- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
28-mGRE配置
本章节下载: 28-mGRE配置 (349.77 KB)
1.7.3 Full-Mesh网络类型IPsec保护mGRE隧道报文典型配置举例
1.7.4 NHS-NHC网络类型IPsec保护mGRE隧道报文典型配置举例
1.7.5 Full-Mesh网络类型mGRE穿越NAT典型配置举例
设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
|
型号 |
特性 |
描述 |
|
MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/MSR810-W-LM-HK/810-LMS/810-LUS |
mGRE |
MSR810/810-W/810-W-DB/810-LM/810-W-LM/810-10-PoE/810-LM-HK/MSR810-W-LM-HK:支持 810-LMS/810-LUS:不支持 |
|
MSR2600-6-X1/2600-10-X1 |
支持 |
|
|
MSR 2630 |
支持 |
|
|
MSR3600-28/3600-51 |
支持 |
|
|
MSR3600-28-SI/3600-51-SI |
不支持 |
|
|
MSR 3610/3620/3620-DP/3640/3660 |
支持 |
|
|
MSR3610-X1/3610-X1-DP/3610-X1-DC/3610-X1-DP-DC |
支持 |
|
|
MSR5620/5660/5680 |
支持 |
|
型号 |
命令 |
描述 |
|
MSR810-W-WiNet/810-LM-WiNet |
mGRE |
支持 |
|
MSR830-4LM-WiNet |
不支持 |
|
|
MSR830-5BEI-WiNet/830-6EI-WiNet/830-10BEI-WiNet |
支持 |
|
|
MSR830-6BHI-WiNet/830-10BHI-WiNet |
支持 |
|
|
MSR2600-10-X1-WiNet |
支持 |
|
|
MSR2630-WiNet |
支持 |
|
|
MSR3600-28-WiNet |
支持 |
|
|
MSR3610-X1-WiNet |
支持 |
|
|
MSR3610-WiNet/3620-10-WiNet/3620-DP-WiNet/3620-WiNet/3660-WiNet |
支持 |
|
型号 |
特性 |
描述 |
|
MSR810-LM-GL |
mGRE |
支持 |
|
MSR810-W-LM-GL |
支持 |
|
|
MSR830-6EI-GL |
支持 |
|
|
MSR830-10EI-GL |
支持 |
|
|
MSR830-6HI-GL |
支持 |
|
|
MSR830-10HI-GL |
支持 |
|
|
MSR2600-6-X1-GL |
支持 |
|
|
MSR3600-28-SI-GL |
不支持 |
mGRE(Multipoint Generic Routing Encapsulation,多点通用路由封装)是一种基于NHRP(Next Hop Resolution Protocol,下一跳地址解析协议)的动态VPN技术。
在普通的VPN网络(如GRE)中,隧道是静态的,需要管理员手动建立,无法利用公网地址动态建立,配置和维护的工作量巨大,扩展性差。
在mGRE网络中,NHRP用来实现网络分支节点的私网地址到公网地址的动态映射,在企业网各分支机构使用动态地址接入公网的情况下,可以利用mGRE在各分支机构间建立动态VPN。
mGRE网络采用Client/Server模型,包含如下两类节点:
· NHS(NHRP Server):mGRE网络的中心设备,是路由信息交换的中心。
· NHC(NHRP Client):mGRE网络的分支设备,通常是企业分支机构的网关。该节点不会转发收到的其它mGRE节点的数据。
公网地址是NHC和NHS连接Internet的接口的地址,私网地址是指隧道的IP地址。当公网地址变化时,NHC将变化后的公网地址注册到NHS。NHC通过NHRP协议从NHS获取另一端NHC的新公网地址,从而实现在两个NHC之间动态建立跨越Internet的mGRE隧道。
mGRE的工作过程分为注册、隧道建立、路由学习和报文转发三个阶段,下面对这三个阶段做简单说明。
如图1-1所示,注册阶段的具体过程为:
(1) NHC向NHS发送注册请求报文,注册请求报文中包括NHC的公网地址、私网地址、连接的私网网段、NHRP报文认证密钥和GRE Key等信息。
(2) NHS收到注册请求报文后,根据配置对该NHC进行NHRP报文认证密钥和GRE Key匹配认证,只有两者同时匹配才能注册成功。注册成功后,NHS会向NHC发送注册成功响应报文。
根据数据是否经过NHS转发,mGRE网络分为如下两种:
· Full-Mesh(全互联)网络:如图1-2所示,NHC和NHC之间可以建立隧道直接通信。
图1-2 Full-Mesh网络示意图
· Hub-Spoke网络:如图1-3所示,NHC之间不能建立隧道直接通信,只能通过NHS转发数据,NHS既作为路由信息交换的中心,又作为数据转发的中心。
图1-3 NHS-NHC网络示意图
具体隧道建立过程为:
· NHC-NHS隧道:在NHC向NHS注册的过程中,NHC与NHS之间建立的隧道状态为初始化状态,当NHC向NHS注册成功后,二者之间的隧道便成功建立。
· NHC-NHC隧道:在Full-Mesh组网中,NHC收到数据报文后,若没有查到能够转发该报文的隧道,则会向NHS发送地址解析请求。NHS接收到地址解析请求后通过查找本地映射表找到响应方NHC,并将地址解析请求转发到响应方NHC。响应方在接收到地址解析请求后创建临时隧道并向发起方NHC发送地址解析请求回应报文。NHC-NHC隧道是动态的,若在一段时间(NHC-NHC隧道空闲超时时间)内没有数据报文交互,则删除该隧道。
一个NHC可以和任意多个NHS建立永久隧道。
隧道发起方和隧道接收方任何一方在NAT网关后侧,或两者都在NAT网关后侧,均可以建立穿越NAT的NHC-NHC隧道。
mGRE节点可以通过动态路由协议学习私网路由。mGRE网络连接的各个私网及mGRE隧道接口上都配置动态路由协议,实现私网路由的连通。mGRE隧道建立以后,路由协议通过隧道进行邻居发现、路由更新,并建立路由表。mGRE隧道可以看作是私网中的一条普通链路,负责连接不同的私网网段。完成私网路由的学习后,NHC接收到其下私网用户访问其他私网的报文时,查找路由表找到目的私网的下一跳地址,然后通过本地NHRP映射表找到目的私网下一跳对应的公网地址,并将该公网地址作为隧道的目的地址对报文进行封装。封装后的报文通过mGRE隧道发送给对端NHC。
搭建mGRE网络时,一般先配置NHS设备,再配置NHC设备。
目前,设备只支持作为NHC,不支持作为NHS。
表1-1 mGRE配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置mGRE隧道 |
必选 |
|
|
配置路由 |
必选 |
|
|
配置IPsec保护mGRE隧道报文 |
可选 |
NHS的公网地址和私网地址必须静态配置,不能动态变化,而NHC的公网地址既可以静态配置也可以动态获取,私网地址必须静态配置。
关于Tunnel接口的详细介绍,请参见“三层技术-IP业务配置指导”中的“隧道”。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建mGRE隧道类型的Tunnel接口,并进入Tunnel接口视图 |
interface tunnel number mode mgre |
缺省情况下,不存在任何Tunnel接口 |
|
配置Tunnel接口的私网地址 |
ip address ip-address { mask | mask-length } [ sub ] |
缺省情况下,Tunnel接口上没有配置私网地址 |
|
配置mGRE隧道的源端地址或源接口 |
source { ip-address | interface-type interface-number } |
缺省情况下,未设置mGRE隧道的源端地址和源接口 如果设置的是源端地址,则该地址将作为封装后隧道报文的源地址;如果设置的是源接口,则该接口的地址将作为封装后隧道报文的源地址 |
|
配置NHRP报文认证密钥 |
nhrp authentication { cipher | simple } string |
缺省情况下,未指定NHRP报文认证密钥,各NHRP节点之间的NHRP报文不进行认证 |
|
配置mGRE隧道的NHRP网络标识 |
nhrp network-id number |
缺省情况下,不存在NHRP网络标识 |
|
配置NHRP映射表项保活时间 |
nhrp holdtime seconds |
缺省情况下,NHRP映射表项保活时间是7200秒 |
|
配置NHRP服务器的私网地址和公网地址映射 |
nhrp nhs nhs-address nbma nbma-address |
缺省情况下,未配置NHRP服务器私网地址和公网地址映射 |
|
(可选)设置mGRE类型Tunnel接口的GRE Key |
gre key key |
缺省情况下,未设置mGRE类型Tunnel接口的GRE Key 隧道两端必须设置相同的GRE Key,或者都不设置GRE Key |
|
(可选)设置封装后隧道报文的DF(Don’t Fragment,不分片)标志 |
tunnel dfbit enable |
缺省情况下,未设置隧道报文的不分片标志,即转发隧道报文时允许分片 |
如果设备上配置了多个mGRE隧道接口,且隧道的源端地址或源接口相同,则不同的mGRE隧道接口的GRE Key不能相同。关于GRE Key的详细介绍请参见“三层技术-IP业务配置指导”中的“GRE”。
NHC私网支持的路由协议为OSPF、RIP和BGP:
· 采用OSPF路由协议时,如果是Full-Mesh网络,OSPF接口的网络类型需要配置为broadcast;如果是NHS-NHC网络,OSPF接口的网络类型需要配置为p2mp。OSPF的具体配置请参见“三层技术-IP路由配置指导”中的“OSPF”。
· 目前,Full-Mesh网络不支持RIP协议,而NHS-NHC网络,需要使用RIP-2组播方式,并且关闭NHS的水平分割功能。RIP的具体配置请参见“三层技术-IP路由配置指导”中的“RIP”。
· 采用BGP路由协议时,如果是Full-Mesh网络,需要配置路由策略等,保证一端NHC学习到的到达对端私网路由的下一跳为对端NHC的地址;如果是NHS-NHC网络,需要配置路由策略等,保证一端NHC学习到的到达对端私网路由的下一跳为NHS的地址。BGP和路由策略的具体配置请参见“三层技术-IP路由配置指导”中的“BGP”和“路由策略”。
设备支持用IPsec安全框架来保护mGRE隧道数据报文和控制报文,其基本配置思路如下:
(1) 配置IPsec安全提议:指定安全协议、认证算法和加密算法、封装模式等。
(2) 配置IKE协商方式的IPsec安全框架。
(3) 在mGRE隧道接口上应用IKE协商方式的IPsec安全框架。
详细配置请参见“安全配置指导”中的“IPsec”。
在完成上述配置后,在任意视图下执行display命令可以显示配置后mGRE的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除相应的统计信息和mGRE会话信息。
表1-3 mGRE显示和维护
|
操作 |
命令 |
|
显示NHRP地址映射表项信息 |
display nhrp map [ interface tunnel interface-number [ peer ipv4-address ] ] [ verbose ] |
|
显示Tunnel接口下的NHRP报文统计信息 |
display nhrp statistics [ interface tunnel interface-number ] |
|
显示mGRE的会话信息 |
display mgre session [ interface tunnel interface-number [ peer ipv4-address ] ] [ verbose ] |
|
清除Tunnel接口下的NHRP报文统计信息 |
reset nhrp statistics [ interface tunnel inteface-number ] |
|
清除mGRE会话 |
reset mgre session [ interface tunnel interface-number [ peer ipv4-address ] ] |
|
清除mGRE会话的统计信息 |
reset mgre statistics [ interface tunnel interface-number [ peer ipv4-address ] ] |
· 组网方式为Full-Mesh,NHS负责管理、维护各个节点的信息;
· NHC与NHS之间建立永久的mGRE隧道;
· NHC之间在有数据时动态建立mGRE隧道。
图1-4 Full-Mesh网络类型mGRE组网图
(1) 配置NHC1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC1> system-view
[NHC1] interface gigabitethernet 1/0/1
[NHC1-GigabitEthernet1/0/1] ip address 80.1.2.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC1] interface gigabitethernet 1/0/2
[NHC1-GigabitEthernet1/0/2] ip address 192.168.1.162 255.255.255.0
[NHC1-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0
# 配置OSPF接口网络类型为广播类型。
[NHC1-Tunnel0] ospf network-type broadcast
# 配置接口使能OSPF。
[NHC1-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口为GigabitEthernet1/0/1。
[NHC1-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key为100000。
[NHC1-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP网络标识为9。
[NHC1-Tunnel0] nhrp network-id 9
# 配置NHRP报文认证密钥为明文12345678。
[NHC1-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表项保活时间为3600秒。
[NHC1-Tunnel0] nhrp holdtime 3600
# 配置NHRP服务器的私网地址和公网地址映射。
[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC1-Tunnel0] quit
# 配置OSPF基本功能。
[NHC1] ospf 1
[NHC1-ospf-1] area 0.0.0.1
[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] quit
(2) 配置NHC2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC2> system-view
[NHC2] interface gigabitethernet 1/0/1
[NHC2-GigabitEthernet1/0/1] ip address 80.1.3.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC2] interface gigabitethernet 1/0/2
[NHC2-GigabitEthernet1/0/2] ip address 192.168.0.163 255.255.255.0
[NHC2-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0
# 配置OSPF接口网络类型为广播类型。
[NHC2-Tunnel0] ospf network-type broadcast
# 配置接口使能OSPF。
[NHC2-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口为GigabitEthernet1/0/1。
[NHC2-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key为100000。
[NHC2-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP网络标识为9。
[NHC2-Tunnel0] nhrp network-id 9
# 配置NHRP报文认证密钥为明文12345678。
[NHC2-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表项保活时间为3600秒。
[NHC2-Tunnel0] nhrp holdtime 3600
# 配置NHRP服务器的私网地址映射到公网地址。
[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC2-Tunnel0] quit
# 配置OSPF基本功能。
[NHC2] ospf 1
[NHC2-ospf-1] area 0.0.0.1
[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] quit
# 显示NHC1上的NHRP映射表的详细信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 00:11:21
Expiration time : never expire
Type : static
Flags : up
NBMA address : 80.1.1.161
# 显示NHC1上的mGRE会话的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 00:09:42
以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC2上的显示信息与NHC1类似。
# 在NHC1上ping NHC2的私网地址192.168.4.163。
[NHC1] ping 192.168.4.163
Ping 192.168.4.163 (192.168.4.163): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.4.163: icmp_seq=0 ttl=255 time=3.314 ms
56 bytes from 192.168.4.163: icmp_seq=1 ttl=255 time=2.786 ms
56 bytes from 192.168.4.163: icmp_seq=2 ttl=255 time=2.317 ms
56 bytes from 192.168.4.163: icmp_seq=3 ttl=255 time=3.060 ms
56 bytes from 192.168.4.163: icmp_seq=4 ttl=255 time=2.258 ms
--- Ping statistics for 192.168.4.163 ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 2.258/2.747/3.314/0.411 ms
# 显示NHC1上的NHRP映射表的详细信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 01:10:25
Expiration time : never expire
Type : static
Flags : up
NBMA address : 80.1.1.161
Interface : Tunnel0
Destination/mask : 192.168.4.163/32
Next hop : 192.168.4.163
Creation time : 00:00:24
Expiration time : 00:01:36
Type : cached
Flags : used up
NBMA address : 80.1.3.163
# 显示NHC1上的mGRE会话的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 2
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 00:10:28
80.1.3.163 192.168.4.163 C-C Succeeded 00:00:32
以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC1与NHC2建立了NHC-NHC临时隧道。NHC2上的显示信息与NHC1类似。
· 组网方式为NHS-NHC,NHS负责管理、维护各个节点的信息,并转发NHC之间的报文;
· NHC与NHS之间建立永久的mGRE隧道。
图1-5 NHS-NHC网络类型mGRE组网图
(1) 配置NHC1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC1> system-view
[NHC1] interface gigabitethernet 1/0/1
[NHC1-GigabitEthernet1/0/1] ip address 80.1.2.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC1] interface gigabitethernet 1/0/2
[NHC1-GigabitEthernet1/0/2] ip address 192.168.1.162 255.255.255.0
[NHC1-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0
# 配置OSPF接口网络类型为点到多点类型。
[NHC1-Tunnel0] ospf network-type p2mp
# 配置接口使能OSPF。
[NHC1-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口为GigabitEthernet1/0/1。
[NHC1-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key为100000。
[NHC1-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP网络标识为9。
[NHC1-Tunnel0] nhrp network-id 9
# 配置NHRP报文认证密钥为明文12345678。
[NHC1-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表项保活时间为3600秒。
[NHC1-Tunnel0] nhrp holdtime 3600
# 配置将NHRP服务器的私网地址映射到公网地址。
[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC1-Tunnel0] quit
# 配置OSPF基本功能。
[NHC1] ospf 1
[NHC1-ospf-1] area 0.0.0.1
[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] quit
(2) 配置NHC2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC2> system-view
[NHC2] interface gigabitethernet1/0/1
[NHC2-GigabitEthernet1/0/1] ip address 80.1.3.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC2] interface gigabitethernet1/0/2
[NHC2-GigabitEthernet1/0/2] ip address 192.168.0.163 255.255.255.0
[NHC2-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0
# 配置OSPF接口网络类型为点到多点类型。
[NHC2-Tunnel0] ospf network-type p2mp
# 配置接口使能OSPF。
[NHC2-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口为GigabitEthernet1/0/1。
[NHC2-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key为100000。
[NHC2-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP网络标识为9。
[NHC2-Tunnel0] nhrp network-id 9
# 配置NHRP报文认证密钥为明文12345678。
[NHC2-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表项保活时间为3600秒。
[NHC2-Tunnel0] nhrp holdtime 3600
# 配置将NHRP服务器的私网地址映射到公网地址。
[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC2-Tunnel0] quit
# 配置OSPF基本功能。
[NHC2] ospf 1
[NHC2-ospf-1] area 0.0.0.1
[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] quit
# 显示NHC1上的NHRP映射表的详细信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 07:50:32
Expiration time : never expire
Type : static
Flags : up
NBMA address : 80.1.1.161
# 显示NHC1上的MGRE会话的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 07:49:14
以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC2上的显示信息与NHC1类似。
# 在NHC1上ping Site1和Site2,可以ping通。
[NHC1] ping -a 192.168.1.162 192.168.0.163
Ping 192.168.0.163 (192.168.0.163) from 192.168.1.162: 56 data bytes, press CTRL_C to bre
ak
56 bytes from 192.168.0.163: icmp_seq=0 ttl=254 time=10.000 ms
56 bytes from 192.168.0.163: icmp_seq=1 ttl=254 time=17.000 ms
56 bytes from 192.168.0.163: icmp_seq=2 ttl=254 time=14.000 ms
56 bytes from 192.168.0.163: icmp_seq=3 ttl=254 time=7.000 ms
56 bytes from 192.168.0.163: icmp_seq=4 ttl=254 time=7.000 ms
--- Ping statistics for 192.168.0.163 ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 7.000/11.000/17.000/3.950 ms
· 组网方式为Full-Mesh,NHS负责管理、维护各个节点的信息;
· NHC与NHS之间建立永久的mGRE隧道;
· NHC之间在有数据时动态建立mGRE隧道;
· NHS-NHC隧道及NHC-NHC隧道受到IPsec保护。
图1-6 Full-Mesh网络类型mGRE受到IPsec保护组网图
(1) 配置NHC1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC1> system-view
[NHC1] interface gigabitethernet 1/0/1
[NHC1-GigabitEthernet1/0/1] ip address 80.1.2.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC1] interface gigabitethernet 1/0/2
[NHC1-GigabitEthernet1/0/2] ip address 192.168.1.162 255.255.255.0
[NHC1-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0
# 配置OSPF接口网络类型为广播类型。
[NHC1-Tunnel0] ospf network-type broadcast
# 配置OSPF接口的DR优先级为0。
[NHC1-Tunnel0] ospf dr-priority 0
# 配置接口使能OSPF。
[NHC1-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口为GigabitEthernet1/0/1。
[NHC1-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key为100000。
[NHC1-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP网络标识为9。
[NHC1-Tunnel0] nhrp network-id 9
# 配置NHRP报文认证密钥为明文12345678。
[NHC1-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表项保活时间为3600秒。
[NHC1-Tunnel0] nhrp holdtime 3600
# 配置将NHRP服务器的私网地址映射到公网地址。
[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC1-Tunnel0] quit
# 配置OSPF基本功能。
[NHC1] ospf 1
[NHC1-ospf-1] area 0.0.0.1
[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] quit
# 创建IPsec安全提议,名称为aa,加密算法采用56比特的DES,认证算法采用HMAC-SHA1。
[NHC1] ipsec transform-set aa
[NHC1-ipsec-transform-set-aa] esp encryption-algorithm des-cbc
[NHC1-ipsec-transform-set-aa] esp authentication-algorithm sha1
[NHC1-ipsec-transform-set-aa] quit
# 创建IKE keychain,名称为1。
[NHC1] ike keychain 1
# 配置与地址为80.1.1.161的对端使用的预共享密钥为明文的12345678。
[NHC1-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678
# 配置与地址为80.1.3.163的对端使用的预共享密钥为明文的12345678。
[NHC1-ike-keychain-1] pre-shared-key address 80.1.3.163 24 key simple 12345678
[NHC1-ike-keychain-1] quit
# 创建IKE profile,名称为abc。
[NHC1] ike profile abc
# 指定引用的IKE keychain为1。
[NHC1-ike-profile-abc] keychain 1
[NHC1-ike-profile-abc] quit
# 创建IKE协商方式的IPsec安全框架,名称为abc。
[NHC1] ipsec profile abc isakmp
# 指定引用的安全提议为aa。
[NHC1-ipsec-profile-isakmp-abc] transform-set aa
# 指定引用的IKE profile为abc。
[NHC1-ipsec-profile-isakmp-abc] ike-profile abc
[NHC1-ipsec-profile-isakmp-abc] quit
# 在mGRE隧道接口上应用IPsec安全框架abc。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] tunnel protection ipsec profile abc
[NHC1-Tunnel0] quit
(2) 配置NHC2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC2> system-view
[NHC2] interface gigabitethernet 1/0/1
[NHC2-GigabitEthernet1/0/1] ip address 80.1.3.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC2] interface gigabitethernet 1/0/2
[NHC2-GigabitEthernet1/0/2] ip address 192.168.0.163 255.255.255.0
[NHC2-GigabitEthernet1/0/2] quit
# 配置隧道接口Tunnel0的IP地址。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0
# 配置OSPF接口网络类型为广播类型。
[NHC2-Tunnel0] ospf network-type broadcast
# 配置OSPF接口的DR优先级为0。
[NHC1-Tunnel0] ospf dr-priority 0
# 配置接口使能OSPF。
[NHC2-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口为GigabitEthernet1/0/1。
[NHC2-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key为100000。
[NHC2-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP网络标识为9。
[NHC2-Tunnel0] nhrp network-id 9
# 配置NHRP报文认证密钥为明文12345678。
[NHC2-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表项保活时间为3600秒。
[NHC2-Tunnel0] nhrp holdtime 3600
# 配置将NHRP服务器的私网地址映射到公网地址。
[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC2-Tunnel0] quit
# 配置OSPF基本功能。
[NHC2] ospf 1
[NHC2-ospf-1] area 0.0.0.1
[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] quit
# 创建IPsec安全提议,名称为aa,加密算法采用56比特的DES,认证算法采用HMAC-SHA1。
[NHC2] ipsec transform-set aa
[NHC2-ipsec-transform-set-aa] esp encryption-algorithm des-cbc
[NHC2-ipsec-transform-set-aa] esp authentication-algorithm sha1
[NHC2-ipsec-transform-set-aa] quit
# 创建IKE keychain,名称为1。
[NHC2] ike keychain 1
# 配置与地址为80.1.1.161的对端使用的预共享密钥为明文的12345678。
[NHC2-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678
# 配置与地址为80.1.2.162的对端使用的预共享密钥为明文的12345678。
[NHC1-ike-keychain-1] pre-shared-key address 80.1.2.162 24 key simple 12345678
[NHC2-ike-keychain-1] quit
# 创建IKE profile,名称为abc。
[NHC2] ike profile abc
# 指定引用的IKE keychain为1。
[NHC2-ike-profile-abc] keychain 1
[NHC2-ike-profile-abc] quit
# 创建IKE协商方式的IPsec安全框架,名称为abc。
[NHC2] ipsec profile abc isakmp
# 指定引用的安全提议为aa。
[NHC2-ipsec-profile-isakmp-abc] transform-set aa
# 指定引用的IKE profile为abc。
[NHC2-ipsec-profile-isakmp-abc] ike-profile abc
[NHC2-ipsec-profile-isakmp-abc] quit
# 在mGRE隧道接口上应用IPsec安全框架abc。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] tunnel protection ipsec profile abc
[NHC2-Tunnel0] quit
# 显示NHC1上的NHRP映射表的详细信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 00:30:51
Expiration time : never expire
Type : static
Flags : up ipsec
NBMA address : 80.1.1.161
# 显示NHC1上的mGRE会话的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 00:09:42
以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC2上的显示信息与NHC1类似。
# 在NHC1上ping NHC2的私网地址192.168.4.163。
[NHC1] ping 192.168.4.163
Ping 192.168.4.163 (192.168.4.163): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.4.163: icmp_seq=0 ttl=255 time=3.314 ms
56 bytes from 192.168.4.163: icmp_seq=1 ttl=255 time=2.786 ms
56 bytes from 192.168.4.163: icmp_seq=2 ttl=255 time=2.317 ms
56 bytes from 192.168.4.163: icmp_seq=3 ttl=255 time=3.060 ms
56 bytes from 192.168.4.163: icmp_seq=4 ttl=255 time=2.258 ms
--- Ping statistics for 192.168.4.163 ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 2.258/2.747/3.314/0.411 ms
# 显示NHC1上的NHRP映射表的详细信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 01:10:25
Expiration time : never expire
Type : static
Flags : up ipsec
NBMA address : 80.1.1.161
Interface : Tunnel0
Destination/mask : 192.168.4.163/32
Next hop : 192.168.4.163
Creation time : 00:00:24
Expiration time : 00:01:36
Type : cached
Flags : used up ipsec
NBMA address : 80.1.3.163
# 显示NHC1上的mGRE会话的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 2
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 00:10:28
80.1.3.163 192.168.4.163 C-C Succeeded 00:00:32
以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道,并受到了IPsec保护。NHC1与NHC2建立了NHC-NHC临时隧道,并受到了IPsec保护。NHC2上的显示信息与NHC1类似。
# 在NHC1上可通过以下显示信息查看到协商生成的IKE SA。NHC2上的显示信息与NHC1类似。
[NHC1] display ike sa
Connection-ID Remote Flag DOI
------------------------------------------------------------------
240 80.1.1.161 RD IPsec
241 80.1.3.163 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING
# 在NHC1上可通过以下显示信息查看到协商生成的IPsec SA。NHC2上的显示信息与NHC1类似。
[NHC1] display ipsec sa
-------------------------------
Interface: Tunnel0
-------------------------------
-----------------------------
IPsec profile: abc
Mode: ISAKMP
-----------------------------
Tunnel id: 4
Encapsulation mode: transport
Perfect forward secrecy:
Path MTU: 1398
Tunnel:
local address: 80.1.2.162
remote address: 80.1.3.163
Flow:
sour addr: 80.1.2.162/255.255.255.255 port: 0 protocol: gre
dest addr: 80.1.3.163/255.255.255.255 port: 0 protocol: gre
[Inbound ESP SAs]
SPI: 1566691874 (0x5d61d222)
Connection ID: 21474836488
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843200/3584
Max received sequence-number: 0
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 1199855674 (0x4784583a)
Connection ID: 12884901895
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3584
Max sent sequence-number: 4
UDP encapsulation used for NAT traversal: N
Status: Active
-----------------------------
IPsec profile: abc
Mode: ISAKMP
-----------------------------
Tunnel id: 5
Encapsulation mode: transport
Perfect forward secrecy:
Path MTU: 1398
Tunnel:
local address: 80.1.2.162
remote address: 80.1.1.161
Flow:
sour addr: 80.1.2.162/255.255.255.255 port: 0 protocol: gre
dest addr: 80.1.1.161/255.255.255.255 port: 0 protocol: gre
[Inbound ESP SAs]
SPI: 989656188 (0x3afcf47c)
Connection ID: 30064771081
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843198/3560
Max received sequence-number: 12
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 1408141582 (0x53ee890e)
Connection ID: 38654705674
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3560
Max sent sequence-number: 8
UDP encapsulation used for NAT traversal: N
Status: Active
· 组网方式为NHS-NHC,NHS负责管理、维护各个节点的信息;
· NHC与NHS之间建立永久的mGRE隧道。
· NHC之间报文都经过NHS转发。
· NHS-NHC隧道受到IPsec保护。
图1-7 NHS-NHC网络类型mGRE受到IPsec保护组网图
(1) 配置NHC1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC1> system-view
[NHC1] interface gigabitethernet 1/0/1
[NHC1-GigabitEthernet1/0/1] ip address 80.1.2.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC1] interface gigabitethernet 1/0/2
[NHC1-GigabitEthernet1/0/1] ip address 192.168.1.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置隧道接口Tunnel0的IP地址。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0
# 配置OSPF接口网络类型为点到多点类型。
[NHC1-Tunnel0] ospf network p2mp
# 配置接口使能OSPF。
[NHC1-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口为GigabitEthernet1/0/1。
[NHC1-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key为100000。
[NHC1-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP网络标识为9。
[NHC1-Tunnel0] nhrp network-id 9
# 配置NHRP报文认证密钥为明文12345678。
[NHC1-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表项保活时间为3600秒。
[NHC1-Tunnel0] nhrp holdtime 3600
# 配置将NHRP服务器的私网地址映射到公网地址。
[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC1-Tunnel0] quit
# 配置OSPF基本功能。
[NHC1] ospf 1
[NHC1-ospf-1] area 0.0.0.1
[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] quit
# 创建IPsec安全提议,名称为aa,加密算法采用56比特的DES,认证算法采用HMAC-SHA1。
[NHC1] ipsec transform-set aa
[NHC1-ipsec-transform-set-aa] esp encryption-algorithm des-cbc
[NHC1-ipsec-transform-set-aa] esp authentication-algorithm sha1
[NHC1-ipsec-transform-set-aa] quit
# 创建IKE keychain,名称为1。
[NHC1] ike keychain 1
# 配置与地址为80.1.1.161的对端使用的预共享密钥为明文的12345678。
[NHC1-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678
# 配置与地址为80.1.3.163的对端使用的预共享密钥为明文的12345678。
[NHC1-ike-keychain-1] pre-shared-key address 80.1.3.163 24 key simple 12345678
[NHC1-ike-keychain-1] quit
# 创建IKE profile,名称为abc。
[NHC1] ike profile abc
# 指定引用的IKE keychain为1。
[NHC1-ike-profile-abc] keychain 1
[NHC1-ike-profile-abc] quit
# 创建IKE协商方式的IPsec安全框架,名称为abc。
[NHC1] ipsec profile abc isakmp
# 指定引用的IPsec安全提议为aa。
[NHC1-ipsec-profile-isakmp-abc] transform-set aa
# 指定引用的IKE profile为abc。
[NHC1-ipsec-profile-isakmp-abc] ike-profile abc
[NHC1-ipsec-profile-isakmp-abc] quit
# 在mGRE隧道接口上应用IPsec安全框架abc。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] tunnel protection ipsec profile abc
[NHC1-Tunnel0] quit
(2) 配置NHC2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC2> system-view
[NHC2] interface gigabitethernet 1/0/1
[NHC2-GigabitEthernet1/0/1] ip address 80.1.3.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC2] interface gigabitethernet 1/0/2
[NHC2-GigabitEthernet1/0/1] ip address 192.168.0.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0
# 配置OSPF接口网络类型为点到多点类型。
[NHC2-Tunnel0] ospf network p2mp
# 配置接口使能OSPF。
[NHC2-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口为GigabitEthernet1/0/1。
[NHC2-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key为100000。
[NHC2-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP网络标识为9。
[NHC2-Tunnel0] nhrp network-id 9
# 配置NHRP报文认证密钥为明文12345678。
[NHC2-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表项保活时间为3600秒。
[NHC2-Tunnel0] nhrp holdtime 3600
# 配置将NHRP服务器的私网地址映射到公网地址。
[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC2-Tunnel0] quit
# 配置OSPF基本功能。
[NHC2] ospf 1
[NHC2-ospf-1] area 0.0.0.1
[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] quit
# 创建IPsec安全提议,名称为aa,加密算法采用56比特的DES,认证算法采用HMAC-SHA1。
[NHC2] ipsec transform-set aa
[NHC2-ipsec-transform-set-aa] esp encryption-algorithm des-cbc
[NHC2-ipsec-transform-set-aa] esp authentication-algorithm sha1
[NHC2-ipsec-transform-set-aa] quit
# 创建IKE keychain,名称为1。
[NHC2] ike keychain 1
# 配置与地址为80.1.1.161的对端使用的预共享密钥为明文的12345678。
[NHC2-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678
# 配置与地址为80.1.2.162的对端使用的预共享密钥为明文的12345678。
[NHC1-ike-keychain-1] pre-shared-key address 80.1.2.162 24 key simple 12345678
[NHC2-ike-keychain-1] quit
# 创建IKE profile,名称为abc。
[NHC2] ike profile abc
# 指定引用的IKE keychain为1。
[NHC2-ike-profile-abc] keychain 1
[NHC2-ike-profile-abc] quit
# 创建IKE协商方式的IPsec安全框架,名称为abc。
[NHC2] ipsec profile abc isakmp
# 指定引用的IPsec安全提议为aa。
[NHC2-ipsec-profile-isakmp-abc] transform-set aa
# 指定引用的IKE profile为abc。
[NHC2-ipsec-profile-isakmp-abc] ike-profile abc
[NHC2-ipsec-profile-isakmp-abc] quit
# 在mGRE隧道接口上应用IPsec安全框架abc。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] tunnel protection ipsec profile abc
[NHC2-Tunnel0] quit
# 显示NHC1上的NHRP映射表的详细信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 08:17:14
Expiration time : never expire
Type : static
Flags : up ipsec
NBMA address : 80.1.1.161
# 显示NHC1上的MGRE会话的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 00:00:18
以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC2上的显示信息与NHC1类似。
# 在NHC1上对Site1和Site2的连通性进行测试,可以ping通。
[NHC1] ping -a 192.168.1.162 192.168.0.163
Ping 192.168.0.163 (192.168.0.163) from 192.168.1.162: 56 data bytes, press CTRL_C to bre
ak
56 bytes from 192.168.0.163: icmp_seq=0 ttl=254 time=10.000 ms
56 bytes from 192.168.0.163: icmp_seq=1 ttl=254 time=17.000 ms
56 bytes from 192.168.0.163: icmp_seq=2 ttl=254 time=14.000 ms
56 bytes from 192.168.0.163: icmp_seq=3 ttl=254 time=7.000 ms
56 bytes from 192.168.0.163: icmp_seq=4 ttl=254 time=7.000 ms
--- Ping statistics for 192.168.0.163 ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 7.000/11.000/17.000/3.950 ms
# 在NHC1上可通过以下显示查看到协商生成的IKE SA。NHC2上的显示信息与NHC1类似。
[NHC1] display ike sa
Connection-ID Remote Flag DOI
------------------------------------------------------------------
3 80.1.1.161 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING
# 在NHC1上可通过以下显示查看到协商生成的IPsec SA。NHC2上的显示信息与NHC1类似。
[NHC1] display ipsec sa
-------------------------------
Interface: Tunnel0
-------------------------------
-----------------------------
IPsec profile: abc
Mode: ISAKMP
-----------------------------
Tunnel id: 5
Encapsulation mode: transport
Perfect forward secrecy:
Path MTU: 1398
Tunnel:
local address: 80.1.2.162
remote address: 80.1.1.161
Flow:
sour addr: 80.1.2.162/255.255.255.255 port: 0 protocol: gre
dest addr: 80.1.1.161/255.255.255.255 port: 0 protocol: gre
[Inbound ESP SAs]
SPI: 2791687835 (0xa665c69b)
Connection ID: 12884901898
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3520
Max received sequence-number: 9
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 1369008262 (0x51996886)
Connection ID: 12884901897
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3520
Max sent sequence-number: 10
UDP encapsulation used for NAT traversal: N
Status: Active
· 在Full-Mesh的组网方式下,NHS负责管理、维护各个节点的信息。
· NHC与NHS之间建立永久的mGRE隧道。
· NHC之间在有数据时动态建立mGRE隧道。
· NHS和NHC均在NAT网关之后。
图1-8 Full-Mesh穿越NAT类型mGRE组网图
|
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
|
|
NHC 1 |
GE1/0/1 |
80.1.2.162/24 |
NAT 1 |
GE1/0/1 |
80.1.1.4/24 |
|
|
|
GE1/0/2 |
192.168.1.162/24 |
|
GE1/0/2 |
40.1.1.4/24 |
|
|
|
Tunnel0 |
192.168.4.162/24 |
NAT 2 |
GE1/0/1 |
40.1.1.2/24 |
|
|
NHC 2 |
GE1/0/1 |
80.1.3.163/24 |
|
GE1/0/2 |
80.1.2.2/24 |
|
|
|
GE1/0/2 |
192.168.0.163/24 |
NAT 3 |
GE1/0/1 |
40.1.1.3/24 |
|
|
|
Tunnel0 |
192.168.4.163/24 |
|
GE1/0/2 |
80.1.3.3/24 |
|
NAT设备上通过session aging-time state命令配置的RAWIP-OPEN状态的会话老化时间必须大于NHC设备Tunnel口上通过命令nhrp holdtime配置的NHRP映射表项保活时间。
(1) 配置NHC1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC1> system-view
[NHC1] interface gigabitethernet 1/0/1
[NHC1-GigabitEthernet1/0/1] ip address 80.1.2.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC1] interface gigabitethernet 1/0/2
[NHC1-GigabitEthernet1/0/2] ip address 192.168.1.162 255.255.255.0
[NHC1-GigabitEthernet1/0/2] quit
# 配置隧道接口Tunnel0的IP地址。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0
# 配置mGRE隧道的源接口为GigabitEthernet1/0/1。
[NHC1-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key为100000。
[NHC1-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP网络标识为9。
[NHC1-Tunnel0] nhrp network-id 9
# 配置NHRP报文认证密钥为明文12345678。
[NHC1-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表项保活时间为240秒。
[NHC1-Tunnel0] nhrp holdtime 240
# 配置将NHRP服务器的私网地址映射到公网地址。
[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 40.1.1.9
[NHC1-Tunnel0] quit
# 配置静态路由。
[NHC1] ip route-static 40.1.1.0 24 80.1.2.2
[NHC1] ip route-static 192.168.0.0 24 192.168.4.163
(2) 配置NHC2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC2> system-view
[NHC2] interface gigabitethernet 1/0/1
[NHC2-GigabitEthernet1/0/1] ip address 80.1.3.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC2] interface gigabitethernet 1/0/2
[NHC2-GigabitEthernet1/0/2] ip address 192.168.0.163 255.255.255.0
[NHC2-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0
# 配置mGRE隧道的源接口为GigabitEthernet1/0/1。
[NHC2-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key为100000。
[NHC2-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP网络标识为9。
[NHC2-Tunnel0] nhrp network-id 9
# 配置NHRP报文认证密钥为明文12345678。
[NHC2-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表项保活时间为240秒。
[NHC2-Tunnel0] nhrp holdtime 240
# 配置将NHRP服务器的私网地址映射到公网地址。
[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 40.1.1.9
[NHC2-Tunnel0] quit
# 配置静态路由。
[NHC2] ip route-static 40.1.1.0 24 80.1.3.3
[NHC2] ip route-static 192.168.1.0 24 192.168.4.162
(3) 配置NAT1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NAT1> system-view
[NAT1] interface gigabitethernet 1/0/1
[NAT1-GigabitEthernet1/0/1] ip address 80.1.1.4 255.255.255.0
[NAT1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NAT1] interface gigabitethernet1/0/2
[NAT1-GigabitEthernet1/0/2] ip address 40.1.1.4 255.255.255.0
[NAT1-GigabitEthernet1/0/2] quit
# 开启接口上的NAT静态地址转换功能。
[NAT1] interface gigabitethernet 1/0/2
[NAT1-GigabitEthernet1/0/1] nat static enable
[NAT1-GigabitEthernet1/0/1] quit
# 配置内网IP地址80.1.1.161到外网地址40.1.1.9之间的一对一静态地址转换映射。
[NAT1] nat static outbound 80.1.1.161 40.1.1.9
(4) 配置NAT2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NAT2> system-view
[NAT2] interface gigabitethernet 1/0/1
[NAT2-GigabitEthernet1/0/1] ip address 40.1.1.2 255.255.255.0
[NAT2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NAT2] interface gigabitethernet 1/0/2
[NAT2-GigabitEthernet1/0/2] ip address 80.1.2.2 255.255.255.0
[NAT2-GigabitEthernet1/0/2] quit
# 配置地址组0,包含两个外网地址40.1.1.5和40.1.1.6。
[NAT2] nat address-group 0
[NAT2-nat-address-group-0] address 40.1.1.5 40.1.1.6
[NAT2-nat-address-group-0] quit
# 在接口GigabitEthernet1/0/1上配置出方向动态地址转换,允许使用地址组0中的地址对公网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[NAT2] interface gigabitethernet 1/0/1
[NAT2-GigabitEthernet1/0/1] nat outbound address-group 0 no-pat reversible
[NAT2-GigabitEthernet1/0/1] quit
(5) 配置NAT3
# 配置接口GigabitEthernet1/0/1的IP地址。
<NAT3> system-view
[NAT3] interface gigabitethernet 1/0/1
[NAT3-GigabitEthernet1/0/1] ip address 40.1.1.3 255.255.255.0
[NAT3-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NAT3] interface gigabitethernet 1/0/2
[NAT3-GigabitEthernet1/0/2] ip address 80.1.3.3 255.255.255.0
[NAT3-GigabitEthernet1/0/2] quit
# 配置地址组0,包含两个外网地址40.1.1.7和40.1.1.8。
[NAT3] nat address-group 0
[NAT3-nat-address-group-0] address 40.1.1.7 40.1.1.8
[NAT3-nat-address-group-0] quit
# 在接口GigabitEthernet1/0/1上配置出方向动态地址转换,允许使用地址组0中的地址对公网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[NAT3] interface gigabitethernet 1/0/1
[NAT3-GigabitEthernet1/0/1] nat outbound address-group 0 no-pat reversible
[NAT3-GigabitEthernet1/0/1] quit
# 显示NHC1上的NHRP映射表的详细信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 01:12:50
Expiration time : never expire
Type : static
Flags : up
NBMA address : 40.1.1.9
# 显示NHC1上的MGRE会话的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
40.1.1.9 192.168.4.161 C-S Succeeded 01:12:43
以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC2上的显示信息与NHC1类似。
# 在NHC1上ping NHC2的私网地址192.168.4.163。
[NHC1] ping 192.168.4.163
Ping 192.168.4.163 (192.168.4.163): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.4.163: icmp_seq=0 ttl=255 time=3.314 ms
56 bytes from 192.168.4.163: icmp_seq=1 ttl=255 time=2.786 ms
56 bytes from 192.168.4.163: icmp_seq=2 ttl=255 time=2.317 ms
56 bytes from 192.168.4.163: icmp_seq=3 ttl=255 time=3.060 ms
56 bytes from 192.168.4.163: icmp_seq=4 ttl=255 time=2.258 ms
--- Ping statistics for 192.168.4.163 ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 2.258/2.747/3.314/0.411 ms
# 显示NHC1上的NHRP映射表的详细信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 01:10:25
Expiration time : never expire
Type : static
Flags : up
NBMA address : 40.1.1.9
Interface : Tunnel0
Destination/mask : 192.168.4.163/32
Next hop : 192.168.4.163
Creation time : 00:00:24
Expiration time : 00:01:36
Type : cached
Flags : used up
NBMA address : 40.1.1.8
# 显示NHC1上的mGRE会话的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 2
Peer NBMA address Peer protocol address Type State State duration
40.1.1.9 192.168.4.161 C-S Succeeded 00:10:28
40.1.1.8 192.168.4.163 C-C Succeeded 00:00:32
以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC1与NHC2建立了NHC-NHC临时隧道。NHC2上的显示信息与NHC1类似。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
