HTML/JavaScript

2017年8月17日星期四

【Cisco】【安全】【CCNA】GETVPN简介

GETVPN简介

GET VPN简介(Group Encrypted Transport VPN)

介绍

GETVPN有三大特点
1. 实现实时任意到任意的连接(Any-to-Any Connectivity)
2. 扩展性高
3. 可以实现实时连接
GET VPN相比于传统VPN(IPSec VPN)可以很好的解决如下问题。

影响QOS

(在新IOS上已不是问题)在传统的IPSec VPN中,流量从终端设备发送出来携带DSCP值,数据包经过加密点,采用Tunnel mode进行封装,Tunnel mode方式会将整个原始数据进行加密,然后产生一个新的IP头,新产生的IP头不会继承原有数据包的DSCP值,因此数据包通过加密设备之后DSCP值为0,影响了正常的QOS工作。

同理在GETVPN中采用IP头部预留技术,会将原始的IP头部复制一份到最外层,同时对原有的IP头部进行安全保护,因此GETVPN能更好的与QOS配合使用。

          +-------++----+     
          |IP Head||Data|     
          +-------++----+     
           \             \    
            \             \   
             \             \  
+-------++---++-------++----+ 
|IP Head||ESP||IP Head||Data| 
+-------++---++-------++----+ 
    ^             |           
    |             |           
    |             |           
    +-----Copy----+

组播数据流和实时流量传输

在传统的IPSec VPN中,中心站点需要将同一份数据包传送到两个分支站点(分支站点A、分支站点B),那么需要分别与分支站点建立安全关联(SA),中心站点发送数据到分支站点A的流量,不能被中心站点B所解密,反之亦然。所以当需要涉及一对多传输或多对多传输的情况时,IPSec VPN需要建立很多个安全关联(SA)增加了网络的复杂度维护的难度。
并且在站点和站点通信时,必须预先进行IKE协商,产生安全关联(SA),才能传输数据,因此对于实时性的流量(语音、视频)会增加网络延迟,影响用户体验。

GET VPN中引入新概念称之为信任组成员“Trust Group Members”。所有需要加密或解密的站点,需要先加入这个信任组中,并且在这个信任组中至少存在一个密钥服务器(Key Server),密钥服务器(Key Server)的主要任务就是认证组成员,组成员一旦认证成功这个组成员就拥有了一个与其他组成员相同的安全关联,这个安全关联可以用于进行加密和解密数据。由于具有相同的安全关联,那么在相同组内的的站点彼此之间就可以互相通信。
由于GETVPN的安全关联并不是被流量触发而产生,而是由组成员注册到服务器后进行下发的,因此可以减少因为协商安全关联而造成的网络延迟。这一点相比IPSec VPN要更加友好。

覆盖路由问题

在传统的IPSec VPN中,需要在站点和站点之间运行动态路由协议,来保证站点内部的路由互相学习,所以需要在Tunnel接口上运行IPSec VPN和动态路由协议,因此产生了覆盖路由的问题。
覆盖路由是指,上层Tunnel接口的动态路由协议,依赖于底层的路由协议运行。

GET VPN因为保留原始的IP头部信息,是一种典型的无隧道VPN技术,因此消除了隧道类型IPSec VPN带来的覆盖路由的问题。

GET VPN三大组件

密钥服务器(GCKS,Group Controller/Key Servers)

GCKS是以组的形式进行维护密钥的设备。单一个组成员(Group Member)进行注册的时候,密钥服务器(Key Server)会向这个组成员(Group Member)发送密钥和策略。同时密钥服务器(Key Server)会在密钥超时之前进行密钥更新。
GCKS发送两种形式的密钥,传输加密密钥(TEK、Traffic Encryption Key)、加密密钥的密钥(KEK、Key Encryption Key)。

组解释域(GDOI,Group Domain of Interpretation )

GDOI协议用于在组成员和组控制器/密钥服务器(GCKS)之间建立安全关联,为安全的组通信提供支持,它会为获得授权的组成员间建立SA (安全关联),GDOI 消息用来为组创建、维持或删除SA,被定义在IETF RFC 3547 中。GDOI协议使用UDP/848端口号。

组成员(Group Member)

组成员是一台路由器,他在密钥服务器上注册,并且从密钥服务器获取IPsec SA,使用这个SA与属于这个组的其它设备通讯,组成员在密钥服务器上注册并且提供了一个组ID,并且从服务器获取用于这个组的安全策略和密钥。

GET VPN如何工作(How GET VPN Works)

  1. 每个组成员向密钥服务器发送一个注册请求。密钥服务器通过使用GDOI 协议对组成员进行认证和授权,并向其发送IPsec 策略和密钥,该密钥将用于加密/解密IP组播和单播包。

  2. 组成员向IPsec SA 注册成功后,会接收到相应的密钥,于是它可以绕过密钥服务器,直接和其他组成员交换加密的IP 组播和单播数据包,从而实现了安全通信。TEK 用来确保所有组成员间通信的安全。

  3. 若有必要,密钥服务器会向组内的所有组成员发送密钥更新消息。该消息包括新的IPsec 策略和密钥,在当前IPsecSA 过期后,组成员就会使用新的IPsec 策略和密钥。密钥更新消息要在SA 过期之前发送出去以确保组成员始终存在有效的组密钥。

摘自PDF注释信息:
1. 每一个组成员发送注册请求到密钥服务器。通过GDOI协议,密钥服务器认证和授权组成员,并且发送策略和用于加解密IP单播和组播的密钥
2. 当组成员注册成功获取IPsec SA后,就会获取相应的密钥,组成员之间能够直接加密IP组播和单播,旁路掉密钥服务器建立安全的通讯。TEK用于加密在组成员之间的流量。
3. 如果需要,密钥服务器发送密钥更新信息到组内的所有成员。这个密钥更新信息包含新的IPsec策略和当IPsec SA超时以后使用的密钥,密钥更新信息会在SA超时之前发送,保障组密钥一直可用。

GDOI协议在密钥服务器和组成员之间分发安全策略(IPsec SA)和密钥。密钥服务器有责任创建和维护IPsec SA和密钥,并且下载IPsec SA和密钥给所有认证的组成员。这样收到IPsec SA后认证的组成员就能够和组内的其它成员加密通讯了。

GDOI协议被ISAKMP第一阶段交换后进行保护,所以GDOI密钥服务器需要和GDOI组成员拥有相同的ISAKMP策略。GDOI注册过程是一个单播交换使用UDP848,如果使用NAT-T就是4500。

在GDOI注册过程中,每一个组成员将收到一个组播组地址,每一个注册到这个组播组的成员都请求希望收到一个组播密钥,当注册成功以后,密钥服务器发送一个组播密钥更新给所有在这个组注册成功的成员。

GDOI Message Exchange (Unicast Exchange)

Created with Raphaël 2.1.2Key ServerKey ServerGroup MemberGroup Member-----------ISAKMP Phase 1-----------HDR, HASH. Initiator Nonce, Group IDHDR, HASH, Responder Nonce, SAHDR, HASHHDR, HASH, Keys-----------ISAKMP Phase 1-----------

HDR : HDR is an ISAKMP header payload
HASH: 每一个HASH都是一个伪随机数
Initiator Nonce、Responder Nonce: Ni、Nr
SA:Security Association
Keys: Key Download、KD

Group Member ACL

什么流量需要加密可以在密钥服务器上通过ACL静态的指定,这个策略既可以定义单播流量也可以定义组播流量,这个ACL定义了什么流量需要加密。这个信息会送到所有通过认证的组成员,创建可信任的域内通讯。这个策略从密钥服务器上下载并且附加在组成员本地配置ACL后面,任何组成员本地配置的ACL都优先于从密钥服务器上下载ACL。

Cisco推荐使用私有的地址规划从一个简单主类网络到所有的需要被保护的组成员内部接口网络,例如:使用主类网10.0.0.0/8到所有的组成员内网接口网段,一个A类网络可以划分成很多/24的子网,这样就大大降低了密钥服务器定义策略的负责程度,使用一个连续的网络块,你只需要定义一个ACL条目,例如:access-list 101 permit ip 10.0.0.0 0.255.255.255 10.0.0.0 0.255.255.255。

实验

拓扑

            +-------------+             +-------------+           
            |Key-Server-R4|             |Key-Server-R5|           
            +---/---------+             +---------/---+           
                |S1/1                         S1/1|                 
                |                                 |               
                |                                 |               
                |     S1/4+-------------+S1/5     |               
                +---------| Internet-R8 |---------+               
                          +------+------+                         
                                 |S1/0                               
                                 |                                
                                 |S1/0                             
 +---------------+    S1/1+------+------+S1/3      +---------------+
 |Group Member-R1+--------| Internet-R7 |----------+Group Member-R3|
 +---------------+S1/0    +------+------+      S1/0+---------------+
                                 |S1/2                               
                                 |                                
                                 |S1/0                            
                         +-------+-------+                         
                         |Group Member-R2|                         
                         +---------------+

IP地址规划

R1#show ip int br
Interface              IP-Address      OK? Method Status                Protocol 
Serial1/0              192.168.17.1    YES manual up                    up       
Loopback1              1.1.1.1         YES manual up                    up     

R2#show ip int br
Interface              IP-Address      OK? Method Status                Protocol 
Serial1/0              192.168.27.2    YES manual up                    up       
Loopback1              2.2.2.2         YES manual up                    up      

R3#show ip int br
Interface              IP-Address      OK? Method Status                Protocol 
Serial1/0              192.168.37.3    YES manual up                    up       
Loopback1              3.3.3.3         YES manual up                    up   

R4#show ip int br
Interface              IP-Address      OK? Method Status                Protocol 
Serial1/1              192.168.48.4    YES manual up                    up       
Loopback1              4.4.4.4         YES manual up                    up   

R5#show ip int br
Interface              IP-Address      OK? Method Status                Protocol 
Serial1/1              192.168.58.5    YES manual up                    up       
Loopback1              5.5.5.5         YES manual up                    up   

R7#show ip int br
Interface              IP-Address      OK? Method Status                Protocol 
Serial1/0              192.168.78.7    YES manual up                    up      
Serial1/1              192.168.17.7    YES manual up                    up      
Serial1/2              192.168.27.7    YES manual up                    up      
Serial1/3              192.168.37.7    YES manual up                    up 
Loopback1              7.7.7.7         YES manual up                    up   

R8#show ip int br
Interface              IP-Address      OK? Method Status                Protocol 
Serial1/0              192.168.78.8    YES manual up                    up       
Serial1/4              192.168.48.8    YES manual up                    up      
Serial1/5              192.168.58.8    YES manual up                    up       
Loopback1              8.8.8.8         YES manual up                    up

配置

!Key-Server-R4(Master)
crypto key generate rsa general label ccie43413-rsa
!
access-list 199 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
!         
crypto isakmp policy 10                                  !isakmp第一阶段配置
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key ccie43413 address 192.168.17.1         !isakmp第一阶段配置,与R1建立isakmp
crypto isakmp key ccie43413 address 192.168.27.2         !isakmp第一阶段配置,与R2建立isakmp
crypto isakmp key ccie43413 address 192.168.37.3         !isakmp第一阶段配置,与R3建立isakmp
crypto isakmp key ccie43413 address 192.168.58.5         !isakmp第一阶段配置,与R5建立isakmp
!
!
crypto ipsec transform-set gdoi-trans esp-3des esp-sha-hmac !设置传输转换集
 mode tunnel
!
!
crypto ipsec profile getvpn-profile                      !配置profile
 set security-association lifetime seconds 1800          !设置安全关联的寿命时间
 set transform-set gdoi-trans                            !调用配置传输转换集
!
crypto gdoi group getvpn-group                           !配置gdoi部分
 identity number 43413                                   !在同一个GETVPN域内的ID
 server local
  rekey retransmit 10 number 2                           !rekey重传,多少秒之后重新发送,重传次数
  rekey authentication mypubkey rsa ccie43413-rsa        !调用之前产生的RSA
  rekey transport unicast                                !指定采用单播的方式更新密钥
  sa ipsec 1                                             !配置IPSec sa 的id,不同的id在插入的时候顺序不一样
   profile getvpn-profile                                !调用配置“crypto ipsec profile”
   match address ipv4 199                                !配置感兴趣的数据流
   replay time window-size 5                             !配置防重放攻击 见“Group Encrypted Transport VPN (Get VPN) Design and Implementation Guide“3.5.7 TBAR
  address ipv4 192.168.48.4                              !配置本地KS服务器server地址
  redundancy
   local priority 100                                    !配置KS优先级,值越大越优先
   peer address ipv4 192.168.58.5                        !配置远端KS服务器server地址
!
------------------------------------------------------------------------------------------------------------------------------------
!Key-Server-R5(Standby)
crypto key generate rsa general label ccie43413-rsa
!
access-list 199 permit ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
!         
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key ccie43413 address 192.168.17.1   
crypto isakmp key ccie43413 address 192.168.27.2   
crypto isakmp key ccie43413 address 192.168.37.3   
crypto isakmp key ccie43413 address 192.168.48.4    !difference   
!
!
crypto ipsec transform-set gdoi-trans esp-3des esp-sha-hmac 
 mode tunnel
!
!
crypto ipsec profile getvpn-profile
 set security-association lifetime seconds 1800
 set transform-set gdoi-trans 
!
crypto gdoi group getvpn-group
 identity number 43413
 server local
  rekey retransmit 10 number 2
  rekey authentication mypubkey rsa ccie43413-rsa
  rekey transport unicast
  sa ipsec 1
   profile getvpn-profile
   match address ipv4 199
   replay time window-size 5
  address ipv4 192.168.58.5                         !difference
  redundancy
   local priority 80                                !difference
   peer address ipv4 192.168.48.4                   !difference
!
------------------------------------------------------------------------------------------------------------------------------------
!Group Member-R1、Group Member-R2、Group Member-R3
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
!
crypto isakmp key ccie43413 address 192.168.48.4
crypto isakmp key ccie43413 address 192.168.58.5
!
crypto gdoi group getvpn
identity number 43413
server address ipv4 192.168.48.4
server address ipv4 192.168.58.5
!
crypto map getvpn-map 10 gdoi
set group getvpn

interface s1/0
crypto map getvpn-map
!

参考文献

  1. Chapter 17. Group Encrypted Transport VPN (GET VPN)

  2. Group Encrypted Transport VPN (Get VPN) Design and Implementation Guide

  3. Network Security Technologies and Solutions, Chapter 17: Group Encrypted Transport VPN (GET VPN)

  4. 网络安全技术解决方案(修订版), 第17章 群组加密传输VPN(GETVPN)

  5. RFC 6407,RFC 3547

  6. GETVPN(Knowledge Base)

发帖者 时间: 没有评论:

2017年8月10日星期四

【Cisco】【安全】【CCNA】IPSec DMVPN高可靠性(实验)

IPSec DMVPN高可靠性

IPSec DMVPN高可靠性

这一部分主要是实验部分,如下的配置信息仅为关键配置部分。由于IPSec VPN属于公共配置,没有特别的地方,所以没有列出。具体参见附录。

单云双中心配置

单云双中心是在单个DMVPN环境内,提供两个NHS进行冗余和备份。

拓扑

+-------+                     +-------+
|Hub--R8|                     |Hub--R3|
+-------+                     +-------+
     S1/0\                   /S1/0     
          \                 /          
           \               /           
            \             /            
             \           /             
          S1/0\         /S1/3           
               +-------+               
               |Switch |               
               +-------+               
          S1/1/         \S1/2           
             /           \             
            /             \            
           /               \           
          /                 \          
     S1/0/                   \S1/0      
+--------+                    +--------+
|Spoke-R1|                    |Spoke-R2|
+--------+                    +--------+

IP地址规划

R1#show ip int br
Interface              IP-Address      OK? Method Status                Protocol    
Serial1/0              192.168.17.1    YES manual up                    up   

R2#show ip int br
Interface              IP-Address      OK? Method Status                Protocol  
Serial1/0              192.168.27.2    YES manual up                    up 

R3#show ip int br
Interface              IP-Address      OK? Method Status                Protocol     
Serial1/0              192.168.37.3    YES manual up                    up

R8#show ip int br
Interface              IP-Address      OK? Method Status                Protocol   
Serial1/0              192.168.78.8    YES manual up                    up 

R7#show ip int br
Interface              IP-Address      OK? Method Status                Protocol   
Serial1/0              192.168.78.7    YES manual up                    up      
Serial1/1              192.168.17.7    YES manual up                    up      
Serial1/2              192.168.27.7    YES manual up                    up      
Serial1/3              192.168.37.7    YES manual up                    up

配置

!Hub-R8
interface Tunnel1
 ip address 172.168.1.8 255.255.255.0
 no ip redirects
 ip nhrp map multicast dynamic          !动态的方式产生NHRP,对于下面的Spoke来说,是动态的方式进行学习NHRP。
 ip nhrp map 172.168.1.3 192.168.37.3   !对于Hub-2,是静态的方式进行注册。
 ip nhrp map multicast 192.168.37.3     !对于Hub-2,是静态的方式进行注册。
 ip nhrp network-id 10
 tunnel source Serial1/0
 tunnel mode gre multipoint
end

!Hub-R3
interface Tunnel1
 ip address 172.168.1.3 255.255.255.0
 no ip redirects
 ip nhrp map multicast dynamic          !动态的方式产生NHRP,对于下面的Spoke来说,是动态的方式进行学习NHRP。
 ip nhrp map 172.168.1.8 192.168.78.8   !对于Hub-1,是静态的方式进行注册。
 ip nhrp map multicast 192.168.78.8     !对于Hub-1,是静态的方式进行注册。
 ip nhrp network-id 10
 tunnel source Serial1/0
 tunnel mode gre multipoint
end

!Spoke-R1
interface Tunnel1
 ip address 172.168.1.1 255.255.255.0
 no ip redirects
 ip nhrp map 172.168.1.8 192.168.78.8        !向Hub-R8进行注册
 ip nhrp map 172.168.1.3 192.168.37.3        !向Hub-R3进行注册
 ip nhrp map multicast 192.168.78.8
 ip nhrp map multicast 192.168.37.3
 ip nhrp network-id 10
 ip nhrp nhs 172.168.1.3
 ip nhrp nhs 172.168.1.8
 tunnel source Serial1/0
 tunnel mode gre multipoint
end

!Spoke-R2
interface Tunnel1
 ip address 172.168.1.2 255.255.255.0
 no ip redirects
 ip nhrp map 172.168.1.8 192.168.78.8        !向Hub-R8进行注册
 ip nhrp map 172.168.1.3 192.168.37.3        !向Hub-R3进行注册
 ip nhrp map multicast 192.168.78.8
 ip nhrp map multicast 192.168.37.3
 ip nhrp network-id 10
 ip nhrp nhs 172.168.1.3
 ip nhrp nhs 172.168.1.8
 tunnel source Serial1/0
 tunnel mode gre multipoint
end

双云双中心

双云双中心是在两个不同的DMVPN域内,提供冗余备份,不仅仅是NHS冗余备份,更是ISP不同链路上的备份。

拓扑

 +-------+           +-------+   
 | Hub-R1|           | Hub-R2|   
 +-------+           +-------+   
    |S1/0                   |S1/1
    |                       |    
    |                       |    
    |                       |    
    |S1/1                   |S1/2
 +-------+           +-------+   
 |ISP--R7|           |ISP--R8|   
 +/------+S1/4       +------/+   
  |S1/3   \         /S1/3   |S1/4
  |        \       /        |    
  |         \     /         |    
  |          \   /          |    
  |           \ /           |    
  |            \            |    
  |           / \           |    
  |          /   \          |    
  |         /     \         |    
  |S1/0    /       \S1/0    |S1/1
+\-------+ S1/1      +------\-+   
|Spoke-R3|           |Spoke-R4|   
+--------+           +--------+

IP地址规划

R1#show ip int br
Interface              IP-Address      OK? Method Status                Protocol   
Serial1/0              192.168.17.1    YES manual up                    up

R2#show ip int br
Interface              IP-Address      OK? Method Status                Protocol    
Serial1/1              192.168.28.2    YES manual up                    up 

R3#show ip int br
Interface              IP-Address      OK? Method Status                Protocol     
Serial1/0              192.168.37.3    YES manual up                    up      
Serial1/1              192.168.38.3    YES manual up                    up 

R4#show ip int br
Interface              IP-Address      OK? Method Status                Protocol   
Serial1/0              192.168.47.4    YES manual up                    up      
Serial1/1              192.168.48.4    YES manual up                    up 

R7#show ip int br
Interface              IP-Address      OK? Method Status                Protocol   
Serial1/1              192.168.17.7    YES manual up                    up         
Serial1/3              192.168.37.7    YES manual up                    up      
Serial1/4              192.168.47.7    YES manual up                    up 

R8#show ip int br
Interface              IP-Address      OK? Method Status                Protocol   
Serial1/2              192.168.28.8    YES manual up                    up      
Serial1/3              192.168.38.8    YES manual up                    up      
Serial1/4              192.168.48.8    YES manual up                    up

配置

!Hub-R1
interface Tunnel1
 ip address 172.168.1.1 255.255.255.0     !NHRP ISP-R7 ip地址网段
 no ip redirects
 ip nhrp map multicast dynamic
 ip nhrp network-id 10                    !与R2 NHRP network-ID不同
 tunnel source Serial1/0
 tunnel mode gre multipoint
end

!Hub-R2
interface Tunnel1
 ip address 172.168.2.2 255.255.255.0     !NHRP ISP-R8 ip地址网段
 no ip redirects
 ip nhrp map multicast dynamic
 ip nhrp network-id 20                    !与R1 NHRP network-ID不同
 tunnel source Serial1/1
 tunnel mode gre multipoint
end

!Spoke-R3
interface Tunnel1
 ip address 172.168.1.3 255.255.255.0     !NHRP ISP-R7 ip地址网段
 no ip redirects
 ip nhrp map 172.168.1.1 192.168.17.1     !向Hub-R1进行注册
 ip nhrp map multicast 192.168.17.1
 ip nhrp network-id 10
 ip nhrp nhs 172.168.1.1
 tunnel source Serial1/0
 tunnel mode gre multipoint
 !
interface Tunnel2
 ip address 172.168.2.3 255.255.255.0     !NHRP ISP-R8 ip地址网段
 no ip redirects
 ip nhrp map 172.168.2.2 192.168.28.2     !向Hub-R2进行注册
 ip nhrp map multicast 192.168.28.2
 ip nhrp network-id 20
 ip nhrp nhs 172.168.2.2
 tunnel source Serial1/1
 tunnel mode gre multipoint
end

!Spoke-R4
interface Tunnel1
 ip address 172.168.1.4 255.255.255.0     !NHRP ISP-R7 ip地址网段
 no ip redirects
 ip nhrp map 172.168.1.1 192.168.17.1     !向Hub-R1进行注册
 ip nhrp map multicast 192.168.17.1
 ip nhrp network-id 10
 ip nhrp nhs 172.168.1.1
 tunnel source Serial1/0
 tunnel mode gre multipoint
 !
interface Tunnel2
 ip address 172.168.2.4 255.255.255.0     !NHRP ISP-R8 ip地址网段
 no ip redirects
 ip nhrp map 172.168.2.2 192.168.28.2     !向Hub-R2进行注册
 ip nhrp map multicast 192.168.28.2
 ip nhrp network-id 20
 ip nhrp nhs 172.168.2.2
 tunnel source Serial1/1
 tunnel mode gre multipoint
 end

层次化IPSec DMVPN

同DMVPN域内实现节约NHRP条目的目的。在传统的DMVPN中,NHS拥有所有NHC的表项,随着NHC的数量增加,会增加NHS的负担。
所以设计层次化的拓扑,似的同一个域内设备互访,仅向Branch站点进行注册即可,如果涉及需要进行跨域通信的节点,那么再单独向Center站点进行注册,完成跨域的NHRP解析。从而实现NHRP条目简化。增加网络的利用效率。

拓扑

                   +---------+                   
                   |Center-R5|                   
                   +---------+                   
               S1/0|         |S1/1               
                   |         |                   
               S1/5|         |S1/5               
         +---------+         +---------+         
         |Branch-R7|         |Branch-R8|         
         +---------+         +---------+         
     S1/1|     S1/2|            |S1/3  |S1/4
         |         |            |      |         
         |         |            |      |         
     S1/0|     S1/0|            |S1/1  |S1/1     
+--------+   +--------+   +--------+   +--------+
|Spoke-R1|   |Spoke-R2|   |Spoke-R3|   |Spoke-R4|
+--------+   +--------+   +--------+   +--------+

IP地址规划

R1#show ip int br
Interface              IP-Address      OK? Method Status                Protocol     
Serial1/0              192.168.17.1    YES manual up                    up   

R2#show ip int br
Interface              IP-Address      OK? Method Status                Protocol   
Serial1/0              192.168.27.2    YES manual up                    up

R3#show ip int br
Interface              IP-Address      OK? Method Status                Protocol   
Serial1/1              192.168.38.3    YES manual up                    up

R4#show ip int br
Interface              IP-Address      OK? Method Status                Protocol   
Serial1/1              192.168.48.4    YES manual up                    up

R7#show ip int br
Interface              IP-Address      OK? Method Status                Protocol   
Serial1/1              192.168.17.7    YES manual up                    up      
Serial1/2              192.168.27.7    YES manual up                    up      
Serial1/5              192.168.57.7    YES manual up                    up 

R8#show ip int br
Interface              IP-Address      OK? Method Status                Protocol  
Serial1/3              192.168.38.8    YES manual up                    up      
Serial1/4              192.168.48.8    YES manual up                    up      
Serial1/5              192.168.58.8    YES manual up                    up 

R5#show ip int br
Interface              IP-Address      OK? Method Status                Protocol     
Serial1/0              192.168.57.5    YES manual up                    up      
Serial1/1              192.168.58.5    YES manual up                    up

配置

!Spoke-R1
interface Tunnel1
 ip address 172.168.1.1 255.255.255.0
 no ip redirects
 ip nhrp map 172.168.1.7 7.7.7.7           !向R7注册,确保R1-to-R2双向互通
 ip nhrp map multicast 7.7.7.7
 ip nhrp network-id 10
 ip nhrp nhs 172.168.1.7
 tunnel source Serial1/0
 tunnel mode gre multipoint
end

!Spoke-R2
interface Tunnel1
 ip address 172.168.1.2 255.255.255.0
 no ip redirects
 ip nhrp map 172.168.1.7 7.7.7.7           !向R7注册,确保R1-to-R2双向互通
 ip nhrp map multicast 7.7.7.7
 ip nhrp map 172.168.1.5 5.5.5.5           !向R5注册,确保R2-to-R4双向互通
 ip nhrp map multicast 5.5.5.5
 ip nhrp network-id 10
 ip nhrp nhs 172.168.1.7
 ip nhrp nhs 172.168.1.5
 tunnel source Serial1/0
 tunnel mode gre multipoint
end

!Spoke-R3
interface Tunnel1
 ip address 172.168.1.3 255.255.255.0
 no ip redirects
 ip nhrp map 172.168.1.8 8.8.8.8           !向R8注册,确保R3-to-R4双向互通
 ip nhrp map multicast 8.8.8.8
 ip nhrp network-id 10
 ip nhrp nhs 172.168.1.8
 tunnel source Serial1/1
 tunnel mode gre multipoint
end

!Spoke-R4
interface Tunnel1
 ip address 172.168.1.4 255.255.255.0
 no ip redirects
 ip nhrp map 172.168.1.8 8.8.8.8           !向R8注册,确保R3-to-R4双向互通
 ip nhrp map multicast 8.8.8.8
 ip nhrp map 172.168.1.5 5.5.5.5           !向R5注册,确保R2-to-R4双向互通
 ip nhrp map multicast 5.5.5.5
 ip nhrp network-id 10
 ip nhrp nhs 172.168.1.8
 ip nhrp nhs 172.168.1.5
 tunnel source Serial1/1
 tunnel mode gre multipoint
end

!Branch-R7
interface Tunnel1
 ip address 172.168.1.7 255.255.255.0
 no ip redirects
 ip nhrp map multicast dynamic             !自己本身作为NHS,接收R1和R2的注册
 ip nhrp map 172.168.1.5 5.5.5.5           !向Center-R5注册,确保R7-to-R8双向互通
 ip nhrp map multicast 5.5.5.5
 ip nhrp network-id 10
 ip nhrp nhs 172.168.1.5
 tunnel source 7.7.7.7
 tunnel mode gre multipoint
end

!Branch-R8
interface Tunnel1
 ip address 172.168.1.8 255.255.255.0
 no ip redirects
 ip nhrp map multicast dynamic             !自己本身作为NHS,接收R3和R4的注册
 ip nhrp map 172.168.1.5 5.5.5.5           !向Center-R5注册,确保R7-to-R8双向互通
 ip nhrp map multicast 5.5.5.5
 ip nhrp network-id 10
 ip nhrp nhs 172.168.1.5
 tunnel source 8.8.8.8
 tunnel mode gre multipoint
end

!Center-R5
interface Tunnel1
 ip address 172.168.1.5 255.255.255.0
 no ip redirects
 ip nhrp map multicast dynamic
 ip nhrp network-id 10
 tunnel source 5.5.5.5
 tunnel mode gre multipoint
end

附录

crypto ikev2 keyring cisco-ikev2-keyring                       !配置IKEv2 keyring 
 peer dmvpn-node                                               !Configure a Peer and associated keys
  description symmetric pre-shared key for the hub/spoke
  address 0.0.0.0 0.0.0.0                                      !因为是动态的方式,所以地址为0.0.0.0
  pre-shared-key cisco123                                      !配置预共享密钥“cisco123”
 !        
!
crypto ikev2 profile cisco-ikev2-profile                       !配置ikev2 profile 
 match identity remote address 0.0.0.0                         !因为是动态的方式,所以地址为0.0.0.0
 authentication remote pre-share                               !均采用预共享密钥方式进行认证
 authentication local pre-share                                !均采用预共享密钥方式进行认证
 keyring local cisco-ikev2-keyring                             !调用之前配置的“keyring”
!
crypto ipsec transform-set cisco-ts esp-3des esp-md5-hmac      !配置transform
 mode tunnel
!
crypto ipsec profile cisco-ipsec-ikev2                         !配置IKEv2 profile
 set transform-set cisco-ts                                    !调用之前配置的transform
 set ikev2-profile cisco-ikev2-profile                         !调用之前的profile—>keyring
!
interface Tunnel1
 tunnel protection ipsec profile cisco-ipsec-ikev2             !接口下应用,保护tunnel口上的流量。

参考文献

  1. 《IPSecVPN实战指南》 7.4 DMVPN两种高可靠性
发帖者 时间: 没有评论:
订阅: 博文 (Atom)