Tweet
Thực hiện : LÂM VĂN TÚ
Trong mô hình này, mỗi router có 2 GRE tunnel.
Đầu tiên chúng ta cấu hình mGRE interfaces và OSPF cho các Hub router .Các interface tunnel mặc định sử dụng loại point-to-point OSPF network, chúng ta sẽ cần phải cấu hình lại chúng với loại NBMA OSPF network vì chúng ta sẽ có một số spoke router cuối đường hầm. Chúng ta cũng sẽ thiết lập các chi phí OSPF (cost) R0 hoạt động như các Hub router chính và R1 là Hub router dự phòng( backup hub router)
Trên R0:
a. Tunnel 0:
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
no ip redirects
ip nhrp network-id 1
ip ospf network non-broadcast
ip ospf cost 10
tunnel source FastEthernet2/1
tunnel mode gre multipoint
tunnel key 1
!
interface FastEthernet2/0
ip address 10.10.10.1 255.255.255.0
!
interface FastEthernet2/1
ip address 10.4.0.1 255.255.255.0
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.0.255 area 10
network 10.10.10.0 0.0.0.255 area 10
!
ip route 0.0.0.0 0.0.0.0 10.4.0.2
b. Tunnel 1
interface Tunnel1
ip address 10.1.1.1 255.255.255.0
no ip redirects
ip nhrp network-id 1
ip ospf network non-broadcast
ip ospf cost 100
tunnel source FastEthernet2/1
tunnel mode gre multipoint
tunnel key 1
!
interface FastEthernet2/0
ip address 10.10.10.2 255.255.255.0
!
interface FastEthernet2/1
ip address 10.4.1.1 255.255.255.0
!
router ospf 1
log-adjacency-changes
network 10.0.0.0 0.0.0.255 area 10
network 10.10.10.0 0.0.0.255 area 10
!
ip route 0.0.0.0 0.0.0.0 10.4.1.2
Sau đó chúng ta có thể thêm sopke router. Các spoke router sẽ sử dụng point-to-point GRE và NBMA OSPF network type.
2. Cấu hình trên Spoke router R2:
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
ip nhrp map 10.0.0.1 10.4.0.1
ip nhrp network-id 1
ip nhrp nhs 10.0.0.1
ip ospf network non-broadcast
ip ospf cost 10
ip ospf priority 0
tunnel source FastEthernet1/0
tunnel destination 10.4.0.1
tunnel key 1
!
interface Tunnel1
ip address 10.1.1.2 255.255.255.0
ip nhrp map 10.1.1.1 10.4.1.1
ip nhrp network-id 1
ip nhrp nhs 10.1.1.1
ip ospf network non-broadcast
ip ospf cost 100
ip ospf priority 0
tunnel source FastEthernet1/0
tunnel destination 10.4.1.1
tunnel key 1
!
interface FastEthernet1/0
ip address 10.4.2.1 255.255.255.0
!
router ospf 1
log-adjacency-changes
network 2.2.2.2 0.0.0.0 area 10
network 10.0.0.0 0.0.0.255 area 10
network 10.1.1.0 0.0.0.255 area 10
neighbor 10.0.0.1
neighbor 10.1.1.1
!
ip route 0.0.0.0 0.0.0.0 10.4.2.2
Cấu hình tương tự đối với Spoke Router R3, nhưng đổi IP.
Để kiểm tra các đường hầm GRE đang hoạt động, chúng tôi chỉ cần ping IP của tunnel từ một router tới ba Router khác.
R2#ping 10.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/8/8 ms
R2#ping 10.1.1.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/17/24 ms
R2#ping 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/24 ms
R2#ping 10.0.0.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/20/32 ms
Nếu chúng ta kiểm tra các entry NHRP trên Hub R0 hoặc R1, chúng ta có thể nhìn thấy hai entry đã được học một cách tự động và IP public chúng được sử dụng bởi các router
từ xa.
R1#sh ip nhrp
10.1.1.2/32 via 10.1.1.2, Tunnel1 created 02:08:37, expire 01:38:57
Type: dynamic, Flags: authoritative unique registered used
NBMA address: 10.4.2.1
10.1.1.3/32 via 10.1.1.3, Tunnel1 created 02:08:36, expire 01:38:57
Type: dynamic, Flags: authoritative unique registered used
NBMA address: 10.4.3.1
R0#sh ip nhrp
10.0.0.2/32 via 10.0.0.2, Tunnel0 created 02:15:15, expire 01: 53:44
Type: dynamic, Flags: authoritative unique registered
NBMA address: 10.4.2.1
10.0.0.3/32 via 10.0.0.3, Tunnel0 created 02:11:04, expire 01: 53:44
Type: dynamic, Flags: authoritative unique registered
NBMA address: 10.4.3.1
Kiểm tra những ospf neighbor trên router R2:
R2#sh ip ospf neighbor
Neighbor ID Pri State Dead Time Address Interface
10.10.10.2 1 FULL/DR 00:01:54 10.1.1.1 Tunnel1
10.10.10.1 1 FULL/DR 00:01:55 10.0.0.1 Tunnel0
Sau đó chúng ta có thể kiểm tra subnet 10.10.10.0/24 và spoke khác (ở đây của R3 là loopback 3.3.3.3) có thể truy cập thông qua Hub router R0.
R2#sh ip route ospf
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/11] via 10.0.0.3, 00:42:46, Tunnel0
10.0.0.0/24 is subnetted, 4 subnets
O 10.10.10.0 [110/11] via 10.0.0.1, 00:42:46, Tunnel0
R0#sh ip route ospf
2.0.0.0/32 is subnetted, 1 subnets
O 2.2.2.2 [110/11] via 10.0.0.2, 00:49:41, Tunnel0
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/11] via 10.0.0.3, 00:49:41, Tunnel0
10.0.0.0/24 is subnetted, 4 subnets
O 10.1.1.0 [110/101] via 10.10.10.2, 00:49:41, FastEthernet2/0
R1#sh ip route ospf
2.0.0.0/32 is subnetted, 1 subnets
O 2.2.2.2 [110/12] via 10.10.10.1, 00: 50:52, FastEthernet2/0
3.0.0.0/32 is subnetted, 1 subnets
O 3.3.3.3 [110/12] via 10.10.10.1, 00: 50:52, FastEthernet2/0
10.0.0.0/24 is subnetted, 4 subnets
O 10.0.0.0 [110/11] via 10.10.10.1, 00: 50:52, FastEthernet2/0
Bây giờ chúng ta đã có kết nối IP, chúng ta có thể kích hoạt IPSec.
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set mySet esp-aes esp-sha-hmac
!
crypto ipsec profile myDMVPN
set security-association lifetime seconds 120
set transform-set mySet
set pfs group2
interface Tunnel0
tunnel protection ipsec profile myDMVPN
interface Tunnel1
tunnel protection ipsec profile myDMVPN
Và bây giờ chúng ta có DMVPN setup với redundant hub routers…
Comment