经典DM×××实验

经典DM×××实验_经典 

 

在三个站点之间使用DM×××技术,建立站点到站点的IPSec ×××

R1模拟总部 R2R3模拟分部

R1R2直连网段:12.12.12.0/24 以此类推

R1上环回口地址:192.168.1.1 以此类推

Tunnel网段:172.16.1.0/24

 

 

基本网络配置

 

R1(config)#ip route 0.0.0.0 0.0.0.0 12.12.12.2 

R3(config)#ip route 0.0.0.0 0.0.0.0 23.23.23.2

R4(config)#ip route 0.0.0.0 0.0.0.0 24.24.24.2

确保连通性

经典DM×××实验_经典_02 

经典DM×××实验_DMVPN_03 

mGRENHRP配置

R1(config)#int tunnel 0

R1(config-if)#ip add 172.16.1.1 255.255.255.0     

R1(config-if)#tunnel mode gre multipoint  //配置隧道模式为多点GRE

R1(config-if)#tunnel source f1/0         //指定tunnel源地址为出接口

R1(config-if)#tunnel key 12345         //隧道加密密钥,用于表示隧道口

---------------------------------NHRP配置-------------------------------------------------

R1(config-if)#ip nhrp network-id 10     //激活NHRPnetwork-id最好一致

R1(config-if)#ip nhrp authentication cisco   //配置NHRP认证密钥,此项可选

R1(config-if)#ip nhrp map multicast dynamic  //动态接NHRP收组播映射

 

 

R3(config)#int tunnel 0 

R3(config-if)#ip add 172.16.1.3 255.255.255.0

R3(config-if)#tunnel mode gre multipoint 

R3(config-if)#tunnel source f1/0

R3(config-if)#tunnel key 12345

---------------------------------NHRP配置-------------------------------------------------

R3(config-if)#ip nhrp network-id 10

R3(config-if)#ip nhrp authentication cisco

R3(config-if)#ip nhrp map 172.16.1.1 12.12.12.1   //手动NHRP映射,映射总部站点的隧道虚拟IP到总部的公网IP,有这个映射,分部才能访问总部站点

R3(config-if)#ip nhrp map multicast 12.12.12.1    //mGRENBMA网络,分部站点要和总部站点建立动态路由协议的邻居关系,必须在每个分部站点,映射组播到总部站点的公网IP,这样才能把分部站点的组播送到总部站点。并且能够看到分部站点之间没有组播映射,也就是说,分部站点之间没有动态路由协议邻居关系。

R3(config-if)#ip nhrp nhs 172.16.1.1        //配置NHRP服务器地址为总部站点的隧道口虚拟地址172.16.1.1

 

R4(config)#int tunnel 0

R4(config-if)#ip add 172.16.1.4 255.255.255.0

R4(config-if)#tunnel mode gre multipoint 

R4(config-if)#tunnel source f1/0

R4(config-if)#tunnel key 12345

---------------------------------NHRP配置-------------------------------------------------

R4(config-if)#ip nhrp network-id 10

R4(config-if)#ip nhrp authentication cisco

R4(config-if)#ip nhrp map 172.16.1.1 12.12.12.1

R4(config-if)#ip nhrp map multicast 12.12.12.1

R4(config-if)#ip nhrp nhs 172.16.1.1

 

 

 

 

测试NHRP

R1查看总部站点的动态注册,包括映射类型为动态;网络类型NBMA及地址;地址映射关系

经典DM×××实验_DMVPN_04 

分部为静态映射

经典DM×××实验_经典_05 

经典DM×××实验_经典_06 

在此处检查连通性,并没有看到总部站点代转发的现象

经典DM×××实验_DMVPN_07 

 

 

 

 

动态路由协议EIGRP配置

R1(config)#router ei 1

R1(config-router)#no au

R1(config-router)#net 172.16.1.1 0.0.0.0

R1(config-router)#net 192.168.1.1 0.0.0.0

 

R3(config)#router ei 1

R3(config-router)#no au

R3(config-router)#net 172.16.1.3 0.0.0.0

R3(config-router)#net 192.168.3.1 0.0.0.0

 

R4(config)#router ei 1

R4(config-router)#no au

R4(config-router)#net 172.16.1.4 0.0.0.0   //通告的是隧道上的虚拟地址,而不是接口的公网地址

R4(config-router)#net 192.168.4.1 0.0.0.0

测试并调整EIGRP

总部站点可以看到学到分部站点内部网络的路由

经典DM×××实验_经典_08 

分部站点上查看EIGRP邻居关系,没有两个分部站点的邻居关系,因为不存在组播映射

经典DM×××实验_DMVPN_09 

查看EIGRP学到的路由

经典DM×××实验_DMVPN_10 

 

 

 

查看分部站点的EIGRP路由,只学到总部站点的内网路由,原因是EIGRP的水平分割默认开启。

 经典DM×××实验_DMVPN_11

R1(config)#int tunnel 0

R1(config-if)#no ip split-horizon ei 1

关闭水平分割就可以看到分部站点的内网路由

 

虽然分部之间学到了内部网络,但下一跳地址确实总部站点,我们希望学到下一跳地址为172.16.1.4地址(R3隧道口的虚拟地址)

经典DM×××实验_DMVPN_12 

在总部站点的隧道口上关闭EIGRPnext-hope-self特性

R1(config)#int tunnel 0

R1(config-if)#no ip next-hop-self ei 1

经典DM×××实验_经典_13 

 

配置IPSec ×××

R1(config)#cry is po 10

R1(config-isakmp)#authentication pre-share 

R1(config)#crypto isakmp key 0 cisco add 0.0.0.0 0.0.0.0

R1(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac 

R1(cfg-crypto-trans)#mode transport 

R1(config)#crypto ipsec profile sovand

R1(ipsec-profile)#set transform-set cisco

R1(config)#int tunnel 0

R1(config-if)#tunnel protection ipsec profile sovand

R1(config-if)#ip mtu 1400

 

R3(config)#crypto isakmp policy 10

R3(config-isakmp)#authentication pre-share 

R3(config)#crypto isakmp key 0 cisco add 0.0.0.0 0.0.0.0

R3(config)#crypto ipsec transform-set cisco esp-d esp-m

R3(cfg-crypto-trans)#mode transport 

R3(config)#crypto ipsec profile sovand

R3(ipsec-profile)#set transform-set cisco

R3(config-if)#tunnel protection ipsec profile sovand

R3(config-if)#ip mtu 1400

 

 

R4(config)#crypto isakmp policy 10

R4(config-isakmp)#authentication pre-share 

R4(config)#crypto isakmp key 0 cisco add 0.0.0.0 0.0.0.0

R4(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac 

R4(cfg-crypto-trans)#mode transport      

R4(config)#crypto ipsec profile sovand

R4(ipsec-profile)#set transform-set cisco

R4(config-if)#tunnel protection ipsec profile sovand

R4(config-if)#ip mtu 1400

 

查看DM×××状态

 

经典DM×××实验_DMVPN_14 

经典DM×××实验_经典_15 

 

可以看到分部站点只维持和总部站点的的隧道

经典DM×××实验_经典_16 

 

分部站点的隧道流量按需建立,使用ping命令,动态建立分部站点间的隧道

经典DM×××实验_DMVPN_17 

经典DM×××实验_经典_18 

这个地方本来是想验证下总部站点代转发的现象,但是发现即使不用ping去触发,pkts decaps数量也一直在增加,所以show出来的结果就不具备代表性了。