MGRE over ipsec ***

DM×××：MGRE voer ipsec ***，cisco私有

特点：简单的星型拓扑配置，提供虚拟网状连通性

           分支站点支持动态IP地址，中心站点必须有固定ip

            新增加分支站点，无需更改中心站点的配置

            分支站点的流量，不通过中心站点

            感觉只能用ipsec profile进行配置，

如果想分支站点间自动建立虚拟临时隧道，而需在hub和spoke之间都配置MGRE隧道协议，如果SPOKE配置的是GRE协议，则流量会通过

hub中转。

DM××× --动态多点ipsec ×××,依靠以下四大组成协议

以上图为例，配置了基本的IP地址后，

1.动态多点GRE，（MGRE）典型的NBMA网络

hub(config)#int tunnel 0

hub(config-if)#ip add 172.16.1.2 255.255.255.0   #配置隧道IP#

hub(config-if)#tunnel mode gre multipoint #修改隧道模式为多点GRE#

hub(config-if)#tunnel source fastEthernet 0/0 *指定隧道源接口*

hub(config-if)#tunnel key 12345 *配置隧道ID为12345，用于标识隧道接口*

2.下一跳解析协议（NHRP）

hub(config)#interface tunnel 0  ---进入隧道接口

hub(config-if)#ip nhrp network-id 10  --激活nhrp，所有站点的network-id建议配置相同的号

hub(config-if)#ip nhrp authentication cisco --可选，激活nhrp的认证

hub(config-if)#ip nhrp map multicast dynamic  --配置动态接收nhrp的组播映射

---------------------------------------------

R3(config)#interface tunnel 0

R3(config-if)#ip add 172.16.1.3 255.255.255.0

R3(config-if)#tunnel source fastEthernet 0/0  //如果是MGRE，接口不需要指定虚拟环回口了

R3(config-if)#tunnel mode gre multipoint  //这里spoke没有tunnel指定目标地址，如果指定了地址，spoke之间流量需从hub中转

R3(config-if)#tunnel key 12345

R3(config-if)#ip nhrp network-id 10

R3(config-if)#ip nhrp authentication cisco

R3(config-if)#ip nhrp map 172.16.1.2 12.1.1.2 --手动NHRP映射，映射中心站点隧道的虚拟IP到中心站点的公网IP，有了这个映射，分支站点才能访问中心站点，

R3(config-if)#ip nhrp map multicast 12.1.1.2 　--MGRE是NBMA网络，分支站点要和中心站点建立动态路由协议的邻居关系，必须在每一个分支站点，映射组播到中心站点的公网IP，这样才能把分支站点的组播放到中心站点，并且可以看到分支站点间没有组播映射，所以分支站点间没有动态路由协议的邻居关系

R3(config-if)#ip nhrp nhs 172.16.1.2 --NHS就是NHRP服务器，这个配置定义了NHRP服务器地址为中心站点的隧道接口的虚拟IP地址，

---------------------------

使用show ip nhrp可查看状态，如果在确认配置正确的情况下，少或者没有映射关系，请先把各点的tunnel口down掉，然后从中心站点开始，一个一个的启用接口即可，

3.动态路由协议（这里就不作配置过程）

这里需要注意的是，如果使用的是EIGRP路由协议，则必须在中心站点的tunnel口下，

使用no ip split-horizon eigrp xx 关闭对应eigrp进程下的eigrp水平分割

使用no ip next-hop-self eigrp xx 优先路由条目，使分支间的路由下一跳不会全部指向中心站点

如果使用的ospf路由协议，则必须要在中心站点的tunnel接口下

使用ip ospf network broadcast ,否则，建立ospf邻居会有问题

使用ip ospf pr xx，保证中心站点为DR路由器，否则路由学习会有问题，同时也解决了各站点的路由下一跳问题

OSPF下无法实现spoke-and-spoke tunnel的通信方式

4.IPSec技术

hub(config)#crypto isakmp enable

hub(config)#crypto isakmp policy 10

hub(config-isakmp)#authentication pre-share   ---只配置了验证方式，其它的使用默认配置

hub(config-isakmp)#exit

hub(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0  --配置预共享密钥，这里目标只能配置为全0，因为一般分支站点的公网ip是动态获取的

hub(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac  --设置转换集

hub(cfg-crypto-trans)#mode transport  --DN×××即为MGRE ove ipsec ×××，所以建议使用传输模式

hub(cfg-crypto-trans)#exit

hub(config)#crypto ipsec profile new***   --定义配置文件

hub(ipsec-profile)#set transform-set cisco

hub(config)#interface tunnel 0    --将配置文件应用在tunnel口上

hub(config-if)#tunnel protection ipsec profile new***

hub(config-if)#ip mtu 1400  --调整MTU，防止ipsec分片

----------------------------------------------------------------------

site1(config)#crypto isakmp enable

site1(config)#crypto isakmp policy 10

site1(config-isakmp)#authentication pre-share

site1(config-isakmp)#exit

site1(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 --因为分支站点间也是直接建立隧道，所以这里的地址也是8个0

site1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac

site1(cfg-crypto-trans)#mode transport

site1(cfg-crypto-trans)#exit

site1(config)#crypto ipsec profile new***

site1(ipsec-profile)#set transform-set cisco

site1(ipsec-profile)#exit

site1(config)#interface tunnel 0

site1(config-if)#tunnel protection ipsec profile new***

site1(config-if)#ip mtu 1400

转载于:https://blog.51cto.com/487273/1544217