选择区域语言: EN CN HK

DVPN典型配置指导

手册下载

DVPN典型配置指导

H3C Technologies Co., Ltd.

杭州华三通信技术有限公司
 

1   特性介绍... 1

2   特性的优点... 3

3   使用指南... 4

3.1    使用场合.. 4

3.2    DVPN CLIENT配置步骤.. 4

3.2.1   DVPN CLIENT基本配置.. 4

3.2.2   配置Tunnel接口属性.. 5

3.2.3   配置DVPN-CLASS. 5

3.3    DVPN SERVER配置步骤.. 6

3.3.1   DVPN SERVER基本配置.. 6

3.3.2   配置Tunnel接口属性.. 7

3.3.3   配置DVPN POLICY. 7

3.4    注意事项.. 8

3.5    举例:DVPN典型配置.. 8

3.5.1   组网需求.. 8

3.5.2   组网图.. 9

3.5.3   配置.. 9

3.5.4   验证结果.. 24

3.5.5   故障排除.. 25

4   关键命令... 28

4.1    dvpn policy. 28

4.2    dvpn class. 29

5   相关资料... 29

 

关键词:DVPN

   要:本文简单描述DVPN特性的特点,详细描述了路由器上配置DVPN的基本方法和详细步骤,给出了一种建立DVPN链路的配置案例。

缩略语:

缩略语

英文全名

中文解释

DVPN

Dynamic Virtual Private Network

动态虚拟私有网络技术

GRE

Generic Routing Encapsulation

通用路由封装协议

L2TP

Layer 2 Tunneling Protocol

二层隧道协议

IPSec

IP Security Protocol

IP网络安全协议

MPLS

Multi-protocol Label Switching

多协议标记交换

 

1         特性介绍

在现有的VPN组网方案中,一般采用GRE隧道、L2TPIPSec以及MPLS等方式。除了MPLS主要应用在主干转发层之外,其他的三种方式在访问接入层被普遍采用。但是目前的这些方案都存在一个弊端,就是必须是按照事先的配置进行组网,并且要完成一个全联通的网络时,结构和配置就变得复杂。由于要建立一对一的连接,所以当有 N 个网络设备进行互联时,网络的就必须建立N×(N1) / 2个连接,这样不仅造成了组网和配置的复杂,而且配置时必须知道对端设备的基本信息,这给维护造成了很大的成本。 另外GRE无法穿透NAT网关;GRE无法适用于动态IP设备建立VPNL2tpGRE没有提供对传输的数据的加密保护;IPSec在动态路由的支持存在一定的问题等等。

DVPNDynamic Virtual Private Network)提供了一种灵活的建立VPN的方式,它能够在动态获得IP地址的设备之间自动创建、维护隧道,能够实现接入到VPN域的所有接入设备能够互相访问。同时DVPN提供了身份认证、控制报文加密保护、数据报文的IPSec保护,从而实现VPN内部的数据能够安全地在公网上传输。

DVPN通过动态获取对端的信息建立VPN连接。它提出了NBMA类型的隧道机制,使用Tunnel逻辑接口作为DVPN隧道的端点,完成DVPN报文的封装和发送,同时通过Tunnel接口完成私网路由的动态学习。DVPN采用了ClientServer的方式解决了传统VPN的缺陷,Client通过在Server注册,将Client自己的信息在Sever上进行保存,这样Client可以通过Server的重定向功能得到其它Client的信息,从而可以在Client之间建立独立的Session(会话,进行数据传输的通道)。多个DVPN接入设备通过向共同的Server进行注册,构建一个DVPN域,就实现了各个DVPN接入设备后面的网络的VPN互联。

DVPN动态虚拟私有网络不但结合了传统VPN的优点,而且解决了传统VPN的缺陷。配置简单、网络规划简单、功能强大,比传统的VPN更加符合目前以及未来的网络应用。其特点如下:

l       配置简单。一个DVPN接入设备可以通过一个Tunnel逻辑接口和多个DVPN接入设备建立会话通道,而不用为每一个通道配置一个逻辑的接口作为隧道的端点,大大的简化了配置的复杂度,提高了网络的可维护性和易扩充性。

l       自由穿越NAT网关技术。采用UDP方式的 DVPN。由于使用了UDP报文进行封装,可以自由穿越NAT网关。解决内网DVPN接入设备和公网DVPN接入设备之间的VPN连接,使NAT网关内部的私有网络和NAT网关外部的私有网络共同构建一个虚拟私有网络。

l       支持依赖动态IP地址构建VPN。当在一个DVPN域内部构建隧道时,只需要指定相应的ServerIP地址,并不关心自己当前使用的IP地址是多少,更加适应如普通拨号、xDSL拨号等使用动态IP地址的组网应用。

l       支持自动建立隧道技术。DVPN中的Server维护着一个DVPN域中所有接入设备的信息,DVPN域中的Client可以通过Server的重定向功能自动获得需要进行通信的其它Client的信息,并最终在两个Client之间自动建立会话隧道(Session)。作为ClientDVPN接入设备只需配置自己的相关信息和Server的信息,不需要知道其他Client的信息,极大地减少了网络的维护管理工作。

l       注册过程加密技术。在ClientServer进行注册的过程中,需要先完成算法套件以及各种密钥钥地协商。使用协商出来的算法对注册过程中的关键信息(例如用户名、密码等)进行加密保护,还可以对注册的报文进行合法性检测,保证关键注册信息的安全性。

l       身份认证技术。在ClientServer进行注册的过程中,Client可以根据配置需要对Server的身份使用pre-shared-key进行验证,保证Client接入一个合法的Server;同时Server可以根据需要使用AAA对需要接入到DVPN域的Client进行身份验证,保证只有通过身份验证的Client才可以接入到DVPN域。

l       策略的统一管理技术。ClientServer端注册成功后,Server会将DVPN域中的策略发布给该Client。策略主要包括会话协商使用的算法套件、会话的保活时间、会话的空闲超时时间、IPSec使用的加密验证算法、IPSec sa的重协商时间等。在整个DVPN域中,所有的Session会使用相同的策略。

l       会话协商过程中的加密技术。在Session协商过程中,所有的会话的控制报文都会使用Server发布的算法套件进行IPSec加密保护。即在建立Session的会话协商过程中,根据Server发布数据的加密验证算法,为Session的数据通信协商IPSec SA。协商过程使用DHDiffie-Hellman)进行SA的密钥协商。对于需要通过该Session进行转发的数据,如果需要加密处理,则通过IPSec使用Session协商出来的IPSec SA对报文进行加密处理后,通过DVPN进行转发,实现了转发数据报文的安全性。SessionIPSec SA支持重协商功能,可以根据需要指定进行IPSec SA重协商的时间,进一步保证数据的安全性。

l       支持多个VPN域。DVPN允许用户在一台DVPN设备上支持多个VPN域。即一台路由器不仅可以属于VPN A,也可以属于VPN B;同一设备可以在VPN A中作为Client设备,同时还在VPN B中作为Server设备使用。在同一台DVPN设备上最多可以支持200DVPN域,可以同时作为200DVPN域的Server设备。大大提高了组网的灵活性,也可以更加充分的使用网络设备资源,减少了用户的投资。在实际的组网中为了保证各个DVPN域之间的隔离,如果在同一台DVPN设备上支持多个DVPN域,需要通过私网路由来实现不同DVPN域的隔离。

l       动态路由的支持。DVPN可以对需要通过Tunnel接口发送的路由报文,通过所有的Session会话进行广播,从而实现整个DVPN域内的路由自动学习。实际应用中,DVPN配合动态路由协议,可以简化对需要接入到DVPN域的各个私有网络的规划,简化整个网络的配置,提高网络的维护性和自动化。

2         特性的优点

DVPN主要弥补了传统VPN的一些缺陷,其优点如下:

l       配置简单,维护性强。

l       策略统一下发,分支集中管理,维护更加高效。

l       动态IP地址构建VPN,应用更为广泛。

l       自动建链,动态连接,创建VPN连接更加便捷。

l       多对多全网星形结构,开创了VPN组网新局面。

l       自由穿越NAT网关技术,实现私网内用户间的VPN建链需求。

l       重定向技术,大大淡化了DVPN SERVER的转发角色。

l       支持多域划分,实现域间隔离,保障域间完全私密。

l       支持多重身份验证和标准加密/验证算法,注册、会话、转发全程加密,安全性强。

l       高性能,可支持硬件加密功能;

l       大容量,支持4096条并发连接。

l       支持软件客户端接入,为移动用户提供移动接入服务。

l       BIMS配合支持动态部署。

 

&  说明:

BIMS全称为分支网点智能管理系统(Branch Intelligent Management SystemBIMS),是一种网络管理工具,能够实现对动态获取IP地址的设备或位于NAT网关后面的设备的集中、有效的监控和管理。在对业务应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时,BIMS能极大提高管理的效率,节约管理成本。详情请到www.H3C.com中查看《BIMS解决方案》。

3         使用指南

3.1        使用场合

若用户需要基于IP建立灵活的VPN隧道,能够自由穿越防火墙,并支持动态IP地址建链,实现各局部网络间组建私有网络的要求,推荐采用DVPN特性。

DVPN的配置包括SERVERCLIENT两个部分。

3.2        DVPN CLIENT配置步骤

配置DVPN CLIENT,需要配置以下内容:

l       DVPN功能基本配置。用来使能DVPN特性、注册过程参数等。

l       Tunnel接口属性配置。用来指定接口属性、封装模式、接口类型、所属域、注册类型等各种参数。

l       DVPN-CLASS配置。用来配置Client设备需要接入的Server信息参数、以及注册过程中协商使用的信息。

3.2.1       DVPN CLIENT基本配置

用户可在全局视图下完成DHCP CLIENT的基本配置,主要包括启用/取消DVPN功能、对注册过程进行描述及合法性验证的内容。

路由器上需要做如下配置:

1)    使能/禁止DVPN功能(必须)。
2)    配置Client注册的时间间隔(缺省间隔时间为10s)。
3)    配置Client注册次数(缺省注册次数为3次)。
4)    配置Clientdumb时间(缺省dumb时间为300s)。

步骤

操作说明

操作命令

1

使能DVPN功能

dvpn service enable

2

配置Client注册的时间间隔

dvpn client register-interval time-interval

3

配置Client注册次数

dvpn client register-retry times

4

配置Clientdumb时间

dvpn client register-dumb time

 

&  说明:

DVPN的基本配置还包括SERVER涉及到的其他命令,这些命令可以在CLIENT上进行配置,但不会发生作用。

3.2.2       配置Tunnel接口属性

DVPN主要通过TUNNEL接口获得虚地址,并进行相应的UDP封装,从而实现穿越网关等功能。

配置DVPN CLIENTTUNNEL接口属性,路由器上需要做如下配置:

1)    配置Tunnel接口的报文封装格式UDP DVPN
2)    配置Tunnel接口的接口类型(设置为Client)。
3)    配置Tunnel接口的源端(源地址或者源接口)。
4)    配置Tunnel接口使用的dvpn-class
5)    配置Tunnel接口所属的DVPN域。
6)    配置ClientServer注册时的类型(可选)。

步骤

操作说明

操作命令

1

创建Tunnel接口并进入视图

interface tunnel number

2

配置Tunnel接口的报文封装格式UDP DVPN

tunnel-protocol udp dvpn

3

配置Tunnel接口的接口类型

dvpn interface-type {client|server}

4

配置Tunnel接口的源端

source {ip-addr|interface-type interface-num}

5

配置Tunnel接口使用的dvpn-class

dvpn server dvpn-class-name

6

配置Tunnel接口所属的DVPN

dvpn dvpn-id dvpn-id

7

配置ClientServer注册时的类型

dvpn register-type {forward|undistributed}

 

&  说明:

以上配置都在TUNNEL接口视图中完成。

Tunnel接口的源端地址或源接口,即发出DVPN报文的实际物理接口地址。

3.2.3       配置DVPN-CLASS

DVPN-CLASS视图下的命令用来配置Client设备需要接入的Server信息参数、以及注册过程中协商使用的信息。。

配置DVPN CLASS,路由器上需要做如下配置:

1)    创建并进入dvpn-class视图。
2)    配置指定Server的公网IP地址。
3)    配置指定Server的私网IP地址(可选)。
4)    配置注册过程使用的算法套件(可选,默认为des-md5-dh1)。
5)    配置ClientServer的身份验证方法(可选,默认NONE)。
6)    配置ClientServer验证使用的pre-shared-key(可选,验证Server时需要配置)。
7)    配置Client注册使用的用户信息(可选,如果Server需要对Client进行身份认证,需要配置用户信息)。

步骤

操作说明

操作命令

1

创建并进入dvpn-class视图

dvpn class dvpn-class-name

2

配置指定Server的公网IP地址

public-ip ip-address

3

配置指定Server的私网IP地址

private-ip ip-address

4

配置注册过程使用的算法套件

algorithm-suite suite-number

5

配置ClientServer的身份验证方法

authentication-server method {none | pre-share}

6

配置ClientServer验证码pre-shared-key

pre-shared-key key

7

配置Client注册使用的用户信息

local-user username password {simple | cipher} password

 

&  说明:

DVPN-CLASS中配置的参数应与Server端的实际配置保持一致。

3.3        DVPN SERVER配置步骤

DVPN SERVER的配置,需要配置以下内容:

l       DVPN功能基本配置。用来使能DVPN特性、指定老化时间和对CLIENT的合法性验证方式。

l       配置Tunnel接口属性。用来指定接口属性、封装模式、接口类型、所属域,此外还可以自行指定DVPN的统一安全策略。

l       配置DVPN策略套件。DVPN的策略套件是在dvpn-policy视图下配置的。创建该视图后可指定SERVER设备对CLIENT设备的验证方式、SESSION的算法套件、空闲超时时间、保活报文发送间隔等。

3.3.1       DVPN SERVER基本配置

用户可在全局视图下完成DHCP SERVER的基本配置,主要包括启用/取消DVPN功能、指定验证参数及老化时间。

路由器上需要做如下配置:

1)    使能/禁止DVPN功能(必须)。
2)    配置Serverpre-shared-key(若CLIENT配置使用验证方式,则必须配置)。
3)    配置对Client的验证方式(可选,缺省情况下不对Client进行身份验证)。
4)    配置Map的老化时间(老化时间缺省为30s)。

步骤

操作说明

操作命令

1

使能DVPN功能

dvpn service enable

2

配置Serverpre-shared-key

dvpn server pre-shared-key key

3

配置对Client的验证方式

dvpn server authentication-client method {chap|none|pap}

4

配置Map的老化时间

dvpn server map age-time time

 

&  说明:

DVPN的基本配置还包括CLIENT涉及到的其他命令,这些命令可以在SERVER上进行配置,但不会发生作用。

3.3.2       配置Tunnel接口属性

DVPN主要通过TUNNEL接口获得虚地址,并进行相应的UDP封装,从而实现穿越网关等功能。

配置DVPN SERVERTUNNEL接口属性,路由器上需要做如下配置:

1)    配置Tunnel接口的报文封装格式UDP DVPN
2)    配置Tunnel接口的接口类型(设置为Server)。
3)    配置Tunnel接口的源端(源地址或者源接口)。
4)    配置Tunnel接口所属的DVPN域。
5)    配置DVPN域的统一策略(可选)。

步骤

操作说明

操作命令

1

创建Tunnel接口并进入视图

interface tunnel number

2

配置Tunnel接口的报文封装格式UDP DVPN

tunnel-protocol udp dvpn

3

配置Tunnel接口的接口类型

dvpn interface-type {client|server}

4

配置Tunnel接口的源端

source {ip-addr|interface-type interface-num}

5

配置Tunnel接口使用的dvpn-class

dvpn policy dvpn-policy-name

6

配置Tunnel接口所属的DVPN

dvpn dvpn-id dvpn-id

 

&  说明:

以上配置都在TUNNEL接口视图中完成。

3.3.3       配置DVPN POLICY

DVPN POLICY视图下主要用来配置指定DVPN的策略信息,主要包括会话的算法、数据IPSec的算法、以及各种时间参数等。ClientServer上注册成功后,Server会对注册成功的Client发送DVPN引用的策略。

配置DVPN POLICY,路由器上需要做如下配置:

1)    创建并进入dvpn-policy视图。
2)    配置ServerClient的验证方式(可选,默认NONE)。
3)    配置指定Session的算法套件(可选,默认为des-md5-dh1)。
4)    配置指定Session的空闲超时时间(可选,默认300秒)。
5)    配置指定SessionKeepalive时间(可选,默认10秒)。
6)    配置指定Session建立请求的时间间隔(可选,默认10秒)。
7)    配置IPSec的算法套件(可选,默认为des-md5-dh1)。
8)    配置指定IPSec SA的重协商时间(可选,默认3600秒)。

步骤

操作说明

操作命令

1

创建并进入dvpn-policy视图

dvpn policy dvpn-policy-name

2

配置ServerClient的验证方式

authentication-client method {chap|none|pap}

3

配置指定Session的算法套件

session algorithm-suite suite-number

4

配置指定Session的空闲超时时间

session idle-timeout time-interval

5

配置指定SessionKeepalive时间

session keepalive-interval time-interval

6

配置指定Session建立请求的时间间隔

session setup-interval time-interval

7

配置IPSec的算法套件

data algorithm-suite suite-number

8

配置指定IPSec SA的重协商时间

data ipsec-sa duration time-base time-interval

3.4        注意事项

当配置DVPN时,必须注意以下事项:

1)    DVPN实际组网中,可以使用OSPFRIP动态路由协议进行公网路由的发布。
2)    为了隔离各个DVPN域,可通过OSPFVRF多实例隔离不同的DVPN私有网络路由。
3)    为保证DVPN CLIENT私网间的互通,DVPN SERVER上必须学到各私网的路由,DVPN CLIENT也应指定到被访问私网的路由。

3.5        举例DVPN典型配置

3.5.1       组网需求

配置H3C AR462818系列路由器9台,分别配置为DVPN SERVERDVPN CLIENTNAT网关、BAS,二层交换机一台,用于报文转发。

本例使用一个通用组网,要求DVPN SERVERDVPN CLIENT路由可通,DVPN私网侧将默认路由指定到NAT网关。

DVPN组网共划分为两个域,通过OSPF VRF进行路由隔离。每个域内包括DVPN CLIENT三台,分别代表企业总部和两个分支机构。

六台DVPN CLIENT通过三种方式接入DVPN网络,其中企业A和企业B总部通过LAN方式直接接入internet建立DVPN连接,企业A分支一、企业B分支一、企业B分支二通过ADSL方式接入internet建立DVPN连接,企业A分支二穿越NAT网关接入internet建立DVPN连接。

3.5.2       组网图

1        DVPN典型配置组网环境

3.5.3       配置

1.     使用的版本

<4640>vrbd

Routing Platform Software

Version AR46-40 8040V300R003B03D027 (COMWAREV300R002B60D009SP02), RELEASE SOFTWARE

Compiled Nov 16 2005 19:57:12 by Houming

 

<4640>dis ver

 Copyright Notice:

 All rights reserved (Nov 16 2005).

 Without the owner's prior written consent, no decompiling

 nor reverse-engineering shall be allowed.

 H3C Comware Platform Software

 Comware software, Version 3.40, Release RT-0106

 Copyright (c) 2004-2006 Hangzhou H3C Tech. Co.,Ltd. All rights reserved

.

H3C AR46-40 uptime is 0 week, 0 day, 0 hour, 4 minutes

 System returned to ROM By <Reboot> Command.

 

 Rpu's version information:

 Router AR46-40 with 1 PowerPC 750 Processor

 256M     bytes SDRAM

 32M      bytes FLASH

 512K     bytes NVRAM

 Pcb      Version : RTM1RPUA.2

 RPE Logic Version : RPE3.4

 SBG Logic Version : 012

 Small BootROM  Version :  3.07

 Big BootROM  Version :  5.14

 Config Register points to FLASH

 

  [SLOT 0] AUX0     (Hardware)A.2, (Driver)1.0, (Cpld)3.4

  [SLOT 0] ETH0     (Hardware)A.2, (Driver)1.0, (Cpld)3.4

  [SLOT 0] ETH1     (Hardware)A.2, (Driver)1.0, (Cpld)3.4

  [SLOT 1] 1GBE     (Hardware)1.0, (Driver)1.0, (Cpld)0.0

  [SLOT 2] 1GBE     (Hardware)1.0, (Driver)1.0, (Cpld)0.0

 

<2830>vrbd

Routing Platform Software

Version AR28-31 8040V300R003B03D027 (COMWAREV300R002B60D009SP02), RELEASE SOFTWARE

Compiled Nov 15 2005 23:39:45 by Houming

 

<2830>dis ver

 Copyright Notice:

 All rights reserved (Nov 15 2005).

 Without the owner's prior written consent, no decompiling

 nor reverse-engineering shall be allowed.

 H3C Comware Platform Software

Comware software, Version 3.40, Release RT-0106

 Copyright (c) 2004-2006 Hangzhou H3C Tech. Co.,Ltd. All rights reserved

.

H3C AR28-31 uptime is 0 week, 1 day, 2 hours, 46 minutes

 System returned to ROM By <Reboot> Command.

 

 CPU type: PowerPC 8245 300MHz

 128M bytes SDRAM Memory

 32M bytes Flash Memory

 128K bytes NvRAM Memory

 Pcb      Version:1.0

 Logic    Version:1.0

 BootROM  Version:9.09

  [SLOT 0] 2FE      (Hardware)2.1, (Driver)2.0, (Cpld)0.0

[SLOT 3] 2ADSL    (Hardware)2.0, (Driver)2.0, (Cpld)2.0

 

<AR1820>vrbd

Routing Platform Software

Version AR18-20 R8043V100R002B01D012 (COMWAREV300R002B60D007), RELEASE SOFTWARE

Compiled Nov  4 2005 10:11:47 by WangLei

 

<AR1820>dis ver

 Copyright Notice:

 All rights reserved (Nov  4 2005).

 Without the owner's prior written consent, no decompiling

 nor reverse-engineering shall be allowed.

 H3C Comware Platform Software

 Comware software, Version 3.40, Release 0000

 Copyright (c) 2004-2006 Hangzhou H3C Tech. Co.,Ltd. All rights reserved

.

 H3C AR18-20 uptime is 0 week, 0 day, 0 hour, 1 minute

 

 CPU type: PowerPC 859DSL 80MHz

 64M bytes SDRAM Memory

  8M bytes Flash Memory

  0K bytes NvRAM Memory

 Pcb      Version:3.0

 Logic    Version:4.0

 BootROM  Version:7.66

  [SLOT 1] 1FE      (Hardware)3.0, (Driver)1.0, (Cpld)4.0

  [SLOT 2] 1ETH     (Hardware)3.0, (Driver)1.0, (Cpld)4.0

<AR1820>

2.     配置DVPN SERVER路由器AR4640_a

当前视图

配置命令

简单说明

<H3C>

system-view

进入系统视图

[H3C]

sysname 4640_a

修改系统名为4640_a

[4640_a]

dvpn service enable

使能DVPN功能

[4640_a]

dvpn server pre-shared-key h3c

配置Serverpre-shared-key

[4640_a]

dvpn policy test1

创建并进入dvpn-policy视图

[4640_a-dvpn-policy-test1]

authentication-client method chap domain dvpn

配置ServerClient的验证方式

[4640_a-dvpn-policy-test1]

quit

退出dvpn-policy视图

[4640_a]

dvpn policy test2

创建并进入dvpn-policy视图

[4640_a-dvpn-policy-test2]

authentication-client method chap domain dvpn

配置ServerClient的验证方式

[4640_a-dvpn-policy-test2]

quit

退出dvpn-policy视图

[4640_a]

domain dvpn

进入域视图

[4640_a-isp-dvpn]

scheme local

配置方案

[4640_a-isp-dvpn]

quit

退出域视图

[4640_a]

local-user dvpnuser_a

建立本地用户dvpnuser_a

[4640_a-luser-dvpnuser_a]

password simple dvpnuser_a

设置密码

[4640_a-luser-dvpnuser_a]

service-type dvpn

服务类型为dvpn

[4640_a-luser-dvpnuser_a]

quit

退出

[4640_a]

local-user dvpnuser_a1

建立用户,并进入用户视图

[4640_a-luser-dvpnuser_a1]

password simple dvpnuser_a1

设置密码

[4640_a-luser-dvpnuser_a1]

service-type dvpn

设置服务类型

[4640_a-luser-dvpnuser_a1]

quit

退出视图

[4640_a]

local-user dvpnuser_a2

建立用户,并进入用户视图

[4640_a-luser-dvpnuser_a2]

password simple dvpnuser_a2

设置密码

[4640_a-luser-dvpnuser_a2]

service-type dvpn

设置服务类型

[4640_a-luser-dvpnuser_a2]

quit

退出视图

[4640_a]

local-user dvpnuser_b

建立用户,并进入用户视图

[4640_a-luser-dvpnuser_b]

password simple dvpnuser_b

设置密码

[4640_a-luser-dvpnuser_b]

service-type dvpn

设置服务类型

[4640_a-luser-dvpnuser_b]

quit

退出视图

[4640_a]

local-user dvpnuser_b1

建立用户,并进入用户视图

[4640_a-luser-dvpnuser_b1]

password simple dvpnuser_b1

设置密码

[4640_a-luser-dvpnuser_b1]

service-type dvpn

设置服务类型

[4640_a-luser-dvpnuser_b1]

quit

退出视图

[4640_a]

local-user dvpnuser_b2

建立用户,并进入用户视图

[4640_a-luser-dvpnuser_b2]

password simple dvpnuser_b2

设置密码

[4640_a-luser-dvpnuser_b2]

service-type dvpn

设置服务类型

[4640_a-luser-dvpnuser_b2]

quit

退出视图

[4640_a]

ip vpn-instance vrf1

创建并进入VPN实例VRF1视图

[4640_a-vpn-vrf1]

route-distinguisher 100:1

配置VPN实例的RD

[4640_a-vpn-vrf1]

vpn-target 100:1 export-extcommunity

配置VPN-target属性来控制VPN路由信息的发布

[4640_a-vpn-vrf1]

vpn-target 100:1 import-extcommunity

配置VPN-target属性来控制VPN路由信息的发布

[4640_a-vpn-vrf1]

Quit

退出VPN实例视图

[4640_a]

ip vpn-instance vrf2

创建并进入VPN实例VRF2视图

[4640_a-vpn-vrf2]

route-distinguisher 100:2

配置VPN实例的RD

[4640_a-vpn-vrf2]

vpn-target 100:2 export-extcommunity

配置VPN-target属性来控制VPN路由信息的发布

[4640_a-vpn-vrf2]

vpn-target 100:2 import-extcommunity

配置VPN-target属性来控制VPN路由信息的发布

[4640_a-vpn-vrf2]

Quit

退出VPN实例视图

[4640_a]

interface Ethernet0/0/1

进入接口

[4640_a-Ethernet0/0/1]

ip address 202.38.1.1 255.255.255.0

配置IP地址

[4640_a-Ethernet0/0/1]

Quit

退出接口视图

[4640_a]

interface Tunnel1

创建并进入TUNNEL接口视图

[4640_a-Tunnel1]

ip address 192.168.1.1 255.255.255.0

配置DVPNIP地址

[4640_a-Tunnel1]

tunnel-protocol udp dvpn

配置Tunnel接口的报文封装格式UDP DVPN

[4640_a-Tunnel1]

source Ethernet0/0/1

配置Tunnel接口的源端

[4640_a-Tunnel1]

dvpn interface-type server

配置Tunnel接口类型为SERVER

[4640_a-Tunnel1]

dvpn dvpn-id 1

指定所属的DVPN域为1

[4640_a-Tunnel1]

dvpn policy test1

指定应用的DVPN策略为test1

[4640_a-Tunnel1]

ospf network-type p2mp

配置OSPF网络类型为点到多点

[4640_a-Tunnel1]

ip binding vpn-instance vrf1

将接口与vpn-instance关联

[4640_a-Tunnel1]

Quit

退出TUNNEL接口视图

[4640_a]

interface Tunnel2

创建并进入TUNNEL接口视图

[4640_a-Tunnel2]

ip address 192.168.2.1 255.255.255.0

配置DVPNIP地址

[4640_a-Tunnel2]

tunnel-protocol udp dvpn

配置Tunnel接口的报文封装格式UDP DVPN

[4640_a-Tunnel2]

source Ethernet0/0/1

配置Tunnel接口的源端

[4640_a-Tunnel2]

dvpn interface-type server

配置Tunnel接口类型为SERVER

[4640_a-Tunnel2]

dvpn dvpn-id 2

指定所属的DVPN域为2

[4640_a-Tunnel2]

dvpn policy test2

指定应用的DVPN策略为test2

[4640_a-Tunnel2]

ospf network-type p2mp

配置OSPF网络类型为点到多点

[4640_a-Tunnel2]

ip binding vpn-instance vrf2

将接口与vpn-instance关联

[4640_a-Tunnel2]

Quit

退出TUNNEL接口视图

[4640_a]

ospf 1

启动OSPF,进入OSPF视图

[4640_a-ospf-1]

area 0.0.0.0

进入OSPF区域视图

[4640_a-ospf-1-area-0.0.0.0]

network 202.38.1.0 0.0.0.255

指定网段运行OSPF协议

[4640_a-ospf-1-area-0.0.0.0]

quit

退出OSPF视图

[4640_a]

ospf 2 vpn-instance vrf1

启动OSPF,进入OSPF视图,将OSPF进程与VPN实例VRF1进行绑定

[4640_a-ospf-2]

area 0.0.0.0

进入OSPF区域视图

[4640_a-ospf-2-area-0.0.0.0]

network 192.168.1.0 0.0.0.255

指定网段运行OSPF协议

[4640_a-ospf-2-area-0.0.0.0]

quit

退出OSPF视图

[4640_a]

ospf 3 vpn-instance vrf2

启动OSPF,进入OSPF视图,将OSPF进程与VPN实例VRF2进行绑定

[4640_a-ospf-3]

area 0.0.0.0

进入OSPF区域视图

[4640_a-ospf-3-area-0.0.0.0]

network 192.168.2.0 0.0.0.255

指定网段运行OSPF协议

[4640_a-ospf-3-area-0.0.0.0]

quit

退出OSPF视图

[4640_a]

ip route-static vpn-instance vrf1 110.1.1.1 255.255.255.255 192.168.1.20  preference 60

创建到私网的静态路由,从属于VPN实例VRF1

[4640_a]

ip route-static vpn-instance vrf1 192.169.1.1 255.255.255.255 192.168.1.10  preference 60

创建到私网的静态路由,从属于VPN实例VRF1

[4640_a]

ip route-static vpn-instance vrf1 200.1.1.1 255.255.255.255 192.168.1.30  preference 60

创建到私网的静态路由,从属于VPN实例VRF1

[4640_a]

ip route-static vpn-instance vrf2 190.1.1.1 255.255.255.255 192.168.2.20  preference 60

创建到私网的静态路由,从属于VPN实例VRF2

[4640_a]

ip route-static vpn-instance vrf2 192.169.2.1 255.255.255.255 192.168.2.10  preference 60

创建到私网的静态路由,从属于VPN实例VRF2

[4640_a]

ip route-static vpn-instance vrf2 210.1.1.1 255.255.255.255 192.168.2.30  preference 60

创建到私网的静态路由,从属于VPN实例VRF2

3.     配置DVPN CLIENT路由器AR2840(企业A总部)

当前视图

配置命令

简单说明

[H3C]

dvpn service enable

使能DVPN功能

[H3C]

dvpn class server_4640a

创建并进入dvpn-class视图

[H3C-dvpn-class-server_4640a]

public-ip 202.38.1.1

配置指定Server的公网IP地址

[H3C-dvpn-class-server_4640a]

authentication-server method pre-share

配置ClientServer的身份验证方法为预共享密钥验证方式

[H3C-dvpn-class-server_4640a]

pre-shared-key h3c

配置ClientServer验证使用的pre-shared-key

[H3C-dvpn-class-server_4640a]

local-user dvpnuser_a password simple dvpnuser_a

配置Client注册使用的用户信息

[H3C-dvpn-class-server_4640a]

quit

退出DVPN-CLASS视图

[H3C]

interface Ethernet0/0

进入接口

[H3C-Ethernet0/0]

ip address 192.169.1.1 255.255.255.0

配置IP地址

[H3C-Ethernet0/0]

quit

退出接口视图

[H3C]

interface Ethernet1/0

进入接口

[H3C-Ethernet0/1]

ip address 202.38.1.10 255.255.255.0

配置IP地址

[H3C-Ethernet0/1]

quit

退出接口视图

[H3C]

interface Tunnel1

创建并进入TUNNEL接口视图

[H3C-Tunnel1]

ip address 192.168.1.10 255.255.255.0

配置DVPNIP地址

[H3C-Tunnel1]

tunnel-protocol udp dvpn

配置Tunnel接口的报文封装格式UDP DVPN

[H3C-Tunnel1]

source Ethernet1/0

配置Tunnel接口的源端

[H3C-Tunnel1]

dvpn interface-type client

配置Tunnel接口类型为CLIENT

[H3C-Tunnel1]

dvpn dvpn-id 1

指定所属的DVPN域为1

[H3C-Tunnel1]

dvpn server server_4640a

配置使用的dvpn-class,指定接入的DVPN SERVER参数

[H3C-Tunnel1]

ospf network-type p2mp

配置OSPF网络类型为点到多点

[H3C-Tunnel1]

Quit

退出TUNNEL接口视图

[H3C]

ospf 1

启用OSPF进程1

[H3C-ospf-1]

area 0.0.0.0

进入区域视图

[H3C-ospf-1-area-0.0.0.0]

network 202.38.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

quit

退出视图

[H3C]

ip route-static 110.1.1.1 255.255.255.255 192.168.1.20 preference 60

配置静态路由

[H3C]

ip route-static 200.1.1.1 255.255.255.255 192.168.1.30 preference 60

配置静态路由

4.     配置DVPN CLIENT路由器AR2840(企业B总部)

当前视图

配置命令

简单说明

[H3C]

dvpn service enable

使能DVPN功能

[H3C]

dvpn class server_4640a

创建并进入dvpn-class视图

[H3C-dvpn-class-server_4640a]

public-ip 202.38.1.1

配置指定Server的公网IP地址

[H3C-dvpn-class-server_4640a]

authentication-server method pre-share

配置ClientServer的身份验证方法为预共享密钥验证方式

[H3C-dvpn-class-server_4640a]

pre-shared-key h3c

配置ClientServer验证使用的pre-shared-key

[H3C-dvpn-class-server_4640a]

local-user dvpnuser_b password simple dvpnuser_b

配置Client注册使用的用户信息

[H3C-dvpn-class-server_4640a]

quit

退出DVPN-CLASS视图

[H3C]

interface Ethernet0/0

进入接口视图

[H3C-Ethernet0/0]

ip address 192.169.2.1 255.255.255.0

配置IP地址

[H3C-Ethernet0/0]

quit

退出接口视图

[H3C]

interface Ethernet1/0

进入接口视图

[H3C-Ethernet0/1]

ip address 202.38.1.20 255.255.255.0

配置IP地址

[H3C-Ethernet0/1]

quit

退出接口视图

[H3C]

interface Tunnel1

创建并进入TUNNEL接口视图

[H3C-Tunnel1]

ip address 192.168.2.10 255.255.255.0

配置DVPNIP地址

[H3C-Tunnel1]

tunnel-protocol udp dvpn

配置Tunnel接口的报文封装格式UDP DVPN

[H3C-Tunnel1]

source Ethernet1/0

配置Tunnel接口的源端

[H3C-Tunnel1]

dvpn interface-type client

配置Tunnel接口类型为CLIENT

[H3C-Tunnel1]

dvpn dvpn-id 2

指定所属的DVPN域为2

[H3C-Tunnel1]

dvpn server server_4640a

配置使用的dvpn-class,指定接入的DVPN SERVER参数

[H3C-Tunnel1]

ospf network-type p2mp

配置OSPF网络类型为点到多点

[H3C-Tunnel1]

quit

退出TUNNEL接口视图

[H3C]

ospf 1

启用OSPF进程1

[H3C-ospf-1]

area 0.0.0.0

进入区域视图

[H3C-ospf-1-area-0.0.0.0]

network 202.38.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

quit

退出视图

[H3C]

ip route-static 190.1.1.1 255.255.255.255 192.168.2.20 preference 60

配置静态路由

[H3C]

ip route-static 210.1.1.1 255.255.255.255 192.168.2.30 preference 60

配置静态路由

5.     配置DVPN CLIENT路由器AR2811(企业A分支一)

当前视图

配置命令

简单说明

[H3C]

dvpn service enable

使能DVPN功能

[H3C]

dvpn class server_4640a

创建并进入dvpn-class视图

[H3C-dvpn-class-server_4640a]

public-ip 202.38.1.1

配置指定Server的公网IP地址

[H3C-dvpn-class-server_4640a]

authentication-server method pre-share

配置ClientServer的身份验证方法为预共享密钥验证方式

[H3C-dvpn-class-server_4640a]

pre-shared-key h3c

配置ClientServer验证使用的pre-shared-key

[H3C-dvpn-class-server_4640a]

local-user dvpnuser_a1 password simple dvpnuser_a1

配置Client注册使用的用户信息

[H3C-dvpn-class-server_4640a]

Quit

退出DVPN-CLASS视图

[H3C]

interface Dialer20

创建DAILER接口

[H3C-Dialer20]

link-protocol ppp

设置类型为PPP

[H3C-Dialer20]

mtu 1450

修改mtu1450

[H3C-Dialer20]

ip address ppp-negotiate

通过PPP协商地址

[H3C-Dialer20]

dialer user gy

配置拨号用户gy

[H3C-Dialer20]

dialer bundle 20

指定dialer 口的帮定号

[H3C-Dialer20]

quit

退出视图

[H3C]

interface Atm1/0

进入atm接口

[H3C-Atm1/0]

pvc 20/100

进入pvc视图

[H3C-atm-pvc-Atm1/0-20/100]

map bridge Virtual-Ethernet20

将虚拟的以太口映射到pvc

[H3C-Atm1/0]

undo ip fast-forwarding

取消ip快速转发

[H3C-Atm1/0]

Quit

退出视图

[H3C]

interface Virtual-Ethernet20

进入虚拟以太口

[H3C-Virtual-Ethernet20]

pppoe-client dial-bundle-number 20

设置以太口的帮定号

[H3C-Virtual-Ethernet20]

Quit

退出视图

[H3C]

interface Tunnel1

创建并进入TUNNEL接口视图

[H3C-Tunnel1]

ip address 192.168.1.30 255.255.255.0

配置DVPNIP地址

[H3C-Tunnel1]

tunnel-protocol udp dvpn

配置Tunnel接口的报文封装格式UDP DVPN

[H3C-Tunnel1]

source Dialer20

配置Tunnel接口的源端

[H3C-Tunnel1]

dvpn interface-type client

配置Tunnel接口类型为CLIENT

[H3C-Tunnel1]

dvpn dvpn-id 1

指定所属的DVPN域为1

[H3C-Tunnel1]

dvpn server server_4640a

配置使用的dvpn-class,指定接入的DVPN SERVER参数

[H3C-Tunnel1]

Quit

退出TUNNEL接口视图

[H3C]

interface ethernet0/0

进入接口视图

[H3C-Ethernet0/0]

ip address 200.1.1.1 255.255.255.0

配置IP地址

[H3C-Ethernet0/0]

quit

退出视图

[H3C]

ospf 1

启用OSPF进程1

[H3C-ospf-1]

area 0.0.0.0

进入区域视图

[H3C-ospf-1-area-0.0.0.0]

network 20.1.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

quit

退出视图

[H3C]

ip route-static 110.1.1.1 255.255.255.255 192.168.1.20 preference 60

配置静态路由

[H3C]

ip route-static 192.169.1.1 255.255.255.255 192.168.1.10 preference 60

配置静态路由

6.     配置DVPN CLIENT路由器AR2811(企业A分支二)

当前视图

配置命令

简单说明

[H3C]

dvpn service enable

使能DVPN功能

[H3C]

dvpn class server_4640a

创建并进入dvpn-class视图

[H3C-dvpn-class-server_4640a]

public-ip 202.38.1.1

配置指定Server的公网IP地址

[H3C-dvpn-class-server_4640a]

authentication-server method pre-share

配置ClientServer的身份验证方法为预共享密钥验证方式

[H3C-dvpn-class-server_4640a]

pre-shared-key h3c

配置ClientServer验证使用的pre-shared-key

[H3C-dvpn-class-server_4640a]

local-user dvpnuser_a2 password simple dvpnuser_a2

配置Client注册使用的用户信息

[H3C-dvpn-class-server_4640a]

Quit

退出DVPN-CLASS视图

[H3C]

interface ethernet0/0

进入接口视图

[H3C-Ethernet0/0]

ip address 10.1.1.10 255.255.255.0

配置IP地址

[H3C-Ethernet0/0]

quit

退出视图

[H3C]

interface ethernet0/1

进入接口视图

[H3C-Ethernet0/1]

ip address 110.1.1.1 255.255.255.

配置IP地址

[H3C-Ethernet0/1]

quit

退出视图

[H3C]

interface Tunnel1

创建并进入TUNNEL接口视图

[H3C-Tunnel1]

ip address 192.168.1.20 255.255.255.0

配置DVPNIP地址

[H3C-Tunnel1]

tunnel-protocol udp dvpn

配置Tunnel接口的报文封装格式UDP DVPN

[H3C-Tunnel1]

source Ethernet0/0

配置Tunnel接口的源端

[H3C-Tunnel1]

dvpn interface-type client

配置Tunnel接口类型为CLIENT

[H3C-Tunnel1]

dvpn dvpn-id 1

指定所属的DVPN域为1

[H3C-Tunnel1]

dvpn server server_4640a

配置使用的dvpn-class,指定接入的DVPN SERVER参数

[H3C-Tunnel1]

Quit

退出TUNNEL接口视图

[H3C]

ip route-static 0.0.0.0 0.0.0.0 10.1.1.1 preference 60

配置静态路由

[H3C]

ip route-static 192.169.1.1 255.255.255.255 192.168.1.10 preference 60

配置静态路由

[H3C]

ip route-static 200.1.1.1 255.255.255.255 192.168.1.30 preference 60

配置静态路由

7.     配置DVPN CLIENT路由器AR1830(企业B分支一)

当前视图

配置命令

简单说明

[H3C]

dvpn service enable

使能DVPN功能

[H3C]

dvpn class server_4640a

创建并进入dvpn-class视图

[H3C-dvpn-class-server_4640a]

public-ip 202.38.1.1

配置指定Server的公网IP地址

[H3C-dvpn-class-server_4640a]

authentication-server method pre-share

配置ClientServer的身份验证方法为预共享密钥验证方式

[H3C-dvpn-class-server_4640a]

pre-shared-key h3c

配置ClientServer验证使用的pre-shared-key

[H3C-dvpn-class-server_4640a]

local-user dvpnuser_b1 password simple dvpnuser_b1

配置Client注册使用的用户信息

[H3C-dvpn-class-server_4640a]

Quit

退出DVPN-CLASS视图

[H3C]

interface Dialer19

进入拨号视图

[H3C-Dialer19]

link-protocol ppp

配置封装为PPP

[H3C-Dialer19]

mtu 1450

设置MTU

[H3C-Dialer19]

ip address ppp-negotiate

配置

[H3C-Dialer19]

dialer user PPP

配置拨号用户

[H3C-Dialer19]

Dialer-group 1

配置拨号组

[H3C-Dialer19]

dialer bundle 19

设置帮定号

[H3C-Dialer19]

quit

退出视图

[H3C]

interface Atm2/0

进入ATM接口

[H3C-Atm2/0]

pvc 19/100

配置PVC

[H3C-atm-pvc-Atm1/0-19/100]

transmit-priority 2

设置pvc 的传输优先级

[H3C-atm-pvc-Atm1/0-19/100]

map bridge Virtual-Ethernet19

将虚拟的以太口映射到pvc

[H3C-Atm2/0]

undo ip fast-forwarding

取消IP快速转发

[H3C-Atm2/0]

Quit

推出接口视图

[H3C]

interface Virtual-Ethernet19

进入虚拟以太口

[H3C-Virtual-Ethernet19]

pppoe-client dial-bundle-number 19

设置帮定号

[H3C-Virtual-Ethernet19]

Quit

退出视图

[H3C]

interface Ethernet1/0

进入接口视图

[H3C-Ethernet1/0]

ip address 190.1.1.1 255.255.255.0

配置IP地址

[H3C-Ethernet1/0]

Quit

退出接口视图

[H3C]

interface Tunnel1

创建并进入TUNNEL接口视图

[H3C-Tunnel1]

ip address 192.168.2.20 255.255.255.0

配置DVPNIP地址

[H3C-Tunnel1]

tunnel-protocol udp dvpn

配置Tunnel接口的报文封装格式UDP DVPN

[H3C-Tunnel1]

source Dialer19

配置Tunnel接口的源端

[H3C-Tunnel1]

dvpn interface-type client

配置Tunnel接口类型为CLIENT

[H3C-Tunnel1]

dvpn dvpn-id 2

指定所属的DVPN域为2

[H3C-Tunnel1]

dvpn server server_4640a

配置使用的dvpn-class,指定接入的DVPN SERVER参数

[H3C-Tunnel1]

Quit

退出TUNNEL接口视图

[H3C]

ospf 1

启用OSPF进程1

[H3C-ospf-1]

area 0.0.0.0

进入区域视图

[H3C-ospf-1-area-0.0.0.0]

network 19.1.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

Quit

退出视图

[H3C]

ip route-static 192.169.2.1 255.255.255.255 192.168.2.10 preference 60

配置静态路由

[H3C]

ip route-static 210.1.1.1 255.255.255.255 192.168.2.30 preference 60

配置静态路由

8.     配置DVPN CLIENT路由器AR1830(企业B分支二)

当前视图

配置命令

简单说明

[H3C]

dvpn service enable

使能DVPN功能

[H3C]

dvpn class server_4640a

创建并进入dvpn-class视图

[H3C-dvpn-class-server_4640a]

public-ip 202.38.1.1

配置指定Server的公网IP地址

[H3C-dvpn-class-server_4640a]

authentication-server method pre-share

配置ClientServer的身份验证方法为预共享密钥验证方式

[H3C-dvpn-class-server_4640a]

pre-shared-key h3c

配置ClientServer验证使用的pre-shared-key

[H3C-dvpn-class-server_4640a]

local-user dvpnuser_b2 password simple dvpnuser_b2

配置Client注册使用的用户信息

[H3C-dvpn-class-server_4640a]

Quit

退出DVPN-CLASS视图

[H3C]

interface Dialer21

进入拨号号

[H3C-Dialer21]

link-protocol ppp

改链路为ppp

[H3C-Dialer21]

mtu 1450

修改mtu1450

[H3C-Dialer21]

ip address ppp-negotiate

通过PPP协商地址

[H3C-Dialer21]

dialer user gy

配置拨号用户gy

[H3C-Dialer21]

Dialer-group 1

建立拨号组

[H3C-Dialer21]

dialer bundle 21

指定dialer 口的帮定号

[H3C-Dialer21]

Quit

退出视图

[H3C]

interface Atm2/0

进入atm接口

[H3C-Atm2/0]

pvc 21/100

进入pvc视图

[H3C-atm-pvc-Atm1/0-21/100]

transmit-priority 2

设置传输优先级

[H3C-atm-pvc-Atm1/0-21/100]

map bridge Virtual-Ethernet21

将虚拟的以太口映射到pvc

[H3C-Atm2/0]

undo ip fast-forwarding

取消ip快速转发

[H3C-Atm2/0]

Quit

退出视图

[H3C]

interface Virtual-Ethernet21

进入虚拟以太口

[H3C-Virtual-Ethernet19]

pppoe-client dial-bundle-number 21

设置以太口的帮定号

[H3C-Virtual-Ethernet19]

Quit

退出视图

[H3C]

interface Ethernet1/0

进入以太口

[H3C-Ethernet1/0]

ip address 210.1.1.1 255.255.255..0

设置ip地址

[H3C-Ethernet1/0]

quit

退出视图

[H3C]

interface Tunnel1

创建并进入TUNNEL接口视图

[H3C-Tunnel1]

ip address 192.168.2.30 255.255.255.0

配置DVPNIP地址

[H3C-Tunnel1]

tunnel-protocol udp dvpn

配置Tunnel接口的报文封装格式UDP DVPN

[H3C-Tunnel1]

source Dialer21

配置Tunnel接口的源端

[H3C-Tunnel1]

dvpn interface-type client

配置Tunnel接口类型为CLIENT

[H3C-Tunnel1]

dvpn dvpn-id 2

指定所属的DVPN域为2

[H3C-Tunnel1]

dvpn server server_4640a

配置使用的dvpn-class,指定接入的DVPN SERVER参数

[H3C-Tunnel1]

Quit

退出TUNNEL接口视图

[H3C]

ospf 1

启用OSPF进程1

[H3C-ospf-1]

area 0.0.0.0

进入区域视图

[H3C-ospf-1-area-0.0.0.0]

network 21.1.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

quit

退出视图

[H3C]

ip route-static 190.1.1.1 255.255.255.255 192.168.2.20 preference 60

配置静态路由

[H3C]

ip route-static 192.169.2.1 255.255.255.255 192.168.2.10 preference 60

配置静态路由

9.     配置NAT路由器4640

当前视图

配置命令

简单说明

[H3C]

interface Ethernet3/0/0

进入接口视图`

[H3C-Ethernet3/0/0]

ip address 1.1.1.2 255.255.255.0

配置IP地址

[H3C-Ethernet3/0/0]

nat outbound 3000

配置NAT网关,满足3000 ACL的进行地址转换

[H3C-Ethernet3/0/0]

quit

退出视图

[H3C]

interface Ethernet3/0/1

进入接口

[H3C-Ethernet3/0/1]

ip address 10.1.1.1 255.255.255.0

配置ip地址

[H3C-Ethernet3/0/1]

quit

退出

[H3C]

acl number 3000

创建acl

[H3C-acl-adv-3000]

rule 0 permit ip

创建规则

[H3C-acl-adv-3000]

quit

推出acl视图

[H3C]

ospf 1

创建ospf进程

[H3C-ospf-1]

area 0.0.0.0

进入区域视图

[H3C-ospf-1-area-0.0.0.0]

network 1.1.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

quit

退出

10. 配置BAS路由器4640

当前视图

配置命令

简单说明

[H3C]

ip pool 19 19.1.1.2 19.1.1.100

配置全局地址池

[H3C]

ip pool 20 20.1.1.2 20.1.1.100

配置全局地址池

[H3C]

ip pool 21 21.1.1.2 21.1.1.100

配置全局地址池

[H3C]

interface Virtual-Template19

创建虚模板并进入视图

[H3C-Virtual-Template19]

ip address 19.1.1.1 255.255.255.0

配置IP地址

[H3C-Virtual-Template19]

remote address pool 19

指定对端地址由地址池分配

[H3C-Virtual-Template19]

quit

退出

[H3C]

interface Virtual-Template20

创建虚模板并进入视图

[H3C-Virtual-Template20]

ip address 20.1.1.1 255.255.255.0

配置ip地址

[H3C-Virtual-Template20]

remote address pool 20

为对端分配地址

[H3C-Virtual-Template20]

quit

退出

[H3C]

interface Virtual-Template21

创建虚模板并进入视图

[H3C-Virtual-Template21]

ip address 21.1.1.1 255.255.255.0

配置ip地址

[H3C-Virtual-Template21]

remote address pool 21

为对端分配地址

[H3C-Virtual-Template21]

quit

退出视图

[H3C]

interface Ethernet0/0/1

进入接口

[H3C-Ethernet0/0/1]

ip address 202.38.1.100 255.255.255.0

配置ip地址

[H3C-Ethernet0/0/1]

undo ip fast-forwarding

取消ip快速转发

[H3C-Ethernet0/0/1]

quit

退出

[H3C]

interface Ethernet3/0/0

进入接口

[H3C-Ethernet3/0/0]

ip address 2.1.1.1 255.255.255.0

配置ip地址

[H3C-Ethernet3/0/0]

undo ip fast-forwarding

取消ip快速转发

[H3C-Ethernet3/0/0]

quit

退出

[H3C]

interface Ethernet3/0/1

进入接口

[H3C-Ethernet3/0/1]

ip address 1.1.1.1 255.255.255.0

配置ip地址

[H3C-Ethernet3/0/1]

undo ip fast-forwarding

取消ip快速转发

[H3C-Ethernet3/0/1]

quit

退出

[H3C]

interface Ethernet4/0/0.19

创建虚以太接口并进入视图

[H3C-Ethernet4/0/0.19]

pppoe-server bind Virtual-Template 19

在接口上绑定虚模板

[H3C-Ethernet4/0/0.19]

undo ip fast-forwarding

取消ip快速转发

[H3C-Ethernet4/0/0.19]

vlan-type dot1q vid 19

指定VLAN-ID

[H3C-Ethernet4/0/0.19]

quit

退出

[H3C]

interface Ethernet4/0/0.20

进入接口

[H3C-Ethernet4/0/0.20]

pppoe-server bind Virtual-Template 20

帮定虚拟模板

[H3C-Ethernet4/0/0.20]

undo ip fast-forwarding

取消快速转发

[H3C-Ethernet4/0/0.20]

vlan-type dot1q vid 20

封装802.1q

[H3C-Ethernet4/0/0.20]

Quit

退出

[H3C]

interface Ethernet4/0/0.21

进入接口

[H3C-Ethernet4/0/0.21]

pppoe-server bind Virtual-Template 21

帮定虚拟模板

[H3C-Ethernet4/0/0.21]

undo ip fast-forwarding

取消ip快速转发

[H3C-Ethernet4/0/0.21]

vlan-type dot1q vid 21

封装802.1q

[H3C-Ethernet4/0/0.21]

quit

退出

[H3C]

ospf 1

启动OSPF,进入OSPF视图

[H3C-ospf-1]

area 0.0.0.0

进入OSPF区域视图

[H3C-ospf-1-area-0.0.0.0]

network 1.1.1.0 0.0.0.255

指定网段运行OSPF协议

[H3C-ospf-1-area-0.0.0.0]

network 2.1.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

network 19.1.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

network 20.1.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

network 21.1.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

network 202.38.1.0 0.0.0.255

加入网络

[H3C-ospf-1-area-0.0.0.0]

quit

退出

3.5.4       验证结果

如果连接正常,所有DVPN CLIENT均可自行成功注册到DVPN SERVER,总部与分支之间,分支与分支之间可以互相访问,不同域内用户由于隔离而无法互访。

DVPN SERVER路由器命令行界面上执行“display dvpn map all”和“display dvpn session all”命令,当看到DVPN CLIENTDVPN SERVER间均已建立DVPN连接时,可以认为安全联的建立成功。

<4640a>dis dvpn map all

  vpn-id       private-ip        public-ip    port     state  type   control-id

 --------------------------------------------------------------------------

      2    192.168.2.20        19.1.1.5   1103  FINISHED  S->C    52217924

      2    192.168.2.30        21.1.1.5   1103  FINISHED  S->C    50236292

      1    192.168.1.30        20.1.1.6   1103  FINISHED  S->C    86432004

      2    192.168.2.10     202.38.1.20   1103  FINISHED  S->C    70494276

      1    192.168.1.20         1.1.1.2  12288  FINISHED  S->C    70568004

      1    192.168.1.10     202.38.1.10   1103  FINISHED  S->C    70845252

<4640a>

<4640a>dis dvpn session all

  vpn-id       private-ip        public-ip    port     state  type

 -----------------------------------------------------------------

       1     192.168.1.10      202.38.1.10    1103   SUCCESS  S->C

       1     192.168.1.20          1.1.1.2   12288   SUCCESS  S->C

       1     192.168.1.30         20.1.1.6    1103   SUCCESS  S->C

       2     192.168.2.10      202.38.1.20    1103   SUCCESS  S->C

       2     192.168.2.30         21.1.1.5    1103   SUCCESS  S->C

       2     192.168.2.20         19.1.1.5    1103   SUCCESS  S->C

3.5.5       故障排除

对于连接不上的情况,首先应该考虑DVPN CLIENT路由器是否可以与DVPN SERVER路由器连通。可用ping命令测试。如果ping不通,则说明网络不通,需要首先解决网络连通性问题。网络连通性问题可能性很多,此处不做描述。

如果能够ping通,则说明网络是连通的,那么通常是由于DVPN的连接未成功建立导致的。对于连接无法建立的情况,大部分是由于配置错误造成的,通常表现为注册状态异常。异常状态有INITALGREQ两种。

DVPN的连接不成功的原因通常有以下几种:

l       CLIENT接入SERVER不成功

l       SERVERCLIENT验证不成功

l       CLIENT上指定的公网地址与SERVER的实际物理地址不一致

l       指定的源地址不一致

l       DVPNID不一致

l       接口类型不一致

1)    CLIENT接入SERVER不成功

现象:在Client上使用display dvpn session 命令看到注册状态为INIT。正常情况下,这个状态应该是一个中间状态,很快就应该转变到SUCCESS状态。如果长期处于INIT状态,说明CLIENT接入SERVER不成功。

<H3C>dis dvpn session all

  vpn-id       private-ip        public-ip    port     state  type

 -----------------------------------------------------------------

       1      192.168.1.2          1.1.1.2   40959      INIT  S->C

通过调试命令会有Dvpn authentication Fail!信息。

<H3C> debugging dvpn error

<H3C> debugging dvpn event all

<H3C> terminal debugging

<H3C> terminal monitor

*0.1319980 2830_1 DVPN/8/debug:Dvpn send register control message SUCCESS!

*0.1320070 2830_1 DVPN/8/debug:Server send key-exchange response SUCCESS!

*0.1320160 2830_1 DVPN/8/debug: Server recieve key-exchange request deal SUCCESS!

*0.1320260 2830_1 DVPN/8/debug: Server receive authentication request deal SUCCESS!

*0.1320360 2830_1 DVPN/8/debug:Dvpn send authentication request to SC SUCCESS!

*0.1320460 2830_1 DVPN/8/debug:Dvpn authentication Fail!

解决方法:请在DVPN SERVER上查看是否配置了本地验证或RADIUS/TACACS验证,以及DVPN CLIENTCLASS视图下配置的用户“local-user username password { simple | cipher } password”在DVPN SERVER上是否已存在且有相应权限。

2)    SERVERCLIENT验证不成功

现象:在Server上使用display dvpn map命令未看到任何信息。

<H3C>display dvpn map all

 No any DVPN map!

通过调试命令会有Dvpn register client recv key exchange response error for Client authentication server identity is invalid!(55)!信息。

<H3C> debugging dvpn error

<H3C> debugging dvpn event all

<H3C> terminal debugging

<H3C> terminal monitor

*0.19287275 2830_1 DVPN/8/debug:Dvpn 1 will delete all resource!

*0.19289256 2830_1 DVPN/8/debug:Dvpn send register control message SUCCESS!

*0.19289344 2830_1 DVPN/8/debug:Client send algorithm request packetSUCCESS!

*0.19289433 2830_1 DVPN/8/debug:Dvpn send register control message SUCCESS!

*0.19289524 2830_1 DVPN/8/debug:Client send key-exchange request SUCCESS!

*0.19289611 2830_1 DVPN/8/debug: Client receive algorithm response deal SUCCESS!

*0.19289710 2830_1 DVPN/8/debug:Dvpn register client recv key exchange response

error for Client authentication server identity is invalid!(55)!

*0.19290176 2830_1 DVPN/8/debug:Tunnel-Dvpn: check Tunnel1 state.

*0.19290254 2830_1 DVPN/8/debug:Tunnel-Dvpn: Tunnel1 state is up, no change

解决方法:请确保DVPN CLIENTCLASS视图下配置了authentication-server method pre-share认证方式。此时检查DVPN CLIENT端的pre-shared-keyDVPN SERVERPOLICY视图下配置的dvpn server pre-shared-key是否一致,

3)    CLIENT上指定的公网地址与SERVER的实际物理地址不一致

现象:在Client上使用display dvpn map命令看到注册状态为ALGREQ。正常情况下,这个状态应该是一个中间状态,很快就应该转变到SUCCESS状态。如果长期处于ALGREQ状态,说明DVPN连接不成功。

<H3C>dis dvpn map all

  vpn-id     private-ip      public-ip    port     state  type   control-id

 -------------------------------------------------------------------------

       1         ----         1.1.1.1   40959    ALGREQ  C->S     83977956

通过调试命令会有Receive first register request, but device does not set server!信息。说明是CLIENT上指定的公网地址与SERVER的实际物理地址不一致。

<H3C> debugging dvpn error

<H3C> debugging dvpn event all

<H3C> terminal debugging

<H3C> terminal monitor

*0.1967781 2830_2 DVPN/8/debug:Tunnel-dvpn: check Tunnel1 state.

*0.1967860 2830_2 DVPN/8/debug:Tunnel-Dvpn: Tunnel1 state is up, no change

*0.1970451 2830_2 DVPN/8/debug:Dvpn send register control message SUCCESS!

*0.1970540 2830_2 DVPN/8/debug:Client send algorithm request packet SUCCESS!

*0.1970630 2830_2 DVPN/8/debug:Receive first register request, but device does not set server!

解决方法:在DVPN ClientCLASS视图,使用命令public-ip指定正确的DVPN Server地址。

4)    指定的源地址不一致

现象:在Client上使用display dvpn map命令看到注册状态为ALGREQ。正常情况下,这个状态应该是一个中间状态,很快就应该转变到SUCCESS状态。如果长期处于ALGREQ状态,说明DVPN连接不成功。

<H3C>dis dvpn map all

  vpn-id      private-ip      public-ip    port    state  type   control-id

 --------------------------------------------------------------------------

       1          ----        1.1.1.1   40959    ALGREQ  C->S     83977956

通过调试命令会有Dvpn register server receive algorithm request error for Server failed to send algorithm response!(53)!信息。说明指定的源地址不一致。

<H3C> debugging dvpn errpr

<H3C> debugging dvpn event all

<H3C> terminal debugging

<H3C> terminal monitor

*0.2334176 2830_1 DVPN/8/debug:Dvpn deal udp encapsulation fail, for DVPN failed

 to send packet to IP output queue!!

*0.2334310 2830_1 DVPN/8/debug:Dvpn register message send occur error, for UDP f

ailed to encapsulate data !!

*0.2334440 2830_1 DVPN/8/debug:Dvpn register Server send algorithm response erro

r for Failed to send register message packet!(12)!

*0.2334600 2830_1 DVPN/8/debug:Dvpn register server receive algorithm request er

ror for Server failed to send algorithm response!(53)!

解决方法:在DVPN ClientCLASS视图下,使用命令private-ip指定正确的DVPN Server地址。

5)    DVPNID不一致

现象:通过调试命令会有Dvpn register server receive algorithm request error for Server failed to send algorithm response!(53)!信息。这说明是DVPNID不一致。

<H3C> debugging dvpn error

<H3C> debugging dvpn event all

<H3C> terminal debugging

<H3C> terminal monitor

*0.7553535 2830_1 DVPN/8/debug:Receive first register request, but specified DVPN ID is invalid!

解决方法:分别在ServerClient上的Tunnel接口视图下查看DVPN的域ID,通过dvpn dvpn-id 指定为相同数值。

6)    接口类型不一致

现象:若出现配置完成后display dvpn map无任何信息,且debug dvpn all也无法捕捉到任何调试信息的时候,有可能是同时将两侧的接口类型都配置为Server;若display dvpn map无任何信息,但debug dvpn all可捕捉到发送请求信息且无响应信息的,则很可能是同时将两侧的接口类型都配置为Client

解决方法:分别在ClientSeverTunnel接口下查看配置的接口类型。如果配置错误则修改配置,使DVPN SERVERCLIENT的配置正确匹配。

另外,如果网络物理地址间是连通的,且DVPN连接成功建立,但DVPN SERVERCLIENT后的私网,DVPN CLIENT后面的私网间无法实现互访。这种情况的原因往往是由于路由造成的。请检查路由表,查看是否存在到其他私网的路由。需要注意的是,DVPN SERVER上也需要指定这些到私网的路由信息,否则通过SERVER转发的报文将无法正常完成。

4         关键命令

4.1        dvpn policy

【命令】

dvpn policy dvpn-policy-name

【视图】

系统视图

【参数】

【描述】

dvpn policy命令用来创建一个dvpn-policy视图,并进入该视图。undo dvpn policy命令用来删除dvpn-policy视图。dvpn-policy视图用来配置对client的身份的认证方式,会话使用的加密算法套件、转发数据使用的算法套件、以及各种时间参数等各种dvpn策略。如果一个dvpn-policy已经被接口使用,则需要删除接口的应用才可以删除该dvpn-policy

缺省情况没有配置任何dvpn-policy

【举例】

[H3C] dvpn policy abc

4.2        dvpn class

【命令】

dvpn class dvpn-class-name

undo dvpn class dvpn-class-name

【视图】

系统视图

【参数】

dvpn-class-name:创建的dvpn-class的名称,以字符串方式表示,字符串的最大长度为31字节

【描述】

dvpn class命令用来创建一个dvpn-class视图,并进入该视图。undo dvpn class命令用来删除dvpn-class视图。dvpn-class视图可以配置目的Server的地址,注册使用的用户名、密码等。当该dvpn-class已经被接口应用,不能被直接删除。

缺省情况没有配置任何dvpn-class

【举例】

[H3C] dvpn class abc

5         相关资料

Comware V3 操作手册》

Comware V3 命令手册》