目录

​实验:配置非shortcut方式DSVPN(OSPF路由协议) ​

​需求和拓扑​

​ 操作步骤​

​1、配置接口地址划分安全区域​

​2、配置安全策略​

​3、配置公网动态路由确保公网路由可达​

​4、 配置私网ospf​

​5、配置tunnel隧道​

​验证和分析​

​1、抓包检查ospf报文​

​2、检查路由表​

​3、检查nhrp表​

​4、执行ping操作后再次检查​



实验:配置非shortcut方式DSVPN(OSPF路由协议) 

需求和拓扑

某中小企业有总部(Hub)和两个分支(Spoke1和Spoke2),分布在不同地域,总部和分支的子网环境会经常出现变动。分支采用动态地址接入公网。企业现网网络规划使用OSPF路由协议。

现在用户希望能够实现分支之间的PN互联。

  1. 由于分支是采用动态地址接入公网的,分支之间互相不知道对方的公网地址,因此必须采用DSPN来实现分支之间的PN互联。
  2. 由于分支数量较少,因此采用非shortcut方式的DSPN。
  3. 由于分支和总部的子网环境经常出现变动,为简化维护并根据企业网络规划,选择部署OSPF路由协议来实现分支/总部间的通信

HCIE-Security Day23:DSPN+NHRP+Mgre:实验(二)配置非shortcut方式DSPN(OSPF路由协议)_组播

 操作步骤

1、配置接口地址划分安全区域

2、配置安全策略

//f1f2f3
security-policy
rule name 1
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
action permit
rule name 2
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
service gre
service ospf
action permit

3、配置公网动态路由确保公网路由可达

//f1
ospf 1
area 0.0.0.0
network 1.1.1.10 0.0.0.0
//f2
ospf 1
area 0.0.0.0
network 1.1.2.10 0.0.0.0
//f3
ospf 1
area 0.0.0.0
network 1.1.3.10 0.0.0.0
//r
ospf 1
area 0.0.0.0
network 1.1.1.1 0.0.0.0
network 1.1.2.1 0.0.0.0
network 1.1.3.1 0.0.0.0

r1上 检查ospf配置

<r>dis ospf peer bri

OSPF Process 1 with Router ID 1.1.1.1
Peer Statistic Information
----------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 GigabitEthernet0/0/0 172.16.1.1 Full
0.0.0.0 GigabitEthernet0/0/1 172.16.1.2 Full
0.0.0.0 GigabitEthernet0/0/2 172.16.1.3 Full
--------------------------------------------------------

4、 配置私网ospf

//f1(hub)
ospf 2
area 0.0.0.0
network 172.16.1.1 0.0.0.0
network 192.168.0.0 0.0.0.255
//f2(spoke)
ospf 2
area 0.0.0.0
network 172.16.1.2 0.0.0.0
network 192.168.1.0 0.0.0.255
//f3(spoke)
ospf 2
area 0.0.0.0
network 172.16.1.3 0.0.0.0
network 192.168.2.0 0.0.0.255

注意要与公网ospf进程不要冲突,另外宣告的网段是私网网络和隧道接口地址。

注意如果没有配置hub的nhrp entry multicast dynamic则hub将不能发送组播报文从而无法建立ospf邻居关系。所以此时还不能建立ospf邻居关系。

5、配置tunnel隧道

//f1
interface Tunnel0
ip address 172.16.1.1 255.255.255.0
tunnel-protocol gre p2mp
source GigabitEthernet1/0/1
ospf network-type broadcast//相比静态新增,设置ospf网络类型为broadcast
nhrp entry multicast dynamic//配置将从Tunnel0接口注册的分支节点动态加入到总部的NHRP组播成员表。

//f2
interface Tunnel0
ip address 172.16.1.2 255.255.255.0
tunnel-protocol gre p2mp//配置mgre
source GigabitEthernet1/0/1
nhrp entry 172.16.1.1 1.1.1.10 register//手动触发nhrp注册
ospf network-type broadcast
ospf dr-priority 0//指定f1即hub为dr
//f3
interface Tunnel0
ip address 172.16.1.3 255.255.255.0
tunnel-protocol gre p2mp
source GigabitEthernet1/0/1
nhrp entry 172.16.1.1 1.1.1.10 register
ospf network-type broadcast
ospf dr-priority 0//指定f1即hub为dr

在dspn中部署动态路由协议后,分支或总部需要与自身组播列表中的成员建立邻居关系,并学习彼此的路由信息,以便在对端节点发送过来组播报文时,本端节点能够对报文进行复制并根据组播成员表进行发送,进而实现节点间报文的交互,因此,在分支与总部上需要配置各自的nhrp组播成员列表。

检查ospf邻居建立情况

[f1]dis ospf 2 peer bri
2022-03-05 14:05:34.230

OSPF Process 2 with Router ID 192.168.0.254
Peer Statistic Information
----------------------------------------------------------------------------
Area Id Interface Neighbor id State
0.0.0.0 Tunnel0 172.16.1.2 Full
0.0.0.0 Tunnel0 172.16.1.3 Full
----------------------------------------------------------------------------
Total Peer(s): 2

验证和分析

1、抓包检查ospf报文

HCIE-Security Day23:DSPN+NHRP+Mgre:实验(二)配置非shortcut方式DSPN(OSPF路由协议)_字符串_02

可见同时有公网的ospfhello信息和隧道的ospf hello信息,其中隧道的ospf还是经过封装的。

HCIE-Security Day23:DSPN+NHRP+Mgre:实验(二)配置非shortcut方式DSPN(OSPF路由协议)_字符串_03

2、检查路由表

[f1]dis ip routing-table protocol ospf
2022-03-05 14:14:06.440
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
Destinations : 4 Routes : 4

OSPF routing table status : <Active>
Destinations : 4 Routes : 4

Destination/Mask Proto Pre Cost Flags NextHop Interface

1.1.2.0/24 OSPF 10 2 D 1.1.1.1 GigabitEthernet1/0/1
1.1.3.0/24 OSPF 10 2 D 1.1.1.1 GigabitEthernet1/0/1
192.168.1.0/24 OSPF 10 1563 D 172.16.1.2 Tunnel0
192.168.2.0/24 OSPF 10 1563 D 172.16.1.3 Tunnel0

<f2>dis ip routing-table protocol ospf
2022-03-05 14:14:38.180
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Public routing table : OSPF
Destinations : 4 Routes : 4

OSPF routing table status : <Active>
Destinations : 4 Routes : 4

Destination/Mask Proto Pre Cost Flags NextHop Interface

1.1.1.0/24 OSPF 10 2 D 1.1.2.1 GigabitEthernet1/0/1
1.1.3.0/24 OSPF 10 2 D 1.1.2.1 GigabitEthernet1/0/1
192.168.0.0/24 OSPF 10 1563 D 172.16.1.1 Tunnel0
192.168.2.0/24 OSPF 10 1563 D 172.16.1.3 Tunnel0

 可见不管是hub还是spoke都已经通过ospf学习到了私网路由。

3、检查nhrp表

<f2>dis nhrp peer all
2022-03-05 14:17:03.500
--------------------------------------------------------------------------------
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag
--------------------------------------------------------------------------------
172.16.1.1 32 1.1.1.10 172.16.1.1 hub up
--------------------------------------------------------------------------------
Tunnel interface: Tunnel0
Created time : 21:56:09
Expire time : --
HostName : f1
HostEsn : 730F0B21A2183F9092AAA453309408E6

4、执行ping操作后再次检查

<f2>dis nhrp peer all
2022-03-05 14:17:03.500
--------------------------------------------------------------------------------
--
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag

--------------------------------------------------------------------------------
--
172.16.1.1 32 1.1.1.10 172.16.1.1 hub up

--------------------------------------------------------------------------------
--
Tunnel interface: Tunnel0
Created time : 21:56:09
Expire time : --
HostName : f1
HostEsn : 730F0B21A2183F9092AAA453309408E6
--------------------------------------------------------------------------------
--
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag

--------------------------------------------------------------------------------
--
172.16.1.3 32 1.1.3.10 172.16.1.3 remote up

--------------------------------------------------------------------------------
--
Tunnel interface: Tunnel0
Created time : 02:09:16
Expire time : 01:48:50
HostName : f3
HostEsn : 6190E19D04A130F29104906D1F673D33

Number of nhrp peers: 2

多了到spoke的nhrp表项,其实整个过程是和静态一样的。

其他补充

1、缺省情况下,NHRP表项保持时长为7200s。

2、缺省情况下,tunnel接口所属NHRP域为0。

3、缺省情况下,没有配置NHRP协商的认证字符串;如果配置认证字符串时不指定传输算法,则采用明文传输该认证字符串。可以采用hash、md5、sha及plain方式对认证字符串进行加密。

实验拓扑及完整配置已打包,回复dspn2获得。

HCIE-Security Day23:DSPN+NHRP+Mgre:实验(二)配置非shortcut方式DSPN(OSPF路由协议)_字符串_04

 HCIE-Security Day23:DSPN+NHRP+Mgre:实验(二)配置非shortcut方式DSPN(OSPF路由协议)_字符串_05