shortcut场景DSVPN(OSPF协议)配置

最新推荐文章于 2024-04-30 16:34:46 发布
最新推荐文章于 2024-04-30 16:34:46 发布
阅读量269 收藏 2
点赞数
分类专栏: ENSP试验汇总 文章标签: 信息与通信 网络 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qconfig100/article/details/132861473
版权

该拓扑中,某大型企业有企业总部(Hub)和多个分公司 (Spoke 1、Spoke 2、Spoke 3、Spoke 4)分布在不同地域,总部和分公司的子网环境经常出现变动,分支采用动态的地址接入公网。计划使用OSPF 路由协议,希望实现分公司和总部之间VPN互联的同时,分公司间也能建立VPN互联。

配置步骤

1、配置各设备接口IP(含隧道接口),Hub和两个Spoke 间的公网路由,采用ospf协议。

2、使用OSPF路由协议通告本地子网和tunnel口的网段,注意要区别与公网路由进程。

3、配置各个设备上的mGRE Tunnel接口与NHRP协议。

具体配置如下:

【Hub】

[Huawei]sysname  Hub

[Hub-GigabitEthernet0/0/1]ip address 11.1.1.1 24 //配置Hub公网口ip

[Hub-GigabitEthernet0/0/2]ip address  10.1.1.1 24//配置Hub子网口ip

[Hub]interface  Tunnel 0/0/0

[Hub-Tunnel0/0/0]ip address  192.168.1.1 24 //配置隧道口ip

[Hub]ospf 2    //配置Hub连接公网OSPF路由

[Hub-ospf-2]area 1

[Hub-ospf-2-area-0.0.0.1]network 11.1.1.0 0.0.0.255

[Hub]ospf 1 router-id 192.168.1.1    //配置Hub的OSPF路由ID号为mGRE隧道接口IP

[Hub-ospf-1]area 0

[Hub-ospf-1-area-0.0.0.0]network 192.168.1.0 0.0.0.255   //通告Hub mGRE隧道IP网段。

[Hub-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255    //通告Hub 子网IP网段

[Hub-Tunnel0/0/0]tunnel-protocol  gre p2mp  //配置mGRE隧道协议为 GER p2mp

[Hub-Tunnel0/0/0]source GigabitEthernet 0/0/1  //指定 mGRE隧道源端为Hub公网接口

[Hub-Tunnel0/0/0]nhrp  entry  multicast  dynamic //允许Spoke 在Hub上进行动态注册

[Hub-Tunnel0/0/0]ospf  network-type  p2mp  //配置隧道接口的OSPF 网路类型为P2MP

[Hub-Tunnel0/0/0]ospf dr-priority 100  //配置 mGRE隧道接口DR优先为100 为最高

[Hub-Tunnel0/0/0]nhrp redirect   //配置NHRP的重定向功能

【Spoke 1】
[Huawei]sysname  Sopke 1

[Sopke 1-GigabitEthernet0/0/1]ip address  12.1.1.1 24

[Sopke 1-GigabitEthernet0/0/2]ip address  10.1.2.1 24

[Sopke 1-Tunnel0/0/0]ip address  192.168.1.2 24

[Sopke 1]ospf 2

[Sopke 1-ospf-2]area  1

[Sopke 1-ospf-2-area-0.0.0.1]network  12.1.1.0  0.0.0.255

[Sopke 1]ospf  1  router-id  192.168.1.2

[Sopke 1-ospf-1]area 0

[Sopke 1-ospf-1-area-0.0.0.0]network  192.168.1.0  0.0.0.255

[Sopke 1-ospf-1-area-0.0.0.0]network 10.1.2.0 0.0.0.255

[Sopke 1]interface  Tunnel 0/0/0

[Sopke 1-Tunnel0/0/0]tunnel-protocol  gre p2mp

[Sopke 1-Tunnel0/0/0]source  GigabitEthernet 0/0/1

[Sopke 1-Tunnel0/0/0]nhrp  entry  192.168.1.1  11.1.1.1 register  //配置 静态NHRP peer表项并向Hub发起NHRP动态注册。

[Sopke 1-Tunnel0/0/0]ospf network-type  p2mp

[Sopke 1-Tunnel0/0/0]ospf  dr-priority  0 //配置 mGRE隧道接口DR优先为0

[Sopke 1-Tunnel0/0/0]nhrp  shortcut  //启用shortcut功能

【Spoke 2】<

最低0.47元/天 解锁文章
Qconfig100
关注
专栏目录
DSVPN综合实验(NHRP之shortcut模式,证书认证模式)
earthtoearth的博客
07-10 944
1、打开win server2016,在服务器管理器中配置IIS服务器和AD域服务器,并打开页面http://主机IP地址/certsrv,下载CA根证书并保存至电脑。(二)各防火墙配置接口地址并将连接pc、连接路由器、虚拟接口地址加入trust、untrust和dmz区域,在防火墙上及R1上启用ospf并宣告路由10.1.0.0。2、在CA生成根证书,打开防火墙web管理页面上传根证书,生成本地证书并在向CA申请证书后再上传至防火墙。将防火墙所生成的本地证书下载并上传至CA并在CA总申请证书。
配置DSVPN防火墙到防火墙的Hub and Spoke网,并支持Spoke之间的通信
加油!
05-24 715
DSVPN简介动态智能VPN(Dynamic Smart Virtual Private Network),是一种在HUB-SPOKE组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。背景越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连,从而加强企业的通信安全、降低通信成本。
HCIE-Security Day25:DSPN+NHRP+Mgre:实验(四)配置shortcut方式DSPN(OSPF路由协议
小梁的博客
03-08 1067
实验:配置shortcut方式DSVPNOSPF路由协议) 需求和拓扑 某大型企业有总部(Hub)和多个分支(Spoke1、Spoke2……,举例中仅使用两个分支),分布在不同地域,总部和分支的子网环境会经常出现变动。分支采用动态地址接入公网。企业现网网络规划使用OSPF路由协议。 现在用户希望能够实现分支之间的PN互联。 操作步骤 1、配置接口地址划分安全区域 2、配置安全策略 //f1f2f3 security-policy rule name 1 sourc...
DSVPN的基本配置 和IPSEC的基础概念以及MGRE的基础配置
j2941174356的博客
08-07 659
DSVPN的基本配置 ,以及MGRE的基础配置,和IPSEC的基础概念
配置shortcut方式DSVNP示例(OSPF路由协议).zip
03-04
ENSP配置shortcut方式DSVNP示例(OSPF路由协议
DSVNP原理以及相关配置
qq_43710889的博客
03-04 3147
DSVPN简介 动态智能VPN(Dynamic Smart Virtual Private Network),是一种在HUB-SPOKE组网方式下为公网地址动态变化的分支之间建立VPN隧道的解决方案。 背景 越来越多的企业希望建立Hub-Spoke方式的IPSec VPN网络将企业总部(Hub)与地理位置不同的多个分支(Spoke)相连,从而加强企业的通信安全、降低通信成本。当企业总部采用静态的公网地址接入Internet,分支机构采用动态的公网地址接入Internet时,使用传统的IPSec、GRE ov
DSVPN示例
最新发布
2301_76769137的博客
04-30 1092
某中小企业有总部(Hub)和两个分支(Spoke1和Spoke2),分布在不同地域,总部和分支的子网环境会经常出现变动。在Hub和Spoke配置OSPF网络类型为broadcast以实现分支间路由相互学习,在Spoke1和Spoke2上分别配置Hub的静态NHRP peer表项。由于分支是采用动态地址接入公网的,分支之间互相不知道对方的公网地址,因此必须采用DSVPN来实现分支之间的VPN互联。配置Spoke1、Spoke2各接口的IP地址,具体配置过程与配置Hub相同(略)。# 在Hub上配置OSPF
防火墙——动态智能隧道DSVPN讲解
m0_49864110的博客
05-19 2220
MGRE技术全称为多点GRE技术,是基于GRE技术的升级版,将传统GRE隧道点到点P2P类型的Tunnel接口扩展成了点到多点P2MP类型的mGRE隧道接口。解决了GRE只可以在两点之间建立隧道的问题。MGRE的隧道的建立方式静态建立mGRE隧道一般总部与分支建立静态隧道,永久存在。通过配置NHRP静态表项建立动态建立mGRE隧道一般分支与分支之间建立动态隧道,通过数据流量触发。通过NHRP动态表项建立。
配置shortcut方式DSVNP示例(OSPF路由协议).zip
03-04
2. **OSPF配置**:在每个路由器上启用OSPF协议,并分配唯一的路由器ID。OSPF运行在每个路由器的接口上,因此需要为每个接口指定网络地址和子网掩码,并将它们加入到相应的OSPF进程。 3. **区域划分**:OSPF支持区域...
HCIE-Security Day23:DSPN+NHRP+Mgre:实验(二)配置shortcut方式DSPN(OSPF路由协议
小梁的博客
03-05 972
目录 ​​​ 实验:配置shortcut方式DSVPNOSPF路由协议) 需求和拓扑 操作步骤 1、配置接口地址划分安全区域 2、配置安全策略 3、配置公网动态路由确保公网路由可达 4、 配置私网ospf 5、配置tunnel隧道 验证和分析 1、抓包检查ospf报文 2、检查路由表 3、检查nhrp表 4、执行ping操作后再次检查 实验:配置shortcut方式DSVPNOSPF路由协议) 需求和拓扑 某中小企业有总部(Hub)和...
HCIE-Security Day22:DSPN+NHRP+Mgre:实验(一)配置shortcut方式DSPN(静态路由)
小梁的博客
03-05 1284
目录 产生背景&需求驱动 存在的问题 概念 NHRP:下一跳解析协议 mgre:多点gre 具体实现方式 实验:配置shortcut方式DSPN(静态路由) 需求和拓扑 操作步骤 1、配置接口地址划分安全区域 2、配置安全策略 3、配置公网动态路由确保公网路由可达 4、 配置私网静态路由 5、配置tunnel隧道 验证和分析 1、检查nhrp邻居情况 2、使用pc3pingpc2 3、检查路由表 基本原理 1、spoke与hub之间建立mgre隧道 ...
hcip实验 使用shortcut方式配置DSVPN环境
qq_66734903的博客
10-20 109
最后在ISP上配置PC所在对应网段即可。PCping ISP的环回地址。查看NHRP邻居上报的信息
DSVPN over IPSec 配置
Qconfig100的博客
09-19 396
场景中某大型企业,总部(Hub )和两个分公司(Spoke1/2)分布在不同地域,总部和分公司子网经常变动,分公司采用动态地址接入公网。企业规划使用OSPF路由协议,实现分分公司间的VPN互联,同时为保密安全需要,总部和分公司间及分公司间的数据传输采用加密保护。根据需求采用DSVPN方式构建GRE隧道,数据需要先进行GRE封装,然后采用IPSec封装。同时提供身份认证、数据完整性检查,及抗重放功能。IPSec安全策略采用安全框架方式应用在mGRE隧道接口上。
DS-虚隧道之shortcut模式(Huawei设备)
Hala
08-09 1264
文章目录DS-虚隧道之shortcut模式(Huawei设备)写在前面参考阅读实验环境实验拓扑分析配置部署验证测试Normal模式(默认)Shortcut模式(需配置) DS-虚隧道之shortcut模式(Huawei设备) 写在前面 为什么会有DS-虚隧道? DS-虚隧道是华为的动态智能的虚拟专用网络,即分之间的通信可以直接进行通信,无需绕行总部 基于MGRE,即多点GRE 华为的DS-虚隧道 Normal方式:spoke间的通信,第一步要绕行总部,第二部是不绕行总部的; 核心逻辑是解析下
思科 DM(注释版)
weixin_42862151的博客
12-28 234
都在tunnel口配置 HUB: int tunnel 0 tunnel source e0/0 tunnel mode gre multipoint 改模式 动态多点 ip add 123.1.1.1 255.255.255.0 ip nhrp network-id 123 //下一条解析协议 route eigrp 100 no auto-summary network 123....
HCIP第二次笔记
qq_53931878的博客
03-14 299
并且,在新增分支或者分支地址变化的情况下,能够自动维护总部和分支之间的隧道关系,而不需要调整任何配置。[r4-Tunnel0/0/0]source GigabitEthernet 0/0/0 //设置分支站点IP地址不固定,故源IP根据出接。[r4-Tunnel0/0/0]nhrp shortcut //在spoke设备上配置---开启spoke设备的nhrp重定向请求报文。[r1-Tunnel0/0/0]undo rip split-horizon //关闭rip水平分割---非shortcut
Ensp综合实验-记录
hublive的博客
11-06 284
总体实现效果:1、各区域可以根据条件规则ping通ISP服务器2、各区域通过DSVPN组成hub-spoke实现互通3、当DSVPN中线路出现问题,MPLS VPN来接替实现网络互通4、DSVPN优先级大于MPLS VPN
HCIP之路MGRE,OSPFDSV/P//N,NHRP,RIP,vlink
qq_39744805的博客
03-29 740
第四天 MGRE的配置: 中心的配置: [r1]int t 0/0/0 --- 创建隧道接口 [r1-Tunnel0/0/0]ip address 192.168.5.1 24--- 给隧道接口配置IP 地址 [r1-Tunnel0/0/0]tunnel-protocol gre p2mp --- 选择封装协议 ---MGRE [r1-Tunnel0/0/0]source 15.0.0.1 --- 中心设备源IP地址必须固定 [r1-Tunnel0/0/0]nhrp netwo
VPN、IPSEC、AH、ESP、IKE、DSVPN
xiaooxiangg的博客
04-14 4029
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。数字签名,客户端支持的最高版本,加密套件列表,压缩算法列表,客户端随机数。
安全防御之IPsec VPN
weixin_67259816的博客
04-14 5500
该篇文章主要是对IPSEC的总结和实践。包括架构的理解,流程的分析,在路由器和防火墙上的配置
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值