DM-微皮恩

最新推荐文章于 2023-09-12 20:20:32 发布
最新推荐文章于 2023-09-12 20:20:32 发布
阅读量1.6k 收藏 2
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41903258/article/details/128025716
版权

DM_VPN

动态多站点,Hub-spoken 总分站点的VPN架构,常用于总分之间的结构。

一、DMVPN的四个组件

1. MGRE
2. NHRP(下一跳地址解析协议)
3. Dynamic Routing Protocl
4. IPsec VPN

二、MGRE

1.配置(多点GRE隧道)

interface tunnel 0 	#进入隧道接口,隧道有点像虚拟链路
ip address 172.16.1.x 255.255.255.0#配置IP地址 
tunnel source Serial1/0#隧道接口的原接口
tunnel mode gre multipoint #隧道接口模式
tunnel key 10 #隧道接口的key

三、NHRP

1.配置(多点GRE隧道)

中心端配置:
interface tunnel 0 
ip add ress 172.16.1.1 255.255.255.0 
ip nhrp network-id 10 (所有设备的需要配置network id一样)
ip nhrp auehentication xxxx 认证配置(可选)
ip nhrp map multicast dynamic #动态接口组播映射

分支端配置:
interface tunnel 0 
ip add ress 172.16.1.1 255.255.255.0 #分支地址一般自动获取
ip nhrp network-id 10 (所有设备的需要配置network id一样)
ip nhrp auehentication xxxx 认证配置(可选)
ip nhrp map 172.17.1.100 202.100.1.100 #所有spoke 需要手动映射组播到hub ,用于spoke 与hub 动态建立邻居,记住顺序:先写总部私网地址,再写总部公网地址。
ip nhrp nhs 172.16.1.100 #配置nhrp server 地址,spoke启动后会到服务器注册自己的虚拟隧道地址到公网地址的映射,这个IP地址也是总部的私网IP地址

四、实验

1.配置DMVPN

DM_VPN

动态多站点,Hub-spoken 总分站点的VPN架构,常用于总分之间的结构。

一、DMVPN的四个组件

1. MGRE
2. NHRP(下一跳地址解析协议)
3. Dynamic Routing Protocl
4. IPsec VPN

二、MGRE

1.配置(多点GRE隧道)

interface tunnel 0 	#进入隧道接口,隧道有点像虚拟链路
ip address 172.16.1.x 255.255.255.0#配置IP地址 
tunnel source Serial1/0#隧道接口的原接口
tunnel mode gre multipoint #隧道接口模式
tunnel key 10 #隧道接口的key

三、NHRP

1.配置(多点GRE隧道)

中心端配置:
interface tunnel 0 
ip add ress 172.16.1.1 255.255.255.0 
ip nhrp network-id 10 (所有设备的需要配置network id一样)
ip nhrp auehentication xxxx 认证配置(可选)
ip nhrp map multicast dynamic #动态接口组播映射

分支端配置:
interface tunnel 0 
ip add ress 172.16.1.1 255.255.255.0 #分支地址一般自动获取
ip nhrp network-id 10 (所有设备的需要配置network id一样)
ip nhrp auehentication xxxx 认证配置(可选)
ip nhrp map 172.17.1.100 202.100.1.100 #所有spoke 需要手动映射组播到hub ,用于spoke 与hub 动态建立邻居,记住顺序:先写总部私网地址,再写总部公网地址。
ip nhrp nhs 172.16.1.100 #配置nhrp server 地址,spoke启动后会到服务器注册自己的虚拟隧道地址到公网地址的映射,这个IP地址也是总部的私网IP地址

四、实验

1.配置DMVPN

在这里插入图片描述

tunnel 接口配置,配置好tunnel 接口后此时还不能通信。还需要部署HSRP
NHRP配置如下

R2
 interface Tunnel0
 ip address 10.1.1.2 255.255.255.0
 tunnel source Ethernet0/0 #配置Tunnel 源接口
 tunnel mode gre multipoint #接口模式gre 多点
 tunnel key 10				
end

R3
interface Tunnel0
 ip address 10.1.1.3 255.255.255.0
 no ip redirects
 tunnel source Ethernet0/1
 tunnel mode gre multipoint
 tunnel key 10
end

R4
interface Tunnel0
 ip address 10.1.1.4 255.255.255.0
 no ip redirects
 tunnel source Ethernet0/2
 tunnel mode gre multipoint
 tunnel key 10
end

2.观察DMVPN状态:

在这里插入图片描述
此时,总部与分支之间的私网是可以互相通信了,那么分支与分支能否通信哪?
答案是可以的
分支因为存在总部的"中介的关系",分支与分支之间也建立起来动态DMVPN的关系,但是会存在老化的情况。当长时间不通信 DMVPN表就会老化,邻居就消失啦。在通信就会再次出现。
在这里插入图片描述

3.通过OSPF的方式建立DMVPN:

这次,使用OSPF的方式建立DMVPN,让三个站点的内网地址能够相互通信

  1. 环回口的配置,将三个站点配置好环回口,一会将其发布
  2. 宣告环回口**(切记:不要将公网地址宣告到OSPF域中,否则会发生路由环路一些麻烦)**
R2:
R2(config)#router  ospf 123
R2(config-router)#netw
R2(config-router)#network 10.0.0.0 0.255.255.255 a 0 
R2(config-router)#end
R3:
R3(config)#
R3(config)#router ospf 123
R3(config-router)#netw
R3(config-router)#network 10.0.0.0 0.0.0.255 a 0 
R3(config-router)#
R4:
router ospf 123
network 10.0.0.0 0.255.255.255 area 0

3.宣告完毕我们看一下结果
在这里插入图片描述

ospf 状态一直处于INIT,这是因为ospf 的hello报是一个组播包,R3,R4等将hello 报文其实扔到了运营商侧。这样看起来的话,R2与R3没有直连建立ospf 邻居关系。需要告诉R3将组播报文发给谁,配置如下:

interface tunnel 0 
ip nhrp map multicast 12.1.1.2 #指定隧道组播封装地址
总部一定是静态地址,这样子这个配置才能生效,如果总分全是动态IP,那么hello包就让扔不出去。

配置上去后,我们查看邻居状态:
在这里插入图片描述
邻居状态一直处于抖动,发现角色中也不存在DR,BDR等角色,什么情况下不存在DR,BDR?
点到点链路中不存在DR和BDR。难道tunnel 隧道接口是点到点嘛?
在这里插入图片描述

结果发现还真是点到点,这样子的话。就不允许第三者插足,那么我们改变链路类型为点到多点,每一台路由器上都配置。
在这里插入图片描述
三台路由器配置好后,ospf链路状态建立完全正确。

4.重定向

继续上述操作后,两个分支站点已经没有问题了。但是分支到分支的访问居然是两跳,这样子的话,就会占用分支带宽,怎样实现一跳哪?
在这里插入图片描述

  • 指定hello 报文的时候,多配置一个地址,这样子固然可以,但是因为分支的IP地址不固定,一旦更换的话非常麻烦。
    interface tunnel 0
    ip nhrp map multicast 12.1.1.2 #指定隧道组播封装地址

重定向:
总部开启重定向之后,分支开启洁净功能。分支去往分支就不需要绕总部了

总部:
interface tunnel 0 
ip nhrp redirect 

分支:
interface tunnel 0 
ip nhrp shortcut

即使没有建立邻居,照样子可以通信,并且还是一跳过去了。
在这里插入图片描述
在这里插入图片描述
需要查看 cef 表才能看到。可以查看内网可以互相通信啦
在这里插入图片描述

5.加密

给DMvpn配置加密等

1.定义isakmp 策略
cryto isakmp policy 10 #定义isakmp 策略
encryption aes 256 #封装算法
hash sha #哈希算法
authentication pre-share #认证算法:预共享密钥
group 5 #DH组
lifetime 3600 #生存周期
exit
2.传输模式下定义isakmp key 
cryto isakmp key CCIE address 0.0.0.0 #与谁建立加密可以段,全部等
cryto ipsec transform-set MYSET esp-aes 256 esp-sha-hmac#定义转换级,将isakmp策略打包
mode transport #模式为传输模式
3.定义ipsec 模板
cryto ipsec profile MYPRO #定义ipsec 模板
set transform-set MYSET	  #调用转换级
4.隧道接口调用
interface tunnel 0 
tunnel protection ipsec profile MYPRO

可以使用 show crypto isakmp sa 查看加密情况
在这里插入图片描述

五、注意

  1. 不要宣告公网地址,包括重分布,直连,network 等等
  2. 如果hub,spoken 之间的DMVPN建立 eigrp 的路由协议 EIGRP路由协议存在水平分割,从一个接口学习到的路由不会再从这个接口更新出去。需要打破水平分割。在总部的隧道接口下配置:

interface tunnel 0
no ip spilt-horizon eigrp AS号

helloworld_@@
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DM-disql
2201_75559416的博客
02-03 156
达梦DISQL
DMVPN 动态多点隧道技术
Alex的博客
08-07 3109
DMVPN,动态多点VPN
4K videodownloader_视频网站转local利器
12-06
portable的一个把在线视频转换成video或者mp3等常见音频格式的软件.
屁嗯
weixin_30572613的博客
02-15 6134
  https://www.cnblogs.com/replaceroot/p/9981296.html 转载于:https://www.cnblogs.com/marry215464/p/10381747.html
DMVPM配置
凯歌响起的博客
08-23 746
案例配置拓扑 ##案例配置需求 设备之间互联的IP如图所示; 根据拓扑,配置DMVPN; 隧道地址采用172.16.1.0/24 R3为Center,R1,R2为Branch2 案例配置思路 接口配置 R3 Router#conf ter Router(config)#hostname R3 R3(config)#int fa0/0 R3(config-if)#ip add 101.1.1.3 255.255.255.0 R3(config-if)#no sh R3(config-if)#int lo
七、DM-VPN
最新发布
liyao1569的博客
09-12 1384
本文介绍了DM VPN的具体过程以及配置中需要注意的一些要点
NoVNC—以Web方式交付VNC远程连接
热门推荐
linux丶晨星
12-24 2万+
https://github.com/novnc/noVNC 一、noVNC是什么 noVNC是一个 HTML5 VNC 客户端,采用 HTML 5 WebSockets, Canvas 和 JavaScript 实现,noVNC 被普遍用在各大云计算、虚拟机控制面板中,比如 OpenStack Dashboard 和 OpenNebula Sunstone 都用的是 noVNC。 noVNC采用...
MSc-CyberSecurity-Sapienza:罗马萨皮恩扎大学网络安全理学硕士
03-17
罗马萨皮恩扎大学网络安全理学硕士。 我的个人笔记,示例,测试,作业解决方案,代码... 密码学 网络基础设施 分布式系统 统计数据 道德黑客 网络设计与配置实验室 实用的网络防御 网络和计算机法 物联网 计算机...
论文研究 - 树在罗马萨皮恩扎大学校园环境质量改善中的作用
05-16
分析了罗马萨皮恩扎大学校园中树木的生长改善环境质量的能力。 从校园外的街道到校园内的地带,测量了二氧化碳浓度,空气温度和湿度,交通密度和噪音水平。 此外,还对位于校园内的实验花园进行了测量。 在每个考虑...
Aviation-accidents-visualizations:罗马萨皮恩扎大学视觉分析课程2020-21的项目
03-28
航空事故可视化 罗马萨皮恩扎大学视觉分析课程2020-21的项目 第一次可视化 作者 朱利亚诺·马丁内利(Giuliano Martinelli) 路易吉·西吉洛(Luigi Sigillo) 马蒂亚·波奇(Mattia Pocci)
小白兔电视
06-18
在ipv6下看电视,不走流量,非常好用,在教育网资源上看速度很快,适合高校学生
秘书破解版
11-05
秘书破解版是一种信辅助工具可以用来自动批量下好友
siss setup
10-24
《思迅美食通》V4主要是针对单店管理(不支持连锁管理)模式,具有功能相对简单、使用方便等特点;而《思迅美世家》V4是思迅软件新一代面向连锁经营模式的餐饮管理系统产品,与《思迅美食通》V4的相比,《思迅美世家》V4的功能有大幅度的增强,增加和增强连锁会员管理、厨房打印、出品管理、预订管理、决策支持、原料供应商管理、供应商结算管理、 连锁配送中心、总部资料集中管理等。同时《思迅美世家》V4支持《思迅美食通》V4平滑升级,从以下是部分功能简述: 一、 《思迅美世家》V4增强的功能模块 1. 桌面自定义:  支持桌面自定义:可以根据操作员使用各功能模块的频率,将经常使用的功能模块放在后台桌面,增强系统的可操作性。 2. 厨房打印管理:  增强厨打方式:由单一的驱动方式增加到驱动厨打和端口厨打。  增强厨打安全性:由Windows操作系统负责打印增强到由程序自行监控厨打是否成功。  增强厨打多样性:由单一的厨打格式增强到可以自行设置厨打格式和打印内空。 3. 前台促销管理  支持特价菜管理:用于商家在特定的时间段推出优惠的菜品价格给食客。  支持菜品买赠管理:当食客点N道或多于N道菜时,对某个菜品进行自动赠送。  支持菜品优惠券管理:当食客在消费到一定金额时,赠送优惠券,此优惠券作为下次消费时对特定菜品进行定折。 4. 前台销售管理  支持并台\加台\拆台管理:用于商家在食客消费时出现一起点菜、结算;食客流量过大时,将一张餐桌分成两批或多批同时就餐。  支持修改开台信息管理:用于商家在同批 食客人数增减、服务的服务员更换修改。  支持挂起\叫起管理:用于商家承接宴席时需要事先准菜的情况。  支持发票\礼券发放管理:用于记录发放发票和礼券的数量情况及相关报表。  支持非营业收入和小费管理:为商家提供对非营业性收入和小费收取及相关报表  营业员销售提成:提供营业员统一提成或按菜品提成的报表。  支持区域餐桌设置:不同区域的点菜电脑只显示本区域的餐桌资料。  支持班次管理:有班次管理及相关报表。 二、 《思迅美世家》V4独有的功能模块 1. 总部系统管理  提供菜品资料、原料资料、收银方式、菜品销售价格、菜品买赠、特价菜品、菜品优惠券、优惠方案、门店原料配送价格、菜品配料等的统一管理。  提供统购原料供应商资料、半成品配料资料。  提供连锁会员资料管理、状态管理、充值管理、会员转帐管理、会员类型变更管理、会员积分管理。  提供连锁会员消费报表,方便商家查询。  提供商家各营运门店每天菜品消费情况、菜品折扣情况、退菜情况、菜品赠送情况、营业收银情况、免单情况等商家需要的销售情况报表。  提供商家关于继续投资、营销策略、经营管理需要的报表:时段营业情况分析、原料进销存报表、菜品销售营业分析报表、菜品销售排行统计、营业利润统计、店内综合利润分析等。 2. 门店库存管理  有完整的本地采购管理体系模块:提供供应商管理、采购价格管理、采购申请、采购订单、采购收货、采购退货、供应商结算管理等功能。  提供菜品原料配置功能、部门原料自动耗料功能。  有完整的原料统一配送功能模块:提供分店要货、调拔入库、退调出库、原料配送情况查询。  有完整的本店成本核算功能:提供原料出库、入库、报损、耗料、盘点功能,提供盘点分析、原料告警分析、库存单据查询、原料出入库明细报表、原料进销存报表、分店理论成本分析报表、营业利润分析报表等。 3. 门店后台管理  功能强大的出品管理:提供菜品出品超时设置、条码扫描出品。  完善的预订功能模块:提供普通食客预订、团体宴会预订、预订预点菜功能,支持营业销售的熟客资料管理和预订历史查询功能。  功能独特的连销会员管理:提供商家各分店可以通用的连锁会员资料管理、会员充值管理、会员转帐管理、会员类型变更管理、会员积分换礼品管理,为商家的营销管理提供了又一强大的策略功能。  支持分店调价:对于允许分店采购的原料,可以在分店调整价格。 4. 连锁配送:  支持连锁经营:支持独立管理、总部托管、分公司和配送中心多种类型的分部经营方式。可以从总部或配送中心调拨原料到分公司\门店,自主进货等操作。  支持多店多价,总部统一定价:对于连锁餐饮公司,支持不同的分店实行不同的价格,可以统一在总部管理。  支持分店调价:对于允许分店自主采购的原料,可以在分店调整价格。  支持加工厂进行原料半成品加工处理:提供半成品加工作业单申请、领料、退料、加工成本价管理、半成品入库等  提供原料配送管理:提供配送价管理、配送出库、发货管理、退调入库、同分店结算、配送利润分析等。
VanGoghGAN:罗马萨皮恩扎大学2020-2021年数据挖掘硕士课程的小组项目
04-16
梵高 扎大学小组项目。 团队成员 费利斯·( ) 丹妮拉(Daniela Moretti)( ) 救赎者Jr Laceda Taloma( ) 抽象的 梵高一生留下了许多未完成的风景素描。 我们的首要任务是绘制这些草图,以创造从未有过像梵高...
dog算子matlab代码-FundCG-s1-2018:罗马萨皮恩扎大学2018年第一学期计算机图形学基础课程的教材
05-25
线性代数,积分和数值方法很不错,但不是必需的。 在整个课程中,将对关键概念进行审查。 教学大纲 该课程将涵盖3D形状表示,分析,处理,匹配和建模的主题。 重点将放在计算机视觉和图形学中的离散几何处理算法上...
网络概念- 批N虚拟专用网络详解
鬼刺
01-08 1301
引言:由于工作中经常用到VPN,所以想详细了解一下VPN技术。下面是通过查看网络大神们的文章写下的笔记,在此非常感谢作者们的辛苦分享。具体参照的原文链接有以下: https://jingyan.baidu.com/article/02027811886aee1bcd9ce54f.html http://www.elecfans.com/baike/wangluo/vpn/20180115616...
动态多点虚拟专用网络原理及部署
Goallegoal的博客
04-10 855
动态多点虚拟专用网络 概述 GRE over IPsec 将通用隧道和加密隧道结合,实现了安全的单播、组播、广播流传输,但是由于其实现必须指定固定的 ip,所以在动态 ip 和多分支情况下无法实现或实现困难。动态多点虚拟专用网络技术,将 Dynamic-map 和 GRE over IPsec 相结合,实现了全网只要有一个固定地址就可以建立加密安全的通信隧道。 L2L 虚拟专用网络:静态IP、单播...
Windows server : NPS服务(为“劈恩“搭建身份验证服务器)
鲍海超
02-22 1976
Windows server : NPS服务(为"劈恩"搭建身份验证服务器)
Cisco 设备中的GRE和NHRP
Connor_xie的博客
08-31 4140
一、这个是比较像客户端的方向的配置方式,因为有一个 拨号光纤在,公网IP地址不是固定的。 interface Tunnel33 interface Tunnel33 配置tunnel(GRE隧道) description TEST ip address 192.168.11.70 255.255.255.252 虚拟口地址 i...
nhrp . IPSec
2201_75825131的博客
03-20 208
NHRP (Next Hop Resolution Protocol)是一种用于建立GRE隧道的协议。它是一个封装层协议,通常用于在分布式的网络中建立虚拟专用网络(VPN)。NHRP在两个端点之间动态识别下一跳,并将数据包转发到该下一跳。这使得VPN的路由能够动态更新,并且对于对等拓扑结构和负载平衡等因素变化能够进行快速适应。总部R1与分部R2、R3 上启用点到多点GRE隧道,隧道IP 地址段为10.5.1.0/24;

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值