下图为一家公司的网络结构图,使用Internet互联。现需要利用Internet部署DMVPN+OSPF,以实现通过Internet公司内部数据通信。由于是非专线互联,Internet上需要跨过多个节点才能到达目标节点,因此需要使用到GRE技术,而数据需要加密这时候又需要用到iPSEC技术,DMVPN技术包含以上两点技术,并可实现多点IPSEC通信。最后在DMVPN的基本上再部署OSPF,由于OSPF的强大区域功能,可实现对这个区域的路由进行灵活管理。
基础路由
保证这个节点之间源接口到目标接口可达,可在路由器带源IP地址PING对端地址即可,例如:在总部路由器使用ping 200.1.1.2 source 200.1.1.1。由于是Internet环境该部分非常简单。因为一般在路由器配置默认路由下一跳指定运营商网关即可。不过是必要环节所以在此作为强调。
DMVPN配置
总部路由器
创建GRE并配置nhrp,在此tunnel的地址为192.168.1.1。
Interface tunnel 10
Ip add 192.168.1.1 255.255.255.0 //该地址为tunnel地址,一个虚拟的地址
Ip nhrp network-id 10 //总部和分公司的network-id要一致
Tunnel source 200.1.1.1 //指定路由器的internet IP为源地址。
Tunnel mode gre multipoint //模式为 grep multipoint
Ip mtu 1400
分公司1路由器配置
与总公司路由器配置类似,只是要配置nhrp-map。
Internet tunnel 10
Ip add 192.168.1.2 255.255.255.0
Ip nhrp map 192.168.1.1 200.1.1.1 //配置nhrp-map,分支机构需要配置
Ip nhrp network-id 10 //和总部配置一致
Tunnel source 200.1.1.2 //源地址为实际的接口地址
Tunnel mode gre multipoint //模式为 grep multipoint
分公司2路由器配置
与总公司路由器配置类似,只是要配置nhrp-map。
Internet tunnel 10
Ip add 192.168.1.3 255.255.255.0
Ip nhrp map 192.168.1.1 200.1.1.1 //配置nhrp-map,分支机构需要配置
Ip nhrp network-id 10 //和总部配置一致
Tunnel source 200.1.1.3 //源地址为实际的接口地址
Tunnel mode gre multipoint //模式为 grep multipoint
分公司3路由器配置
与总公司路由器配置类似,只是要配置nhrp-map。
Internet tunnel 10
Ip add 192.168.1.3255.255.255.0
Ip nhrp map 192.168.1.1 200.1.1.1 //配置nhrp-map,分支机构需要配置
Ip nhrp network-id 10 //和总部配置一致
Tunnel source 200.1.1.3 //源地址为实际的接口地址
Tunnel mode gre multipoint //模式为 grep multipoint
IPSEC配置
以下配置需要在总部和分公司路由器上配置。
Crypto isakmp policy 10
Hash md5
Encryption 3des
Authentication pre-share //使用共享密钥
Crypto isakmp key j123456 address 0.0.0.0 0.0.0.0 //配置目标地址为任意和密钥
Crypto ipsec transform jiami esp-3des //配置加密集
Mode transport //模式为transport,这样只对gre加密而不建立遂道
Crypto ipsec profile test //配置ipsec策略
Set transform-set jiami //关联加密集
Internet tunnel 10
Tunnel protection ipsec profile test //在GRE下调用ipsec policy
OSPF配置
在总部和分公司路由器上配置,和一般情况下的OSPF无异,只是宣告的网段或地址为tunnel IP地址。
Router ospf 10
Network 192.168.1.0 0.0.0.255 area 0 //宣告tunnel的IP地址段
验证
可使用“show dmvpn”、“show crypto engine connection active ”、“show ip nhrp”“ping ”、“show ip route”命令进行验证。 主要使用show crypto engine connection active和show nhrp进行DMVP的验证。
