DM***的詳細配置 2
一、多點GRE配置(mGRE),結合NHRP(下一跳地址解析協議)使用
1.中心站點配置:
1)建立tunnel口及相關配置
inter tunnel 0
tunnel source e1/0(指定公網的外出接口作爲隧道源地址)
tunnel mode gre multipoint(指定隧道的類型爲多點GRE)
tunnel key 驗證密碼(爲數字,雙方必須匹配,驗證爲可選項)
2)NHRP協議的配置
R1(config-if)#ip nhrp map multicast(支持組播及廣播) dynamic (客戶端地址採用動態解析)
R1(config-if)#ip nhrp network-id 100(指定網絡ID,相同ID在同一廣播域,要求所有站點ID相同)
2.分支站點配置:
1)建立tunnel口及相關配置
inter tunnel 0
tunnel source e1/0(指定公網的外出接口作爲隧道源地址)
tunnel mode gre multipoint(指定隧道的類型爲多點GRE,在本模式下,分支站點也可建立動態隧道)
###(如建立全互聯tunnel隧道,可指定爲mGRE( 多點隧道接口),否則可以直接指定目的爲HUB地址tunnel destination 202.1.1.2)
tunnel key 驗證密碼(爲數字,雙方必須匹配,驗證爲可選項)
2)NHRP協議的配置
ip nhrp nhs 192.168.1.1 (指定NHRP服務器地址,通常爲中心站點tunnel接口私網地址)
ip nhrp map 192.168.1.1(本地址爲中心站點隧道接口的私網地址) 201.1.1.1
(爲中心站點公網接口地址)
ip nhrp network-id 100(指定網絡ID,相同ID在同一廣播域,要求所有站點ID相同)
可選項:NHRP驗證:ip nhrp authentication test (驗證密碼)
3.關於動態路由協議在多點GRE NBMA模式下配置
在分支站點還必須做如下配置
1)ip nhrp map multicast 201.1.1.1 (中心站點公網地址)
使得多點GRE接口能夠向中心站點發送組播和廣播包
(ospf網絡類型改成broadcast或point-to-multipoint)
2)距離矢量類路由協議必須關閉水平分割(因爲是點到多點接口)
no ip split-horizon
no ip split-horizon eigrp 1
二、ipsec配置
1、第一階段
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key g2myway(驗證密碼)address 0.0.0.0 0.0.0.0
(對所有地址驗證全匹配)
2、第二階段
crypto ipsec transform-set r1trans esp-3des esp-sha-hmac
轉換集的配置
3、ipsec profile的配置(沒有定義對等體及感興趣流量)
crypto ipsec profile myprofile(profile命名)
set transform-set r1trans
4、應用至tunnel接口
tunnel protection ipsec profile myprofile(profile命名)
對所有tunnel的流量進行ipsec的保護
1.中心站點配置:
1)建立tunnel口及相關配置
inter tunnel 0
tunnel source e1/0(指定公網的外出接口作爲隧道源地址)
tunnel mode gre multipoint(指定隧道的類型爲多點GRE)
tunnel key 驗證密碼(爲數字,雙方必須匹配,驗證爲可選項)
2)NHRP協議的配置
R1(config-if)#ip nhrp map multicast(支持組播及廣播) dynamic (客戶端地址採用動態解析)
R1(config-if)#ip nhrp network-id 100(指定網絡ID,相同ID在同一廣播域,要求所有站點ID相同)
2.分支站點配置:
1)建立tunnel口及相關配置
inter tunnel 0
tunnel source e1/0(指定公網的外出接口作爲隧道源地址)
tunnel mode gre multipoint(指定隧道的類型爲多點GRE,在本模式下,分支站點也可建立動態隧道)
###(如建立全互聯tunnel隧道,可指定爲mGRE( 多點隧道接口),否則可以直接指定目的爲HUB地址tunnel destination 202.1.1.2)
tunnel key 驗證密碼(爲數字,雙方必須匹配,驗證爲可選項)
2)NHRP協議的配置
ip nhrp nhs 192.168.1.1 (指定NHRP服務器地址,通常爲中心站點tunnel接口私網地址)
ip nhrp map 192.168.1.1(本地址爲中心站點隧道接口的私網地址) 201.1.1.1
(爲中心站點公網接口地址)
ip nhrp network-id 100(指定網絡ID,相同ID在同一廣播域,要求所有站點ID相同)
可選項:NHRP驗證:ip nhrp authentication test (驗證密碼)
3.關於動態路由協議在多點GRE NBMA模式下配置
在分支站點還必須做如下配置
1)ip nhrp map multicast 201.1.1.1 (中心站點公網地址)
使得多點GRE接口能夠向中心站點發送組播和廣播包
(ospf網絡類型改成broadcast或point-to-multipoint)
2)距離矢量類路由協議必須關閉水平分割(因爲是點到多點接口)
no ip split-horizon
no ip split-horizon eigrp 1
二、ipsec配置
1、第一階段
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key g2myway(驗證密碼)address 0.0.0.0 0.0.0.0
(對所有地址驗證全匹配)
2、第二階段
crypto ipsec transform-set r1trans esp-3des esp-sha-hmac
轉換集的配置
3、ipsec profile的配置(沒有定義對等體及感興趣流量)
crypto ipsec profile myprofile(profile命名)
set transform-set r1trans
4、應用至tunnel接口
tunnel protection ipsec profile myprofile(profile命名)
對所有tunnel的流量進行ipsec的保護
本文出自 “strive” 博客,請務必保留此出處http://huangwei.blog.51cto.com/467106/130483