今天,老胳膊的实验是EZ×××的配置方法,请看笔记及配置内容。
DM×××是加密点等于通信点的,gre over ipsec的通信技术
SPOK端之间需要通信,通过nhrp(下一跳地址解析协议)向hub端查询映射关系。当hub、spok双方都启用了nhrp协议时,spok会向hub注册自己的物理地址和tunnel地址的映射。
特性:
1. HUB和SPOK之间存在永久虚链路
2. spok之间是按需链路
3. 不用设置peer
4. 不需要定义感兴趣流量,所有gre流量就是感兴趣流量
5. 不需要封装新的IP头部,可以选择transport节省资源做有效负载
6. ip头都是物理口的地址
==================DM×××配置================
<======tunnel口配置======>
HUB(config)#inter tunnel 0
HUB(config-if)#ip add 172.16.1.1 255.255.255.0
HUB(config-if)#no shu
HUB(config-if)#tunnel source fa0/0
HUB(config-if)#tunnel mode gre multipoint
HUB(config-if)#tunnel key 12345
SP1(config)#inter tun 0
SP1(config-if)#ip add 172.16.1.2 255.255.255.0
SP1(config-if)#no shu
SP1(config-if)#tunnel source fa0/0
SP1(config-if)#tunnel mode gre multipoint
SP1(config-if)#tunnel key 12345
SP2(config)#inter tun 0
SP2(config-if)#ip add 172.16.1.3 255.255.255.0
SP2(config-if)#no shu
SP2(config-if)#tunnel source fa0/0
SP2(config-if)#tunnel mode gre multipoint
SP2(config-if)#tunnel key 12345
<=========nhrp配置===========>
HUB(config)#inter tunnel 0
HUB(config-if)#ip nhrp network-id 10
HUB(config-if)#ip nhrp nhs //定义server的地址
HUB(config-if)#ip nhrp map multicast dynamic
SP1(config)#inter tun 0
SP1(config-if)#ip nhrp network-id 10 //network-id必须一致,表示相同组
SP1(config-if)#ip nhrp nhs 172.16.1.1
SP1(config-if)#ip nhrp map 172.16.1.1 10.1.1.1
SP1(config-if)#ip nhrp map multicast 10.1.1.1
SP2(config)#inter tun 0
SP2(config-if)#ip nhrp network-id 10
SP2(config-if)#ip nhrp nhs 172.16.1.1
SP2(config-if)#ip nhrp map 172.16.1.1 10.1.1.1
SP2(config-if)#ip nhrp map multicast 10.1.1.1
SP2(config-if)#sh ip nhrp nhs //显示“RE”表示正常
<=====动态路由配置====>
HUB(config)#router eigrp 100
HUB(config-router)#no auto-summary
HUB(config-router)#net 172.16.1.0 0.0.0.255
HUB(config-router)#net 192.168.1.0 0.0.0.255
HUB(config-router)#end
SP1(config)#router eigrp 100
SP1(config-router)#no auto-summary
SP1(config-router)#net 172.16.1.0 0.0.0.255
SP1(config-router)#net 192.168.2.0 0.0.0.255
SP1(config-router)#end
SP2(config)#router eigrp 100
SP2(config-router)#no auto-summary
SP2(config-router)#net 172.16.1.0 0.0.0.255
SP2(config-router)#net 192.168.3.0 0.0.0.255
SP2(config-router)#end
注:eigrp有水平分割问题,ospf没有水平分割问题
HUB(config)#inter tun 0
HUB(config-if)#no ip split-horizon eigrp 100
注:目前为止spok端的下一跳都是hub的ip地址,不是最优
HUB(config)#inter tun 0
HUB(config-if)#no ip next-hop-self eigrp 100
==========×××策略配置========>
HUB(config)#crypto isakmp policy 10
HUB(config-isakmp)#authentication pre-share
HUB(config-isakmp)#exit
HUB(config)#crypto isakmp key cisco add 0.0.0.0
HUB(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
HUB(cfg-crypto-trans)#mode transport
HUB(cfg-crypto-trans)#exit
HUB(config)#crypto ipsec profile cisco
HUB(ipsec-profile)#set transform-set cisco
HUB(ipsec-profile)#exit
HUB(config)#inter tunnel 0
HUB(config-if)#tunnel protection ipsec profile cisco
SP1(config)#crypto isakmp policy 10
SP1(config-isakmp)#authentication pre-share
SP1(config-isakmp)#exit
SP1(config)#crypto isakmp key cisco add 0.0.0.0
SP1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
SP1(cfg-crypto-trans)#mode transport
SP1(cfg-crypto-trans)#exit
SP1(config)#crypto ipsec profile cisco
SP1(ipsec-profile)#set transform-set cisco
SP1(ipsec-profile)#exit
SP1(config)#inter tunnel 0
SP1(config-if)#tunnel protection ipsec profile cisco
SP2(config)#crypto isakmp policy 10
SP2(config-isakmp)#authentication pre-share
SP2(config-isakmp)#exit
SP2(config)#crypto isakmp key cisco add 0.0.0.0
SP2(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac
SP2(cfg-crypto-trans)#mode transport
SP2(cfg-crypto-trans)#exit
SP2(config)#crypto ipsec profile cisco
SP2(ipsec-profile)#set transform-set cisco
SP2(ipsec-profile)#exit
SP2(config)#inter tunnel 0
SP2(config-if)#tunnel protection ipsec profile cisco
关于×××的连载,有兴趣的朋友可以参考下面文章:
转载于:https://blog.51cto.com/laogebo/439993
8607
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
