|
|
51CTO旗下网站
|
|
移动端

13.2.3 DMVPN实验步骤(4)

《思科CCIE路由交换v5实验指南》本书面向广大的网络工程师及对网络感兴趣的读者,旨在帮助读者成为一名优秀的思科网络工程师,进一步成为IT界认可度最高的顶级思科CCIE工程师。思科公司推出CCIE认证已有20年,考试大纲一直在更新换代,2014年6月思科把路由交换CCIE大纲升级到版本5.0(Version 5.0)。本节为大家介绍DMVPN实验步骤。

作者:周亚军来源:电子工业出版社|2016-04-28 17:52

13.2.3  DMVPN实验步骤(4)

5.配置DMVPN的第三阶段

第三阶段支持汇总路由以及大型的树状架构的拓扑,同时支持CEF。

  1. Hub:  
  2. interface Tunnel0  
  3. ip next-hop-self eigrp 90——重新开启eigrp的下一跳  
  4. ip nhrp redirect——开启NHRP的重定向,NHRP重定向报文意味着去往目标的路径是不会被优化  
  5. 的,那么接收报文的设备应该找到一个更好的去往目标的路径  
  6. ip summary-address eigrp 90 192.168.0.0 255.255.0.0——把路由汇总到16位  

Spoke设备:

  1. interface Tunnel0  
  2. ip nhrp shortcut——这是分支设备的必需配置,使其可以具备更好的扩展性,在有多Hub的情况下  
  3. 提供优化的报文转发,具备更好的树状逻辑结构以及支持CEF转发  
  4. Spoke1#show ip route eigrp   
  5. Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP  
  6.        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area   
  7.        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
  8.        E1 - OSPF external type 1, E2 - OSPF external type 2  
  9.        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2  
  10.        ia - IS-IS inter area, * - candidate default, U - per-user static route  
  11.        o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP  
  12.        + - replicated route, % - next hop override  
  13.  
  14. Gateway of last resort is 202.100.1.254 to network 0.0.0.0  
  15.  
  16. D     192.168.0.0/16 [90/27008000] via 172.16.1.100, 01:17:10, Tunnel0  
  17. Spoke2#show ip route eigrp   
  18. Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP  
  19.        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area   
  20.        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
  21.        E1 - OSPF external type 1, E2 - OSPF external type 2  
  22.        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2  
  23.        ia - IS-IS inter area, * - candidate default, U - per-user static route  
  24.        o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP  
  25.        a - application route  
  26.        + - replicated route, % - next hop override  
  27.  
  28. Gateway of last resort is 202.100.1.254 to network 0.0.0.0  
  29.  
  30. D     192.168.0.0/16 [90/27008000] via 172.16.1.100, 01:17:22, Tunnel0  

在我们的环境中,因为没有树形构造,所以是没有太多优势的,更多时候是用于复杂的树形环境中。

  1. Spoke2#traceroute 192.168.1.1 source lo0  
  2. Type escape sequence to abort.  
  3. Tracing the route to 192.168.1.1  
  4. VRF info: (vrf in name/id, vrf out name/id)  
  5.   1 172.16.1.100 8 msec 5 msec 7 msec  
  6.   2 172.16.1.1 6 msec 7 msec *  

后续的报文是优化的转发路径:

  1. Spoke2#traceroute 192.168.1.1 source lo0  
  2. Type escape sequence to abort.  
  3. Tracing the route to 192.168.1.1  
  4. VRF info: (vrf in name/id, vrf out name/id)  
  5.   1 172.16.1.1 8 msec 5 msec  

如图13-7所示,说明了阶段3的DMVPN工作过程。

步骤1:阶段3的DMVPN支持中心站点向分支站点发送汇总路由,所以分支站点间流量总是会先被发送到中心站点,并由中心站点转发到目的分支站点。

步骤2:中心站点收到分支站点数据后,回送NHRP重定向(redirect)信息,这个重定向信息的主要目的是告诉分支站点一,中心站点不是最优的下一跳(虽然路由学习到的下一跳是中心站点),最优的下一跳是分支站点二的虚拟隧道地址。

注意:由于NHRP重定向能够动态优化路由,所以阶段3的DMVPN支持中心站点的路由汇总。

步骤3:当分支站点一收到NHRP重定向信息,并得知最优的下一跳不是中心站点而是分支站点二,此时分支站点马上发送NHRP解析请求给NHRP服务器(中心站点)。在阶段3的DMVPN,中心站点不会直接回送NHRP解析回应,而是把这个NHRP解析请求直接发给目的分支站点。

步骤4:分支站点二收到分支站点一所发的NHRP解析请求后,分支站点二会主动和分支站点一建立IPSec隧道。

步骤5:分支站点间IPSec隧道建立后,分支站点二会在隧道内回送NHRP解析回应给分支站点一。

步骤6:后续分支站点间流量就会直接在步骤4建立的IPSec隧道内转发。

验证NHRP:

  1. Spoke2#show ip nhrp   
  2. 172.16.1.1/32 via 172.16.1.1  
  3.    Tunnel0 created 00:13:06, expire 01:46:53  
  4.    Type: dynamic, Flags: router used nhop rib   
  5.    NBMA address: 202.100.1.1   
  6. 172.16.1.100/32 via 172.16.1.100  
  7.    Tunnel0 created 02:15:13, never expire   
  8.    Type: static, Flags: used   
  9.    NBMA address: 61.128.1.100   
  10. 192.168.1.0/24 via 172.16.1.1  
  11.    Tunnel0 created 00:13:06, expire 01:46:53  
  12.    Type: dynamic, Flags: router rib   
  13.    NBMA address: 202.100.1.1——按需建立的新的NHRP表项  
  14. 192.168.2.0/24 via 172.16.1.2  
  15.    Tunnel0 created 01:35:58, expire 01:46:53  
  16.    Type: dynamic, Flags: router unique local   
  17.    NBMA address: 202.100.1.2   
  18. (no-socket)  

最后,为了防止分片攻击要调整Tunnel接口的MTU(默认MTU为1476)如下:

  1. R2-Spoke1 (config)#interface tunnel 0  
  2. R2-Spoke1 (config-if)# ip mtu 1400  
  3. R2-Spoke1 (config-if)#ip tcp adjust-mss 1360——请自行调整其他设备  

注解:对RIP而言也存在水平分割问题,所以需要在Hub站点设备上关掉水平分割(no IP split-horizon),但它不存在下一跳为Hub设备的问题,对OSPF来讲,点到点的网络类型是不可取的,因为涉及多台设备,可以选择为广播的网络类型,但要确保Hub设备为DR,去往其他Spoke的下一跳为优化的Spoke设备的地址,也可以选择点到多点模式。

实验完成。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

C#2005编程进阶与参考手册

本书非常详细而全面地介绍了C#程序设计语言。本书不是“5分钟学习C#”式的手册,也不是那种教您“照猫画虎”地创建一些与您的实际工作需要...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊