1.中心站点配置:
1)建立tunnel口及相关配置
inter tunnel 0
tunnel source e1/0(指定公网的外出接口作为隧道源地址)
tunnel mode gre multipoint(指定隧道的类型为多点GRE)
tunnel key 验证密码(为数字,双方必须匹配,验证为可选项)
2)NHRP协议的配置
R1(config-if)#ip nhrp map multicast(支持组播及广播) dynamic (客户端地址采用动态解析)
R1(config-if)#ip nhrp network-id 100(指定网络ID,相同ID在同一广播域,要求所有站点ID相同)
2.分支站点配置:
1)建立tunnel口及相关配置
inter tunnel 0
tunnel source e1/0(指定公网的外出接口作为隧道源地址)
tunnel mode gre multipoint(指定隧道的类型为多点GRE,在本模式下,分支站点也可建立动态隧道)
###(如建立全互联tunnel隧道,可指定为mGRE( 多点隧道接口),否则可以直接指定目的为HUB地址tunnel destination 202.1.1.2)
tunnel key 验证密码(为数字,双方必须匹配,验证为可选项)
2)NHRP协议的配置
ip nhrp nhs 192.168.1.1 (指定NHRP服务器地址,通常为中心站点tunnel接口私网地址)
ip nhrp map 192.168.1.1(本地址为中心站点隧道接口的私网地址) 201.1.1.1
(为中心站点公网接口地址)
ip nhrp network-id 100(指定网络ID,相同ID在同一广播域,要求所有站点ID相同)
可选项:NHRP验证:ip nhrp authentication test (验证密码)
3.关于动态路由协议在多点GRE NBMA模式下配置
在分支站点还必须做如下配置
1)ip nhrp map multicast 201.1.1.1 (中心站点公网地址)
使得多点GRE接口能够向中心站点发送组播和广播包
(ospf网络类型改成broadcast或point-to-multipoint)
2)距离矢量类路由协议必须关闭水平分割(因为是点到多点接口)
no ip split-horizon
no ip split-horizon eigrp 1
二、ipsec配置
1、第一阶段
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key g2myway(验证密码)address 0.0.0.0 0.0.0.0
(对所有地址验证全匹配)
2、第二阶段
crypto ipsec transform-set r1trans esp-3des esp-sha-hmac
转换集的配置
3、ipsec profile的配置(没有定义对等体及感兴趣流量)
crypto ipsec profile myprofile(profile命名)
set transform-set r1trans
4、应用至tunnel接口
tunnel protection ipsec profile myprofile(profile命名)
对所有tunnel的流量进行ipsec的保护
本文出自 “strive” 博客,请务必保留此出处http://huangwei.blog.51cto.com/467106/130483
1279
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
