Dynamic Multipoint ××× (DM×××)动态多点×××-白红宇

Dynamic Multipoint ××× (DM×××)动态多点×××

阅读量：7105 次

发布时间：2019-06-28

本文共 10348 字，大约阅读时间需要 34 分钟。

如果一个大公司他们公司在中国有几十家子公司，而这些子公司的局域网需要和总公司的内网通信，现在让你帮他们设计子公司与总公司的××× 网络，并且希望总公司和分公司之间能够使用动态路由。由此，引出了Dynamic Multipoint ××× (DM×××).

完成DM××× 的功能，需要以下两个技术来实现：

1.multipoint GRE (mGRE)

2.Next Hop Resolution Protocol (NHRP)

在mGRE中，核心路由器称为Hub，而分支路由器称为spoke，在配置时，Hub上必须将GRE 接口类型指定为multipoint GRE (mGRE)，在Hub上配置mGRE接口，则不需要为每个peer单独建立一条GRE接口。

无论mGRE 中Hub 要和多少个spoke 连接，所有Hub 和所有spoke 的IP 地址必须在同网段。在mGRE 中，Hub 的物理IP 必须固定， Spoke 的物理IP 可随意。

Next Hop Resolution Protocol (NHRP)

对于mGRE，它利用了一个单独的协议去解决Hub 获得spoke 真实IP 地址的问题，这个协议就是Next Hop Resolution Protocol (NHRP)，因为只要动态IP 地址方先向静态IP 地址方发送数据，静态IP 地址方就能够知道动态IP 地址方的地址是什么，所以mGRE 的Hub 就可以在spoke 发给自己的数据包中得知spoke 的真实IP 地址，根据这个原因，NHRP 就强制规定spoke必须主动向Hub 告知自己的真实IP 地址，这样就能使HUB 轻松获得所有spoke的真实IP 地址，从而正常建立mGRE 中的所有GRE，最终实现DM×××。

如下图实验：我们以三地测试DMVPM，上海是Hub，武汉和惠州是spoke

conf t

line con 0

no exec-t

exit

host r1

int f0/0

no sh

ip add 192.168.1.1 255.255.255.0

exit

ip route 0.0.0.0 0.0.0.0 192.168.1.2

===============================R2==================================

R2>en

R2#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R2(config)#line con 0

R2(config-line)#no exec-t

R2(config-line)#exit

R2(config)#host r2

r2(config)#int f0/0

r2(config-if)#no sh

r2(config-if)#ip add 192.168.1.2 255.255.255.0

r2(config-if)#int f1/0

r2(config-if)#no sh

r2(config-if)#ip add 23.23.23.2 255.255.255.0

r2(config-if)#exit

r2(config)#ip route 0.0.0.0 0.0.0.0 23.23.23.3

r2(config)#

r2(config)#end

r2(config)#

r2(config)#crypto

r2(config)#crypto isa

r2(config)#crypto isakmp pol

r2(config)#crypto isakmp policy 10

r2(config-isakmp)#encryption 3de

r2(config-isakmp)#encryption 3des

r2(config-isakmp)#hash sha

r2(config-isakmp)#au

r2(config-isakmp)#authentication pre

r2(config-isakmp)#authentication pre-share

r2(config-isakmp)#grou

r2(config-isakmp)#group 2

r2(config-isakmp)#exit

r2(config)#crypto isakmp key 6 dm*** address 0.0.0.0

r2(config)#crypto ipsec transform-set myset esp-3

r2(config)#crypto ipsec transform-set myset esp-3des esp-sha

r2(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac

r2(cfg-crypto-trans)#exit

r2(config)#crypto ipsec profile cisco

r2(ipsec-profile)#set transform-set myset

r2(ipsec-profile)#exit

r2(config)#int tunne

r2(config)#int tunnel 2

r2(config-if)#no sh

r2(config-if)#band

r2(config-if)#bandwidth 1000

r2(config-if)#ip add 10.1.1.1.2 255.255.255.0

r2(config-if)#ip mtu 1400

r2(config-if)#ip nh

r2(config-if)#ip nhrp authentication *** --设置认证密码，同一个mGRE 中所有点（包括所有

Hub和所有spoke）的密码必须一致

r2(config-if)#ip nhrp map multicast dynamic -- 自动将spoke 的地址加入组播映射中，否则

与spoke 之间使用组播的路由协议不能正常运行

r2(config-if)#ip nhrp network-id 2--配置网络标识号，等于是启用NHRP，同一个mGRE 中所有点

（包括所有Hub 和所有spoke）的号码必须一致

r2(config-if)#no ip split-horizon eigrp 100

r2(config-if)#tunnel sour

r2(config-if)#tunnel source 23.23.23.2

r2(config-if)#tunnel mode gre multipoint --定义mGRE接口

r2(config-if)#tunnel key 10000--定义Tunnel接口ID，此步并不是必须的，若定义了，Hub和

spoke必须一致

r2(config-if)#tunnel protection ipsec pro

r2(config-if)#tunnel protection ipsec profile cisco

r2(config)#exit

r2(config)#

r2(config)#router eigrp 100

r2(config-router)#no au

r2(config-router)#net 192.168.1.0 0.2 0.0.0.0

r2(config-router)#net 10.1.1.2 0.0.0.0

r2(config-router)#exit

r2(config)#int tunnel2

r2(config-if)#no ip next-hop-self eigrp 100--让R4到R5的下一跳不经过Hub端，直接发往spoke端R5

r2(config-if)#

===================================Internet=================================

conf t

line con 0

no exec-t

exit

host Internet

int f0/0

no sh

ip add 23.23.23.3 255.255.255.0

int f1/0

no sh

ip add 34.34.34.3 255.255.255.0

int f2/0

no sh

ip add 35.35.35.3 255.255.255.0

exit

service dhcp

ip dhcp pool ***1

network 34.34.34.0 255.255.255.0

default-r 34.34.34.3

exit

ip dhcp pool ***2

network 35.35.35.0 255.255.255.0

default-r 35.35.35.3

exit

ip dhcp excluded-address 34.34.34.3

ip dhcp excluded-address 35.35.35.3

================================R4====================================

conf t

line con 0

no exec-t

exit

host r4

int f0/0

no sh

ip add dhcp

exit

ip route 0.0.0.0 0.0.0.0 34.34.34.3

r4(config)#int lo 0

r4(config-if)#no sh

r4(config-if)#

*Mar 1 00:04:23.831: %LINEPROTO-5-UPDOWN: Line protocol on Interface Loopback0,

changed state to up

r4(config-if)#ip add 192.168.2.4 255.255.255.0

r4(config-if)#

r4(config-if)#end

r4#

Enter configuration commands, one per line. End with CNTL/Z.

r4(config)#crypto isakmp policy 10

r4(config-isakmp)#encryption 3des

r4(config-isakmp)#hash sha

r4(config-isakmp)#aut

r4(config-isakmp)#authentication pre

r4(config-isakmp)#authentication pre-share

r4(config-isakmp)#group 2

r4(config-isakmp)#exit

r4(config)#crypto isakmp key 6 dm*** address 0.0.0.0

r4(config)#crypto ipse transform-set myset esp-3des esp-sha-hmac

r4(cfg-crypto-trans)#exit

r4(config)#crypto ipsec profile cico

r4(ipsec-profile)#set tran myset

r4(ipsec-profile)#exit

r4(config)#int tunnel 4

r4(config-if)#bandwidth 1000

r4(config-if)#ip add 10.10.1.4 255.255.255.0

r4(config-if)#ip mtu 1400

r4(config-if)#ip nhrp authentication ***

r4(config-if)#ip nhrp map 10.1.1.2 23.23.23.2 -Hub 的GRE 接口地址100.1.1.1 和公网IP 地

址12.1.1.1 静态映射绑定

r4(config-if)#ip nhrp map multicast 23.23.23.2-开启能向Hub 发送组播的功能，从而开启动态

路由协议的功能

r4(config-if)#ip nhrp net

r4(config-if)#ip nhrp network-id 2

r4(config-if)#ip nhrp nhs 10.1.1.2--将Hub 路由器指定为NHRP Server

r4(config-if)#tunnel source f0/0

r4(config-if)#tunnel mode gre multipoint

r4(config-if)#tunnel key 10000

r4(config-if)#tunnel protection ipsec profile ciaco

r4(config-if)#exit

r4(config)#router eigrp 100

r4(config-router)#no au

r4(config-router)#net 10.1.1.4 0.0.0.0

r4(config-router)#net 192.168.2.4 0.0.0.0

r4(config-router)#end

=================================R5===================================

conf t

line con 0

no exec-t

exit

host r5

int f0/0

no sh

ip add dhcp

int lo 0

no sh

ip add 172.16.16.5 255.255.255.0

exit

ip route 0.0.0.0 0.0.0.0 35.35.35.3

r5(config)#crypto isakmp policy 10

r5(config-isakmp)#en 3des

r5(config-isakmp)#hash sha

r5(config-isakmp)#authentication pr

r5(config-isakmp)#authentication pre-share

r5(config-isakmp)#group 2

r5(config-isakmp)#exit

r5(config)#crypto isakmp key 6 dm***add add 0.0.0.0

r5(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac

r5(cfg-crypto-trans)#exit

r5(config)#crypto ipsec profile cisco

r5(ipsec-profile)#set transform-set myset

r5(ipsec-profile)#exit

r5(config)#int tunnel 5

r5(config-if)#no sh

r5(config-if)#bandwidth 10000

r5(config-if)#ip add 10.1.1.5 255.255.255.0

r5(config-if)#ip mtu 1400

r5(config-if)#ip nhrp au

r5(config-if)#ip nhrp authentication ***

r5(config-if)#ip nhrp map 10.1.1.2 23.23.23.2

r5(config-if)#ip nhrp map mu

r5(config-if)#ip nhrp map multicast 23.23.23.2

r5(config-if)#ip nhrp network-id 2

r5(config-if)#ip nhrp nhs 10.1.1.2

r5(config-if)#tunnel soure f0/0

r5(config-if)#tunnel mode gre multipoint

r5(config-if)#tunnel key 1

r5(config-if)#tunnel key 10000

r5(config-if)#tunnel protection ipsec profile cisco

r5(config-if)#exit

r5(config)#int tunnel 5

r5(config-if)#band

r5(config-if)#bandwidth 1000

r5(config-if)#end

r5(config)#route eigrp 100

r5(config-router)#no au

r5(config-router)#net 10.1.1.5 0.0.0.0

r5(config-router)#net 172.16.16.5 0.0.0.0

r5(config-router)#exit

r5(config)#end

实验调试：

r2调试

r2#sh crypto isakmp peers

Peer: 34.34.34.1 Port: 500 Local: 23.23.23.2

Phase1 id: 34.34.34.1

Peer: 35.35.35.1 Port: 500 Local: 23.23.23.2

Phase1 id: 35.35.35.1

r2#sh crypto isakmp sa

dst src state conn-id slot status

23.23.23.2 34.34.34.1 QM_IDLE 1 0 ACTIVE

23.23.23.2 35.35.35.1 QM_IDLE 2 0 ACTIVE

IKE SA成功建立

查看Hub 端R2 的NHRP 映射情况

r2#sh ip nhrp

10.1.1.4/32 via 10.1.1.4, Tunnel2 created 03:04:23, expire 01:35:12

Type: dynamic, Flags: authoritative unique registered

NBMA address: 34.34.34.1

10.1.1.5/32 via 10.1.1.5, Tunnel2 created 02:46:34, expire 01:52:59

Type: dynamic, Flags: authoritative unique registered

NBMA address: 35.35.35.1

r2#sh ip nhrp brief

Target Via NBMA Mode Intfc Claimed

10.1.1.4/32 10.1.1.4 34.34.34.1 dynamic Tu2 < >

10.1.1.5/32 10.1.1.5 35.35.35.1 dynamic Tu2 < >

Hub端已经成功存在R4和R5的mGRE接口10.1.1.4,10.1.1.5对应的34.34.34.1,35.35.35.1的公网地址映射

spoke调试，以R4为例

r4#sh ip nhrp

10.1.1.2/32 via 10.1.1.2, Tunnel4 created 03:12:17, never expire

Type: static, Flags: authoritative used

NBMA address: 23.23.23.2

r4#sh ip nhrp brief

Target Via NBMA Mode Intfc Claimed

10.1.1.2/32 10.1.1.2 23.23.23.2 static Tu4 < >

spoke端成功建立Hub端mGRE接口10.1.1.2到23.23.23.2公网的映射，并且是静态映射

EIGRP调试

Hub端

r2#sh ip eigrp neighbors

IP-EIGRP neighbors for process 100

H Address Interface Hold Uptime SRTT RTO Q Seq

(sec) (ms) Cnt Num

1 10.1.1.4 Tu2 11 02:49:49 254 1524 0 9

0 10.1.1.5 Tu2 12 02:49:50 251 1506 0 8

成功建立邻居关系

r2#sh ip route

Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP

D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area

N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2

E1 - OSPF external type 1, E2 - OSPF external type 2

i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2

ia - IS-IS inter area, * - candidate default, U - per-user static route

o - ODR, P - periodic downloaded static route

Gateway of last resort is 23.23.23.3 to network 0.0.0.0

23.0.0.0/24 is subnetted, 1 subnets

C 23.23.23.0 is directly connected, FastEthernet1/0

172.16.0.0/24 is subnetted, 1 subnets

D 172.16.16.0 [90/15488000] via 10.1.1.5, 02:50:41, Tunnel2

10.0.0.0/24 is subnetted, 1 subnets

C 10.1.1.0 is directly connected, Tunnel2

C 192.168.1.0/24 is directly connected, FastEthernet0/0

D 192.168.2.0/24 [90/15488000] via 10.1.1.4, 02:50:41, Tunnel2

S* 0.0.0.0/0 [1/0] via 23.23.23.3

学到武汉和惠州的内网路由

连通测试以r1为例

r1#ping

*Mar 1 04:02:08.310: %SYS-5-CONFIG_I: Configured from console by console

r1#ping 192.168.2.4

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.2.4, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 84/127/160 ms

r1#ping 172.16.16.5

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.16.5, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 92/140/204 ms

r1#

r1#tra 172.16.16.5

Type escape sequence to abort.

Tracing the route to 172.16.16.5

1 192.168.1.2 44 msec 48 msec 12 msec

2 10.1.1.5 176 msec * 204 msec

成功通过隧道和惠州通信

r1#tra 192.168.2.4

Type escape sequence to abort.

Tracing the route to 192.168.2.4

1 192.168.1.2 84 msec 52 msec 20 msec

2 10.1.1.4 112 msec * 140 msec

成功通过隧道和武汉通信

转载于:https://blog.51cto.com/loverain/819317

你可能感兴趣的文章

MS SQL Server迁移至Azure SQL(官方工具)

查看>>

jquery.cookie.js 删除cookie

vue中改elementUI默认样式引发的static 与 assets的区别

查看>>

jQuery防止click双击多次提交及传递动态函数方法

查看>>

《JAVA开发环境的熟悉》实验报告——20145337

查看>>

用于string对象中字符截取的几种函数总结——语法、参数意义及用途举例

查看>>

Android控件— — —ImageView

查看>>

严格模式认识

查看>>

BZOJ 3198 [Sdoi2013]spring

In-Memory：内存优化数据的持久化和还原

查看>>