09
2023
02
15:11:13

DMVPN+OSPF在“总部-多分支机构”的应用

需求目标

下图为一家公司的网络结构图,使用Internet互联。现需要利用Internet部署DMVPN+OSPF,以实现通过Internet公司内部数据通信。由于是非专线互联,Internet上需要跨过多个节点才能到达目标节点,因此需要使用到GRE技术,而数据需要加密这时候又需要用到iPSEC技术,DMVPN技术包含以上两点技术,并可实现多点IPSEC通信。最后在DMVPN的基本上再部署OSPF,由于OSPF的强大区域功能,可实现对这个区域的路由进行灵活管理。



img

基础路由

保证这个节点之间源接口到目标接口可达,可在路由器带源IP地址PING对端地址即可,例如:在总部路由器使用ping 200.1.1.2 source 200.1.1.1。由于是Internet环境该部分非常简单。因为一般在路由器配置默认路由下一跳指定运营商网关即可。不过是必要环节所以在此作为强调。


DMVPN配置

总部路由器

创建GRE并配置nhrp,在此tunnel的地址为192.168.1.1。

Interface tunnel 10

Ip add 192.168.1.1 255.255.255.0 //该地址为tunnel地址,一个虚拟的地址

Ip nhrp network-id 10 //总部和分公司的network-id要一致

Tunnel source 200.1.1.1 //指定路由器的internet IP为源地址。

Tunnel mode gre multipoint //模式为 grep multipoint

Ip mtu 1400


分公司1路由器配置

与总公司路由器配置类似,只是要配置nhrp-map。

Internet tunnel 10

Ip add 192.168.1.2 255.255.255.0

Ip nhrp map 192.168.1.1 200.1.1.1 //配置nhrp-map,分支机构需要配置

Ip nhrp network-id 10 //和总部配置一致

Tunnel source 200.1.1.2 //源地址为实际的接口地址

Tunnel mode gre multipoint //模式为 grep multipoint


分公司2路由器配置

与总公司路由器配置类似,只是要配置nhrp-map。

Internet tunnel 10

Ip add 192.168.1.3 255.255.255.0

Ip nhrp map 192.168.1.1 200.1.1.1 //配置nhrp-map,分支机构需要配置

Ip nhrp network-id 10 //和总部配置一致

Tunnel source 200.1.1.3 //源地址为实际的接口地址

Tunnel mode gre multipoint //模式为 grep multipoint


分公司3路由器配置

与总公司路由器配置类似,只是要配置nhrp-map。

Internet tunnel 10

Ip add 192.168.1.3255.255.255.0

Ip nhrp map 192.168.1.1 200.1.1.1 //配置nhrp-map,分支机构需要配置

Ip nhrp network-id 10 //和总部配置一致

Tunnel source 200.1.1.3 //源地址为实际的接口地址

Tunnel mode gre multipoint //模式为 grep multipoint


IPSEC配置

以下配置需要在总部和分公司路由器上配置。

Crypto isakmp policy 10

Hash md5

Encryption 3des

Authentication pre-share //使用共享密钥

Crypto isakmp key j123456 address 0.0.0.0 0.0.0.0 //配置目标地址为任意和密钥

Crypto ipsec transform jiami esp-3des //配置加密集

Mode transport //模式为transport,这样只对gre加密而不建立遂道


Crypto ipsec profile test //配置ipsec策略

Set transform-set jiami //关联加密集


Internet tunnel 10

Tunnel protection ipsec profile test //在GRE下调用ipsec policy


OSPF配置

在总部和分公司路由器上配置,和一般情况下的OSPF无异,只是宣告的网段或地址为tunnel IP地址。

Router ospf 10

Network 192.168.1.0 0.0.0.255 area 0 //宣告tunnel的IP地址段


验证

        可使用“show dmvpn”、“show crypto engine connection active”、“show ip nhrp”“ping ”、“show ip route”命令进行验证。主要使用show crypto engine connection active和show nhrp进行DMVP的验证。




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://hqyman.cn/post/3618.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


作者:hqy | 分类:Network | 浏览:1059 | 评论:0
« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: