cisco“双center单云”和“双center双云”冗余设计Dmvpn实例对比浅析
前提
ROUTER IOS 版本
鉴于上次版本不一致,造成show crypto 结果有差异,这次全部采用同一个版本,确保结果准确一致。
一、“双center单云”Dmvpn 实例
配置流程
1.配置network
a、保证网络环境互通
ip route 0.0.0.0 0.0.0.0 200.0.10.1
ip route 0.0.0.0 0.0.0.0 200.0.20.1
ip route 0.0.0.0 0.0.0.0 200.0.30.1
ip route 0.0.0.0 0.0.0.0 200.0.40.1
b、路由互通之后,配置tunnel口才能up,否则即使之后配置的动态路由协议也是不能uptunnel口的,这点很重要。
2.配置 interface tunnel and mgre
这里配置GRE的模式为multipoint,这样就可以多点连接
3.配置 crypto isakmp policy
常规配置,大家都该熟悉了
4.配置 crypto isakmp key
因为是多站点连接,所以是采用0.0.0.0 0.0.0.0 ,表示任意地址
5.配置 crypto ipsec transform-set
这里是转换集的配置,重点在于选择ipsec 加密模式为传输模式,因为已经采用gre技术,创建隧道了。
6.配置 crypto ipsec profile
关联转换集,也是重点环节
7.配置 tunnel protection ipsec profile
在tunnel口必须启用的命令,类似于crypto map ,就是启用vpn的关键命令
8.配置 ip nhrp
hub的ip nhrp 配置信息(重点部分)
注:两个hub之间 相互指定映射
ip ospf network //指定tunnel口ospf 网络类型为broadcast
ip ospf priority xxxx //指定tunnel的ospf 优先级,这样确保两个hub成为DR 和BDR,其余spoken为DROTHER不参与选举,确保网络路由环境正常。
spoken的ip nhrp 配置信息(重点部分)
spoken要同时映射两个hub
ip nhrp map multicast x.x.x.x //映射hub的外网口地址
ip nhrp map x.x.x.x x.x.x.x // 映射hub的tunnel口地址与外网口地址之间的关系
ip nhrp nhs x.x.x.x //映射hub的tunnel口地址
9.配置 dynamic router protocol
10.show result
注:
1.在配置动态路由时绝对不能将外网口的ip地址也发布进去,否者会造成路由翻滚,很严重的反应,路由绝对是不会通了,而且系统资源占用率很高。
2.创建一个standard acl 过滤0.0.0.0 入站,防止环路
ip access-list sta filter-hub
deny 0.0.0.0
permit any
router ospf 100
distribute-list filter-hub in tunnel 0
二、“双center双云”Dmvpn 实例
配置流程
1.配置 network
(略)
2.配置 crypto isakmp policy
3.配置 crypto keyring
(略)
4.配置 crypto isakmp profile
(略)
5.配置 crypto ipsec transform-set
6.配置 crypto ipsec profile
7.配置 interface tunnel and mgre、ip nhrp
center1的tunnel口配置:
ip nhrp network-id 配置不同的序号,以此区分不同的tunnel连接
center2 的tunnel口配置:
spoken1 的tunnel1口配置:
spoken1 的tunnel2口配置:
8.show result
三、小结
DM××× 拓扑结构 | Center 对比 | Spoken 对比 |
双center单云 | 相同之处: 1.两种拓扑结构中center上的tunnel口都只需创建一个,都是使用GRE Multipoint模式. 2. 两种拓扑结构中center上的tunnel口都使用nhrp协议,来注册spoken信息. 3. 两种拓扑结构中center都可以使用动态路由协议。 4.都可以使用优化命令来优化spoken之间的最佳路由,使得spoken与spoken之间可以直接通信,而不需要把流量全部转发给center,减轻center负载。
不同之处: 1.“双center单云”中的center的tunnel口需要相互映射,“双center双云”中的center不需要. 2.“双center单云”中的center的tunnel口上创建的nhrp network-id和tunnel key 都是相同的,“双center双云”中的center的tunnel口的nhrp network-id和tunnel key都是不同的. | 相同之处: 1.两种拓扑结构中spoken都使用nhrp协议来向center注册信息. 2.两种拓扑结构中spoken都需要创建tunnel口. 3. 两种拓扑结构中spoken都可以使用动态路由协议。
不同之处: 1.“双center单云”中的spoken只需创建一个tunnel口,但是一个tunnel口需要同时映射两个center的tunnel口,“双center双云”中的spoken需要创建两个tunnel口,每个tunnel口只需映射对应的一个center的tunnel口。 2.“双center单云”中的spoken创建的tunnel口使用GRE Multipoint模式,“双center双云”中的spoken创建的tunnel口使用静态制定模式.
|
双center双云 |
以上都是个人在工作和实验中得出的一些见解,有不足之处还请大家指正。
