动态多点××× 单云双HUB

动态多点×××是一个高扩展的IPSEC ×××解决方案

传统的ipsec S2S 有以下劣势

1. 中心站点配置量大，不管是采用经典ipsec ***仍是采用 gre over ipsec 多一个分支站点就要增长一份配置，那么当分支站点过多配置就会变成沉重的负担而且不容易进行管理

2.分支站点间的流量延迟较大

分支站点与分支站点之间不能直接通讯，分支与分支进行通讯时 数据须要先送往数据中心进行中转 须要进行2次加密解密 大大增长了延迟时间

3 .每个分支站点之间都须要固定的IP地址

DM×××的优势

1. 简单的星型拓扑配置 提供了虚拟网状网络的连通性

2.分支站点之间支持动态IP

3.增长新的分支站点无需更改中心站点的配置

4.分支站点之间的流量不须要通过HUB端进行中转

DM××× 由4部分组成

1. 动态多点GRE 隧道

2. 下一跳地址解析协议 NHRP

3. 动态路由协议

4. ipsec技术

预配要求

1.各总部与分支机构之间不能有去往对方的路由条目

2.确保总部与分支机构之间的公网可通

建立DM ××× 总共分为4个步骤

1. 建立多点隧道

2. NHRP

3. 动态路由协议

4. IPSEC

第一步：建立多点隧道

hub1
R1(config)# int tunnel  0
R1(config-if)# ip add 172.16.1.1 255.255.255.0
R1(config-if)#tunnel  mode gre  multipoint
R1(config-if)#tunnel source s1/0
R1(config-if)#tunnel  key 12345
R1(config-if)#ip mtu  1400
R1(config-if)#bandwidth  1000

hub2
R2(config)#  int tunnel  0
R2(config-if)#  ip add 172.16.1.2 255.255.255.0
R2(config-if)#tunnel  mode gre  multipoint
R2(config-if)#tunnel  key  12345
R2(config-if)#tunnel  source  s1/1
R2(config-if)#ip mtu  1400
R2(config-if)#bandwidth  1000

spoke1
R3(config)# int tunnel  0
R3(config-if)#  ip add 172.16.1.3 255.255.255.0
R3(config-if)#tunnel  mode gre  multipoint
R3(config-if)# tunnel  key 12345
R3(config-if)#tunnel source  s1/2
R3(config-if)# ip mtu  1400
R3(config-if)# bandwidth  1000

spoke2
R4(config)#   int tunnel  0
R4(config-if)#   ip add 172.16.1.4 255.255.255.0
R4(config-if)#tunnel  mode gre  multipoint
R4(config-if)#tunnel  key 12345
R4(config-if)#tunnel source s1/3
R4(config-if)#ip mtu  1400
R4(config-if)# bandwidth  1000

第二步 配置NHRP

hub1

R1(config)#   int tunnel  0
R1(config-if)# ip nhrp  holdtime  300
R1(config-if)#ip nhrp network-id  100
R1(config-if)#  ip nhrp map 172.16.1.2 25.1.1.2
R1(config-if)#ip nhrp map multicast  25.1.1.2
两个hub端要互指

hub2
R2(config)#    int tunnel  0
R2(config-if)# ip nhrp holdtime  300
R2(config-if)# ip nhrp network-id  100

R2(config-if)#   ip nhrp map  172.16.1.1 15.1.1.1
R2(config-if)# ip nhrp  map multicast  15.1.1.1
两个hub端要互指

spoke1
R3(config)#  int tunnel  0
R3(config-if)# ip nhrp holdtime 300
R3(config-if)# ip nhrp network-id  100
R3(config-if)#  ip nhrp  nhs 172.16.1.1
R3(config-if)# ip nhrp nhs 172.16.1.2
R3(config-if)# ip nhrp map 172.16.1.1 15.1.1.1
R3(config-if)#ip nhrp map 172.16.1.2 25.1.1.2

spoke2
R4(config)#  int tunnel  0
R4(config-if)#   ip nhrp holdtime  300
R4(config-if)# ip nhrp  network-id  100
R4(config-if)#ip nhrp nhs 172.16.1.1
R4(config-if)# ip nhrp nhs 172.16.1.2
R4(config-if)# ip nhrp map  172.16.1.1 15.1.1.1
R4(config-if)# ip nhrp map 172.16.1.2 25.1.1.2

第三步 宣告路由协议EIGRP
hub1
R1(config)#router eigrp 90
R1(config-router)#net 172.16.1.0
R1(config-router)#no auto-summary

hub2
R2(config)#  router eigrp 90
R2(config-router)#net 172.16.1.0
R2(config-router)#no auto-summary

spoke1
R3(config)# router eigrp 90
R3(config-router)#net 172.16.1.0
R3(config-router)#no auto-summary

spoke2
R4(config)#router  eigrp  90
R4(config-router)# net 172.16.1.0
R4(config-router)#no auto-summary

此时EIGRP邻居关系没法创建  由于tunnel链路开启组播传输


hub1
R1(config-if)# ip nhrp map multicast  dynamic

hub2
R2(config-if)# ip nhrp  map multicast  dynamic

spoke1
R3(config-if)# ip  nhrp  map multicast  15.1.1.1
R3(config-if)# ip nhrp map multicast 25.1.1.2

spoke2
R4(config-if)# ip nhrp   map multicast  15.1.1.1
R4(config-if)# ip nhrp map multicast  25.1.1.2


tunnel链路的路由条目正确学习 可是分支与分支之间进行通讯，仍然要经过HUB端进行中转

hub1
R1(config-if)# no ip split-horizon  eigrp  90
R1(config-if)# no ip next-hop-self eigrp  90

hub2
R2(config-if)# no ip split-horizon  eigrp  90
R2(config-if)# no ip next-hop-self eigrp  90

第四步： 在各总部与分支机构路由器上开启IPSEC

Rx(config)#  crypto  isakmp  policy  10
Rx(config-isakmp)#encryption  3
Rx(config-isakmp)#authentication pre-share 
Rx(config-isakmp)#hash  md5 
Rx(config-isakmp)#group  2

Rx(config)#  crypto isakmp  key  cisco address  0.0.0.0 0.0.0.0 

Rx(config)#crypto ipsec  transform-set  myset esp-3des  esp-md5-hmacRx(cfg-crypto-trans)#mode tunnelRx(cfg-crypto-trans)#exitRx(config)#crypto ipsec profile myfileRx(ipsec-profile)#set transform-set mysetRx(ipsec-profile)#exitRx(config)# int tunnel  0Rx(config-if)#tunnel  protection ipsec profile myfile