Dynamic Multipoint VPN(DMVPN)

(1)配置R1:

R1(config)#int f0/0

R1(config-if)#ip add 10.1.1.1 255.255.255.0

R1(config-if)#no shut

R1(config-if)#exit

R1(config)#int s1/0

R1(config-if)#encapsulation frame-relay

R1(config-if)#no frame-relay inverse-arp

R1(config-if)#no arp frame-relay

R1(config-if)#ip add 12.1.1.1 255.255.255.0

R1(config-if)#no sh

R1(config-if)#frame-relay map ip 12.1.1.2 102 broadcast

R1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2

R1(config)#

说明:配置R1的接口地址,并写默认路由指向Internet(路由器R2),地址12.1.1.2。

R2(config)#int f0/0

R2(config-if)#ip add 23.1.1.2 255.255.255.0

R2(config-if)#no sh

R2(config-if)#exit

R2(config)#int f0/1

R2(config-if)#ip address 24.1.1.2 255.255.255.0

R2(config-if)#no sh

R2(config-if)#exit

R2(config)#int s1/0

R2(config-if)#encapsulation frame-relay

R2(config-if)#no frame-relay inverse-arp

R2(config-if)#no arp frame-relay

R2(config-if)#ip add 12.1.1.2 255.255.255.0

R2(config-if)#no shutdown

R2(config-if)#frame-relay map ip 12.1.1.1 201 broadcast

R2(config-if)#exit R2(config)#service dhcp

R2(config)#ip dhcp pool net23

R2(dhcp-config)#network 23.1.1.0 255.255.255.0

R2(dhcp-config)#default-router 23.1.1.2

R2(dhcp-config)#exit

R2(config)#ip dhcp pool net24

R2(dhcp-config)#network 24.1.1.0 255.255.255.0

R2(dhcp-config)#default-router 24.1.1.2

R2(dhcp-config)#exit

R2(config)#ip dhcp excluded-address 23.1.1.2

R2(config)#ip dhcp excluded-address 24.1.1.2

R2(config)#

说明:配置R2的接口地址,并且在R2上配置DHCP,向北京和广州的路由器提供动态IP地址,因为R2模拟Internet,R2只需要有公网路由12.1.1.0、23.1.1.0和24.1.1.0即可,所以R2不需要写任何路由,也不允许写任何路由。

(3)配置R3:

R3(config)#int f0/0

R3(config-if)#ip address dhcp

R3(config-if)#no shutdown

R3(config-if)#exit

R3(config)#int f0/1

R3(config-if)#ip address 192.168.1.3 255.255.255.0

R3(config-if)#no shutdown

R3(config-if)#exit

说明:在R3上配置内网网段192.168.1.0/24,并且在连Internet的接口F0/0上开启DHCP动态获得地址,所以F0/0上的IP地址是多少,事先是不知道的。

(4)配置R4:

R4(config)#int f0/0

R4(config-if)#ip address 172.16.1.4 255.255.255.0

R4(config-if)#no shutdown

R4(config-if)#exit

R4(config)#int f0/1

R4(config-if)#ip address dhcp

R4(config-if)#no shutdown

R4(config-if)#exit

说明:在R4上配置内网网段172.16.1.0/24,并且在连Internet的接口F0/1上开启DHCP动态获得地址,所以F0/1上的IP地址是多少,事先是不知道的。

(5)配置R5:

R5(config)#int f0/1

R5(config-if)#ip add 10.1.1.5 255.255.255.0

R5(config-if)#no sh

R5(config-if)#exit

R5(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

说明:配置R5的接口地址,并写默认路由指向上海公司出口路由器R1。

2.测试基础网络环境

(1)查看北京路由器R3的IP地址情况:

说明:北京路由器R3除了内网网段192.168.1.0/24之外,外网接口F0/0的地址23.1.1.1是DHCP动态获得的。

(1)在R1上配置DMVPN:

说明:R1为Hub 配置IKE(ISAKMP)策略:

R1(config)#crypto isakmp policy 1

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#hash sha

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 2

R1(config-isakmp)#exit

配置PSK认证密钥,必须使用通配符认证方法:

R1(config)#crypto isakmp key 0 cisco123 address 0.0.0.0

配置IPsec transform:

R1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac

R1(cfg-crypto-trans)#exit

配置IPsec profile:

R1(config)#crypto ipsec profile cisco

R1(ipsec-profile)#set transform-set ccie

R1(ipsec-profile)#exit

创建Tunnel接口1,号码任意:

R1(config)#int tunnel 1

为高层协议改变带宽值,只影响路由协议的Metric值计算,而并非QOS,默认带宽为9: R1(config-if)#bandwidth 1000

配置GRE接口地址为100.1.1.1/24:

R1(config-if)#ip address 100.1.1.1 255.255.255.0

将MTU改为1400,如果不改,下一跳路由器将会对数据包分片并重新封装:

R1(config-if)#ip mtu 1400

设置认证密码,同一个mGRE中所有点(包括所有Hub和所有spoke)的密码必须一致: R1(config-if)#ip nhrp authentication ccie123

spoke的地址加入组播映射中,否则与spoke之间使用组播的路由协议不能正常运行: R1(config-if)#ip nhrp map multicast dynamic

配置网络标识号,等于是启用NHRP,同一个mGRE中所有点(包括所有Hub和所有spoke)的号码必须一致:

R1(config-if)#ip nhrp network-id 1

关闭EIGRP水平分割,否则从一个spoke的EIGRP学习到的路由不能发给另一个spoke: R1(config-if)#no ip split-horizon eigrp 1

定义mGRE的源地址为S1/0的地址,即源地址为12.1.1.1:

R1(config-if)#tunnel source s1/0

定义GRE接口的类型为mGRE,Hub上的类型必须为mGRE:

R1(config-if)#tunnel mode gre multipoint

定义Tunnel接口ID,此步并不是必须的,如果定义,同一个mGRE中所有点(包括所有Hub和所有spoke)的号码必须一致:

R1(config-if)#tunnel key 10000

将IPsec profile关联到mGRE接口,用于保护mGRE接口的流量:

R1(config-if)#tunnel protection ipsec profile cisco

R1(config-if)#exit

(2)在R3上配置DMVPN:

说明:R3为spoke 配置IKE(ISAKMP)策略:

R1(config)#crypto isakmp policy 1

R1(config-isakmp)#encryption 3des

R1(config-isakmp)#hash sha

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#group 2

R1(config-isakmp)#exit

配置PSK认证密钥,必须使用通配符认证方法:

R1(config)#crypto isakmp key 0 cisco123 address 0.0.0.0

配置IPsec transform:

R1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac

R1(cfg-crypto-trans)#exit

配置IPsec profile:

R1(config)#crypto ipsec profile cisco

R1(ipsec-profile)#set transform-set ccie

R1(ipsec-profile)#exit

创建Tunnel接口3,号码任意:

R3(config)#int tunnel 3

为高层协议改变带宽值,只影响路由协议的Metric值计算,而并非QOS,默认带宽为9: R3(config-if)#bandwidth 1000 配置GRE接口地址为100.1.1.3/24:

R3(config-if)#ip address 100.1.1.3 255.255.255.0

将MTU改为1400,如果不改,下一跳路由器将会对数据包分片并重新封装:

R3(config-if)#ip mtu 1400

设置认证密码,同一个mGRE中所有点(包括所有Hub和所有spoke)的密码必

须一致:

R3(config-if)#ip nhrp authentication ccie123

将Hub的GRE接口地址100.1.1.1和公网IP地址12.1.1.1静态映射绑定:

R3(config-if)#ip nhrp map 100.1.1.1 12.1.1.1

开启能向Hub发送组播的功能,从而开启动态路由协议的功能:

R3(config-if)#ip nhrp map multicast 12.1.1.1

配置网络标识号,等于是启用NHRP,同一个mGRE中所有点(包括所有Hub和所有spoke)的号码必须一致:

R3(config-if)#ip nhrp network-id 1

将Hub路由器指定为NHRP Server:

R3(config-if)#ip nhrp nhs 100.1.1.1

定义mGRE的源地址为F0/0的地址:

R3(config-if)#tunnel source f0/0

定义GRE接口的类型为mGRE,spoke也可以选择直接指Hub的目标地址(即命令tunnel destination),如果需要使用spoke-to-spoke tunnel传递功能,必须配置为mGRE,指目标地址只能工作在hub-and-spoke tunnel:

R3(config-if)#tunnel mode gre multipoint

定义Tunnel接口ID,此步并不是必须的,如果定义,同一个mGRE中所有点(包括所有Hub和所有spoke)的号码必须一致:

R3(config-if)#tunnel key 10000

将IPsec profile关联到mGRE接口,用于保护mGRE接口的流量:

R3(config-if)#tunnel protection ipsec profile cisco

R3(config-if)#exit

4.测试DMVPN

(1)从Hub端R1向spoke端R3发送流量测试mGRE接口状况:

R1#ping 100.1.1.3

说明:Hub端R1的mGRE接口到spoke端R3的mGRE接口通信正常。

(2)查看Hub端R1的NHRP映射情况:

R1#show ip nhrp brief

说明:Hub路由器R1上已经存在spoke路由器R3的mGRE接口地址100.1.1.3对应的公网地址23.1.1.1的映射,并且显示为动态映射的,即spoke自动注册的。

(3)查看spoke端R3的NHRP映射情况:

R3#show ip nhrp

R3#show ip nhrp brief

将广州路由器加入DMVPN (1)使用类似于spoke路由器R3的配置方法来配置广州路由器R4的DMVPN:

R4(config)#crypto isakmp policy 1

R4(config-isakmp)#encryption 3des

R4(config-isakmp)#hash sha

R4(config-isakmp)#authentication pre-share

R4(config-isakmp)#group 2

R4(config-isakmp)#exit

R4(config)#crypto isakmp key 0 cisco123 address 0.0.0.0

R4(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac

R4(cfg-crypto-trans)#exit

R4(config)#crypto ipsec profile cisco

R4(ipsec-profile)#set transform-set ccie

R4(ipsec-profile)#exit

R4(config)#

R4(config)#int tunnel 4

R4(config-if)#bandwidth 1000

R4(config-if)#ip address 100.1.1.4 255.255.255.0

R4(config-if)#ip mtu 1400

R4(config-if)#ip nhrp authentication ccie123

R4(config-if)#ip nhrp map 100.1.1.1 12.1.1.1

R4(config-if)#ip nhrp map multicast 12.1.1.1

R4(config-if)#ip nhrp network-id 1

R4(config-if)#ip nhrp nhs 100.1.1.1

R4(config-if)#tunnel source f0/1

R4(config-if)#tunnel mode gre multipoint

R4(config-if)#tunnel key 10000

R4(config-if)#tunnel protection ipsec profile cisco

R4(config-if)#exit

说明:R4上DMVPN的各参数请参考R3上的配置解释。

配置spoke-to-spoke tunnel 通信方式

(1)在Hub路由器R1的mGRE接口上改变EIGRP下一跳规则:

R1(config)#int tunnel 1

R1(config-if)#no ip next-hop-self eigrp 1

R1(config-if)#

说明:让Hub路由器R1不再将从一个spoke收到的路由发给另一个spoke时将下一跳地址改为自己,而是保持原来的下一跳地址不变,即spoke到另外一个spoke的下一跳地址还是源spoke而不是Hub路由器。

时间: 2025-01-14 08:21:45

Dynamic Multipoint VPN(DMVPN)的相关文章

VPN(GRE)

此VPN能很好的封装数据,使一些网络层的数据能在其他的网络协议中传输. 但是此VPN有一个缺点便是没有好的加密机制. 配置方法: 拓扑:PC - RA - RB - PC ROUTER - A Interface s0/1 ip add 192.168.1.1 255.255.255.0 no shutdown Interface Tunnel0 ip add 1.1.1.1 255.255.255.0 no shutdown tunnel source s0/1 tunnel destinat

Centos 7搭建VPN(PPTP)服务器方法

在中国大陆封闭的互联网环境下,VPN这东西是必不可少的 免费VPN很多,可是,既不稳定又不安全,速度还慢,如果你有一台海外的VPS或服务器 自己搭建一个VPN是最好的选择 下面介绍Centos 7搭建VPN(PPTP)服务器方法 注意:本教程只适用于Centos 7 检查是否支持 若你使用XEN架构的VPS,下面的步骤不用执行 检测PPP是否开启: 1 cat /dev/ppp 开启成功的标志:cat: /dev/ppp: No such file or directory 或者 cat: /d

GNS3 配置Dynamic Multipoint VPN

1.实验拓扑 2.基础网络配置 R1配置: ip dhcp excluded-address 16.1.1.1 16.1.1.5 ip dhcp excluded-address 13.1.1.1 13.1.1.2 ip dhcp pool net16 network 16.1.1.0 255.255.255.0 default-router 16.1.1.1 ip dhcp pool net13 network 13.1.1.0 255.255.255.0 default-router 13.

CentOS6.8系统下安装VPN(pptpd)服务器

星期六休息,没事又开始折腾那台vps了,上周在上面安装了shadowsocks和vsftpd,一直开着就没动过了,ss代理需要单独安装客户端,只能寻找另一种方案代替了. PPTP点对点隧道协议(PPTP)是一种实现虚拟专用网络的方法. PPTP使用用于封装PPP数据包的TCP及GRE隧道控制通道PPTP可以应用到几乎所有的操作系统,无需安装任何软件. 部署环境:硬件平台:vps,基于kvm虚拟化,512MB MemoryOS:CentOS 6.8网络:eth0  45.76.210.222 验证

SSL VPN(WebVPN)

(1)将SSL VPN client模块传至路由器: R1#dir R1# 说明:本实验已经将SSL VPN client模块(sslclient-win-1.1.0.154.pkg)上传至路由器,如果需要,可以通过以下地址进行下载: http://www.china-ccie.com/download/sslclient/sslclient.rar (2)安装SSL VPN client模块: R1(config)#webvpn install svc disk0:sslclient-win-

Azure 国际篇_新旧版本迁移_Site to Site VPN(一)

从所周知,Azure 国际版有分传统(Classic)和资源管理(ARM)版本的区别,默认条件下这两个版本的虚拟机是不能通信的.所以要把虚拟机迁移到新的管理平台ARM上,目前我想到的方法有两种:1.传统(Classic)和资源管理(ARM)版本的虚拟网络的VPN打通:2.把传统(Classic)的虚拟机的VHD文件拷贝到资源管理(ARM).两种方法各有优缺点,方法一不用移动虚拟机down town时间短,但是两个版本的虚拟机通过vpn连接可能不稳定.方法二迁移虚拟机文件到新平台ARM,这是长久使

安装部署VPN(PPTP)服务器以及iptable的应用

yum remove -y pptpd ppp iptables --flush POSTROUTING --table nat iptables --flush FORWARD rm -rf /etc/pptpd.conf rm -rf /etc/ppp arch=`uname -m` wget http://www.hi-vps.com/downloads/dkms-2.0.17.5-1.noarch.rpm wget http://wty.name/linux/sources/kernel

树莓派搭建VPN(PPTP)服务器

备注:本文转自http://www.cnblogs.com/alexsun/p/5894338.html 需求及环境 学校的教务管理系统需要内网才能登录,当我不在学校的时候使用外网无法访问.于是打算把树莓派部署在寝室并搭建一个VPN服务器以便我连接以访问教务管理系统.树莓派通过有线连接到一个路由器,路由器拨号访问网络. 必要软件安装 我们需要用到ppp pptpd这2个软件 sudo apt-get install ppp sudo apt-get install pptpd 配置pptpd 设

vpn(一)免费VPN分享(程序猿们的VPN)

免费VPN分享(程序猿们的VPN) http://www.imxvpn.us/?fromuid=1339252 手机电脑都可以使用 速度 稳定性 价格