网络工程师的白嫖指南：手把手教你用免费IPv6，搭建企业级ADVPN专网

上回书说到，我们用MSR810-W-LM搭建移动ADVPN网关（）。有朋友就问了：方案虽好，但总部不还是需要IPv4公网地址吗？我可是一毛不拔的铁公鸡，不想花这个冤枉钱！

那么，有没有一种可能，让咱们能花小钱办大事，甚至实现白嫖级别的组网呢？

答案是：有！咱们把目光投向那片更广阔的免费土地——IPv6，我们来尝试一下IPv6承载的ADVPN。

在前面介绍IPv6的时候（），我们就发现IPv6和IPv4的骨干网是有差异的。

同样是北京和衡水两地的数据中心互联，使用ADVPN的Spoke-Spoke捷径直接进行转发，平均时延为17.550 ms；使用GRE over IPv6隧道进行转发（），平均时延为19.474 ms。理想很丰满，现实略骨感。测试结果有点出乎意料，说好的IPv6高速公路更快呢？看来网络世界的新路也得经过一番磨合才行。

实际上，上面的两个时延都是封装过的，如果直接使用IPv6地址进行测试，平均时延只有16.037 ms。但是，我们没有办法直接测得IPv4的互访时延，无法判断。我通过traceroute的方式找了一个中间节点（），北京到这个节点的时延为12.931 ms，衡水到这个节点的时延为2.983 ms，合计15.914 ms，还是比IPv6要快一些。

那ADVPN大概增加了多少时延呢？

从北京进行测试，直接访问时延为5.549 ms，通过ADVPN访问时延为6.093 ms，大约增加0.544 ms。

从衡水进行测试，直接访问时延为13.169 ms，通过ADVPN访问时延为13.814 ms，大约增加0.645 ms。

按照比较小的值计算，减掉ADVPN的开销，IPv4直连的时延最高也就是16.905 ms，跟IPv6直连的时延差不多。

无论是IPv4还是IPv6，网络质量整体都是比较稳定的，所以如果我们换用IPv6来承载ADVPN，理论上体验不会有明显差异，但是成本会大幅下降。

我们配置ISP作为IPv6 PPPoE服务器（），让其余3台设备都从其拨号获取IPv6地址。

配置完成之后，ISP设备的IPv6地址信息如下：

HUB设备的IPv6地址信息如下：

SPOKE1设备的IPv6地址信息如下，可以访问HUB设备的IPv6地址：

SPOKE2设备的IPv6地址信息如下，也可以访问HUB设备的IPv6地址：

这样，我们模拟PPPoE的底层环境就搭好了。剩下的ADVPN配置也很简单，对比IPv4配置，主要是将IPv4地址换成了IPv6地址，直接上配置。

HUB设备同时作为VAM服务器，配置如下：

#domain advpn authentication advpn local# domain default enable advpn#local-user HUB class network password simple HUB service-type advpn#local-user SPOKE1 class network password simple SPOKE1 service-type advpn#local-user SPOKE2 class network password simple SPOKE2 service-type advpn#vam server advpn-domain ADVPN id 1 pre-shared-key simple ADVPN server enable hub-group HUB  hub ipv6 private-address 2222::2  spoke ipv6 private-address range 2222:: 2222::FFFF:FFFF:FFFF:FFFF#vam client name HUB advpn-domain ADVPN server primary ipv6-address 2002::2 pre-shared-key simple ADVPN user HUB password simple HUB client enable#ike keychain ADVPN pre-shared-key address ipv6 :: 0 key simple ADVPN#ike profile ADVPN keychain ADVPN#ipsec transform-set ADVPN encapsulation-mode transport esp encryption-algorithm des-cbc esp authentication-algorithm sha1#ipsec profile ADVPN isakmp transform-set ADVPN ike-profile ADVPN#ospfv3 1 area 0.0.0.0#interface Tunnel1 mode advpn gre ipv6 ospfv3 1 area 0.0.0.0 ospfv3 network-type broadcast source Dialer1 ipv6 address 2222::2/64 tunnel protection ipsec profile ADVPN vam ipv6 client HUB

SPOKE1设备的配置如下：

#vam client name SPOKE1 advpn-domain ADVPN server primary ipv6-address 2002::2 pre-shared-key simple ADVPN user SPOKE1 password simple SPOKE1 client enable#ike keychain ADVPN pre-shared-key address ipv6 :: 0 key simple ADVPN#ike profile ADVPN keychain ADVPN#ipsec transform-set ADVPN encapsulation-mode transport esp encryption-algorithm des-cbc esp authentication-algorithm sha1#ipsec profile ADVPN isakmp transform-set ADVPN ike-profile ADVPN#ospfv3 1 area 0.0.0.0#interface Tunnel1 mode advpn gre ipv6 ospfv3 1 area 0.0.0.0 ospfv3 network-type broadcast source Dialer1 ipv6 address 2222::3/64 tunnel protection ipsec profile ADVPN vam ipv6 client SPOKE1

SPOKE2设备的配置如下：

#vam client name SPOKE2 advpn-domain ADVPN server primary ipv6-address 2002::2 pre-shared-key simple ADVPN user SPOKE2 password simple SPOKE2 client enable#ike keychain ADVPN pre-shared-key address ipv6 :: 0 key simple ADVPN#ike profile ADVPN keychain ADVPN#ipsec transform-set ADVPN encapsulation-mode transport esp encryption-algorithm des-cbc esp authentication-algorithm sha1#ipsec profile ADVPN isakmp transform-set ADVPN ike-profile ADVPN#ospfv3 1 area 0.0.0.0#interface Tunnel1 mode advpn gre ipv6 ospfv3 1 area 0.0.0.0 ospfv3 network-type broadcast source Dialer1 ipv6 address 2222::4/64 tunnel protection ipsec profile ADVPN vam ipv6 client SPOKE2