DM×××:MGRE voer ipsec ***,cisco私有

特点:简单的星型拓扑配置,提供虚拟网状连通性

           分支站点支持动态IP地址,中心站点必须有固定ip

            新增加分支站点,无需更改中心站点的配置

            分支站点的流量,不通过中心站点

            感觉只能用ipsec profile进行配置,

如果想分支站点间自动建立虚拟临时隧道,而需在hub和spoke之间都配置MGRE隧道协议,如果SPOKE配置的是GRE协议,则流量会通过

hub中转。

DM××× --动态多点ipsec ×××,依靠以下四大组成协议

wKioL1P5-hiz5g1hAACQ5GJAgzc214.jpg

以上图为例,配置了基本的IP地址后,


1.动态多点GRE,(MGRE)典型的NBMA网络

hub(config)#int tunnel 0

hub(config-if)#ip add 172.16.1.2 255.255.255.0   #配置隧道IP#

hub(config-if)#tunnel mode gre multipoint #修改隧道模式为多点GRE#

hub(config-if)#tunnel source fastEthernet 0/0 *指定隧道源接口*

hub(config-if)#tunnel key 12345 *配置隧道ID为12345,用于标识隧道接口*

2.下一跳解析协议(NHRP)

hub(config)#interface tunnel 0  ---进入隧道接口

hub(config-if)#ip nhrp network-id 10  --激活nhrp,所有站点的network-id建议配置相同的号

hub(config-if)#ip nhrp authentication cisco --可选,激活nhrp的认证

hub(config-if)#ip nhrp map multicast dynamic  --配置动态接收nhrp的组播映射

---------------------------------------------

R3(config)#interface tunnel 0

R3(config-if)#ip add 172.16.1.3 255.255.255.0

R3(config-if)#tunnel source fastEthernet 0/0  //如果是MGRE,接口不需要指定虚拟环回口了

R3(config-if)#tunnel mode gre multipoint  //这里spoke没有tunnel指定目标地址,如果指定了地址,spoke之间流量需从hub中转

R3(config-if)#tunnel key 12345

R3(config-if)#ip nhrp network-id 10

R3(config-if)#ip nhrp authentication cisco

R3(config-if)#ip nhrp map 172.16.1.2 12.1.1.2 --手动NHRP映射,映射中心站点隧道的虚拟IP到中心站点的公网IP,有了这个映射,分支站点才能访问中心站点,

R3(config-if)#ip nhrp map multicast 12.1.1.2  --MGRE是NBMA网络,分支站点要和中心站点建立动态路由协议的邻居关系,必须在每一个分支站点,映射组播到中心站点的公网IP,这样才能把分支站点的组播放到中心站点,并且可以看到分支站点间没有组播映射,所以分支站点间没有动态路由协议的邻居关系

R3(config-if)#ip nhrp nhs 172.16.1.2 --NHS就是NHRP服务器,这个配置定义了NHRP服务器地址为中心站点的隧道接口的虚拟IP地址,

---------------------------

使用show ip nhrp可查看状态,如果在确认配置正确的情况下,少或者没有映射关系,请先把各点的tunnel口down掉,然后从中心站点开始,一个一个的启用接口即可,

3.动态路由协议(这里就不作配置过程)

这里需要注意的是,如果使用的是EIGRP路由协议,则必须在中心站点的tunnel口下,

使用no ip split-horizon eigrp xx 关闭对应eigrp进程下的eigrp水平分割

使用no ip next-hop-self eigrp xx 优先路由条目,使分支间的路由下一跳不会全部指向中心站点

如果使用的ospf路由协议,则必须要在中心站点的tunnel接口下

使用ip ospf network broadcast ,否则,建立ospf邻居会有问题

使用ip ospf pr xx,保证中心站点为DR路由器,否则路由学习会有问题,同时也解决了各站点的路由下一跳问题

OSPF下无法实现spoke-and-spoke tunnel的通信方式

4.IPSec技术

hub(config)#crypto isakmp enable

hub(config)#crypto isakmp policy 10

hub(config-isakmp)#authentication pre-share   ---只配置了验证方式,其它的使用默认配置

hub(config-isakmp)#exit

hub(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0  --配置预共享密钥,这里目标只能配置为全0,因为一般分支站点的公网ip是动态获取的

hub(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac  --设置转换集

hub(cfg-crypto-trans)#mode transport  --DN×××即为MGRE ove ipsec ×××,所以建议使用传输模式

hub(cfg-crypto-trans)#exit

hub(config)#crypto ipsec profile new***   --定义配置文件

hub(ipsec-profile)#set transform-set cisco

hub(config)#interface tunnel 0    --将配置文件应用在tunnel口上

hub(config-if)#tunnel protection ipsec profile new***

hub(config-if)#ip mtu 1400  --调整MTU,防止ipsec分片

----------------------------------------------------------------------

site1(config)#crypto isakmp enable

site1(config)#crypto isakmp policy 10

site1(config-isakmp)#authentication pre-share

site1(config-isakmp)#exit

site1(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 --因为分支站点间也是直接建立隧道,所以这里的地址也是8个0

site1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac

site1(cfg-crypto-trans)#mode transport

site1(cfg-crypto-trans)#exit

site1(config)#crypto ipsec profile new***

site1(ipsec-profile)#set transform-set cisco

site1(ipsec-profile)#exit

site1(config)#interface tunnel 0

site1(config-if)#tunnel protection ipsec profile new***

site1(config-if)#ip mtu 1400