玉龙小栈 | DMVPN 配置命令详解

DMVPN 配置命令

MGRE配置：

1）在中心站点路由器Center上的基本配置：

Center(config)#int tunnel 0

Center(config-if)#ip add 172.16.1.100 255.255.255.0

Center(config-if)#tunnel mode gre multipoint

Center(config-if)#tunnel source e0/0 （IP地址）

Center(config-if)#tunnel key 56789

2）在分支站点路由器Branch1/Branch2上的基本配置：

Branch1(config)#int tunnel 0

Branch1(config-if)#ip add 172.16.1.1 255.255.255.0

Branch1(config-if)#tunnel mode gre multipoint

Branch1(config-if)#tunnel source e0/1 （IP地址）

Branch1(config-if)#tunnel key 56789

NHRP配置：

1）在中心站点路由器Center上的基本配置：

Center(config)#int tunnel 0

Center(config-if)#ip nhrp network-id 10

Center(config-if)#ip nhrp authentication A1s2#

Center(config-if)#ip nhrp holdtime 300

Center(config-if)#ip nhrp map multicast dynamic

2）在分支站点路由器Branch1、Branch2上的基本配置：

Branch1(config)#int tunnel 0

Branch1(config-if)#ip nhrp network-id 10

Branch1(config-if)#ip nhrp nhs 172.16.1.100

Branch1(config-if)#ip nhrp map 172.16.1.100 202.100.1.100

Branch1(config-if)#ip nhrp authentication A1s2#

Branch1(config-if)#ip nhrp map multicast 202.100.1.100

测试NHRP

1）在中心站点/分支站点路由器Center上的测试：

Center#show ip nhrp

3、动态路由协议的配置：

1）在中心站点路由器Center上的动态路由协议配置：

Center(config)#router eigrp 100

Center(config-router)#no auto-summary

Center(config-router)#network 172.16.1.0 0.0.0.255

Center(config-router)#network 192.168.100.0 0.0.0.255

2）在分支站点路由器Branch1、Branch2上的动态路由协议配置：

Branch1(config)#router eigrp 100

Branch1(config-router)#no auto-summary

Branch1(config-router)#network 172.16.1.0 0.0.0.255

Branch1(config-router)#network 192.168.1.0 0.0.0.255

测试与调整EIGRP：

1）查看Center EIGRP邻居关系：

Center#sh ip eigrp neighbors 由上可知，中心站点通过动态路协议eigrp已经学习到所有分支站点（ Branch1和Branch2）内部网络的路由。

2）查看Branch1/2 EIGRP邻居关系：

Branch1#sh ip eigrp neighbors 由上可知，分支站点只会与中心站点建立动态路由协议的邻居关系，分支站点间没有邻居关系！

注：由于动态路由协议水平分割，分支站点只能学习到中心站点（Center）内部网络的路由！我们想实现，分支站点通过动态路由协议，能学习到其它分支站点内部路由，只需在中心站点center的隧道接口上关闭水平分割。如下所示：

Center(config)#int tunnel 0

Center(config-if)#no ip split-horizon eigrp 100

关闭水平分割后，再在Branch1上查看通过EIGRP学习到的路由

Branch1#sh ip route eigrp

由上可知，虽然学习到了Branch2内部网络192.168.2.0/24 的路由，但是下一跳是中心站点172.16.1.100，为了避免“（2）分支站点间流量延时较大，（3）分支站点间流量占用中心带宽”，我们希望Branch1下一跳是172.16.1.2(即Branch2的虚拟隧道IP)，同理Branch2下一跳是172.16.1.1(即Branch1的虚拟隧道IP) ！我们只需在中心站点Center上配置如下所示：

Center(config)#int tunnel 0

Center(config-if)#no ip next-hop-self eigrp 100

//到Branch1和Branch2上，验证下一跳分别是172.16.1.1、172.16.1.2

Branch1#sh ip route eigrp

由上可知，Center路由优化后，达到了预期效果！

配置IPSec VPN：

1）在中心站点路由器Center上的配置：

Center(config)#crypto isakmp policy 10

Center(config-isakmp)#authentication pre-share

Center(config-isakmp)#hash md5

Center(config-isakmp)#encryption des

Center(config-isakmp)#exit

Center(config)#crypto isakmp key 0 A1s2# address 0.0.0.0 0.0.0.0 Center(config)#crypto ipsec transform-set beyond esp-des esp-md5-hmac

Center(cfg-crypto-trans)#mode transport

Center(cfg-crypto-trans)#exit

Center(config)#crypto ipsec profile dmvpn-profile

Center(ipsec-profile)#set transform-set beyond

Center(ipsec-profile)#int tunnel 0

Center(config-if)#ip mtu 1400

Center(config-if)#tunnel protection ipsec profile dmvpn-profile

2）在分支站点路由器Branch1上的配置：

Branch1(config)#crypto isakmp policy 10

Branch1(config-isakmp)#authentication pre-share

Branch1(config-isakmp)#hash md5

Branch1(config-isakmp)#encryption des

Branch1(config-isakmp)#exit

Branch1(config)#crypto isakmp key 0 A1s2# address 0.0.0.0 0.0.0.0 Branch1(config)#crypto ipsec transform-set beyond esp-des esp-md5-hmac

Branch1(cfg-crypto-trans)#mode transport

Branch1(cfg-crypto-trans)#exit

Branch1(config)#crypto ipsec profile dmvpn-profile

Branch1(ipsec-profile)#set transform-set beyond

Branch1(ipsec-profile)#exit

Branch1(config)#int tunnel 0

Branch1(config-if)#ip mtu 1400

Branch1(config-if)#tunnel protection ipsec profile dmvpn-profile

2）在分支站点路由器Branch2上的配置：

Branch2(config)#crypto isakmp policy 10

Branch2(config-isakmp)#authentication pre-share

Branch2(config-isakmp)#hash md5

Branch2(config-isakmp)#encryption des

Branch2(config-isakmp)#exit

Branch2(config)#crypto isakmp key 0 A1s2# address 0.0.0.0 0.0.0.0 Branch2(config)#crypto ipsec transform-set esp-des esp-md5-hmac Proposal with ESP is missing cipher

Branch2(config)#crypto ipsec transform-set beyond esp-des esp-md5-hmac

Branch2(cfg-crypto-trans)#mode transport

Branch2(cfg-crypto-trans)#exit

Branch2(config)#crypto ipsec profile dmvpn-profile

Branch2(ipsec-profile)#set transform-set beyond

Branch2(ipsec-profile)#exit

Branch2(config)#int tunnel 0

Branch2(config-if)#ip mtu 1400

Branch2(config-if)#tunnel protection ipsec profile dmvpn-profile

DMVPN配置过程中易出现的问题：

DMVPN配置完全正确，而测试结果异常。此时请依下面操作之：

1）关闭所有站点的隧道端口（注：从中心站点开始！）

Center(config)#int tunnel 0

Center(config-if)#shutdown

Branch1(config)#int tunnel 0

Branch1(config-if)#shutdown

Branch2(config)#int tunnel 0

Branch2(config-if)#shutdown

2）打开所有站点的隧道端口（注：从中心站点开始！）

Center(config)#int tunnel 0

Center(config-if)#no shutdown

Branch1(config)#int tunnel 0

Branch1(config-if)#no shutdown

Branch2(config)#int tunnel 0

Branch2(config-if)#no shutdown