Cisco 路由器配置 DMVPN+NHRP详细介绍
时间:2010-02-11 18:52来源:未知 作者:admin 点击: 261
次
最近联通的小弟遇到个比较搞笑的事情、一个老外做dmvpn时候一直不断骚扰他们、问是不是运营商那边把他们的50 51端口给封了、回复了几次他都不相信是自己配置的错误。 今天抽空把DMVPN +NHRP做了一下、简单复习一下: 所谓的DMVPN是指Dynamic Multipoint IPsec
最近联通的小弟遇到个比较搞笑的事情、一个老外做dmvpn时候一直不断骚扰他们、问是不是运营商那边把他们的50 51端口给封了、回复了几次他都不相信是自己配置的错误。
今天抽空把DMVPN +NHRP做了一下、简单复习一下:
所谓的DMVPN是指Dynamic Multipoint IPsec VPNs 动态的多点ipsecvpn、以前我们做的点对点使用GRE隧道的比较多、别忘记了把EIGRP的
split-horizon 关闭了 因为EIGRP will notadvertise routes learned via the mGRE interface back out that sameinterface 这里是多个GRE隧道 Spoke1 Router
authentication pre-share
crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 !
crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport !
crypto ipsec profile vpnprof set transform-set trans2 !
interface Tunnel0 bandwidth 1000
ip address 10.0.0.2 255.255.255.0 ip mtu 1400
ip nhrp authentication test
ip nhrp map multicast 172.17.0.1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 300 ip nhrp nhs 10.0.0.1
ip ospf network broadcast ip ospf priority 0 delay 1000
tunnel source Ethernet0 tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile vpnprof !
interface Ethernet0
ip address dhcp hostname Spoke1 !
interface Ethernet1
ip address 192.168.1.1 255.255.255.0 !
router ospf 1
network 10.0.0.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 !
Hub Router
interface Tunnel0 bandwidth 1000
ip address 10.0.0.1 255.255.255.0 ip mtu 1400
ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 100000
ip nhrp holdtime 600
ip ospf network broadcast ip ospf priority 2 delay 1000
tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000
tunnel protection ipsec profile vpnprof interface Ethernet0
ip address 172.17.0.1 255.255.255.0 interface Ethernet1
ip address 192.168.0.1 255.255.255.0 router ospf 1
network 10.0.0.0 0.0.0.255 area 0 network 192.168.0.0 0.0.0.255 area 0 Spoke2 Router !
crypto isakmp policy 1 authentication pre-share
crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 !
crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport !
crypto ipsec profile vpnprof set transform-set trans2 !
interface Tunnel0 bandwidth 1000
ip address 10.0.0.3 255.255.255.0 ip mtu 1400
ip nhrp authentication test
ip nhrp map multicast 172.17.0.1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 300 ip nhrp nhs 10.0.0.1
ip ospf network broadcast ip ospf priority 0 delay 1000
tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000
tunnel protection ipsec profile vpnprof
!
interface Ethernet0
ip address dhcp hostname Spoke1 !
interface Ethernet1
ip address 192.168.3.1 255.255.255.0 !
router ospf 1
network 10.0.0.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area (责任编辑:admin)
GRE隧道的三个任务
IPSEC的问题:只支持单播流量,组播和广播流量是不会穿过数据SA的。
GRE原理:将一个完整的组播和广播数据包封装在一个单播数据包(IPSEC)里,以处理如OSPF的组播或
RIP的广播数据流,以完成对端的动态路由学习。
cisco对GRE的应用,本质是:GRE处理广播、组播、非IP数据流,而IPSEC提供单播框架保护 ,以便在IP
骨干网上传输。
拓扑图:
192.168.1.0/24/R1/192.1.1.1——WAN——193.1.1.1/R2/192.168.2.0/24 |————————————————| 192.168.3.1/GRE隧道/192.168.3.2
回顾:IPSEC需要使用的协议,被ACL放行 管理连接使用的是UDP端口500
AH和ESP不使用端口,使用协议51和50 NAT-T使用的是UDP端口4500
IPSEC-OVER-UDP使用的是UDP端口10000 IPSEC-OVER-TCP使用的是TCP端口10000
在后三者中,被用来处理NAT、PAT对IPSEC造成的影响,如果同时被配置,IPSEC-OVER-TCP优先于NAT-T,
NAT-T优先于IPSEC-OVER-UDP ,NAT-T由cisco开发,已成为开放标准,默认在高IOS版本的cisco路由器上
相关推荐:
loading