DMVPM配置

最新推荐文章于 2023-11-30 17:53:35 发布
最新推荐文章于 2023-11-30 17:53:35 发布
阅读量753 收藏 7
点赞数 1
分类专栏: # 路由交换
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a13554371686/article/details/119876156
版权

案例配置拓扑

在这里插入图片描述

##案例配置需求

  1. 设备之间互联的IP如图所示;
  2. 根据拓扑,配置DMVPN;
  3. 隧道地址采用172.16.1.0/24
  4. R3为Center,R1,R2为Branch2

案例配置思路

接口配置

R3
Router#conf ter
Router(config)#hostname R3
R3(config)#int fa0/0
R3(config-if)#ip add 101.1.1.3 255.255.255.0
R3(config-if)#no sh
R3(config-if)#int lo 0
R3(config-if)#ip add 192.168.3.1 255.255.255.0
R1
Router#conf ter
Router(config)#hostname R1
R1(config)#int fa0/0
R1(config-if)#ip add 101.1.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int lo 0
R1(config-if)#ip add 192.168.1.1 255.255.255.0
R2
Router#conf ter
Router(config)#hostname R2
R2(config)#int fa 0/0
R2(config-if)#ip add 101.1.1.2 255.255.255.0
R2(config-if)#no sh
R2(config-if)#int lo 0
R2(config-if)#ip add 192.168.2.1 255.255.255.0

配置MGRE+NHRP

R3
R3(config)#interface Tunnel0
R3(config-if)#ip address 172.16.1.3 255.255.255.0  
R3(config-if)#tunnel source FastEthernet0/0
R3(config-if)#tunnel mode gre multipoint
R3(config-if)#ip nhrp network-id 10
R3(config-if)#ip nhrp authentication cisco
R3(config-if)#ip nhrp map multicast dynamic
R3(config-if)#exit
R1
R1(config)#interface Tunnel0
R1(config-if)#ip address 172.16.1.1 255.255.255.0
R1(config-if)#tunnel source FastEthernet0/0
R1(config-if)#tunnel mode gre multipoint 
R1(config-if)#ip nhrp network-id 10
R1(config-if)#ip nhrp authentication cisco
R1(config-if)#ip nhrp map 172.16.1.3 101.1.1.3      
R1(config-if)#ip nhrp map multicast 101.1.1.3    
R1(config-if)#ip nhrp nhs 172.16.1.3
R1(config-if)#exit
R2
R2(config)#interface Tunnel0
R2(config-if)#ip address 172.16.1.2 255.255.255.0
R2(config-if)#tunnel source FastEthernet0/0
R2(config-if)#tunnel mode gre multipoint 
R2(config-if)#ip nhrp network-id 10                     
R2(config-if)#ip nhrp authentication cisco
R2(config-if)# ip nhrp map 172.16.1.3 101.1.1.3      
R2(config-if)#ip nhrp map multicast 101.1.1.3    
R2(config-if)#ip nhrp nhs 172.16.1.3
R2(config-if)#exit

配置动态路由协议EIGRP

R3
R3(config)#router eigrp 100
R3(config-router)#network 172.16.1.0 0.0.0.255
R3(config-router)#network 192.168.3.0 
R3(config-router)#no auto-summary
R1
R1(config)#router eigrp 100
R1(config-router)#network 172.16.1.0 0.0.0.255
R1(config-router)#network 192.168.1.0
R1(config-router)#no auto-summary
R2
R2(config)#router eigrp 100
R2(config-router)#network 172.16.1.0 0.0.0.255
R2(config-router)#network 192.168.2.0
R2(config-router)#no auto-summary

解决Branch路由问题

R1#show ip route eigrp
D    192.168.3.0/24 [90/297372416] via 172.16.1.3, 00:17:33, Tunnel0
R2#show ip route eigrp 
D    192.168.3.0/24 [90/297372416] via 172.16.1.3, 00:21:57, Tunnel0
仅仅只学到Center网络路由



R3(config)#interface Tunnel0
R3(config-if)#no ip split-horizon eigrp 100  //关闭水平分割


R1#show ip route eigrp  //不是最优下一跳
D    192.168.2.0/24 [90/310172416] via 172.16.1.3, 00:00:11, Tunnel0
D    192.168.3.0/24 [90/297372416] via 172.16.1.3, 00:19:36, Tunnel0


R3(config-if)#no ip next-hop-self eigrp 100   //进行优化

R1#show ip route eigrp  //优化后的下一跳
D    192.168.2.0/24 [90/310172416] via 172.16.1.2, 00:00:06, Tunnel0
D    192.168.3.0/24 [90/297372416] via 172.16.1.3, 00:00:05, Tunnel0

配置IPSec VPN

R1/R2/R3配置一样  GRE over IPSec配置

R(config)#crypto isakmp policy 10
R(config-isakmp)# authentication pre-share
R(config-isakmp)#crypto isakmp key cisco address 0.0.0.0 0.0.0.0
R(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac 
R(cfg-crypto-trans)# mode transport
R(cfg-crypto-trans)#crypto ipsec profile ipsecprof
R(ipsec-profile)# set transform-set cisco
R(ipsec-profile)#interface Tunnel0 
R(config-if)# tunnel protection ipsec profile ipsecprof

案例测试结果

验证NHRP注册解析

R3
R3#show ip nhrp 
172.16.1.1/32 via 172.16.1.1, Tunnel0 created 00:37:13, expire 01:55:54
  Type: dynamic, Flags: unique registered 
  NBMA address: 101.1.1.1 
172.16.1.2/32 via 172.16.1.2, Tunnel0 created 00:35:44, expire 01:56:05
  Type: dynamic, Flags: unique registered 
  NBMA address: 101.1.1.2
R1
R1#show ip nhrp 
172.16.1.3/32 via 172.16.1.3, Tunnel0 created 00:41:14, never expire 
  Type: static, Flags: used 
  NBMA address: 101.1.1.3
R2
R2#show ip nhrp 
172.16.1.3/32 via 172.16.1.3, Tunnel0 created 00:40:10, never expire 
  Type: static, Flags: used 
  NBMA address: 101.1.1.3

查看ipsec的sa

R3
R3#show crypto ipsec sa 

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 101.1.1.3

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (101.1.1.3/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (101.1.1.1/255.255.255.255/47/0)
   current_peer 101.1.1.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 104, #pkts encrypt: 104, #pkts digest: 104
    #pkts decaps: 104, #pkts decrypt: 104, #pkts verify: 104
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 2, #recv errors 0

     local crypto endpt.: 101.1.1.3, remote crypto endpt.: 101.1.1.1
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0xEC38B8F5(3963140341)

     inbound esp sas:
      spi: 0xEB9440F2(3952361714)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 1, flow_id: SW:1, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4384091/3143)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xEC38B8F5(3963140341)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 2, flow_id: SW:2, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4384091/3143)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (101.1.1.3/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (101.1.1.2/255.255.255.255/47/0)
   current_peer 101.1.1.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 104, #pkts encrypt: 104, #pkts digest: 104
    #pkts decaps: 104, #pkts decrypt: 104, #pkts verify: 104
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 5, #recv errors 0

     local crypto endpt.: 101.1.1.3, remote crypto endpt.: 101.1.1.2
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0xC7DAF57B(3353015675)

     inbound esp sas:
      spi: 0x87F4A893(2280958099)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 3, flow_id: SW:3, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4546368/3154)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xC7DAF57B(3353015675)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 4, flow_id: SW:4, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4546368/3154)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
R1
R1#show crypto ipsec sa 

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 101.1.1.1

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (101.1.1.1/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (101.1.1.3/255.255.255.255/47/0)
   current_peer 101.1.1.3 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 105, #pkts encrypt: 105, #pkts digest: 105
    #pkts decaps: 105, #pkts decrypt: 105, #pkts verify: 105
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 101.1.1.1, remote crypto endpt.: 101.1.1.3
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0xEB9440F2(3952361714)

     inbound esp sas:
      spi: 0xEC38B8F5(3963140341)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 1, flow_id: SW:1, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4532417/3136)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xEB9440F2(3952361714)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 2, flow_id: SW:2, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4532417/3136)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:
R2
R2#show crypto ipsec sa 

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 101.1.1.2

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (101.1.1.2/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (101.1.1.3/255.255.255.255/47/0)
   current_peer 101.1.1.3 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 106, #pkts encrypt: 106, #pkts digest: 106
    #pkts decaps: 106, #pkts decrypt: 106, #pkts verify: 106
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 101.1.1.2, remote crypto endpt.: 101.1.1.3
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0x87F4A893(2280958099)

     inbound esp sas:
      spi: 0xC7DAF57B(3353015675)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 1, flow_id: SW:1, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4385974/3142)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x87F4A893(2280958099)
        transform: esp-des esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 2, flow_id: SW:2, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4385974/3142)
        IV size: 8 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

测试R1与R2之间的连通性

R2#ping 192.168.1.1 

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 36/48/80 ms

R1#ping 192.168.2.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/20/24 ms


R3#sh ip route 
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     101.0.0.0/24 is subnetted, 1 subnets
C       101.1.1.0 is directly connected, FastEthernet0/0
     172.16.0.0/24 is subnetted, 1 subnets
C       172.16.1.0 is directly connected, Tunnel0
D    192.168.1.0/24 [90/297372416] via 172.16.1.1, 00:19:18, Tunnel0
D    192.168.2.0/24 [90/297372416] via 172.16.1.2, 00:11:45, Tunnel0
C    192.168.3.0/24 is directly connected, Loopback0
凯歌响起
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DMVPN
xb_anquan的博客
06-14 638
VPN原理与实践-DMVPN ①根据拓扑配置ip地址 ②R1/2/3配置默认路由到R4,配置环回接口模拟内网主机 ③R1/2/3上建立多点GRE tunnel<通过MGRE实现> ④通过GRE tunnel实现逻辑通信<通过NHRP实现> ⑤配置使分支与总部之间的的LAN可以相互通信<通过动态路由协议实现> ⑥配置使分支与总部之间的通信数据加密<通过ipsec实现> ...
CCIE-DMVPN
fa_nei_kuang_tu的博客
09-06 481
2021.9.5 她向我跑来,怎么能如此美好 DMVPN 技术背景 VPN 的建立模型通常有两种: Hub-Spoke(星型结构)和Full-Mesh (网状结构) 以上两种模式均存在较大的弊端 星型结构 中心站点(Hub) 配置量大, 资源消耗大, 因为它需要同每一个远端分支站点建立IPSec VPN, 可能同时维护多套SA. 中心站点扩展性不好, 因为每当一个新的远端分支站点加入时, 中心站点都需要为新加入的远端分支站点提供对应配置来建立IPSec VPN. IPSe
七、DM-VPN
liyao1569的博客
09-12 1503
本文介绍了DM VPN的具体过程以及配置中需要注意的一些要点
DMvpm
weixin_45138093的博客
06-20 437
DMVPN优点 由于传统 lpse 。 vpN 星形和网状拓扑存在高扩展性问题。思科提出的 oMvpN 相比于传统的 lpse 。 vpN 技术有以下 4 个优点: 1 、简单的星型拓扑配置,提供了虚拟网状连通性。 2 、分支站点支持动态 lP 地址。 3 、增加新的分支站点,无需更新中心站点配置。 4 、分支站点间流量,通过动态产生的站点间隧道进行封装通信。 动态多点GRE(multipoint gre ,mgre)协议 对于点对点 GRE 而言, MGRE是一种特殊的 GRE 技术,这种技术与多点帧中继
DM XXX配置案例
openlab网工之路
01-29 540
实验拓扑: 配置需求: 1、 设备之间互联的IP如图所示; 2、 根据拓扑,配置DMVPN; 3、 隧道地址采用172.16.1.0/24 配置思路: 1.根据拓扑配置IP地址 2.配置MGRE+NHRP 3.配置动态路由协议 4.解决路由问题 检验结果: 1.验证NHRP注册解析 2.查看sa hub#show crypto ipsec sa interface: Tunnel0 C...
思科路由器 DM ***配置
weixin_34240657的博客
03-13 111
                               
思科 DM
weixin_42862151的博客
12-28 107
DMVPN: R1: R1(config-if)#ip route 0.0.0.0 0.0.0.0 14.1.1.4 R1(config)#interface tunnel 0 R1(config-if)#ip address 123.1.1.1 255.255.255.0 R1(config-if)#tunnel source e0/0 R1(config-if)#tunnel mode gre...
×××配置实例_05:思科路由器站点到站点IPSEC SVTI ×××配置
weixin_34303897的博客
06-02 247
SVTI与GRE相比节省4个字节的GRE头部一,Site1配置:cryptoisakmppolicy10//定义第一阶段ISAKMP安全协商策略,showcryptopolicy。encr3deshashmd5authenticationpre-sharegroup2cryptoisakmpkeyciscoaddress61.12...
Cisco—DM未批嗯 案例配置及原理分析
ghwzjz的博客
02-21 853
前言: 动态多点虚拟专网DMVPN:思科私有协议,基于MGRE实现高速和高扩展性的IPSec VPN技术;企业希望通过公网安全地将各地的分支机构与中心站点之间联系起来,构成星型拓扑结构网络并通过IPSec隧道来保证内部通信流量的安全;但大多数企业的数据都集中在中心站点,如果两个分支之间需要通信,则要通过中心站点,这样就造成了较大的网络时延;尤其在视频、语音应用中,这种时延会严重影响企业网络正常运行;DMVPN技术的出现,就是为企业解决了这方面的难题。 一、拓扑 要求: 1....
DMVPN(大学生易读版)
最新发布
qq_74338624的博客
11-30 1220
DMVPN 是一个高扩展性的 IPSec VPN 解决方案,可以理解为GRE OVER IPSEC 升级版 MUTI GRE OVER IPSEC。
DMVPN 动态多点隧道技术
Alex的博客
08-07 3141
DMVPN,动态多点VPN
DMVPN---理论篇-1
qq_43331152的博客
10-08 3458
DMVPN的组成部分: 1、MGRE (multipoint GRE) 2、NHRP (Next Hop Resolution Protocol) 3、Dynamic Routing Protocol 4、IPSec VPN NHRP: 一个二层的客户-服务器解析协议,用于映射隧道地址(虚拟)到一个NBMA地址(物理)。NHRP的功能非常类似于ARP(映射IP(逻辑)到MAC(物理)和...
简单分析DMVPN技术
热门推荐
Lee's site
10-25 2万+
**定义:**动态多点VPN **技术组成:**MGRE+NHRP+IPSEC MGRE——解决隧道的封装技术 NHRP——解决多点网络的通信技术 IPSEC——解决专线的加密技术 技术特点:由客户自行配置维护,不需要ISP来管理 技术缺点:由于用封装技术穿越公共网络,所以稳定性不高 作用:解决在公共网络上多站点(私有网络)的互通问题 实验模型:(模拟现实环境) 1、实际的路由拓扑图示: 拓...
动态多点虚拟专用网络
命运的旋律的博客
10-25 872
DMVPN 实验 DMVPN实验拓扑 DMVPN 实验配置
DMVPN冗余负载
weixin_45138093的博客
06-20 432
DMVPN冗余负载 继上一篇DMVPN的部署配置,此次要做的是两台DMVPN中心节点的热备冗余。 拓扑图如下所示: 在两中心节点R1R2做备份冗余,R3R4模拟分节点,R6模拟Internet设备,R5为总公司内部服务设备 R1R2的组播地址分别指向对方,R1R2互相映射对方的隧道地址和公网地址 R3的nhs和组播地址都指向R1R2,并配置R1R2的隧道地址和公网地址的映射 在R1R2的ospf上通告公司网络和隧道网络 在这里插入图片描述 R3这里也通过gre和R1R2互通ospf路由信息 查
DM-微皮恩
weixin_41903258的博客
11-25 1639
动态多站点,Hub-spoken 总分站点的VPN架构,常用于总分之间的结构。
DM*PN 的三个发展阶段概述
weixin_39997345的博客
09-26 1425
DMVPN 三个发展阶段,ip nhrp redirect , ip nhrp shortcut
使用eve-ng中的cisco路由器实现DMVPN
cx的博客
01-17 6281
eve-ng 做DMVPN实验
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值