HCIP(3)-MGRE高级实验:全连MGRE、hub-spoke的MGRE网络搭建、OSPF全网互通

已于 2024-03-14 11:25:09 修改
阅读量700 收藏 9
点赞数 13
分类专栏: HCIP进阶日志 文章标签: 网络 tcp/ip 信息与通信 网络协议 计算机网络 改行学it 华为云
于 2024-02-20 01:33:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Superstacks/article/details/136168575
版权
本文详细介绍了如何使用MGRE技术,结合NHRP和IPSec在企业环境中构建Hub-Spoke模式的DSVPN网络,解决了动态公网地址分支间通信的问题。通过配置Tunnel接口和OSPF路由,实现了多点到点的GRE隧道和P2MP网络类型的应用。
摘要由CSDN通过智能技术生成 
MGRE:多个节点构建为一个网段;结构为中心到站点结构;站点可以基于NHRP实现ip地址不固定
又称DSVPN 自动智能VPN = MGRE + IPSEC,MGRE属于NBMA网络类型
为实现DSVPN功能,需要创建Tunnel接口并将其配置为mGRE类型。mGRE接口只需配置源地址或源接口,不需要指定目的地址,这样可以实现一个mGRE隧道接口上存在多条GRE隧道,对应多个GRE对端,简化设备上GRE的配置。
越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连,从而加强企业的通信安全、降低通信成本。当企业总部采用静态的公网地址接入Internet,分支机构采用动态的公网地址接入Internet时,使用传统的IPSec、GRE over IPSec等技术构建VPN网络将存在一个问题,即分支之间无法直接通信(源分支无法获取目的分支公网地址,也就无法在分支之间直接建立隧道),所有分支之间的通信数据只能由总部中转.

实验要求

  1. R1-R3-R4构建全连的MGRE环境
  2. R1-R5-R6建立hub-spoke的MGRE环境,其中R1为中心
  3. R1-R3…R6均存在环回网段模拟用户私网,使用OSPF使全网可达
  4. 其中R2为ISP路由器,仅配置IP地址

网络拓扑
AR1

全连MGRE

IP配置

R1

[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip ad 10.0.0.1 8
[Huawei-GigabitEthernet0/0/1]q
[Huawei]ip route-static 0.0.0.0 0 10.0.0.2
[Huawei]ip route-static 0.0.0.0 0 60.0.0.2

[Huawei]int t 0/0/0 # 搭建虚拟隧道
[Huawei-Tunnel0/0/0]ip ad 192.168.2.1 24
[Huawei-Tunnel0/0/0]tunnel-protocol gre p2mp
[Huawei-Tunnel0/0/0]source 10.0.0.1 
[Huawei-Tunnel0/0/0]nhrp network-id 100
[Huawei-Tunnel0/0/0]nhrp entry multicast dynamic #既是中心
[Huawei-Tunnel0/0/0]nhrp entry 192.168.2.3 register #又是分支
[Huawei-Tunnel0/0/0]nhrp entry 192.168.2.4 register

tunnel-protocol命令用来配置Tunnel接口的隧道协议。
gre 配置Tunnel接口的隧道协议为GRE。
source命令用来配置Tunnel源地址或源接口。
nhrp entry multicast dynamic命令用来使能将动态注册的分支加入NHRP组播成员表功能
执行命令nhrp network-id netId,配置接口所属NHRP域。

R2

IP配置

[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip ad 10.0.0.2 8
[Huawei-GigabitEthernet0/0/1]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 60.0.0.2 8
[Huawei-GigabitEthernet0/0/0]int g 0/0/2
[Huawei-GigabitEthernet0/0/2]ip ad 20.0.0.2 8
[Huawei-GigabitEthernet0/0/2]int g 3/0/0
[Huawei-GigabitEthernet3/0/0]ip ad 30.0.0.2 8
[Huawei-GigabitEthernet3/0/0]int g 4/0/0
[Huawei-GigabitEthernet4/0/0]ip ad 40.0.0.2 8
[Huawei-GigabitEthernet4/0/0]int g 2/0/0
[Huawei-GigabitEthernet2/0/0]ip ad 50.0.0.2 8

R3

[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 20.0.0.1 8
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 0.0.0.0 0 20.0.0.2

[Huawei]int t 0/0/0
[Huawei-Tunnel0/0/0]ip ad 192.168.2.3 24
[Huawei-Tunnel0/0/0]tunnel-protocol gre p2mp
[Huawei-Tunnel0/0/0]source 20.0.0.1
[Huawei-Tunnel0/0/0]nhrp network-id 100
[Huawei-Tunnel0/0/0]nhrp entry multicast dynamic 
[Huawei-Tunnel0/0/0]nhrp entry 192.168.2.4 30.0.0.1 register
[Huawei-Tunnel0/0/0]nhrp entry 192.168.2.1 130.0.0.1 register

R4

[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 30.0.0.1 8
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 0.0.0.0 0 30.0.0.2

[Huawei]int t 0/0/0
[Huawei-Tunnel0/0/0]ip ad 192.168.2.4 24
[Huawei-Tunnel0/0/0]tunnel-protocol gre p2mp
[Huawei-Tunnel0/0/0]nhrp network-id 100
[Huawei-Tunnel0/0/0]source 30.0.0.1
[Huawei-Tunnel0/0/0]nhrp entry multicast dynamic 
[Huawei-Tunnel0/0/0]nhrp entry 192.168.2.1 10.0.0.1 register
[Huawei-Tunnel0/0/0]nhrp entry 192.168.2.3 20.0.0.1 register

验证

AR1PING连接R3和R4
Piong

hub-spoke MGRE

这一环节的目的是打通分支到分支报文转发的通道,使得一端分支的报文可以借助Hub转发到另一端分支。
DSVPN在Spoke与Hub之间建立的mGRE隧道是一种静态隧道,无论Spoke与Hub间是否有流量经过,该隧道一直存在。

R1

建立以R1为中心的hub-spoke的MGRE环境

[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 60.0.0.1 8
[Huawei-GigabitEthernet0/0/0]q

[Huawei]int t 0/0/1
[Huawei-Tunnel0/0/1]ip ad 192.168.3.1 24
[Huawei-Tunnel0/0/1]tunnel-protocol gre p2mp
[Huawei-Tunnel0/0/1]source 60.0.0.1
[Huawei-Tunnel0/0/1]nhrp network-id 10
[Huawei-Tunnel0/0/1]nhrp entry multicast dynamic

R5

[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 40.0.0.1 8
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 0.0.0.0 0 40.0.0.2

[Huawei]int t 0/0/1
[Huawei-Tunnel0/0/1]ip ad 192.168.3.5 24
[Huawei-Tunnel0/0/1]tunnel-protocol gre p2mp 
[Huawei-Tunnel0/0/1]source 40.0.0.1
[Huawei-Tunnel0/0/1]nhrp network-id 10
[Huawei-Tunnel0/0/1]nhrp entry 192.168.3.1 60.0.0.1 register

执行命令nhrp entry protocol-address nbma-address [ register ]配置NHRP地址映射表。

R6

[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip ad 50.0.0.1 8
[Huawei-GigabitEthernet0/0/0]q
[Huawei]ip route-static 0.0.0.0 0 50.0.0.2

[Huawei]int t 0/0/1
[Huawei-Tunnel0/0/1]ip ad 192.168.3.6 24
[Huawei-Tunnel0/0/1]tunnel-protocol gre p2mp 
[Huawei-Tunnel0/0/1]source 50.0.0.1
[Huawei-Tunnel0/0/1]nhrp network-id 10
[Huawei-Tunnel0/0/1]nhrp entry 192.168.3.1 60.0.0.1 register

验证

R1 Ping连接R5和R6的网络
PIng
查看R1的配置情况:
nhrp peer all

OSPF

OSPF(Open Shortest Path First)是IETF组织开发的一个基于链路状态的内部网关协议(Interior Gateway Protocol)。
P2MP网络类型必须是由其他的网络类型强制更改的。如果接口的网络类型是NBMA,但网络不是全连通的,必须将接口的网络类型改为P2MP。这样,两台不能直接可达的设备就可以通过一台与两者都直接可达的设备来交换路由信息。接口的网络类型改为P2MP网络后,不必再配置邻居设备。

R1

[Huawei]int lo 0
[Huawei-LoopBack0]ip ad 1.1.1.1 24
[Huawei-LoopBack0]q

[Huawei]ospf 1 router-id 1.1.1.1
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 1.1.1.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0] int t 0/0/0
[Huawei-Tunnel0/0/0]ospf network-type broadcast 
[Huawei-Tunnel0/0/0] int t 0/0/1
[Huawei-Tunnel0/0/1]ospf network-type p2mp

配置结果:
display this

R3

[Huawei]int lo 0
[Huawei-LoopBack0]ip ad 3.3.3.3 24
[Huawei-LoopBack0]q
[Huawei]ospf 1 router-id 3.3.3.3
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 3.3.3.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255

[Huawei]int t 0/0/0
[Huawei-Tunnel0/0/0]ospf network-type broadcast

配置结果:
display this

R4

[Huawei]int lo 0
[Huawei-LoopBack0]ip ad 4.4.4.4 24
[Huawei-LoopBack0]q
[Huawei]ospf 1 router-id 4.4.4.4
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 4.4.4.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.2.0 0.0.0.255

[Huawei]int t 0/0/0
[Huawei-Tunnel0/0/0]ospf network-type broadcast

配置结果:
display this

R5

[Huawei]int lo 0
[Huawei-LoopBack0]ip ad 5.5.5.5 24
[Huawei-LoopBack0]q
[Huawei]ospf 1 router-id 5.5.5.5
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 5.5.5.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255
[Huawei]int t 0/0/1
[Huawei-Tunnel0/0/1]ospf network-type p2mp

配置结果:
display

R6

[Huawei]int lo 0
[Huawei-LoopBack0]ip ad 6.6.6.6 24
[Huawei-LoopBack0]q
[Huawei]ospf 1 router-id 6.6.6.6
[Huawei-ospf-1]area 0
[Huawei-ospf-1-area-0.0.0.0]network 6.6.6.0 0.0.0.255
[Huawei-ospf-1-area-0.0.0.0]network 192.168.3.0 0.0.0.255

[Huawei]int t 0/0/1
[Huawei-Tunnel0/0/1]ospf network-type p2mp

配置结果:
display

验证

尝试使用PING命令连接,验证成功。
ping
查看R1路由器OSPF节点信息:
R1

超栈
关注
  • 13
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mgre 多点通用路由封装协议 hub-spoke
weixin_58053467的博客
09-06 511
如图所示,合理分配IP地址R1为hub端,R3.R4为spoke端,R2模拟运营商,在内网的三台路由器上配置静态的缺省路由,使得三台路由器到外网的接口能互通。若将多个节点使用普通GRE连接起来,将配置大量的网段和路由信息,且所有节点为固定IP地址;NHRP:下一跳路径发现协议 非固定ip地址分支站点,主动到固定IP的中心站点注册;配置完成后,就相当于端口直通,可以直接写静态路由,也可以配置rip或者ospf等协议宣告路由。多个局域网若使用普通的GRE来进行护理,tunnel数量成指数上升,且不易管理;
HCIP-MGRE实验作业
08-02
MGRE实验
华为认证HCIP实验指导书HCIP-IERS V2.5.zip
06-04
HCNP实验手册,内容包含了(OSPF,ISIS,BGP,路由控制,组播协议,vlan特性,stp等配置)
eNSP—全连网状MGRE+MGRE实验
weixin_44508518的博客
07-21 714
1、R6为ISP只能配置ip地址,R1-5的环回为私有网段 2、R1/4/5为全连MGRE结构,R1/2/3为星型的拓扑结构,R1为中心站点 3、所有私有网段可以互相通讯,私有网段使用OSPF协议完成 扩展部分:在边界路由上各添加一台PC且PC端能够访问ISP的环回...
MGRE综合实验
weixin_43774619的博客
12-01 162
1根据要求先解决IP地址的配置 2.在R1-R2-R3-R5-R6上写缺省让公网部分可以通信 3.R1R2R3要构建MGRE环境,R1为中心站点,R2R3为分支站点,要去R1注册 — 配tunnel 4.R1R5R6为全连网状的MGRE结构,R1和R5为中心站点,R6为分支则两个中心需要互相注册,分支要到中心注册 5.起ospf协议,并要修改tunnel接口类型为broadcast,手工修改DR的位置。 6.要让pc可以访问ISP的环回则需配个nat . ...
HCIP---第四章:OSPF开放式最短路径优先协议
m0_75008371的博客
04-29 660
OSPF---开放式最短路径优先协议、OSPF的LSA详解
HCIP---OSPF环境下的MGRE综合
Continue_with的博客
11-09 93
配置IP---选择协议---p2mp---多点---选择统一的序号---开启广播---找目标注册。在R1,R5,R6上都修改为p2mp。建立hub-spokeMGRE环境。第二步:构建全连MGRE环境。在每个路由上写缺省路由。
HCIP----OSPF综合实验
2201_75920541的博客
07-29 771
5. 实现内网通之后根据当前拓扑图的特点配置特殊区域(实现全网通和减少路由表条目信息),则在area1区域上配置成完全纯末梢区域(因为此区域中没有ASBR设备,符合该特殊区域的特点),在area2区域上配置成完全非纯末梢区域(因为此区域中存在ASBR设备R12),在area3区域也配置成完全非纯末梢区域(此区域中存在ASBR设备R9),完成以上配置之后,会在ABR设备或者ASBR上位该特殊区域自动下发默认缺省路由去往非本区域的网段地址。另外,骨干链路中的掩码规划为30位的目的是节省该网段下的IP地址。
HCIP-Security 网络安全 上课笔记
06-26
HCIP-Security 网络安全 上课笔记 本文档主要讲解HCIP-Security网络安全上课笔记,涵盖了Eth-trunk的配置、LACP模式、链路健康检查等网络安全知识点。 1. Eth-trunk配置 Eth-trunk是将多个物理接口捆绑成一个逻辑...
HCIP-Datacom-Core Technology V1.0 培训材料
05-24
HCIP-Datacom-Core Technology V1.0 实验搭建指南.docx HCIP-Datacom-Core Technology V1.0 实验手册.docx HCIP-Datacom-Core Technology V1.0 实验手册.pdf HCIP-Datacom-Core Technology V1.0 实验设备清单....
HCIP-Datacom-Core TechnologyH12-821培训文档和实验手册.rar
03-29
HCIP-Datacom-Core TechnologyH12-821培训文档和实验手册.rar
新版华为HCIP系列课程10:组播路由技术
04-16
HCIP-R&S 课程大纲课程模块课程子模块详情内容习目标路由课程(IERN)1、Advanced IP高级 IP 地址规划完成培训后您将能掌握:(1)理解 OSPF、BGP 协议原理,并掌握基于 VRP 平台下,使用 OSPF、BGP 组建大型网络的方法(2)理解 IGMP、PIM-SM/DM 协议原理,并掌握使用这些组播协议组建组播网络的方法(3)理解 VLAN、GVRP、QinQ、STP、RSTP 和 MSTP 的工作原理(4)掌握应用 STP、RSTP 和 MSTP 避免交换网络环路的方法(5)掌握应用 VLAN、MuX、Super Vlan 和 QinQ 等技术提供透明隔离的交换网络(6)了解网络安全的基本知识(7)了解 Eudemon 系列防火墙的技术原理和功能特征(8)理解 IP QoS 模型和差分服务(DiffServ)模型及数据分类的基本原则和标志、流量控制和整形、拥塞管理、拥塞避免、链路效率等原理(9)理解基于类的 QoS 描述的基本原则(10)提升在大型网络环境下的综合规划、配置运维和排障能力课程价值:完成系列课程培训后,您对中小型网络有全面深入的了解,掌握中小型网络的通用技术,并具备独立设计中小型网络以及使用华为路由交换(数通)设备实施设计的能力。
浏览器发送HTTP请求的过程
最新发布
学Python的小白!
08-25 1178
浏览器发送HTTP请求的过程是一个复杂但有序的步骤,‌主要包括以下几个阶段:‌1.构建请求,2.查找缓存、3.DNS解析、4.建立TCP连接、5.发送HTTP请求、6.服务器处理请求、7.服务器发送响应、8.客户端处理响应、9.关闭连接。
哪些类型的企业需要开展TPM管理培训?
tianxingjian713的博客
08-23 883
例如汽车制造企业、电子制造企业等,这些企业的生产线通常由大量高精度的自动化设备组成,一旦设备出现故障,可能会导致整个生产线停产,造成巨大的经济损失。开展TPM管理培训可以提高员工对设备的维护和管理能力,延长设备的使用寿命,降低设备维修成本,提高物流服务的效率和质量。通过开展TPM管理培训,让设备操作人员、维护人员和管理人员共同参与设备维护,实现设备的零故障运行,从而提高企业的竞争力。通过开展TPM管理培训,让员工了解设备的运行原理和风险点,加强设备的日常巡检和维护,提高设备的安全性和可靠性。
系统编程 网络 http协议
qq_69971969的博客
08-24 429
--------------------------------------表示了资源所在的路径。意思:域名解析=>把对应的域名解析为对应的ip。<协议>://<主机>:<端口>/<路径>万维网:http解决万维网之间互联互通。http:应用层协议,底层是tcp协议。http协议------应用层的协议。1.如何在万维网中表示一个资源?http协议加密:tls,ssl。计算机web端网络只能看到文字。<http>只是协议的一种。html 超文本标记语言。http 超文本传输协议。
网络互联基础
任我行的博客
08-25 353
与集线器相连的所有主机组成一个简单局域网LAN,都属于同一个冲突域,且属于同一个广播域。
计网面经111
qq_43578042的博客
08-24 136
3、流量控制:TCP使用滑动窗口协议来控制发送方发送数据的速率,接收方会告诉发送方它的缓冲区大小,发送方会根据接收方的缓冲区大小来控制发送速率,确保接收方不会因为太快而丢失数据。2、序列号和确认号:TCP将每个数据段都分配一个序列号和确认号,序列号用于标识数据段的位置,确认号用于确认已经收到的数据段的位置,这样可以避免数据丢失或乱序。通过以上这些机制,TCP保证了数据的可靠传输,但是也会造成一定的延迟,因为数据包需要等待确认和重传,以及滑动窗口和拥塞控制会限制发送速率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值