouterA] apn-profile dynamic1
[RouterA-apn-profile-dynamic] apn dynamic
[RouterA-apn-profile-dynamic] quit
# 将Cellular1/0接口通道化出以太网通道接口。
[RouterA] controller cellular 1/0
[RouterA-Cellular1/0] eth-channel 0
[RouterA-Cellular1/0] quit
# 配置Eth-channel1/0:0接口采用Modem私有协议获取运营商自动分配的IP地址。
[RouterA] interface eth-channel 1/0:0
[RouterA-Eth-channel1/0:0] ip address cellular-alloc
# 配置Eth-channel1/0:0接口使用的5G Modem参数模板。
[RouterA-Eth-channel1/0:0] apn-profile apply dynamic1
# 在Eth-channel1/0:0接口上开启传统DDR,并与拨号访问组1关联。
[RouterA-Eth-channel1/0:0] dialer circular enable
[RouterA-Eth-channel1/0:0] dialer-group 1
# 配置允许链路空闲的时间为0,呼叫建立超时时间为30秒,自动拨号的时间间隔为5秒。
[RouterA-Eth-channel1/0:0] dialer timer idle 0
[RouterA-Eth-channel1/0:0] dialer timer wait-carrier 30
[RouterA-Eth-channel1/0:0] dialer timer autodial 5
# 配置数据包去往对端的拨号串,一般移动/联通配置“*99#”,电信配置“#777”。
[RouterA-Eth-channel1/0:0] dialer number *99# autodial
# 配置Eth-channel1/0:0接口允许对内部网络中的报文进行地址转换。
[RouterA-Eth-channel1/0:0] nat outbound
[RouterA-Eth-channel1/0:0] quit
# 配置缺省路由。
[RouterA] ip route-static 0.0.0.0 0 eth-channel 1/0:0 preference 60
(2) 配置Router B,Router B作为公网网关,以下配置仅供参考。
# 配置接口GigabitEthernet1/0/1,GigabitEthernet1/0/2的IP地址。
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] ip address 192.168.2.1 255.255.255.0
[RouterB-GigabitEthernet1/0/1] quit
[RouterB] interface gigabitethernet 1/0/2
[RouterB-GigabitEthernet1/0/2] ip address 220.20.2.1 255.255.0.0
# 配置接口GigabitEthernet1/0/2允许对内部网络中的报文进行地址转换。
[RouterB] interface gigabitethernet 1/0/2
[RouterB-GigabitEthernet1/0/2] nat outbound
[RouterB-GigabitEthernet1/0/2] quit
# 配置去往目的地址为192.168.1.0/24的静态路由。
[RouterB] ip route-static 192.168.1.0 255.255.255.0 gigabitethernet 1/0/1 192.168.2.2
# 查看路由表,有线链路的静态路由生效。
<RouterA> display ip routing-table
Destinations : 20 Routes : 20
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 50 0 0.0.0.0 GE1/0/1
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
1.0.0.2/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
...
# 在GE1/0/2接口down掉之后,查看路由表,5G无线链路的静态路由生效。
<RouterA> display ip routing-table protocol static
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 0.0.0.0 E-Ch1/0:0
0.0.0.0/32 Direct 0 0 127.0.0.1 InLoop0
1.0.0.2/32 Direct 0 0 127.0.0.1 InLoop0
127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0
127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0
127.255.255.255/32 Direct 0 0 127.0.0.1 InLoop0
...
本例适用于各分支机构或企业分支与总部之间通过5G网络互联互通的场景,IPsec隧道不仅可以实现私网之间互通,还能对数据流进行加密保护确保安全。
需要实现,企业分支通过5G网络接入Internet,在分支和总部之间建立一条IPSec隧道,企业分支与总部网络互通,并可以对交互的流量进行保护。具体要求如下:
· Host所在的子网192.168.1.0/24,公网IP地址为220.20.2.2。
· Router A通过DDR拨号接入运营商网络,实现与公网互通。
· 在Router A和总部网关之间部署IPsec隧道,分支和总部的内网互通,且对数据流进行加密。
在5G路由器Cellular1/0接口上通道化出以太网接口Eth-channel1/0:0,将Eth-channel1/0:0接口作为DDR拨号接口,使用DDR拨号接入Internet,并建立永久5G在线连接。
图3-3 5G Modem拨号+L2TP隧道组网图
(1) 配置Router A。
# 开启DHCP功能,创建名称为pool1的DHCP地址池,并配置如下。
<RouterA> system-view
[RouterA] dhcp enable
[RouterA] dhcp server ip-pool pool1
[RouterA-dhcp-pool-pool1] network 192.168.1.0 mask 255.255.255.0
[RouterA-dhcp-pool-pool1] gateway-list 192.168.1.1
[RouterA-dhcp-pool-pool1] dns-list 192.168.1.1
[RouterA-dhcp-pool-pool1] forbidden-ip 192.168.1.1
# 配置接口GigabitEthernet1/0/1的IP地址,并引用DHCP地址池pool1。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[RouterA-GigabitEthernet1/0/1] dhcp server apply ip-pool pool1
[RouterA-GigabitEthernet1/0/1] quit
# 开启DNS proxy功能。
[RouterA] dns proxy enable
# 配置拨号访问组1以及对应的拨号访问控制条件。
[RouterA] dialer-group 1 rule ip permit
# 配置5G Modem参数模板,配置动态接入点作为参数模板。
[RouterA] apn-profile dynamic1
[RouterA-apn-profile-dynamic] apn dynamic
[RouterA-apn-profile-dynamic] quit
# 将Cellular1/0接口通道化出以太网通道接口。
[RouterA] controller cellular 1/0
[RouterA-Cellular1/0] eth-channel 0
[RouterA-Cellular1/0] quit
# 配置Eth-channel1/0:0接口通过Modem私有协议获取IP地址。
[RouterA] interface eth-channel 1/0:0
[RouterA-Eth-channel1/0:0] ip address cellular-alloc
# 配置Eth-channel1/0:0接口使用的5G Modem参数模板。
[RouterA-Eth-channel1/0:0] apn-profile apply dynamic1
# 在Eth-channel1/0:0接口上开启传统DDR,并与拨号访问组1关联。
[RouterA-Eth-channel1/0:0] dialer circular enable
[RouterA-Eth-channel1/0:0] dialer-group 1
# 配置允许链路空闲的时间为0,呼叫建立超时时间为30秒,自动拨号的时间间隔为5秒。
[RouterA-Eth-channel1/0:0] dialer timer idle 0
[RouterA-Eth-channel1/0:0] dialer timer wait-carrier 30
[RouterA-Eth-channel1/0:0] dialer timer autodial 5
# 配置数据包去往对端的拨号串,一般移动/联通配置“*99#”,电信配置“#777”。
[RouterA-Eth-channel1/0:0] dialer number *99# autodial
[RouterA-Eth-channel1/0:0] quit
# 配置缺省路由。
[RouterA] ip route-static 0.0.0.0 0 eth-channel 1/0:0
# 配置IPv4高级ACL 3001,允许192.168.1.0/24网段的IP报文发往192.168.2.0/24网段。
[RouterA] acl advanced 3001
[RouterA-acl-ipv4-adv-3001] rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[RouterA-acl-ipv4-adv-3001] quit
# 创建IPsec安全提议:名称为tran1,采用隧道模式传输,认证算法为SHA1算法,加密算法为CBC模式的DES算法。
[RouterA] ipsec transform-set tran1
[RouterA-ipsec-transform-set-tran1] encapsulation-mode tunnel
[RouterA-ipsec-transform-set-tran1] protocol esp
[RouterA-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[RouterA-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc
[RouterA-ipsec-transform-set-tran1] quit
# 创建并配置IKE提议1:使用预共享密钥认证方式、3DES加密算法、HMAC-SHA1认证算法。
[RouterA] ike proposal 1
[RouterA-ike-proposal-1] encryption-algorithm 3des-cbc
[RouterA-ike-proposal-1] authentication-algorithm sha
[RouterA-ike-proposal-1] authentication-method pre-share
[RouterA-ike-proposal-1] quit
# 创建IKE keychain,名称为key1,并配置与地址为220.20.2.1的对端使用的预共享密钥为明文的123456TESTplat&!。
[RouterA] ike keychain key1
[RouterA-ike-keychain-key1] pre-shared-key address 220.20.2.1 255.255.0.0 key simple 123456TESTplat&!
[RouterA-ike-keychain-key1] quit
# 创建IKE profile,名称为ike1,配置触发IKE DPD探测间隔时间为10秒,探测模式为定时探测模式,指定引用的IKE keychain为key1,并指定需要匹配对端身份类型为IP地址,取值为220.20.2.1。
[RouterA] ike profile ike1
[RouterA-ike-profile-ike1] dpd interval 10 periodic
[RouterA-ike-profile-ike1] keychain key1
[RouterA-ike-profile-ike1] match remote identity address 220.20.2.1 255.255.0.0
[RouterA-ike-profile-ike1] quit
# 创建名称为policy1的IPsec安全策略,引用的安全提议为tran1,引用的IKE profile为ike1,引用IPv4高级ACL 3001,指定IPsec隧道的对端IPv4地址为220.20.2.1。
[RouterA] ipsec policy policy1 10 isakmp
[RouterA-ipsec-policy-isakmp-policy1-10] transform-set tran1
[RouterA-ipsec-policy-isakmp-policy1-10] ike-profile ike1
[RouterA-ipsec-policy-isakmp-policy1-10] security acl 3001
[RouterA-ipsec-policy-isakmp-policy1-10] remote-address 220.20.2.1
[RouterA-ipsec-policy-isakmp-policy1-10] quit
# 在接口Eth-channel1/0:0上应用名为policy1的IPsec安全策略。
[RouterA] interface eth-channel 1/0:0
[RouterA-Eth-channel1/0:0] ipsec apply policy policy1
[RouterA-Eth-channel1/0:0] quit
(2) 配置总部网关Gateway,Gateway默认存在去往公网下一跳的缺省路由。
# 开启DHCP功能,创建名称为pool1的DHCP地址池,并配置如下。
<Gateway> system-view
[Gateway] dhcp enable
[Gateway] dhcp server ip-pool pool1
[Gateway-dhcp-pool-pool1] network 192.168.2.0 mask 255.255.255.0
[Gateway-dhcp-pool-pool1] gateway-list 192.168.2.1
[Gateway-dhcp-pool-pool1] dns-list 192.168.2.1
[Gateway-dhcp-pool-pool1] forbidden-ip 192.168.2.1
# 配置接口GigabitEthernet1/0/1的IP地址,并引用DHCP地址池pool1。
[Gateway] interface gigabitethernet 1/0/1
[Gateway-GigabitEthernet1/0/1] ip address 192.168.2.1 255.255.255.0
[Gateway-GigabitEthernet1/0/1] dhcp server apply ip-pool pool1
[Gateway-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[Gateway] interface gigabitethernet 1/0/2
[Gateway-GigabitEthernet1/0/2] ip address 220.20.2.1 255.255.0.0
[Gateway-GigabitEthernet1/0/2] quit
# 配置IPv4高级ACL 3003,允许192.168.2.0/24网段的IP报文发往192.168.1.0/24网段。
[Gateway] acl advanced 3003
[Gateway-acl-ipv4-adv-3003] rule 0 permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[Gateway-acl-ipv4-adv-3003] quit
# 创建IPsec安全提议tran1,采用的认证算法为SHA1算法,加密算法为CBC模式的DES算法。
[Gateway] ipsec transform-set tran1
[Gateway-ipsec-transform-set-tran1] encapsulation-mode tunnel
[Gateway-ipsec-transform-set-tran1] protocol esp
[Gateway-ipsec-transform-set-tran1] esp authentication-algorithm sha1
[Gateway-ipsec-transform-set-tran1] esp encryption-algorithm des-cbc
[Gateway-ipsec-transform-set-tran1] quit
# 创建IKE提议1:指定预共享密钥认证方式、3DES加密算法、HMAC-SHA1认证算法。
[RouterB] ike proposal 1
[RouterB-ike-proposal-1] encryption-algorithm 3des-cbc
[RouterB-ike-proposal-1] authentication-algorithm sha
[RouterB-ike-proposal-1] authentication-method pre-share
[RouterB-ike-proposal-1] quit
# 创建IKE keychain,名称为key1,并配置与对端使用的预共享密钥为明文的123456TESTplat&!。
[Gateway] ike keychain key1
[Gateway-ike-keychain-key1] pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456TESTplat&!
[Gateway-ike-keychain-key1] quit
# 创建IKE profile,名称为ike1,引用的IKE keychain为key1,并指定需要匹配对端身份类型为IP地址,取值为0.0.0.0。
[Gateway] ike profile ike1
[Gateway-ike-profile-ike1] keychain key1
[Gateway-ike-profile-ike1] match remote identity address 0.0.0.0 0.0.0.0
[Gateway-ike-profile-ike1] quit
# 创建并配置名为temp1的IPsec安全策略模板,引用的安全提议为tran1,引用的IKE profile为ike1。
[Gateway] ipsec policy-template temp1 1
[Gateway-ipsec-policy-template-temp1-1] transform-set tran1
[Gateway-ipsec-policy-template-temp1-1] ike-profile ike1
[Gateway-ipsec-policy-template-temp1-1] security acl 3003
# 开启IPsec反向路由注入功能,根据协商成功的IPsec SA动态生成静态路由。
[Gateway-ipsec-policy-template-temp1-1] reverse-route dynamic
[Gateway-ipsec-policy-template-temp1-1] quit
# 使用IPsec安全策略模板temp1创建一个名称为policy1、顺序号为10、采用IKE方式协商IPsec SA的IPsec安全策略。
[Gateway] ipsec policy policy1 10 isakmp template temp1
# 在接口GigabitEthernet1/0/2上应用名为policy1的IPsec安全策略。
[Gateway] interface gigabitethernet 1/0/2
[Gateway-GigabitEthernet1/0/2] ipsec apply policy policy1
[Gateway-GigabitEthernet1/0/2] quit
以上配置完成后,当分支子网192.168.1.0/24向总部网络192.168.2.0/24发起数据连接时,将触发Router A和Gateway之间进行IKE协商。IKE成功协商出IPsec SA后,企业总部与分支子网之间的数据流传输将受到IPsec SA的保护。
# 在Router A和Gateway上可以相互ping通对端私网。
<RouterA> ping 192.168.2.1
Ping 192.168.2.1 (192.168.2.1): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.2.1: icmp_seq=0 ttl=254 time=7.343 ms
56 bytes from 192.168.2.1: icmp_seq=1 ttl=254 time=1.164 ms
56 bytes from 192.168.2.1: icmp_seq=2 ttl=254 time=1.080 ms
56 bytes from 192.168.2.1: icmp_seq=3 ttl=254 time=1.234 ms
56 bytes from 192.168.2.1: icmp_seq=4 ttl=254 time=1.391 ms
--- Ping statistics for 192.168.2.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.080/2.442/7.343/2.452 ms
# 在Router A上可通过以下显示查看到协商生成的IPsec SA。
<RouterA> display ipsec sa
-------------------------------
Interface: Eth-channel1/0:0
-------------------------------
-----------------------------
IPsec policy: policy
Sequence number: 10
Mode: ISAKMP
-----------------------------
Tunnel id: 0
Encapsulation mode: tunnel
Perfect Forward Secrecy:
Inside VPN:
Extended Sequence Numbers enable: N
Traffic Flow Confidentiality enable: N
Transmitting entity: Initiator
Path MTU: 1444
Tunnel:
local address/port: 1.1.1.1/500
remote address/port: 220.20.2.1/500
Flow:
sour addr: 192.168.1.0/255.255.255.0 port: 0 protocol: ip
dest addr: 192.168.2.0/255.255.255.0 port: 0 protocol: ip
...
适用于各分支机构和分支总部之间建立动态VPN隧道,实现企业分支与总部网络互联互通的场景。
需要实现,分支网关通过5G网络接入Internet,在分支网关和总部网关之间建立永久的ADVPN隧道,实现分支和总部互联互通,同时在分支和总部之间应用IPsec框架,对流量进行保护。具体要求如下:
· Router A所在的子网192.168.1.0/24,Router B所在的子网192.168.2.0/24,总部所在的子网192.168.3.0/24,公网IP地址为220.20.2.2。
· Router A和Router B通过DDR拨号接入运营商网络,实现与公网互通。
· Router A、Router B和Gateway之间通过IPv4 Full-Mesh的方式建立连接,实现分支与分支、分支与总部之间的私网互通。
在5G路由器Cellular1/0接口上通道化出以太网接口Eth-channel1/0:0,将Eth-channel1/0:0接口作为DDR拨号接口,使用DDR拨号接入Internet,并建立永久在线连接。在IPv4 Full-Mesh的组网方式下,Router A和Router B通过Router C建立永久ADVPN隧道,Router A和Router B之间在有数据时动态建立ADVPN隧道。
图3-4 5G Modem拨号+ADVPN隧道组网图
|
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
|
5G Modem Router A(Spoke1) |
GE1/0/1 |
192.168.1.1/24 |
Gateway(Hub) |
GE1/0/1 |
192.168.3.1/24 |
|
|
Tunnel1 |
192.168.0.1/24 |
|
GE1/0/2 |
220.20.2.1/16 |
|
5G Modem Router B(Spoke2) |
GE1/0/1 |
192.168.2.1/24 |
|
Tunnel1 |
192.168.0.3/24 |
|
|
Tunnel1 |
192.168.0.2/24 |
|
|
|
|
Router C(VAM Server) |
GE1/0/1 |
220.20.2.3/16 |
|
|
|
(1) 配置Router C。
# 配置接口GigabitEthernet1/0/1的IP地址。
<RouterC> system-view
[RouterC] interface gigabitethernet 1/0/1
[RouterC-GigabitEthernet1/0/1] ip address 220.20.2.3 255.255.0.0
[RouterC-GigabitEthernet1/0/1] quit
# 创建ADVPN域abc。
[RouterC] vam server advpn-domain abc id 1
# 创建Hub组0。
[RouterC-vam-server-domain-abc] hub-group 0
# 指定Hub组内Hub的IPv4私网地址。
[RouterC-vam-server-domain-abc-hub-group-0] hub private-address 192.168.0.3
# 指定Hub组内Spoke的IPv4私网地址范围。
[PrimaryServer-vam-server-domain-abc-hub-group-0] spoke private-address network 192.168.0.0 255.255.255.0
[RouterC-vam-server-domain-abc-hub-group-0] quit
# 配置VAM Server的预共享密钥为123456。
[RouterC-vam-server-domain-abc] pre-shared-key simple 123456
[RouterC-vam-server-domain-abc] authentication-method chap
# 开启该ADVPN域的VAM Server功能。
[RouterC-vam-server-domain-abc] server enable
[RouterC-vam-server-domain-abc] quit
(2) 配置Gateway。
# 开启DHCP功能,创建名称为pool1的DHCP地址池,并配置如下。
<Gateway> system-view
[Gateway] dhcp enable
[Gateway] dhcp server ip-pool pool1
[Gateway-dhcp-pool-pool1] network 192.168.3.0 mask 255.255.255.0
[Gateway-dhcp-pool-pool1] gateway-list 192.168.3.1
[Gateway-dhcp-pool-pool1] dns-list 192.168.3.1
[Gateway-dhcp-pool-pool1] forbidden-ip 192.168.3.1
# 配置接口GigabitEthernet1/0/1的IP地址,并引用DHCP地址池pool1。
[Gateway] interface gigabitethernet 1/0/1
[Gateway-GigabitEthernet1/0/1] ip address 192.168.3.1 255.255.255.0
[Gateway-GigabitEthernet1/0/1] dhcp server apply ip-pool pool1
[Gateway-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址,并允许对内部网络中的报文进行地址转换。
[Gateway] interface gigabitethernet 1/0/2
[Gateway-GigabitEthernet1/0/2] ip address 220.20.2.1 255.255.0.0
[Gateway-GigabitEthernet1/0/2] nat outbound
[Gateway-GigabitEthernet1/0/2] quit
# 创建VAM Client Hub,并配置VAM Client所属的ADVPN域为abc。
[Gateway] vam client name Hub
[Gateway-vam-client-Hub] advpn-domain abc
# 配置VAM Client的预共享密钥为123456,认证用户名为hub,密码为hub。
[Gateway-vam-client-Hub] pre-shared-key simple 123456
[Gateway-vam-client-Hub] user hub password simple hub
# 配置VAM Server的IP地址,并开启VAM Client功能。
[Gateway-vam-client-Hub] server primary ip-address 220.20.2.3
[Gateway-vam-client-Hub] client enable
[Gateway-vam-client-Hub] quit
# 配置IKE框架。
[Gateway] ike keychain key
[Gateway-ike-keychain-key] pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456
[Gateway-ike-keychain-key] quit
[Gateway] ike profile ike
[Gateway-ike-profile-ike] keychain key
[Gateway-ike-profile-ike] quit
# 配置IPsec安全框架。
[Gateway] ipsec transform-set tran
[Gateway-ipsec-transform-set-tran] encapsulation-mode transport
[Gateway-ipsec-transform-set-tran] esp encryption-algorithm des-cbc
[Gateway-ipsec-transform-set-tran] esp authentication-algorithm sha1
[Gateway-ipsec-transform-set-tran] quit
[Gateway] ipsec profile ipsec isakmp
[Gateway-ipsec-profile-isakmp-ipsec] transform-set tran
[Gateway-ipsec-profile-isakmp-ipsec] ike-profile ike
[Gateway-ipsec-profile-isakmp-ipsec] quit
# 配置OSPF私网路由信息。
[Gateway] ospf 1
[Gateway-ospf-1] area 0
[Gateway-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255
[Gateway-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[Gateway-ospf-1-area-0.0.0.0] quit
[Gateway-ospf-1] quit
# 配置GRE封装的IPv4 ADVPN隧道接口Tunnel1。
[Gateway] interface tunnel1 mode advpn gre
[Gateway-Tunnel1] ip address 192.168.0.3 255.255.255.0
[Gateway-Tunnel1] vam client Hub
[Gateway-Tunnel1] ospf network-type broadcast
[Gateway-Tunnel1] source gigabitethernet 1/0/2
[Gateway-Tunnel1] tunnel protection ipsec profile ipsec
[Gateway-Tunnel1] quit
(3) 配置Router A。
# 开启DHCP功能,创建名称为pool1的DHCP地址池,并配置如下。
<RouterA> system-view
[RouterA] dhcp enable
[RouterA] dhcp server ip-pool pool1
[RouterA-dhcp-pool-pool1] network 192.168.1.0 mask 255.255.255.0
[RouterA-dhcp-pool-pool1] gateway-list 192.168.1.1
[RouterA-dhcp-pool-pool1] dns-list 192.168.1.1
[RouterA-dhcp-pool-pool1] forbidden-ip 192.168.1.1
# 配置接口GigabitEthernet1/0/1的IP地址,并引用DHCP地址池pool1。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.255.0
[RouterA-GigabitEthernet1/0/1] dhcp server apply ip-pool pool1
[RouterA-GigabitEthernet1/0/1] quit
# 开启DNS proxy功能。
[RouterA] dns proxy enable
# 配置拨号访问组1以及对应的拨号访问控制条件。
[RouterA] dialer-group 1 rule ip permit
# 配置5G Modem参数模板,配置动态接入点作为数模板。
[RouterA] apn-profile dynamic1
[RouterA-apn-profile-dynamic] apn dynamic
[RouterA-apn-profile-dynamic] quit
# 将Cellular1/0接口通道化出以太网通道接口。
[RouterA] controller cellular 1/0
[RouterA-Cellular1/0] eth-channel 0
[RouterA-Cellular1/0] quit
# 配置Eth-channel1/0:0接口采用Modem私有协议获取运营商自动分配的IP地址。
[RouterA] interface eth-channel 1/0:0
[RouterA-Eth-channel1/0:0] ip address cellular-alloc
# 配置Eth-channel1/0:0接口使用的5G Modem参数模板。
[RouterA-Eth-channel1/0:0] apn-profile apply dynamic1
# 在Eth-channel1/0:0接口上开启传统DDR,并与拨号访问组1关联。
[RouterA-Eth-channel1/0:0] dialer circular enable
[RouterA-Eth-channel1/0:0] dialer-group 1
# 配置允许链路空闲的时间为0,呼叫建立超时时间为30秒,自动拨号的时间间隔为5秒。
[RouterA-Eth-channel1/0:0] dialer timer idle 0
[RouterA-Eth-channel1/0:0] dialer timer wait-carrier 30
[RouterA-Eth-channel1/0:0] dialer timer autodial 5
# 配置数据包去往对端的拨号串,一般移动/联通配置“*99#”,电信配置“#777”。
[RouterA-Eth-channel1/0:0] dialer number *99# autodial
# 配置Eth-channel1/0:0接口允许对内部网络中的报文进行地址转换。
[RouterA-Eth-channel1/0:0] nat outbound
[RouterA-Eth-channel1/0:0] quit
# 配置静态路由。
[RouterA] ip route-static 0.0.0.0 0 eth-channel 1/0:0
# 创建VAM Client Spoke1,并配置VAM Client所属的ADVPN域为abc。
[RouterA] vam client name spoke1
[RouterA-vam-client-Spoke1] advpn-domain abc
# 配置VAM Client的预共享密钥123456,认证用户名为为spoke1,密码为spoke1。
[RouterA-vam-client-Spoke1] pre-shared-key simple 123456
[RouterA-vam-client-Spoke1] user spoke1 password simple spoke1
# 配置VAM Server的IP地址,并开启VAM Client功能。
[RouterA-vam-client-Spoke1] server primary ip-address 220.20.2.3
[RouterA-vam-client-Spoke1] client enable
[RouterA-vam-client-Spoke1] quit
# 配置IKE框架。
[RouterA] ike keychain key
[RouterA-ike-keychain-key] pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456
[RouterA-ike-keychain-key] quit
[RouterA] ike profile ike
[RouterA-ike-profile-abc] keychain key
[RouterA-ike-profile-ike] quit
# 配置IPsec安全框架。
[RouterA] ipsec transform-set tran
[RouterA-ipsec-transform-set-tran] encapsulation-mode transport
[RouterA-ipsec-transform-set-tran] esp encryption-algorithm des-cbc
[RouterA-ipsec-transform-set-tran] esp authentication-algorithm sha1
[RouterA-ipsec-transform-set-tran] quit
[RouterA] ipsec profile ipsec isakmp
[RouterA-ipsec-profile-isakmp-ipsec] transform-set tran
[RouterA-ipsec-profile-isakmp-ipsec] ike-profile ike
[RouterA-ipsec-profile-isakmp-ipsec] quit
# 配置OSPF私网路由信息。
[RouterA] ospf 1
[RouterA-ospf-1] area 0
[RouterA-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255
[RouterA-ospf-1-area-0.0.0.0] quit
[RouterA-ospf-1] quit
# 配置GRE封装的IPv4 ADVPN隧道接口Tunnel1。将Router A的DR优先级配置为0,以使RouterA不参与DR/BDR选举。
[RouterA] interface tunnel1 mode advpn gre
[RouterA-Tunnel1] ip address 192.168.0.1 255.255.255.0
[RouterA-Tunnel1] vam client spoke1
[RouterA-Tunnel1] ospf network-type broadcast
[RouterA-Tunnel1] ospf dr-priority 0
[RouterA-Tunnel1] source eth-channel 1/0:0
[RouterA-Tunnel1] tunnel protection ipsec profile ipsec
[RouterA-Tunnel1] quit
(4) 配置Router B。
# 开启DHCP功能,创建名称为pool1的DHCP地址池,并配置如下。
<RouterB> system-view
[RouterB] dhcp enable
[RouterB] dhcp server ip-pool pool1
[RouterB-dhcp-pool-pool1] network 192.168.2.0 mask 255.255.255.0
[RouterB-dhcp-pool-pool1] gateway-list 192.168.2.1
[RouterB-dhcp-pool-pool1] dns-list 192.168.2.1
[RouterBdhcp-pool-pool1] forbidden-ip 192.168.2.1
# 配置接口GigabitEthernet1/0/1的IP地址,并引用DHCP地址池pool1。
[RouterB] interface gigabitethernet 1/0/1
[RouterB-GigabitEthernet1/0/1] ip address 192.168.2.1 255.255.255.0
[RouterB-GigabitEthernet1/0/1] dhcp server apply ip-pool pool1
[RouterB-GigabitEthernet1/0/1] quit
# 开启DNS proxy功能。
[RouterB] dns proxy enable
# 配置拨号访问组1以及对应的拨号访问控制条件。
[RouterB] dialer-group 1 rule ip permit
# 配置5G Modem参数模板,配置动态接入点作为参数模板。
[RouterB] apn-profile dynamic1
[RouterB-apn-profile-dynamic] apn dynamic
[RouterB-apn-profile-dynamic] quit
# 将Cellular1/0接口通道化出以太网通道接口。
[RouterA] controller cellular 1/0
[RouterA-Cellular1/0] eth-channel 0
[RouterB-Cellular1/0] quit
# 配置Eth-channel1/0:0接口采用Modem私有协议获取运营商自动分配的IP地址。
[RouterB] interface eth-channel 1/0:0
[RouterB-Eth-channel1/0:0] ip address cellular-alloc
# 配置Eth-channel1/0:0接口使用的5G Modem参数模板。
[RouterB-Eth-channel1/0:0] apn-profile apply dynamic1
# 在Eth-channel1/0:0接口上开启传统DDR,并与拨号访问组1关联。
[RouterB-Eth-channel1/0:0] dialer circular enable
[RouterB-Eth-channel1/0:0] dialer-group 1
# 配置允许链路空闲的时间为0,呼叫建立超时时间为30秒,自动拨号的时间间隔为5秒。
[RouterB-Eth-channel1/0:0] dialer timer idle 0
[RouterB-Eth-channel1/0:0] dialer timer wait-carrier 30
[RouterB-Eth-channel1/0:0] dialer timer autodial 5
# 配置数据包去往对端的拨号串,一般移动/联通配置“*99#”,电信配置“#777”。
[RouterB-Eth-channel1/0:0] dialer number *99# autodial
# 配置Eth-channel1/0:0接口允许对内部网络中的报文进行地址转换。
[RouterB-Eth-channel1/0:0] nat outbound
[RouterB-Eth-channel1/0:0] quit
# 配置静态路由。
[RouterB] ip route-static 0.0.0.0 0.0.0.0 eth-channel 1/0:0
# 创建VAM Client Spoke2,并配置VAM Client所属的ADVPN域为abc。
[RouterB] vam client name spoke2
[RouterB-vam-client-Spoke2] advpn-domain abc
# 配置VAM Client的预共享密钥123456,认证用户名为为spoke2,密码为spoke2。
[RouterB-vam-client-Spoke2] pre-shared-key simple 123456
[RouterB-vam-client-Spoke2] user spoke2 password simple spoke2
# 配置VAM Server的IP地址,并开启VAM Client功能。
[RouterB-vam-client-Spoke2] server primary ip-address 220.20.2.3
[RouterB-vam-client-Spoke2] client enable
[RouterB-vam-client-Spoke2] quit
# 配置IKE框架。
[RouterB] ike keychain key
[RouterB-ike-keychain-key] pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456
[RouterB-ike-keychain-key] quit
[RouterB] ike profile ike
[RouterB-ike-profile-ike] keychain key
[RouterB-ike-profile-ike] quit
# 配置IPsec安全框架。
[RouterB] ipsec transform-set tran
[RouterB-ipsec-transform-set-tran] encapsulation-mode transport
[RouterB-ipsec-transform-set-tran] esp encryption-algorithm des-cbc
[RouterB-ipsec-transform-set-tran] esp authentication-algorithm sha1
[RouterB-ipsec-transform-set-tran] quit
[RouterB] ipsec profile ipsec isakmp
[RouterB-ipsec-profile-isakmp-ipsec] transform-set tran
[RouterB-ipsec-profile-isakmp-ipsec] ike-profile ike
[RouterB-ipsec-profile-isakmp-ipsec] quit
# 配置OSPF私网的路由信息。
[RouterB] ospf 1
[RouterB-ospf-1] area 0
[RouterB-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255
[RouterB-ospf-1-area-0.0.0.0] quit
[RouterB-ospf-1] quit
# 配置GRE封装的IPv4 ADVPN隧道接口Tunnel1。将RouterB的DR优先级配置为0,以使RouterB不参与DR/BDR选举。
[RouterB] interface tunnel1 mode advpn gre
[RouterB-Tunnel1] ip address 192.168.0.2 255.255.255.0
[RouterB-Tunnel1] vam client spoke2
[RouterB-Tunnel1] ospf network-type broadcast
[RouterB-Tunnel1] ospf dr-priority 0
[RouterB-Tunnel1] source eth-channel 1/0:0
[RouterB-Tunnel1] tunnel protection ipsec profile ipsec
[RouterB-Tunnel1] quit
以上配置完成后,Router A、Router B和Gateway之间将建立ADVPN隧道,Router A、Router B和Gateway之间的私网可以实现互联互通。
# 显示注册到VAM Server的所有VAM Client的IPv4私网地址映射信息。
[PrimaryServer] display vam server address-map
Total private address mappings: 3
Group Private address Public address Type NAT Holding time
0 192.168.0.1 220.20.2.4 Spoke No 2H 26M 7S
0 192.168.0.2 220.20.2.5 Spoke No 2H 26M 39S
0 192.168.0.3 220.20.2.1 Hub No 2H 25M 40S
以上显示信息表示Hub、Spoke1和Spoke2均已将地址映射信息注册到VAM Server。
# 在Spoke1上ping Spoke2的私网地址192.168.2.1,可以ping通。
<RouterA> ping 192.168.2.1
Ping 192.168.2.1 (192.168.2.1): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.2.1: icmp_seq=0 ttl=255 time=2.000 ms
56 bytes from 192.168.2.1: icmp_seq=1 ttl=255 time=60.000 ms
56 bytes from 192.168.2.1: icmp_seq=2 ttl=255 time=7.000 ms
56 bytes from 192.168.2.1: icmp_seq=3 ttl=255 time=1.000 ms
56 bytes from 192.168.2.1: icmp_seq=4 ttl=255 time=1.000 ms
--- Ping statistics for 192.168.2.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.080/2.442/7.343/2.452 ms
# 显示Hub上的IPv4 ADVPN隧道信息。
[Hub1] display advpn session
Interface : Tunnel1
Number of sessions: 2
Private address Public address Port Type State Holding time
192.168.0.1 220.20.2.4 -- H-S Success 2H 33M 19S
192.168.0.2 220.20.2.5 -- H-S Success 2H 33M 19S
# 显示Spoke1上的IPv4 ADVPN隧道信息。
[Spoke1] display advpn session
Interface : Tunnel1
Number of sessions: 2
Private address Public address Port Type State Holding time
192.168.0.2 220.20.2.5 -- S-S Success 0H 9M 2S
192.168.0.3 220.20.2.1 -- S-H Success 2H 24M 28S
本例适用于小型企业,门店或家庭内部使用IPv6 5G无线网络访问IPv6 Internet的场景。
需要实现,用户连接Router A通过IPv6 5G无线链路访问IPv6 Internet。
· Router A所在的子网为2001::0/64。
· Router A通过DDR拨号接入运营商网络,实现与公网互通。
在5G路由器Cellular1/0接口上通道化出以太网接口Eth-channel1/0:0,将Eth-channel1/0:0接口作为DDR拨号接口,使用DDR拨号接入IPv6 Internet,并建立永久在线连接。
图3-5 IPv6 5G Modem拨号上网组网图
(1) 配置Router A。
# 配置接口GigabitEthernet1/0/1的IP地址。
<RouterA> system-view
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ipv6 address 2001::1/64
[RouterA-GigabitEthernet1/0/1] undo ipv6 nd ra halt
[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig managed-address-flag
[RouterA-GigabitEthernet1/0/1] ipv6 nd autoconfig other-flag
[RouterA-GigabitEthernet1/0/1] quit
# 创建并配置DHCPv6地址池pool1。
[RouterA] ipv6 dhcp pool pool1
[RouterA-dhcp6-pool-pool1] network 2001::0/64 preferred-lifetime 172800 valid-lifetime 345600
[RouterA-dhcp6-pool-pool1] domain-name aabbcc.com
[RouterA-dhcp6-pool-pool1] dns-server 2001::2
[RouterA-dhcp6-pool-pool1] quit
[RouterA] ipv6 dhcp server forbidden-address 2001::1
[RouterA] ipv6 dhcp server forbidden-address 2001::2
# 配置接口GigabitEthernet1/0/1工作在DHCPv6服务器模式,并引用DHCP地址池pool1。
[RouterA] interface gigabitethernet 1/0/1
[RouterA-GigabitEthernet1/0/1] ipv6 dhcp select server
[RouterA-GigabitEthernet1/0/1] ipv6 dhcp server apply pool pool1
[RouterA-GigabitEthernet1/0/1] quit
# 开启DNS proxy功能。
[RouterA] dns proxy enable
# 配置拨号访问组1以及对应的拨号访问控制条件。
[RouterA] dialer-group 1 rule ipv6 permit
# 配置5G Modem参数模板,配置动态接入点作为参数模板。
[RouterA] apn-profile dynamic1
[RouterA-apn-profile-dynamic] apn dynamic
[RouterA-apn-profile-dynamic] quit
# 将Cellular1/0接口通道化出以太网通道接口。
[RouterA] controller cellular 1/0
[RouterA-Cellular1/0] eth-channel 0
[RouterA-Cellular1/0] quit
# 配置Eth-channel1/0:0接口采用Modem私有协议获取运营商自动分配的IP地址。
[RouterA] interface eth-channel 1/0:0
[RouterA-Eth-channel1/0:0] ipv6 address cellular-alloc
# 配置Eth-channel1/0:0接口使用的5G Modem参数模板。
[RouterA-Eth-channel1/0:0] apn-profile apply dynamic1
# 在Eth-channel1/0:0接口上开启传统DDR,并与拨号访问组1关联。
[RouterA-Eth-channel1/0:0] dialer circular enable
[RouterA-Eth-channel1/0:0] dialer-group 1
# 配置允许链路空闲的时间为0,呼叫建立超时时间为30秒,自动拨号的时间间隔为5秒。
[RouterA-Eth-channel1/0:0] dialer timer idle 0
[RouterA-Eth-channel1/0:0] dialer timer wait-carrier 30
[RouterA-Eth-channel1/0:0] dialer timer autodial 5
# 配置数据包去往对端的拨号串,一般移动/联通配置“*99#”,电信配置“#777”。
[RouterA-Eth-channel1/0:0] dialer number *99# autodial
# 配置Eth-channel1/0:0接口将IPv6地址前缀2001::/64转换为2002:0DF8:0001::/48,假设Router A拨号接口获取的IPv6地址前缀为2002:0DF8:0001::/48(拨号接口IPv6地址是动态获取的,可能会有变化)。
[RouterA-Eth-channel1/0:0] nat66 prefix source 2001:: 64 2002:0df8:0001:: 48
[RouterA-Eth-channel1/0:0] quit
# 配置IPv6缺省路由。
[RouterA] ipv6 route-static 0::0 0 Eth-channel 1/0:0 preference 1
设备插上SIC-5G接口模块后,接口模块的指示灯不亮,或者接口模块的相关信息不显示。
(1) 执行display device命令,Slot状态显示为Unknown。
<Router> display device
Slot No. Board Type Status Max Ports
--------------------------------------------------------------
0 RPU Normal 30
1 Unknown Abnormal Unknown
(2) 执行display device manuinfo,电子标签等相关信息显示为NONE。
<Router>display device manuinfo
...
Slot 1:
DEVICE_NAME : NONE
DEVICE_SERIAL_NUMBER : NONE
MAC_ADDRESS : NONE
MANUFACTURING_DATE : NONE
VENDOR_NAME : NONE
· 确认SIC-5G接口模块是否安装好,可能没有锁紧。若未安装好,请重新拔插一下接口模块。
· 确认MSR路由器的款型和槽位是否正确。若不正确,请在支持接口模块的路由器的正确槽位上使用接口模块。
· 确认设备的版本是否正确。路由器版本需要升级到B64D058SP08(E0821P08)及以后版本才能支持SIC-5G接口模块。若不正确,请升级版本。
· 确认SIC-5G接口模块是否外观有损伤、SIC-5G接口模块槽位针脚是否有损伤。
· 对SIC-5G接口模块的电子标签进行升级。
如果上述检查未发现问题,并且故障现象仍未消失,请联系代理商。
SIC-5G接口模块的信息可以正常显示,但是无法显示5G Modem的信息。
(1) 执行display cellular命令,无法显示Cellular接口信息。
<Router> display cellular 1/0
^
% Wrong parameter found at '^' position.
· 确认是否已经通过remove命令或者“REMOVE”按钮将SIC-5G接口模块remove掉。若指示灯熄灭,请重新拔插接口模块。
· 确认SIC-5G接口模块是否在重启,SIC-5G接口模块完成初始化需要一定时间,请等待1-2分钟。
· 确认设备的版本是否正确。路由器版本需要升级到B64D058SP08(E0821P08)及以后版本才能支持SIC-5G接口模块。若不正确,请升级版本。
· 确认MSR路由器的款型和槽位是否正确。若不正确,请在支持的路由器的正确槽位上使用接口模块。
· 确认SIC-5G接口模块是否外观有损伤、SIC-5G接口模块槽位的针脚是否有损伤。
如果上述检查未发现问题,并且故障现象仍未消失,请联系代理商。
SIC-5G接口模块和5G Modem的信息都可以正常显示。但无法拨号成功并获取IP地址。
(1) 执行display ip interface brief,通道化以太网接口没有获取IP地址。
<Router> display ip interface brief
*down: administratively down
(s): spoofing (l): loopback
Interface Physical Protocol IP address/Mask VPN instance Description
E-Chx/0:0 down down -- -- --
SIC-5G无法拨号成功,原因非常多、非常复杂,请依次按照如下步骤排查最常见的问题:
· 请确认SIM卡的状态是否正常,SIM卡有“OK、Locked、Not Inserted、Unknown”等状态,执行display cellular命令查看modem信息,
<Router> display cellular X/0
...
SIM Status: OK
...
¡ OK表示正常,无需处理。
¡ Not Insert表示SIM安装异常,请检查SIM卡是否插好。
¡ Locked表示被锁定,请先解锁后再使用。若未完全锁定可以通过PUK码解锁,执行pin unlock命令即可;若完全锁定则需要到营业厅解锁。
¡ Unknown表示状态未知。请尝试重新拔插SIM卡,或重启设备。
· 请确认SIC-5G接口模块拨号上网的配置是否正确。若不正确,请修改配置。
· 请确认SIM卡是否欠费。将该SIM卡插入手机后看是否能上网。
· 请确认是否当前环境没有4G/5G信号覆盖或者信号太弱。若是,请移动5G天线至信号较强的位置。
· 请确认了运营商SIM卡是否支持SIC-5G接口模块设置的工作频段。若不支持,请修改band配置。
如果上述检查未发现问题,并且故障现象仍未消失,请联系代理商。
SIC-5G接口模块和5G Modem的信息都可以正常显示,也可以成功获取IP地址,但是网络不通。
· 请确认SIM卡是否欠费。若是,请充值后重启5G Modem。
· 重启通道化以太网接口Eth-channel。
如果上述检查未发现问题,并且故障现象仍未消失,请联系代理商。
由于MSR3610-X1不支持USB模式,5G Modem仅可以通过slot 3升级。
将固件版本,如RM500QGLABR10A01M4G_BETA_20200909H_update.tar保存到U盘并插入到5G路由器中,或者通过FTP传到5G路由器。
# 开启路由器信息中心功能。
<Router> system-view
System View: return to User View with Ctrl+Z.
[Router] info-center enable
Information center is enabled.
# 升级5G Modem固件版本。
[Router] controller cellular 1/0
[Router-Cellular1/0] firmware update module file usba0:/RM500QGLABR10A01M4G_BETA_20200909H_update.tar
Updating firmware for the modem. Continue?[Y/N]:Y
Do not turn off power before updating end!
........%Oct 9 15:56:31:761 2020 Spoke1 CELLULAR/5/CELLULAR:
Controller Cellular1/0: Service status changed from Service Available to Limited.
%Oct 9 15:56:31:761 2020 Spoke1 CELLULAR/5/CELLULAR:
Controller Cellular1/0: The network was disconnected.
.................................................................
Updating successfully! The modem is restarting.
# 重启5G Modem
[Router-Cellular1/0] modem reboot
# 5G Modem重启后,查看5G Modem当前信息。
<Router> display cellular 1/0
Cellular1/0:
Modem State:
Hardware Information:
Model: RM500QGL_VH
Manufacturer: Quectel
Modem Firmware Version: RM500QGLABR10A01M4G_BETA_20200909H
International Mobile Equipment Identity (IMEI): 863305040147729
International Mobile Subscriber Identity (IMSI): 460110019798525
Hardware Version: 20000
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
