当前位置：首页 > DMVPN

DMVPN

62 次阅读
3 次下载
2026/4/23 2:35:05

Cisco 路由器配置 DMVPN+NHRP详细介绍

时间:2010-02-11 18:52来源:未知作者:admin 点击: 261

次

最近联通的小弟遇到个比较搞笑的事情、一个老外做dmvpn时候一直不断骚扰他们、问是不是运营商那边把他们的50 51端口给封了、回复了几次他都不相信是自己配置的错误。今天抽空把DMVPN +NHRP做了一下、简单复习一下: 所谓的DMVPN是指Dynamic Multipoint IPsec

最近联通的小弟遇到个比较搞笑的事情、一个老外做dmvpn时候一直不断骚扰他们、问是不是运营商那边把他们的50 51端口给封了、回复了几次他都不相信是自己配置的错误。

今天抽空把DMVPN +NHRP做了一下、简单复习一下:

所谓的DMVPN是指Dynamic Multipoint IPsec VPNs 动态的多点ipsecvpn、以前我们做的点对点使用GRE隧道的比较多、别忘记了把EIGRP的

split-horizon 关闭了因为EIGRP will notadvertise routes learned via the mGRE interface back out that sameinterface 这里是多个GRE隧道 Spoke1 Router

authentication pre-share

crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 !

crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport !

crypto ipsec profile vpnprof set transform-set trans2 !

interface Tunnel0 bandwidth 1000

ip address 10.0.0.2 255.255.255.0 ip mtu 1400

ip nhrp authentication test

ip nhrp map multicast 172.17.0.1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 300 ip nhrp nhs 10.0.0.1

ip ospf network broadcast ip ospf priority 0 delay 1000

tunnel source Ethernet0 tunnel mode gre multipoint

tunnel key 100000

tunnel protection ipsec profile vpnprof !

interface Ethernet0

ip address dhcp hostname Spoke1 !

interface Ethernet1

ip address 192.168.1.1 255.255.255.0 !

router ospf 1

network 10.0.0.0 0.0.0.255 area 0 network 192.168.1.0 0.0.0.255 area 0 !

Hub Router

interface Tunnel0 bandwidth 1000

ip address 10.0.0.1 255.255.255.0 ip mtu 1400

ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 100000

ip nhrp holdtime 600

ip ospf network broadcast ip ospf priority 2 delay 1000

tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000

tunnel protection ipsec profile vpnprof interface Ethernet0

ip address 172.17.0.1 255.255.255.0 interface Ethernet1

ip address 192.168.0.1 255.255.255.0 router ospf 1

network 10.0.0.0 0.0.0.255 area 0 network 192.168.0.0 0.0.0.255 area 0 Spoke2 Router !

crypto isakmp policy 1 authentication pre-share

crypto isakmp key cisco47 address 0.0.0.0 0.0.0.0 !

crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport !

crypto ipsec profile vpnprof set transform-set trans2 !

interface Tunnel0 bandwidth 1000

ip address 10.0.0.3 255.255.255.0 ip mtu 1400

ip nhrp authentication test

ip nhrp map multicast 172.17.0.1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 300 ip nhrp nhs 10.0.0.1

ip ospf network broadcast ip ospf priority 0 delay 1000

tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 100000

tunnel protection ipsec profile vpnprof

interface Ethernet0

ip address dhcp hostname Spoke1 !

interface Ethernet1

ip address 192.168.3.1 255.255.255.0 !

router ospf 1

network 10.0.0.0 0.0.0.255 area 0 network 192.168.2.0 0.0.0.255 area (责任编辑：admin)

GRE隧道的三个任务

IPSEC的问题：只支持单播流量，组播和广播流量是不会穿过数据SA的。

GRE原理：将一个完整的组播和广播数据包封装在一个单播数据包（IPSEC）里，以处理如OSPF的组播或

RIP的广播数据流，以完成对端的动态路由学习。

cisco对GRE的应用，本质是：GRE处理广播、组播、非IP数据流，而IPSEC提供单播框架保护，以便在IP

骨干网上传输。

拓扑图：

192.168.1.0/24/R1/192.1.1.1——WAN——193.1.1.1/R2/192.168.2.0/24 |————————————————| 192.168.3.1/GRE隧道/192.168.3.2

回顾：IPSEC需要使用的协议，被ACL放行管理连接使用的是UDP端口500

AH和ESP不使用端口，使用协议51和50 NAT-T使用的是UDP端口4500

IPSEC-OVER-UDP使用的是UDP端口10000 IPSEC-OVER-TCP使用的是TCP端口10000

在后三者中，被用来处理NAT、PAT对IPSEC造成的影响，如果同时被配置，IPSEC-OVER-TCP优先于NAT-T，

NAT-T优先于IPSEC-OVER-UDP ，NAT-T由cisco开发，已成为开放标准，默认在高IOS版本的cisco路由器上

搜索更多关于： DMVPN 的文档

版权认领

下载文档10.00 元 加入VIP免费下载

推荐下载

本文作者：...

共分享92篇相关文档

文档简介：

Cisco 路由器配置 DMVPN+NHRP详细介绍时间:2010-02-11 18:52来源:未知作者:admin 点击: 261次最近联通的小弟遇到个比较搞笑的事情、一个老外做dmvpn时候一直不断骚扰他们、问是不是运营商那边把他们的50 51端口给封了、回复了几次他都不相信是自己配置的错误。今天抽空把DMVPN +NHRP做了一下、简单复习一下: 所谓的DMVPN是指Dynamic Multipoint IPsec 最近联通的小弟遇到个比较搞笑的事情、一个老外做dmvpn时候一直不断骚扰他们、问是不是运营商那边把他们的50 51端口给封了、回复了几次他都不相信是自己配置的错误。今天抽空把DMVPN +NHRP做了一下、简单复习一下: 所谓的DMVPN是指Dynamic

DMVPN

相关文档

相关推荐