|
|
|
|
移动端

13.2.3 DMVPN实验步骤(3)

《思科CCIE路由交换v5实验指南》本书面向广大的网络工程师及对网络感兴趣的读者,旨在帮助读者成为一名优秀的思科网络工程师,进一步成为IT界认可度最高的顶级思科CCIE工程师。思科公司推出CCIE认证已有20年,考试大纲一直在更新换代,2014年6月思科把路由交换CCIE大纲升级到版本5.0(Version 5.0)。本节为大家介绍DMVPN实验步骤。

作者:周亚军来源:电子工业出版社 作者: 周亚军|2016-04-28 17:50

技术沙龙 | 邀您于8月25日与国美/AWS/转转三位专家共同探讨小程序电商实战

13.2.3  DMVPN实验步骤(3)

我们发现中心有两个分支的路由,但是分支仅仅有中心设备的路由。

我们先来解决路由问题,因为运行的是eigrp,而这是一个NBMA网络,即所有设备都在同一个网络(172.16.1.0),所以需要关掉eigrp的水平分割。

  1. Hub1(config-if)#no ip split-horizon eigrp 90  
  2. Spoke1#show ip route eigrp   
  3. Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP  
  4.        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area   
  5.        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
  6.        E1 - OSPF external type 1, E2 - OSPF external type 2  
  7.        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2  
  8.        ia - IS-IS inter area, * - candidate default, U - per-user static route  
  9.        o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP  
  10.        + - replicated route, % - next hop override  
  11.  
  12. Gateway of last resort is 202.100.1.254 to network 0.0.0.0  
  13.  
  14. D     192.168.2.0/24 [90/28288000] via 172.16.1.100, 00:10:04, Tunnel0——此时收到了路由,但是下  
  15. 一跳却不优化,下一跳地  
  16. 址是100的地址,而不是  
  17. 172.16.1.2  
  18. D     192.168.100.0/24 [90/27008000] via 172.16.1.100, 00:14:57, Tunnel0  

我们来解决下一跳问题。

Tunnel下对eigrp的优化:

  1. Hub1(config-if)#no ip next-hop-self eigrp 90 

验证:

  1. Spoke1#show ip route eigrp   
  2. Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP  
  3.        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area   
  4.        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
  5.        E1 - OSPF external type 1, E2 - OSPF external type 2  
  6.        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2  
  7.        ia - IS-IS inter area, * - candidate default, U - per-user static route  
  8.        o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP  
  9.        + - replicated route, % - next hop override  
  10.  
  11. Gateway of last resort is 202.100.1.254 to network 0.0.0.0  
  12.  
  13. D     192.168.2.0/24 [90/28288000] via 172.16.1.2, 00:00:18, Tunnel0——下一跳变为了优化的172.16.1.2  
  14. D     192.168.100.0/24 [90/27008000] via 172.16.1.100, 00:00:18, Tunnel0  

4.配置IPSec VPN

所有设备配置IPSec:

  1. crypto isakmp policy 10  
  2.  authentication pre-share  
  3. crypto isakmp key QYT address 0.0.0.0——因为是多点的VPN,所以地址为0.0.0.0  
  4. crypto ipsec transform-set Ender esp-des esp-md5-hmac   
  5.  mode transport——模式为传输模式  
  6. crypto ipsec profile DMVPN  
  7.  set transform-set Ender  
  8. interface Tunnel0  
  9. tunnel protection ipsec profile DMVPN——调用模版  

验证:

  1. Spoke2#ping 192.168.1.1 source loopback 0  
  2. Type escape sequence to abort.  
  3. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:  
  4. Packet sent with a source address of 192.168.2.1   
  5. !!!!!  
  6. Success rate is 100 percent (5/5), round-trip min/avg/max = 5/5/6 ms  
  7. Spoke2#show crypto isakmp sa——查看IKE的SA  
  8. IPv4 Crypto ISAKMP SA  
  9. dst             src             state          conn-id status  
  10. 61.128.1.100    202.100.1.2     QM_IDLE           1001 ACTIVE  
  11. 202.100.1.1     202.100.1.2     QM_IDLE           1002 ACTIVE  
  12. 202.100.1.2     61.128.1.100    QM_IDLE           1003 ACTIVE  
  13. Spoke2#show crypto engine connections active——查看加/解密报文情况  
  14. Crypto Engine Connections  
  15.  
  16.    ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address  
  17.     1  IPsec   DES+MD5                   0        8        8 202.100.1.2  
  18.     2  IPsec   DES+MD5                  10        0        0 202.100.1.2  
  19.     3  IPsec   DES+MD5                   0        0        0 202.100.1.2  
  20.     4  IPsec   DES+MD5                   0        0        0 202.100.1.2  
  21.     5  IPsec   DES+MD5                   0       13       13 202.100.1.2  
  22.     6  IPsec   DES+MD5                  14        0        0 202.100.1.2  
  23.  1001  IKE     SHA+DES                   0        0        0 202.100.1.2  
  24.  1002  IKE     SHA+DES                   0        0        0 202.100.1.2  
  25.  1003  IKE     SHA+DES                   0        0        0 202.100.1.2  
  26. R2-Spoke1#show ip nhrp——验证NHRP                          
  27. 172.16.1.1/32 via 172.16.1.1  
  28.    Tunnel0 created 00:02:32, expire 01:57:27  
  29.    Type: dynamic, Flags: router unique local   
  30.    NBMA address: 202.100.1.1   
  31.     (no-socket)   
  32. 172.16.1.2/32 via 172.16.1.2  
  33.    Tunnel0 created 00:02:32, expire 01:57:27  
  34.    Type: dynamic, Flags: router used   
  35.    NBMA address: 202.100.1.2——创建了动态映射  
  36. 172.16.1.100/32 via 172.16.1.100  
  37.    Tunnel0 created 00:12:55, never expire   
  38.    Type: static, Flags: used   
  39.    NBMA address: 61.128.1.100  
  40. 验证数据包的路径:  
  41. R2-Spoke1#traceroute 192.168.2.1 source loopback 0  
  42. Type escape sequence to abort.  
  43. Tracing the route to 192.168.2.1  
  44. VRF info: (vrf in name/id, vrf out name/id)  
  45.   1 172.16.1.2 6 msec 6 msec *——直接到达了Spoke2  
  46. R2-Spoke1#show crypto ipsec sa | i 202.100.1.2  
  47.    remote ident (addr/mask/prot/port): (202.100.1.2/255.255.255.255/47/0)  
  48.    current_peer 202.100.1.2 port 500  
  49.      local crypto endpt.: 202.100.1.1, remote crypto endpt.: 202.100.1.2——直接创建了IPSec VPN动态隧道  

Phase2不支持CEF(思科快速转发,我们将在交换章节讲解),所以在转发效率上较为低下。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Wicked Cool Java中文版

本书主要介绍由Sun微系统公司创建的Java编程语言。 除了核心内容外,Java还有许多免费的财富,即开放源代码的库。本书就是为了介绍这些库...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊