Есть центральный офис и 2 филиала, один с реальным ип, второй за серым ip (за роутером провайдера)
Динамика реализована на ospf
Dynamic Multipoint VPN — виртуальная частная сеть, умеет динамически создавать туннели между узлами
DMVPN включает следующие технологии:
mGRE туннель:
Альтернатива GRE-туннелям типа "точка - точка"
Терминирует множество GRE-туннелей, позволяет одному GRE-интерфейсу поддерживать несколько IPsec-туннелей
NHRP:
Протокол преобразования адресов
Учит хосты, находящиеся в NBMA (Non Broadcast Multiple Access)- сетях узнавать NBMA(физические) адреса соседей
Достигается запросами к next-hop-server (NHS)
Далее соседи могут обмениваться информацией друг с другом напрямую
Немного об опциях:
ip nhrp map multicast dynamic – динамическое изучение данных NHRP клиентов
ip nhrp network-id 100 – некоторый идентификатор процесса (указать свой по вкусу)
tunnel mode gre multipoint – терминирование всех туннелей удалённых офисов
Сторона ГО:
interface Loopback0
description OSPF
ip address 10.0.0.1 255.255.255.255
crypto ipsec profile cisco
set security-association lifetime seconds 120
set transform-set strong
interface Tunnel44
description DMVPN
ip address 192.168.100.1 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication 3216789
ip nhrp map multicast dynamic
ip nhrp network-id 100
ip tcp adjust-mss 1300
ip ospf network broadcast
ip ospf 10 area 0
tunnel source 1.1.1.1
tunnel mode gre multipoint
tunnel key 0
tunnel protection ipsec profile cisco
Мне еще потребовалось ввести статический маршрут
Это ip роутера cisco, который смотрит в сторону роутера провайдера
Т.е. схема +- такая с серым ip:
Интернет - Роутер провайдера (192.168.8.1 на внутр. инт.) - (192.168.8.2 на cisco с DMVPN)
ip route 192.168.8.2 255.255.255.255 Tunnel44
Сторона филиала1:
interface Loopback0
description OSPF
ip address 10.0.0.10 255.255.255.255
crypto ipsec profile cisco
set security-association lifetime seconds 120
set transform-set strong
interface Tunnel1
description DMVPN
ip address 192.168.0.10 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication 3216789
ip nhrp map 192.168.100.1 1.1.1.1
ip nhrp map multicast 1.1.1.1
ip nhrp network-id 100
ip nhrp nhs 192.168.100.1
ip nhrp registration no-unique
ip tcp adjust-mss 1300
ip ospf network broadcast
ip ospf 10 area 0
delay 100000
tunnel source FastEthernet0/0
tunnel mode gre multipoint
crypto ipsec profile cisco
set security-association lifetime seconds 120
set transform-set strong
interface Tunnel1
description DMVPN
ip address 192.168.0.20 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication 3216789
ip nhrp map 192.168.100.1 1.1.1.1
ip nhrp map multicast 1.1.1.1
ip nhrp network-id 100
ip nhrp nhs 192.168.100.1
ip nhrp registration no-unique
ip tcp adjust-mss 1300
ip ospf network broadcast
ip ospf 10 area 0
delay 100000
tunnel source FastEthernet0/0
tunnel mode gre multipoint
Дебаг:
show ip nhrp nhs
show ip nhrp brief
show ip nhrp
show ip nhrp summary
show ip nhrp traffic
show crypto engine connection active
show crypto ipsec sa
show crypto isakmp sa
Комментарии пользователей
Эту новость ещё не комментировалиНаписать комментарий
Анонимам нельзя оставоять комментарии, зарегистрируйтесь!
Код обмена баннерами