DSVPN示例

于 2024-04-30 16:34:46 发布
阅读量950 收藏 22
点赞数 13
分类专栏: 华为认证datacom实验 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76769137/article/details/138350089
版权
组网需求

某中小企业有总部(Hub)和两个分支(Spoke1和Spoke2),分布在不同地域,总部和分支的子网环境会经常出现变动。分支采用动态地址接入公网。企业现网网络规划使用OSPF路由协议。

现在用户希望能够实现分支之间的VPN互联。

图1 配置非shortcut方式DSVPN组网图

配置思路

企业网络管理员可以采用如下思路进行分析:

  1. 由于分支是采用动态地址接入公网的,分支之间互相不知道对方的公网地址,因此必须采用DSVPN来实现分支之间的VPN互联。

  2. 由于分支数量较少,因此采用非shortcut方式的DSVPN。

  3. 由于分支和总部的子网环境经常出现变动,为简化维护并根据企业网络规划,选择部署OSPF路由协议来实现分支/总部间的通信。

操作步骤
  1. 配置接口IP地址

    在各Router上配置接口IP地址。

    # 在Hub上配置接口IP地址。

    <Huawei> system-view
[Huawei] sysname Hub
[Hub] interface GigabitEthernet 1/0/0
[Hub-GigabitEthernet1/0/0] ip address 1.1.1.10 255.255.255.0
[Hub-GigabitEthernet1/0/0] quit
[Hub] interface tunnel 0/0/0
[Hub-Tunnel0/0/0] ip address 172.16.1.1 255.255.255.0
[Hub-Tunnel0/0/0] quit
[Hub] interface loopback 0
[Hub-LoopBack0] ip address 192.168.0.1 255.255.255.0
[Hub-LoopBack0] quit

    按照图1配置Spoke1、Spoke2各接口的IP地址,具体配置过程与配置Hub相同(略)。

  2. 配置各Router之间公网路由可达

    在各Router上配置OSPF路由协议,实现公网路由可达。

    # 在Hub上配置OSPF。

    [Hub] ospf 2 router-id 1.1.1.10
[Hub-ospf-2] area 0.0.0.1
[Hub-ospf-2-area-0.0.0.1] network 1.1.1.0 0.0.0.255
[Hub-ospf-2-area-0.0.0.1] quit
[Hub-ospf-2] quit

    # 在Spoke1上配置OSPF。

    [Spoke1] ospf 2 router-id 1.1.2.10
[Spoke1-ospf-2] area 0.0.0.1
[Spoke1-ospf-2-area-0.0.0.1] network 1.1.2.0 0.0.0.255
[Spoke1-ospf-2-area-0.0.0.1] quit
[Spoke1-ospf-2] quit

    # 在Spoke2上配置OSPF。

    [Spoke2] ospf 2  router-id 1.1.3.10
[Spoke2-ospf-2] area 0.0.0.1
[Spoke2-ospf-2-area-0.0.0.1] network 1.1.3.0 0.0.0.255
[Spoke2-ospf-2-area-0.0.0.1] quit
[Spoke2-ospf-2] quit

  3. 配置OSPF基本功能

    # 配置Hub。

    [Hub] ospf 1 router-id 172.16.1.1
[Hub-ospf-1] area 0.0.0.0
[Hub-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255
[Hub-ospf-1-area-0.0.0.0] network 192.168.0.0 0.0.0.255
[Hub-ospf-1-area-0.0.0.0] quit
[Hub-ospf-1] quit

    # 配置Spoke1。

    [Spoke1] ospf 1 router-id 172.16.1.2
[Spoke1-ospf-1] area 0.0.0.0
[Spoke1-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255
[Spoke1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[Spoke1-ospf-1-area-0.0.0.0] quit
[Spoke1-ospf-1] quit

    # 配置Spoke2。

    [Spoke2] ospf 1 router-id 172.16.1.3
[Spoke2-ospf-1] area 0.0.0.0
[Spoke2-ospf-1-area-0.0.0.0] network 172.16.1.0 0.0.0.255
[Spoke2-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[Spoke2-ospf-1-area-0.0.0.0] quit
[Spoke2-ospf-1] quit
  4. 配置Tunnel接口

    在Hub和Spoke配置OSPF网络类型为broadcast以实现分支间路由相互学习,在Spoke1和Spoke2上分别配置Hub的静态NHRP peer表项。

    # 在Hub上配置Tunnel接口和OSPF相关属性。 
    [Hub] interface tunnel 0/0/0
[Hub-Tunnel0/0/0] tunnel-protocol gre p2mp
[Hub-Tunnel0/0/0] source GigabitEthernet 1/0/0
[Hub-Tunnel0/0/0] nhrp entry multicast dynamic
[Hub-Tunnel0/0/0] ospf network-type broadcast
[Hub-Tunnel0/0/0] quit
    # 在Spoke1上配置Tunnel接口,OSPF路由相关属性以及Hub的静态NHRP peer表项。 
    [Spoke1] interface tunnel 0/0/0
[Spoke1-Tunnel0/0/0] tunnel-protocol gre p2mp
[Spoke1-Tunnel0/0/0] source GigabitEthernet 1/0/0
[Spoke1-Tunnel0/0/0] nhrp entry 172.16.1.1 1.1.1.10 register
[Spoke1-Tunnel0/0/0] ospf network-type broadcast
[Spoke1-Tunnel0/0/0] ospf dr-priority 0
[Spoke1-Tunnel0/0/0] quit
    # 在Spoke2上配置Tunnel接口,OSPF路由相关属性以及Hub的静态NHRP peer表项。 
    [Spoke2] interface tunnel 0/0/0
[Spoke2-Tunnel0/0/0] tunnel-protocol gre p2mp
[Spoke2-Tunnel0/0/0] source GigabitEthernet 1/0/0
[Spoke2-Tunnel0/0/0] nhrp entry 172.16.1.1 1.1.1.10 register
[Spoke2-Tunnel0/0/0] ospf network-type broadcast
[Spoke2-Tunnel0/0/0] ospf dr-priority 0
[Spoke2-Tunnel0/0/0] quit

  5. 检查DSVPN配置结果

    配置完成后,检查Spoke上的NHRP peer信息。

    # 在Spoke1上执行display nhrp peer all操作,结果如下。

    [Spoke1] display nhrp peer all
-------------------------------------------------------------------------------
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag
-------------------------------------------------------------------------------
172.16.1.1      32    1.1.1.10        172.16.1.1       hub          up
-------------------------------------------------------------------------------
Tunnel interface: Tunnel0/0/0
Created time    : 00:10:58
Expire time     : --

Number of nhrp peers: 1

    # 在Spoke2上执行display nhrp peer all操作,结果如下。

    [Spoke2] display nhrp peer all
-------------------------------------------------------------------------------
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag
-------------------------------------------------------------------------------
172.16.1.1      32    1.1.1.10        172.16.1.1       hub          up
-------------------------------------------------------------------------------
Tunnel interface: Tunnel0/0/0
Created time    : 00:07:55
Expire time     : --

Number of nhrp peers: 1
网工鹏哥
关注
  • 13
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
配置DSVPN防火墙到防火墙的Hub and Spoke网,并支持Spoke之间的通信
加油!
05-24 333
DSVPN简介动态智能VPN(Dynamic Smart Virtual Private Network),是一种在HUB-SPOKE组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。背景越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连,从而加强企业的通信安全、降低通信成本。
DSVNP原理以及相关配置
qq_43710889的博客
03-04 2940
DSVPN简介 动态智能VPN(Dynamic Smart Virtual Private Network),是一种在HUB-SPOKE组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。 背景 越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连,从而加强企业的通信安全、降低通信成本。当企业总部采用静态的公网地址接入Internet,分支机构采用动态的公网地址接入Internet时,使用传统的IPSec、GRE ov
配置IPSec保护的DSVPN示例
刘俊辉个人博客
03-20 718
配置IPSec保护的DSVPN示例
华为智能私有网络解决方案
DREW德鲁
07-30 544
DSVPN的组件 • 1.MGRE(Multipoint GRE),多点GRE。便于在VPN隧道中能够传送组播报文(如动态路由协议报文) • 2.NHRP协议(Next Hop Resolution Protocol ),下一跳地址解析协议。动态收集、维护和发布分支节点的公网地址信息,解决了分支节点动态公网IP地址问题。 • 3.路由协议 • 4.可选的IPSec封装,实现数据的安全传输。 • DSVPN网络中多种路由协议:RIP、OSPF、BGP MGRE(多点GRE) MGRE (Multipoint
DSVNP基础原理
热门推荐
曹世宏的博客
09-16 1万+
GRE over IPSec的缺陷 GRE over IPSec的缺陷: 图:企业典型的Hub-Spoke组网(配置DSVNP之前) 如上图,如果一个公司又很多分支站点,采用GRE over IPSec的话会存在如下缺点: IPSec隧道集中在Hub点,所有流量都穿越Hub点。 所有流量通过总部封装和解封装时,会引入额外的网络延时。 每增加一个新的Sopke点,Hub点都必须被配置。 若Spo...
DSV Hub级联网络部署实验
weixin_51045259的博客
01-28 583
配置shortcut方式DSVPN示例(OSPF路由协议) 组网需求 某大型企业有总部(Hub)和多个分支(Spoke1、Spoke2……,举例中仅使用两个分支),分布在不同地域,总部和分支的子网环境会经常出现变动。分支采用动态地址接入公网。企业现网网络规划使用OSPF路由协议。 现在用户希望能够实现分支之间的VPN互联。 配置思路 企业网络管理员可以采用如下思路进行分析: 由于分支是采用动态地址接入公网的,分支之间互相不知道对方的公网地址,因此必须采用DSVPN来实现分支之间的VPN互联。 由于分支数
三、IPSec VPN原理
最新发布
u012451051的博客
11-03 1014
由于IP协议未考虑安全性,而且Internet上有大量的不可靠用户和网络设备,所以用户业务数据要穿越这些未知网络,根本无法保证数据的安全性,数据易被伪造、篡改或窃取。因此,迫切需要一种兼容IP协议的通用的网络安全方案。为了解决上述问题,IPSec(Internet Protocol Security)应运而生。IPSec是对IP的安全性补充,其工作在IP层,为IP网络通信提供透明的安全服务。定义PSec是一组开放的网络安全协议。
公司分支使用5G链路和总部建立IPS加密隧道配置案例
qq_53108686的博客
11-02 552
公司分支使用5G链路和总部建立IPSec加密隧道配置案例
postman 请求示例
07-19
postman 请求示例
罗斯文示例数据库
06-14
罗斯文 示例数据库是Access的自带的示例数据库,好多教程都是基于此数据库来讲解的。 罗斯文 示例数据库是Access的自带的示例数据库,好多教程都是基于此数据库来讲解的。
pubs 示例数据库
04-26
pubs 示例数据库安装脚本,适用于sql server 2000以上各版本
ZTree示例
09-14
Ztree示例
angular示例
09-10
angular示例angular示例angular示例angular示例angular示例angular示例angular示例angular示例angular示例angular示例angular示例
多线程示例
03-30
MFC窗口程序多线程示例 MFC窗口程序多线程示例 MFC窗口程序多线程示例
VBA示例文档示例
09-25
VBA EXCEL示例 VBA EXCELF示例
spring mvc入门示例
12-23
spring mvc入门示例
ajax示例代码
09-04
ajax基础示例,后台是Java ,前面是最基础的AJAX示例
JSON示例数据文件
08-13
JSON数据示例文件,演示如何使用VBA解析复杂JSON数据。
archimate 示例
09-19
Archimate 是一种用于企业架构建模的开放标准,旨在支持创建和描述复杂的企业架构。Archimate 示例是指使用Archimate规范和方法来演示和说明企业架构中的不同方面和元素的实际案例。 Archimate 示例的主要目的是展示企业架构中不同元素之间的关系和相互作用,以及体现其在整个组织中的作用和价值。通过示例,人们可以更好地理解企业架构的设计原理和最佳实践,并在实际应用中得出有关如何优化和改进企业架构的结论。 Archimate 示例可以涵盖不同层次的企业架构,包括业务架构、应用架构、技术架构和物理架构等。例如,在业务架构中,一个示例可以展示不同业务过程之间的依赖关系,以及业务功能如何支持这些过程。在应用架构中,一个示例可以展示不同应用系统之间的集成关系和交互模式。在技术架构中,一个示例可以展示各种技术组件之间的连接和互动。 通过使用Archimate示例,企业可以更好地了解和分析自身的企业架构,发现潜在的问题和改进机会,并制定相应的规划和决策。同时,示例还可以作为培训和教育的工具,帮助专业人员更好地理解和应用Archimate框架和方法。 总之,Archimate示例是一个重要的工具,用于演示和理解企业架构的不同方面和元素,并帮助企业优化和改进它们的架构设计和实施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值