|
|
51CTO旗下网站
|
|
移动端

13.3.3 带VRF的DMVPN配置步骤(2)

《思科CCIE路由交换v5实验指南》本书面向广大的网络工程师及对网络感兴趣的读者,旨在帮助读者成为一名优秀的思科网络工程师,进一步成为IT界认可度最高的顶级思科CCIE工程师。思科公司推出CCIE认证已有20年,考试大纲一直在更新换代,2014年6月思科把路由交换CCIE大纲升级到版本5.0(Version 5.0)。本节为大家介绍带VRF的DMVPN配置步骤。

作者:周亚军来源:电子工业出版社|2016-04-28 18:00

13.3.3  带VRF的DMVPN配置步骤(2)

2.修改Tunnel的配置

注意Tunnel接口并不属于VRF接口,但是通过Tunnel转发的数据包必须指向VRF接口。

所有设备的Tunnel接口:

  1. interface Tunnel0  
  2. tunnel vrf Ender——该命令实际上强制指定隧道的目标通过VRF查找  

验证:

  1. R2-Spoke1#show ip route   
  2. Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP  
  3.        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area   
  4.        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
  5.        E1 - OSPF external type 1, E2 - OSPF external type 2  
  6.        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2  
  7.        ia - IS-IS inter area, * - candidate default, U - per-user static route  
  8.        o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP  
  9.        + - replicated route, % - next hop override  
  10.  
  11. Gateway of last resort is not set  
  12.  
  13.       172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks  
  14. C        172.16.1.0/24 is directly connected, Tunnel0——该接口属于全局路由表,而不是VRF路由  
  15. 表。只是通过Tunnel转发的数据要通过VRF  
  16. 接口(E0/2)转发  
  17. L        172.16.1.1/32 is directly connected, Tunnel0  
  18.       192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks  
  19. C        192.168.1.0/24 is directly connected, Loopback0  
  20. L        192.168.1.1/32 is directly connected, Loopback0  

做完此步骤才能验证Tunnel的直连通断:

  1. R1-Hub#ping 172.16.1.1  
  2. Type escape sequence to abort.  
  3. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:  
  4. !!!!!  
  5. Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms  
  6. R1-Hub#ping 172.16.1.2  
  7. Type escape sequence to abort.  
  8. Sending 5, 100-byte ICMP Echos to 172.16.1.2, timeout is 2 seconds:  
  9. !!!!!  
  10. Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/2 ms  

3.修改IKE第一阶段

所有设备去掉之前的配置:

  1. No crypto isakmp key cisco address 0.0.0.0 

VRF的特殊配置:

  1. crypto keyring QYT vrf Ender——表明该策略应用到特定的VRF   
  2.   pre-shared-key address 0.0.0.0 0.0.0.0 key QYT——在所有设备上配置基于VRF的预共享密钥认  
  3. 证,其中密码为QYT  

其他配置无须改变。

验证:

  1. R1-Hub#show crypto isakmp sa——如果发现此处只有一个Spoke有完好的SA,可以粘贴正确的设  
  2. 备配置  
  3. IPv4 Crypto ISAKMP SA  
  4. dst             src             state          conn-id status  
  5. 61.128.1.100    202.100.1.1     QM_IDLE           1039 ACTIVE  
  6. 61.128.1.100    202.100.1.2     QM_IDLE           1001 ACTIVE  
  7. R1-Hub#show crypto session  
  8. Crypto session current status  
  9.  
  10. Interface: Tunnel0  
  11. Session status: UP-ACTIVE       
  12. Peer: 202.100.1.1 port 500   
  13.   Session ID: 0    
  14.   IKEv1 SA: local 61.128.1.100/500 remote 202.100.1.1/500 Active   
  15.   IPSEC FLOW: permit 47 host 61.128.1.100 host 202.100.1.1   
  16.         Active SAs: 2, origin: crypto map  
  17.  
  18. Interface: Tunnel0  
  19. Session status: UP-ACTIVE       
  20. Peer: 202.100.1.2 port 500   
  21.   Session ID: 0    
  22.   IKEv1 SA: local 61.128.1.100/500 remote 202.100.1.2/500 Active   
  23.   IPSEC FLOW: permit 47 host 61.128.1.100 host 202.100.1.2   
  24.         Active SAs: 2, origin: crypto map  

4.配置路由协议

eigrp的配置(并不是在VRF下,因为此时是全局数据在通信):

  1. Hub设备  
  2. interface tunnel 0  
  3.  no ip split-horizon eigrp 90  
  4.  ip summary-address eigrp 90 192.168.0.0 255.255.0.0  
  5. router eigrp 90  
  6.  network 172.16.1.0 0.0.0.255  
  7.  network 192.168.100.0  
  8. Spoke1:  
  9. router eigrp 90  
  10.  network 172.16.1.0 0.0.0.255  
  11.  network 192.168.1.0  
  12. Spoke2:  
  13. router eigrp 90  
  14.  network 172.16.1.0 0.0.0.255  
  15.  network 192.168.2.0  

验证:

  1. R4-Spoke2#show ip route eigrp   
  2. Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP  
  3.        D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area   
  4.        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
  5.        E1 - OSPF external type 1, E2 - OSPF external type 2  
  6.        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2  
  7.        ia - IS-IS inter area, * - candidate default, U - per-user static route  
  8.        o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP  
  9.        a - application route  
  10.        + - replicated route, % - next hop override  
  11.  
  12. Gateway of last resort is not set  
  13.  
  14. D     192.168.0.0/16 [90/27008000] via 172.16.1.100, 01:26:37, Tunnel0  
  15. R4-Spoke2#ping 192.168.1.1 source loopback 0  
  16. Type escape sequence to abort.  
  17. Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds:  
  18. Packet sent with a source address of 192.168.2.1   
  19. !!!!!  
  20. Success rate is 100 percent (5/5), round-trip min/avg/max = 5/7/10 ms  
  21. R4-Spoke2#show crypto engine connections active——查看VPN加/解密情况  
  22. Crypto Engine Connections  
  23.  
  24.    ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address  
  25.    11  IPsec   DES+MD5                   0      589      589 202.100.1.2  
  26.    12  IPsec   DES+MD5                 587        0        0 202.100.1.2  
  27.    15  IPsec   DES+MD5                   0        2        2 202.100.1.2  
  28.    16  IPsec   DES+MD5                   1        0        0 202.100.1.2  
  29.  1001  IKE     SHA+AES                   0        0        0 202.100.1.2  
  30.  1002  IKE     SHA+AES                   0        0        0 202.100.1.2  
  31.  1003  IKE     SHA+AES                   0        0        0 202.100.1.2  

实验完成。


喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Windows Forms 编程实战

本书由浅入深地介绍Windows Forms编程的技巧和各种实用方法。本书先详细介绍了菜单、状态条、可复用类库、文件对话框、文本框、按钮、列表...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊