本文共 3990 字,大约阅读时间需要 13 分钟。
动态多点***是一个高扩展的IPSEC ***解决方案
传统的ipsec S2S 有如下劣势
1. 中心站点配置量大,无论是采用经典ipsec ***还是采用 gre over ipsec 多一个分支站点就要增加一份配置,那么当分支站点过多配置就会变成沉重的负担并且不容易进行管理
2.分支站点间的流量延迟较大
分支站点与分支站点之间不能直接通信,分支与分支进行通信时 数据需要先送往数据中心进行中转 需要进行2次加密解密 大大增加了延迟时间
3 .每一个分支站点之间都需要固定的IP地址
DM***的优点
1. 简单的星型拓扑配置 提供了虚拟网状网络的连通性
2.分支站点之间支持动态IP
3.增加新的分支站点无需更改中心站点的配置
4.分支站点之间的流量不需要经过HUB端进行中转
DM*** 由4部分组成
1. 动态多点GRE 隧道
2. 下一跳地址解析协议 NHRP
3. 动态路由协议
4. ipsec技术
预配要求
1.各总部与分支机构之间不能有去往对方的路由条目
2.确保总部与分支机构之间的公网可通
创建DM *** 总共分为4个步骤
1. 创建多点隧道
2. NHRP
3. 动态路由协议
4. IPSEC
第一步:创建多点隧道
hub1
R1(config)# int tunnel 0R1(config-if)# ip add 172.16.1.1 255.255.255.0R1(config-if)#tunnel mode gre multipointR1(config-if)#tunnel source s1/0R1(config-if)#tunnel key 12345R1(config-if)#ip mtu 1400R1(config-if)#bandwidth 1000hub2R2(config)# int tunnel 0R2(config-if)# ip add 172.16.1.2 255.255.255.0R2(config-if)#tunnel mode gre multipointR2(config-if)#tunnel key 12345R2(config-if)#tunnel source s1/1R2(config-if)#ip mtu 1400R2(config-if)#bandwidth 1000spoke1
R3(config)# int tunnel 0R3(config-if)# ip add 172.16.1.3 255.255.255.0R3(config-if)#tunnel mode gre multipointR3(config-if)# tunnel key 12345R3(config-if)#tunnel source s1/2R3(config-if)# ip mtu 1400R3(config-if)# bandwidth 1000spoke2R4(config)# int tunnel 0R4(config-if)# ip add 172.16.1.4 255.255.255.0R4(config-if)#tunnel mode gre multipointR4(config-if)#tunnel key 12345R4(config-if)#tunnel source s1/3R4(config-if)#ip mtu 1400R4(config-if)# bandwidth 1000第二步 配置NHRP
hub1R1(config)# int tunnel 0R1(config-if)# ip nhrp holdtime 300R1(config-if)#ip nhrp network-id 100R1(config-if)# ip nhrp map 172.16.1.2 25.1.1.2R1(config-if)#ip nhrp map multicast 25.1.1.2两个hub端要互指hub2R2(config)# int tunnel 0R2(config-if)# ip nhrp holdtime 300R2(config-if)# ip nhrp network-id 100R2(config-if)# ip nhrp map 172.16.1.1 15.1.1.1R2(config-if)# ip nhrp map multicast 15.1.1.1两个hub端要互指spoke1R3(config)# int tunnel 0R3(config-if)# ip nhrp holdtime 300R3(config-if)# ip nhrp network-id 100R3(config-if)# ip nhrp nhs 172.16.1.1R3(config-if)# ip nhrp nhs 172.16.1.2R3(config-if)# ip nhrp map 172.16.1.1 15.1.1.1R3(config-if)#ip nhrp map 172.16.1.2 25.1.1.2spoke2R4(config)# int tunnel 0R4(config-if)# ip nhrp holdtime 300R4(config-if)# ip nhrp network-id 100R4(config-if)#ip nhrp nhs 172.16.1.1R4(config-if)# ip nhrp nhs 172.16.1.2R4(config-if)# ip nhrp map 172.16.1.1 15.1.1.1R4(config-if)# ip nhrp map 172.16.1.2 25.1.1.2第三步 宣告路由协议EIGRP
hub1R1(config)#router eigrp 90R1(config-router)#net 172.16.1.0R1(config-router)#no auto-summaryhub2R2(config)# router eigrp 90R2(config-router)#net 172.16.1.0R2(config-router)#no auto-summaryspoke1R3(config)# router eigrp 90R3(config-router)#net 172.16.1.0R3(config-router)#no auto-summaryspoke2R4(config)#router eigrp 90R4(config-router)# net 172.16.1.0R4(config-router)#no auto-summary此时EIGRP邻居关系无法建立 因为tunnel链路开启组播传输hub1R1(config-if)# ip nhrp map multicast dynamichub2R2(config-if)# ip nhrp map multicast dynamicspoke1R3(config-if)# ip nhrp map multicast 15.1.1.1R3(config-if)# ip nhrp map multicast 25.1.1.2spoke2R4(config-if)# ip nhrp map multicast 15.1.1.1R4(config-if)# ip nhrp map multicast 25.1.1.2tunnel链路的路由条目正确学习 但是分支与分支之间进行通信,仍然要通过HUB端进行中转hub1
R1(config-if)# no ip split-horizon eigrp 90R1(config-if)# no ip next-hop-self eigrp 90hub2R2(config-if)# no ip split-horizon eigrp 90R2(config-if)# no ip next-hop-self eigrp 90第四步: 在各总部与分支机构路由器上开启IPSEC
Rx(config)# crypto isakmp policy 10
Rx(config-isakmp)#encryption 3Rx(config-isakmp)#authentication pre-share Rx(config-isakmp)#hash md5 Rx(config-isakmp)#group 2Rx(config)# crypto isakmp key cisco address 0.0.0.0 0.0.0.0
Rx(config)#crypto ipsec transform-set myset esp-3des esp-md5-hmac
Rx(cfg-crypto-trans)#mode tunnelRx(cfg-crypto-trans)#exitRx(config)#crypto ipsec profile myfileRx(ipsec-profile)#set transform-set mysetRx(ipsec-profile)#exitRx(config)# int tunnel 0Rx(config-if)#tunnel protection ipsec profile myfile转载地址:http://gqual.baihongyu.com/