• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

12-安全配置指导

16-mGRE配置

本章节下载  (424.33 KB)

16-mGRE配置


1 mGRE

1.1  mGRE简介

mGRE(Multipoint Generic Routing Encapsulation,多点通用路由封装)是一种基于NHRP(Next Hop Resolution Protocol,下一跳地址解析协议)的动态VPN技术。

在普通的VPN网络(如GRE)中,隧道是静态的,需要管理员手动建立,无法利用公网地址动态建立,配置和维护的工作量巨大,扩展性差。

在mGRE网络中,NHRP用来实现网络分支节点的私网地址到公网地址的动态映射,在企业网各分支机构使用动态地址接入公网的情况下,可以利用mGRE在各分支机构间建立动态VPN。

1.1.1  mGRE网络模型

mGRE网络采用Client/Server模型,包含如下两类节点:

·     NHS(NHRP Server):mGRE网络的中心设备,是路由信息交换的中心。

·     NHC(NHRP Client):mGRE网络的分支设备,通常是企业分支机构的网关。该节点不会转发收到的其它mGRE节点的数据。

公网地址是NHC和NHS连接Internet的接口的地址,私网地址是指隧道的IP地址。当公网地址变化时,NHC将变化后的公网地址注册到NHS。NHC通过NHRP协议从NHS获取另一端NHC的新公网地址,从而实现在两个NHC之间动态建立跨越Internet的mGRE隧道。

根据数据是否经过NHS转发,mGRE网络分为如下两种:

·     Full-Mesh(全互联)网络:如图1-1所示,NHC和NHC之间可以建立隧道直接通信。

图1-1 Full-Mesh网络示意图

 

·     Hub-Spoke网络:如图1-2所示,NHC之间不能建立隧道直接通信,只能通过NHS转发数据,NHS既作为路由信息交换的中心,又作为数据转发的中心。

图1-2 NHS-NHC网络示意图

 

1.1.2  mGRE的工作过程

mGRE的工作过程分为注册、隧道建立、路由学习和报文转发三个阶段,下面对这三个阶段做简单说明。

1. 注册阶段

图1-3所示,注册阶段的具体过程为:

(1)     NHC向NHS发送注册请求报文,注册请求报文中包括NHC的公网地址、私网地址、连接的私网网段、NHRP报文认证密钥和GRE Key等信息。

(2)     NHS收到注册请求报文后,根据配置对该NHC进行NHRP报文认证密钥和GRE Key匹配认证,只有两者同时匹配才能注册成功。注册成功后,NHS会向NHC发送注册成功响应报文。

图1-3 注册流程图

 

2. 隧道建立阶段

具体隧道建立过程为:

·     NHC-NHS隧道:在NHC向NHS注册的过程中,NHC与NHS之间建立的隧道状态为初始化状态,当NHC向NHS注册成功后,二者之间的隧道便成功建立。

一个NHC可以和任意多个NHS建立永久隧道。

·     NHC-NHC隧道:

a.     在Full-Mesh组网中,NHC收到数据报文后,若没有查到能够转发该报文的隧道,则会向NHS发送地址解析请求。

b.     NHS接收到地址解析请求后通过查找本地映射表找到响应方NHC,并将地址解析请求转发到响应方NHC。

c.     响应方在接收到地址解析请求后创建临时隧道并向发起方NHC发送地址解析请求回应报文。

NHC-NHC隧道是动态的,若在一段时间(NHC-NHC隧道空闲超时时间)内没有数据报文交互,则删除该隧道。

隧道发起方和隧道接收方任何一方在NAT网关后侧,或两者都在NAT网关后侧,均可以建立穿越NAT的NHC-NHC隧道。

3. 路由学习和报文转发阶段

mGRE节点可以通过动态路由协议学习私网路由。mGRE网络连接的各个私网及mGRE隧道接口上都配置动态路由协议,实现私网路由的连通。mGRE隧道建立以后,路由协议通过隧道进行邻居发现、路由更新,并建立路由表。mGRE隧道可以看作是私网中的一条普通链路,负责连接不同的私网网段。

完成私网路由的学习后,NHC接收到其下私网用户访问其他私网的报文时,处理过程如下:

(1)     查找路由表找到目的私网的下一跳地址。

(2)     通过本地NHRP映射表找到目的私网下一跳对应的公网地址。

(3)     将该公网地址作为隧道的目的地址对报文进行封装。

(4)     将封装后的报文通过mGRE隧道发送给对端NHC。

1.2  配置限制和指导

搭建mGRE网络时,一般先配置NHS设备,再配置NHC设备。

目前,设备只支持作为NHC,不支持作为NHS。

1.3  mGRE配置任务简介

mGRE配置任务如下:

(1)     配置mGRE隧道

(2)     配置路由

(3)     (可选)配置IPsec保护mGRE隧道报文

1.4  配置mGRE隧道

1. 配置限制和指导

NHS的公网地址和私网地址必须静态配置,不能动态变化,而NHC的公网地址既可以静态配置也可以动态获取,私网地址必须静态配置。

隧道两端必须设置相同的GRE Key,或者都不设置GRE Key。

如果设备上配置了多个mGRE隧道接口,且隧道的源端地址或源接口相同,则不同的mGRE隧道接口的GRE Key不能相同。

关于GRE Key和Tunnel接口的详细介绍,请参见“三层技术-IP业务配置指导”中的“GRE”和“隧道”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建mGRE隧道类型的Tunnel接口,并进入Tunnel接口视图。

interface tunnel number mode mgre

(3)     配置Tunnel接口的私网地址。

ip address ip-address { mask | mask-length } [ sub ]

缺省情况下,Tunnel接口上没有配置私网地址。

(4)     配置mGRE隧道的源端地址或源接口。

source { ip-address | interface-type interface-number }

缺省情况下,未设置mGRE隧道的源端地址和源接口。

如果设置的是源端地址,则该地址将作为封装后隧道报文的源地址;如果设置的是源接口,则该接口的地址将作为封装后隧道报文的源地址。

(5)     配置NHRP报文认证密钥。

nhrp authentication { cipher | simple } string

缺省情况下,未指定NHRP报文认证密钥,各NHRP节点之间的NHRP报文不进行认证。

(6)     配置mGRE隧道的NHRP网络标识。

nhrp network-id number

缺省情况下,不存在NHRP网络标识。

(7)     配置NHRP映射表项保活时间。

nhrp holdtime seconds

缺省情况下,NHRP映射表项保活时间是7200秒。

保活时间到期后,NHC会自动删除本地的NHRP映射表项,然后向NHS重新注册。

(8)     配置NHRP服务器的私网地址和公网地址映射。

nhrp nhs nhs-address nbma nbma-address

缺省情况下,未配置NHRP服务器私网地址和公网地址映射。

(9)     (可选)设置mGRE类型Tunnel接口的GRE Key。

gre key key

缺省情况下,未设置mGRE类型Tunnel接口的GRE Key。

(10)     (可选)设置封装后隧道报文的DF(Don’t Fragment,不分片)标志。

tunnel dfbit enable

缺省情况下,未设置隧道报文的不分片标志,即转发隧道报文时允许分片。

1.5  配置路由

NHC私网支持的路由协议为OSPF、RIP和BGP,具体配置要求请参见表1-1

表1-1 不同网络类型对路由协议的配置要求

网络类型

路由协议

配置要求

Full-Mesh

RIP

不支持

OSPF

接口的网络类型需要配置为broadcast

BGP

需要配置路由策略等,保证一端NHC学习到的到达对端私网路由的下一跳为对端NHC的地址

NHS-NHC

RIP

使用RIP-2组播方式,并且关闭NHS的水平分割功能

OSPF

接口的网络类型需要配置为p2mp

BGP

需要配置路由策略等,保证一端NHC学习到的到达对端私网路由的下一跳为NHS的地址

 

路由协议和路由策略的具体配置请参见“三层技术-IP路由配置指导”中的“RIP”、 “OSPF”、“BGP”和“路由策略”。

1.6  配置IPsec保护mGRE隧道报文

设备支持用IPsec安全框架来保护mGRE隧道数据报文和控制报文,其基本配置思路如下:

(1)     配置IPsec安全提议:指定安全协议、认证算法和加密算法、封装模式等。

(2)     配置IKE协商方式的IPsec安全框架。

(3)     在mGRE隧道接口上应用IKE协商方式的IPsec安全框架。

详细配置请参见“安全配置指导”中的“IPsec”。

1.7  mGRE显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后mGRE的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除相应的统计信息和mGRE会话信息。

表1-2 mGRE显示和维护

操作

命令

显示mGRE的会话信息

display mgre session [ interface tunnel interface-number [ peer ipv4-address ] ] [ verbose ]

显示NHRP地址映射表项信息

display nhrp map [ interface tunnel interface-number [ peer ipv4-address ] ] [ verbose ]

显示Tunnel接口下的NHRP报文统计信息

display nhrp statistics [ interface tunnel interface-number ]

清除mGRE会话

reset mgre session [ interface tunnel interface-number [ peer ipv4-address ] ]

清除mGRE会话的统计信息

reset mgre statistics [ interface tunnel interface-number [ peer ipv4-address ] ]

清除Tunnel接口下的NHRP报文统计信息

reset nhrp statistics [ interface tunnel inteface-number ]

 

1.8  mGRE典型配置举例

1.8.1  Full-Mesh网络类型mGRE典型配置举例

1. 组网需求

·     组网方式为Full-Mesh,NHS负责管理、维护各个节点的信息;

·     NHC与NHS之间建立永久的mGRE隧道;

·     NHC之间在有数据时动态建立mGRE隧道。

2. 组网图

图1-4 Full-Mesh网络类型mGRE组网图

3. 配置步骤

(1)     配置NHC1

# 配置接口GigabitEthernet2/0/1的IP地址。

<NHC1> system-view

[NHC1] interface gigabitethernet 2/0/1

[NHC1-GigabitEthernet2/0/1] ip address 80.1.2.162 255.255.255.0

[NHC1-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NHC1] interface gigabitethernet 2/0/2

[NHC1-GigabitEthernet2/0/2] ip address 192.168.1.162 255.255.255.0

[NHC1-GigabitEthernet2/0/2] quit

# 配置mGRE隧道接口Tunnel0的IP地址。

[NHC1] interface tunnel0 mode mgre

[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0

# 配置OSPF接口网络类型为广播类型。

[NHC1-Tunnel0] ospf network-type broadcast

# 配置接口使能OSPF。

[NHC1-Tunnel0] ospf 1 area 0.0.0.1

# 配置mGRE隧道的源接口为GigabitEthernet2/0/1。

[NHC1-Tunnel0] source gigabitethernet 2/0/1

# 配置GRE key为100000。

[NHC1-Tunnel0] gre key 100000

# 配置mGRE隧道的NHRP网络标识为9。

[NHC1-Tunnel0] nhrp network-id 9

# 配置NHRP报文认证密钥为明文12345678。

[NHC1-Tunnel0] nhrp authentication simple 12345678

# 配置NHRP映射表项保活时间为3600秒。

[NHC1-Tunnel0] nhrp holdtime 3600

# 配置NHRP服务器的私网地址和公网地址映射。

[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161

[NHC1-Tunnel0] quit

# 配置OSPF基本功能。

[NHC1] ospf 1

[NHC1-ospf-1] area 0.0.0.1

[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255

[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255

[NHC1-ospf-1-area-0.0.0.1] quit

(2)     配置NHC2

# 配置接口GigabitEthernet2/0/1的IP地址。

<NHC2> system-view

[NHC2] interface gigabitethernet 2/0/1

[NHC2-GigabitEthernet2/0/1] ip address 80.1.3.163 255.255.255.0

[NHC2-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NHC2] interface gigabitethernet 2/0/2

[NHC2-GigabitEthernet2/0/2] ip address 192.168.0.163 255.255.255.0

[NHC2-GigabitEthernet2/0/2] quit

# 配置mGRE隧道接口Tunnel0的IP地址。

[NHC2] interface tunnel0 mode mgre

[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0

# 配置OSPF接口网络类型为广播类型。

[NHC2-Tunnel0] ospf network-type broadcast

# 配置接口使能OSPF。

[NHC2-Tunnel0] ospf 1 area 0.0.0.1

# 配置mGRE隧道的源接口为GigabitEthernet2/0/1。

[NHC2-Tunnel0] source gigabitethernet 2/0/1

# 配置GRE key为100000。

[NHC2-Tunnel0] gre key 100000

# 配置mGRE隧道的NHRP网络标识为9。

[NHC2-Tunnel0] nhrp network-id 9

# 配置NHRP报文认证密钥为明文12345678。

[NHC2-Tunnel0] nhrp authentication simple 12345678

# 配置NHRP映射表项保活时间为3600秒。

[NHC2-Tunnel0] nhrp holdtime 3600

# 配置NHRP服务器的私网地址映射到公网地址。

[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161

[NHC2-Tunnel0] quit

# 配置OSPF基本功能。

[NHC2] ospf 1

[NHC2-ospf-1] area 0.0.0.1

[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255

[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255

[NHC2-ospf-1-area-0.0.0.1] quit

4. 验证配置

# 显示NHC1上的NHRP映射表的详细信息。

[NHC1] display nhrp map verbose

Interface   : Tunnel0

  Destination/mask    : 192.168.4.161/24

  Next hop            : 192.168.4.161

  Creation time       : 00:11:21

  Expiration time     : never expire

  Type                : static

  Flags               : up

  NBMA address        : 80.1.1.161

# 显示NHC1上的mGRE会话的摘要信息。

[NHC1] display mgre session

Interface         : Tunnel0

Number of sessions: 1

Peer NBMA address  Peer protocol address  Type    State        State duration

80.1.1.161         192.168.4.161          C-S     Succeeded    00:09:42

以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC2上的显示信息与NHC1类似。

# 在NHC1上ping NHC2的私网地址192.168.4.163。

[NHC1] ping 192.168.4.163

Ping 192.168.4.163 (192.168.4.163): 56 data bytes, press CTRL_C to break

56 bytes from 192.168.4.163: icmp_seq=0 ttl=255 time=3.314 ms

56 bytes from 192.168.4.163: icmp_seq=1 ttl=255 time=2.786 ms

56 bytes from 192.168.4.163: icmp_seq=2 ttl=255 time=2.317 ms

56 bytes from 192.168.4.163: icmp_seq=3 ttl=255 time=3.060 ms

56 bytes from 192.168.4.163: icmp_seq=4 ttl=255 time=2.258 ms

 

--- Ping statistics for 192.168.4.163 ---

5 packets transmitted, 5 packets received, 0.0% packet loss

round-trip min/avg/max/std-dev = 2.258/2.747/3.314/0.411 ms

# 显示NHC1上的NHRP映射表的详细信息。

[NHC1] display nhrp map verbose

Interface   : Tunnel0

  Destination/mask    : 192.168.4.161/24

  Next hop            : 192.168.4.161

  Creation time       : 01:10:25

  Expiration time     : never expire

  Type                : static

  Flags               : up

  NBMA address        : 80.1.1.161

 

Interface   : Tunnel0

  Destination/mask    : 192.168.4.163/32

  Next hop            : 192.168.4.163

  Creation time       : 00:00:24

  Expiration time     : 00:01:36

  Type                : cached

  Flags               : used up

  NBMA address        : 80.1.3.163

# 显示NHC1上的mGRE会话的摘要信息。

[NHC1] display mgre session

Interface         : Tunnel0

Number of sessions: 2

Peer NBMA address  Peer protocol address  Type    State        State duration

80.1.1.161         192.168.4.161          C-S     Succeeded    00:10:28

80.1.3.163         192.168.4.163          C-C     Succeeded    00:00:32

以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC1与NHC2建立了NHC-NHC临时隧道。NHC2上的显示信息与NHC1类似。

1.8.2  NHS-NHC网络类型mGRE典型配置举例

1. 组网需求

·     组网方式为NHS-NHC,NHS负责管理、维护各个节点的信息,并转发NHC之间的报文;

·     NHC与NHS之间建立永久的mGRE隧道。

2. 组网图

图1-5 NHS-NHC网络类型mGRE组网图

3. 配置步骤

(1)     配置NHC1

# 配置接口GigabitEthernet2/0/1的IP地址。

<NHC1> system-view

[NHC1] interface gigabitethernet 2/0/1

[NHC1-GigabitEthernet2/0/1] ip address 80.1.2.162 255.255.255.0

[NHC1-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NHC1] interface gigabitethernet 2/0/2

[NHC1-GigabitEthernet2/0/2] ip address 192.168.1.162 255.255.255.0

[NHC1-GigabitEthernet2/0/2] quit

# 配置mGRE隧道接口Tunnel0的IP地址。

[NHC1] interface tunnel0 mode mgre

[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0

# 配置OSPF接口网络类型为点到多点类型。

[NHC1-Tunnel0] ospf network-type p2mp

# 配置接口使能OSPF。

[NHC1-Tunnel0] ospf 1 area 0.0.0.1

# 配置mGRE隧道的源接口为GigabitEthernet2/0/1。

[NHC1-Tunnel0] source gigabitethernet 2/0/1

# 配置GRE key为100000。

[NHC1-Tunnel0] gre key 100000

# 配置mGRE隧道的NHRP网络标识为9。

[NHC1-Tunnel0] nhrp network-id 9

# 配置NHRP报文认证密钥为明文12345678。

[NHC1-Tunnel0] nhrp authentication simple 12345678

# 配置NHRP映射表项保活时间为3600秒。

[NHC1-Tunnel0] nhrp holdtime 3600

# 配置将NHRP服务器的私网地址映射到公网地址。

[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161

[NHC1-Tunnel0] quit

# 配置OSPF基本功能。

[NHC1] ospf 1

[NHC1-ospf-1] area 0.0.0.1

[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255

[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255

[NHC1-ospf-1-area-0.0.0.1] quit

(2)     配置NHC2

# 配置接口GigabitEthernet2/0/1的IP地址。

<NHC2> system-view

[NHC2] interface gigabitethernet 2/0/1

[NHC2-GigabitEthernet2/0/1] ip address 80.1.3.163 255.255.255.0

[NHC2-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NHC2] interface gigabitethernet 2/0/2

[NHC2-GigabitEthernet2/0/2] ip address 192.168.0.163 255.255.255.0

[NHC2-GigabitEthernet2/0/2] quit

# 配置mGRE隧道接口Tunnel0的IP地址。

[NHC2] interface tunnel0 mode mgre

[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0

# 配置OSPF接口网络类型为点到多点类型。

[NHC2-Tunnel0] ospf network-type p2mp

# 配置接口使能OSPF。

[NHC2-Tunnel0] ospf 1 area 0.0.0.1

# 配置mGRE隧道的源接口为GigabitEthernet2/0/1。

[NHC2-Tunnel0] source gigabitethernet 2/0/1

# 配置GRE key为100000。

[NHC2-Tunnel0] gre key 100000

# 配置mGRE隧道的NHRP网络标识为9。

[NHC2-Tunnel0] nhrp network-id 9

# 配置NHRP报文认证密钥为明文12345678。

[NHC2-Tunnel0] nhrp authentication simple 12345678

# 配置NHRP映射表项保活时间为3600秒。

[NHC2-Tunnel0] nhrp holdtime 3600

# 配置将NHRP服务器的私网地址映射到公网地址。

[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161

[NHC2-Tunnel0] quit

# 配置OSPF基本功能。

[NHC2] ospf 1

[NHC2-ospf-1] area 0.0.0.1

[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255

[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255

[NHC2-ospf-1-area-0.0.0.1] quit

4. 验证配置

# 显示NHC1上的NHRP映射表的详细信息。

[NHC1] display nhrp map verbose

Interface   : Tunnel0

  Destination/mask    : 192.168.4.161/24

  Next hop            : 192.168.4.161

  Creation time       : 07:50:32

  Expiration time     : never expire

  Type                : static

  Flags               : up

  NBMA address        : 80.1.1.161

# 显示NHC1上的MGRE会话的摘要信息。

[NHC1] display mgre session

Interface         : Tunnel0

Number of sessions: 1

Peer NBMA address  Peer protocol address  Type    State        State duration

80.1.1.161         192.168.4.161          C-S     Succeeded    07:49:14

以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC2上的显示信息与NHC1类似。

# 在NHC1上ping Site1和Site2,可以ping通。

[NHC1] ping -a 192.168.1.162 192.168.0.163

Ping 192.168.0.163 (192.168.0.163) from 192.168.1.162: 56 data bytes, press CTRL_C to bre

ak

56 bytes from 192.168.0.163: icmp_seq=0 ttl=254 time=10.000 ms

56 bytes from 192.168.0.163: icmp_seq=1 ttl=254 time=17.000 ms

56 bytes from 192.168.0.163: icmp_seq=2 ttl=254 time=14.000 ms

56 bytes from 192.168.0.163: icmp_seq=3 ttl=254 time=7.000 ms

56 bytes from 192.168.0.163: icmp_seq=4 ttl=254 time=7.000 ms

 

--- Ping statistics for 192.168.0.163 ---

5 packets transmitted, 5 packets received, 0.0% packet loss

round-trip min/avg/max/std-dev = 7.000/11.000/17.000/3.950 ms

1.8.3  Full-Mesh网络类型IPsec保护mGRE隧道报文典型配置举例

1. 组网需求

·     组网方式为Full-Mesh,NHS负责管理、维护各个节点的信息;

·     NHC与NHS之间建立永久的mGRE隧道;

·     NHC之间在有数据时动态建立mGRE隧道;

·     NHS-NHC隧道及NHC-NHC隧道受到IPsec保护。

2. 组网图

图1-6 Full-Mesh网络类型mGRE受到IPsec保护组网图

3. 配置步骤

(1)     配置NHC1

# 配置接口GigabitEthernet2/0/1的IP地址。

<NHC1> system-view

[NHC1] interface gigabitethernet 2/0/1

[NHC1-GigabitEthernet2/0/1] ip address 80.1.2.162 255.255.255.0

[NHC1-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NHC1] interface gigabitethernet 2/0/2

[NHC1-GigabitEthernet2/0/2] ip address 192.168.1.162 255.255.255.0

[NHC1-GigabitEthernet2/0/2] quit

# 配置mGRE隧道接口Tunnel0的IP地址。

[NHC1] interface tunnel0 mode mgre

[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0

# 配置OSPF接口网络类型为广播类型。

[NHC1-Tunnel0] ospf network-type broadcast

# 配置OSPF接口的DR优先级为0。

[NHC1-Tunnel0] ospf dr-priority 0

# 配置接口使能OSPF。

[NHC1-Tunnel0] ospf 1 area 0.0.0.1

# 配置mGRE隧道的源接口为GigabitEthernet2/0/1。

[NHC1-Tunnel0] source gigabitethernet 2/0/1

# 配置GRE key为100000。

[NHC1-Tunnel0] gre key 100000

# 配置mGRE隧道的NHRP网络标识为9。

[NHC1-Tunnel0] nhrp network-id 9

# 配置NHRP报文认证密钥为明文12345678。

[NHC1-Tunnel0] nhrp authentication simple 12345678

# 配置NHRP映射表项保活时间为3600秒。

[NHC1-Tunnel0] nhrp holdtime 3600

# 配置将NHRP服务器的私网地址映射到公网地址。

[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161

[NHC1-Tunnel0] quit

# 配置OSPF基本功能。

[NHC1] ospf 1

[NHC1-ospf-1] area 0.0.0.1

[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255

[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255

[NHC1-ospf-1-area-0.0.0.1] quit

# 创建IPsec安全提议,名称为aa,加密算法采用56比特的DES,认证算法采用HMAC-SHA1。

[NHC1] ipsec transform-set aa

[NHC1-ipsec-transform-set-aa] esp encryption-algorithm des-cbc

[NHC1-ipsec-transform-set-aa] esp authentication-algorithm sha1

[NHC1-ipsec-transform-set-aa] quit

# 创建IKE keychain,名称为1。

[NHC1] ike keychain 1

# 配置与地址为80.1.1.161的对端使用的预共享密钥为明文的12345678。

[NHC1-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678

# 配置与地址为80.1.3.163的对端使用的预共享密钥为明文的12345678。

[NHC1-ike-keychain-1] pre-shared-key address 80.1.3.163 24 key simple 12345678

[NHC1-ike-keychain-1] quit

# 创建IKE profile,名称为abc。

[NHC1] ike profile abc

# 指定引用的IKE keychain为1。

[NHC1-ike-profile-abc] keychain 1

[NHC1-ike-profile-abc] quit

# 创建IKE协商方式的IPsec安全框架,名称为abc。

[NHC1] ipsec profile abc isakmp

# 指定引用的安全提议为aa。

[NHC1-ipsec-profile-isakmp-abc] transform-set aa

# 指定引用的IKE profile为abc。

[NHC1-ipsec-profile-isakmp-abc] ike-profile abc

[NHC1-ipsec-profile-isakmp-abc] quit

# 在mGRE隧道接口上应用IPsec安全框架abc。

[NHC1] interface tunnel0 mode mgre

[NHC1-Tunnel0] tunnel protection ipsec profile abc

[NHC1-Tunnel0] quit

(2)     配置NHC2

# 配置接口GigabitEthernet2/0/1的IP地址。

<NHC2> system-view

[NHC2] interface gigabitethernet 2/0/1

[NHC2-GigabitEthernet2/0/1] ip address 80.1.3.163 255.255.255.0

[NHC2-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NHC2] interface gigabitethernet 2/0/2

[NHC2-GigabitEthernet2/0/2] ip address 192.168.0.163 255.255.255.0

[NHC2-GigabitEthernet2/0/2] quit

# 配置隧道接口Tunnel0的IP地址。

[NHC2] interface tunnel0 mode mgre

[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0

# 配置OSPF接口网络类型为广播类型。

[NHC2-Tunnel0] ospf network-type broadcast

# 配置OSPF接口的DR优先级为0。

[NHC2-Tunnel0] ospf dr-priority 0

# 配置接口使能OSPF。

[NHC2-Tunnel0] ospf 1 area 0.0.0.1

# 配置mGRE隧道的源接口为GigabitEthernet2/0/1。

[NHC2-Tunnel0] source gigabitethernet 2/0/1

# 配置GRE key为100000。

[NHC2-Tunnel0] gre key 100000

# 配置mGRE隧道的NHRP网络标识为9。

[NHC2-Tunnel0] nhrp network-id 9

# 配置NHRP报文认证密钥为明文12345678。

[NHC2-Tunnel0] nhrp authentication simple 12345678

# 配置NHRP映射表项保活时间为3600秒。

[NHC2-Tunnel0] nhrp holdtime 3600

# 配置将NHRP服务器的私网地址映射到公网地址。

[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161

[NHC2-Tunnel0] quit

# 配置OSPF基本功能。

[NHC2] ospf 1

[NHC2-ospf-1] area 0.0.0.1

[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255

[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255

[NHC2-ospf-1-area-0.0.0.1] quit

# 创建IPsec安全提议,名称为aa,加密算法采用56比特的DES,认证算法采用HMAC-SHA1。

[NHC2] ipsec transform-set aa

[NHC2-ipsec-transform-set-aa] esp encryption-algorithm des-cbc

[NHC2-ipsec-transform-set-aa] esp authentication-algorithm sha1

[NHC2-ipsec-transform-set-aa] quit

# 创建IKE keychain,名称为1。

[NHC2] ike keychain 1

# 配置与地址为80.1.1.161的对端使用的预共享密钥为明文的12345678。

[NHC2-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678

# 配置与地址为80.1.2.162的对端使用的预共享密钥为明文的12345678。

[NHC2-ike-keychain-1] pre-shared-key address 80.1.2.162 24 key simple 12345678

[NHC2-ike-keychain-1] quit

# 创建IKE profile,名称为abc。

[NHC2] ike profile abc

# 指定引用的IKE keychain为1。

[NHC2-ike-profile-abc] keychain 1

[NHC2-ike-profile-abc] quit

# 创建IKE协商方式的IPsec安全框架,名称为abc。

[NHC2] ipsec profile abc isakmp

# 指定引用的安全提议为aa。

[NHC2-ipsec-profile-isakmp-abc] transform-set aa

# 指定引用的IKE profile为abc。

[NHC2-ipsec-profile-isakmp-abc] ike-profile abc

[NHC2-ipsec-profile-isakmp-abc] quit

# 在mGRE隧道接口上应用IPsec安全框架abc。

[NHC2] interface tunnel0 mode mgre

[NHC2-Tunnel0] tunnel protection ipsec profile abc

[NHC2-Tunnel0] quit

4. 验证配置

# 显示NHC1上的NHRP映射表的详细信息。

[NHC1] display nhrp map verbose

Interface   : Tunnel0

  Destination/mask    : 192.168.4.161/24

  Next hop            : 192.168.4.161

  Creation time       : 00:30:51

  Expiration time     : never expire

  Type                : static

  Flags               : up ipsec

  NBMA address        : 80.1.1.161

# 显示NHC1上的mGRE会话的摘要信息。

[NHC1] display mgre session

Interface         : Tunnel0

Number of sessions: 1

Peer NBMA address  Peer protocol address  Type    State        State duration

80.1.1.161         192.168.4.161          C-S     Succeeded    00:09:42

以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC2上的显示信息与NHC1类似。

# 在NHC1上ping NHC2的私网地址192.168.4.163。

[NHC1] ping 192.168.4.163

Ping 192.168.4.163 (192.168.4.163): 56 data bytes, press CTRL_C to break

56 bytes from 192.168.4.163: icmp_seq=0 ttl=255 time=3.314 ms

56 bytes from 192.168.4.163: icmp_seq=1 ttl=255 time=2.786 ms

56 bytes from 192.168.4.163: icmp_seq=2 ttl=255 time=2.317 ms

56 bytes from 192.168.4.163: icmp_seq=3 ttl=255 time=3.060 ms

56 bytes from 192.168.4.163: icmp_seq=4 ttl=255 time=2.258 ms

 

--- Ping statistics for 192.168.4.163 ---

5 packets transmitted, 5 packets received, 0.0% packet loss

round-trip min/avg/max/std-dev = 2.258/2.747/3.314/0.411 ms

# 显示NHC1上的NHRP映射表的详细信息。

[NHC1] display nhrp map verbose

Interface   : Tunnel0

  Destination/mask    : 192.168.4.161/24

  Next hop            : 192.168.4.161

  Creation time       : 01:10:25

  Expiration time     : never expire

  Type                : static

  Flags               : up ipsec

  NBMA address        : 80.1.1.161

 

Interface   : Tunnel0

  Destination/mask    : 192.168.4.163/32

  Next hop            : 192.168.4.163

  Creation time       : 00:00:24

  Expiration time     : 00:01:36

  Type                : cached

  Flags               : used up ipsec

  NBMA address        : 80.1.3.163

# 显示NHC1上的mGRE会话的摘要信息。

[NHC1] display mgre session

Interface         : Tunnel0

Number of sessions: 2

Peer NBMA address  Peer protocol address  Type    State        State duration

80.1.1.161         192.168.4.161          C-S     Succeeded    00:10:28

80.1.3.163         192.168.4.163          C-C     Succeeded    00:00:32

以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道,并受到了IPsec保护。NHC1与NHC2建立了NHC-NHC临时隧道,并受到了IPsec保护。NHC2上的显示信息与NHC1类似。

# 在NHC1上可通过以下显示信息查看到协商生成的IKE SA。NHC2上的显示信息与NHC1类似。

[NHC1] display ike sa

    Connection-ID   Remote                Flag         DOI

------------------------------------------------------------------

    240             80.1.1.161            RD           IPsec

    241             80.1.3.163            RD           IPsec

Flags:

RD--READY RL--REPLACED FD-FADING

# 在NHC1上可通过以下显示信息查看到协商生成的IPsec SA。NHC2上的显示信息与NHC1类似。

[NHC1] display ipsec sa

-------------------------------

Interface: Tunnel0

-------------------------------

 

  -----------------------------

  IPsec profile: abc

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 4

    Encapsulation mode: tunnel

    Perfect forward secrecy:

    Path MTU: 1398

    Tunnel:

        local  address: 80.1.2.162

        remote address: 80.1.3.163

    Flow:

        sour addr: 80.1.2.162/255.255.255.255  port: 0  protocol: gre

        dest addr: 80.1.3.163/255.255.255.255  port: 0  protocol: gre

 

    [Inbound ESP SAs]

      SPI: 1566691874 (0x5d61d222)

      Connection ID: 21474836488

      Transform set:  ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843200/3584

      Max received sequence-number: 0

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: N

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 1199855674 (0x4784583a)

      Connection ID: 12884901895

      Transform set:  ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3584

      Max sent sequence-number: 4

      UDP encapsulation used for NAT traversal: N

      Status: Active

 

  -----------------------------

  IPsec profile: abc

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 5

    Encapsulation mode: tunnel

    Perfect forward secrecy:

    Path MTU: 1398

    Tunnel:

        local  address: 80.1.2.162

        remote address: 80.1.1.161

    Flow:

        sour addr: 80.1.2.162/255.255.255.255  port: 0  protocol: gre

        dest addr: 80.1.1.161/255.255.255.255  port: 0  protocol: gre

 

    [Inbound ESP SAs]

      SPI: 989656188 (0x3afcf47c)

      Connection ID: 30064771081

      Transform set:  ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843198/3560

      Max received sequence-number: 12

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: N

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 1408141582 (0x53ee890e)

      Connection ID: 38654705674

      Transform set:  ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3560

      Max sent sequence-number: 8

      UDP encapsulation used for NAT traversal: N

      Status: Active

1.8.4  NHS-NHC网络类型IPsec保护mGRE隧道报文典型配置举例

1. 组网需求

·     组网方式为NHS-NHC,NHS负责管理、维护各个节点的信息;

·     NHC与NHS之间建立永久的mGRE隧道。

·     NHC之间报文都经过NHS转发。

·     NHS-NHC隧道受到IPsec保护。

2. 组网图

图1-7 NHS-NHC网络类型mGRE受到IPsec保护组网图

3. 配置步骤

(1)     配置NHC1

# 配置接口GigabitEthernet2/0/1的IP地址。

<NHC1> system-view

[NHC1] interface gigabitethernet 2/0/1

[NHC1-GigabitEthernet2/0/1] ip address 80.1.2.162 255.255.255.0

[NHC1-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NHC1] interface gigabitethernet 2/0/2

[NHC1-GigabitEthernet2/0/2] ip address 192.168.1.162 255.255.255.0

[NHC1-GigabitEthernet2/0/2] quit

# 配置隧道接口Tunnel0的IP地址。

[NHC1] interface tunnel0 mode mgre

[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0

# 配置OSPF接口网络类型为点到多点类型。

[NHC1-Tunnel0] ospf network p2mp

# 配置接口使能OSPF。

[NHC1-Tunnel0] ospf 1 area 0.0.0.1

# 配置mGRE隧道的源接口为GigabitEthernet2/0/1。

[NHC1-Tunnel0] source gigabitethernet 2/0/1

# 配置GRE key为100000。

[NHC1-Tunnel0] gre key 100000

# 配置mGRE隧道的NHRP网络标识为9。

[NHC1-Tunnel0] nhrp network-id 9

# 配置NHRP报文认证密钥为明文12345678。

[NHC1-Tunnel0] nhrp authentication simple 12345678

# 配置NHRP映射表项保活时间为3600秒。

[NHC1-Tunnel0] nhrp holdtime 3600

# 配置将NHRP服务器的私网地址映射到公网地址。

[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161

[NHC1-Tunnel0] quit

# 配置OSPF基本功能。

[NHC1] ospf 1

[NHC1-ospf-1] area 0.0.0.1

[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255

[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255

[NHC1-ospf-1-area-0.0.0.1] quit

# 创建IPsec安全提议,名称为aa,加密算法采用56比特的DES,认证算法采用HMAC-SHA1。

[NHC1] ipsec transform-set aa

[NHC1-ipsec-transform-set-aa] esp encryption-algorithm des-cbc

[NHC1-ipsec-transform-set-aa] esp authentication-algorithm sha1

[NHC1-ipsec-transform-set-aa] quit

# 创建IKE keychain,名称为1。

[NHC1] ike keychain 1

# 配置与地址为80.1.1.161的对端使用的预共享密钥为明文的12345678。

[NHC1-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678

# 配置与地址为80.1.3.163的对端使用的预共享密钥为明文的12345678。

[NHC1-ike-keychain-1] pre-shared-key address 80.1.3.163 24 key simple 12345678

[NHC1-ike-keychain-1] quit

# 创建IKE profile,名称为abc。

[NHC1] ike profile abc

# 指定引用的IKE keychain为1。

[NHC1-ike-profile-abc] keychain 1

[NHC1-ike-profile-abc] quit

# 创建IKE协商方式的IPsec安全框架,名称为abc。

[NHC1] ipsec profile abc isakmp

# 指定引用的IPsec安全提议为aa。

[NHC1-ipsec-profile-isakmp-abc] transform-set aa

# 指定引用的IKE profile为abc。

[NHC1-ipsec-profile-isakmp-abc] ike-profile abc

[NHC1-ipsec-profile-isakmp-abc] quit

# 在mGRE隧道接口上应用IPsec安全框架abc。

[NHC1] interface tunnel0 mode mgre

[NHC1-Tunnel0] tunnel protection ipsec profile abc

[NHC1-Tunnel0] quit

(2)     配置NHC2

# 配置接口GigabitEthernet2/0/1的IP地址。

<NHC2> system-view

[NHC2] interface gigabitethernet 2/0/1

[NHC2-GigabitEthernet2/0/1] ip address 80.1.3.163 255.255.255.0

[NHC2-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NHC2] interface gigabitethernet 2/0/2

[NHC2-GigabitEthernet2/0/2] ip address 192.168.0.163 255.255.255.0

[NHC2-GigabitEthernet2/0/2] quit

# 配置mGRE隧道接口Tunnel0的IP地址。

[NHC2] interface tunnel0 mode mgre

[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0

# 配置OSPF接口网络类型为点到多点类型。

[NHC2-Tunnel0] ospf network p2mp

# 配置接口使能OSPF。

[NHC2-Tunnel0] ospf 1 area 0.0.0.1

# 配置mGRE隧道的源接口为GigabitEthernet2/0/1。

[NHC2-Tunnel0] source gigabitethernet 2/0/1

# 配置GRE key为100000。

[NHC2-Tunnel0] gre key 100000

# 配置mGRE隧道的NHRP网络标识为9。

[NHC2-Tunnel0] nhrp network-id 9

# 配置NHRP报文认证密钥为明文12345678。

[NHC2-Tunnel0] nhrp authentication simple 12345678

# 配置NHRP映射表项保活时间为3600秒。

[NHC2-Tunnel0] nhrp holdtime 3600

# 配置将NHRP服务器的私网地址映射到公网地址。

[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161

[NHC2-Tunnel0] quit

# 配置OSPF基本功能。

[NHC2] ospf 1

[NHC2-ospf-1] area 0.0.0.1

[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255

[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255

[NHC2-ospf-1-area-0.0.0.1] quit

# 创建IPsec安全提议,名称为aa,加密算法采用56比特的DES,认证算法采用HMAC-SHA1。

[NHC2] ipsec transform-set aa

[NHC2-ipsec-transform-set-aa] esp encryption-algorithm des-cbc

[NHC2-ipsec-transform-set-aa] esp authentication-algorithm sha1

[NHC2-ipsec-transform-set-aa] quit

# 创建IKE keychain,名称为1。

[NHC2] ike keychain 1

# 配置与地址为80.1.1.161的对端使用的预共享密钥为明文的12345678。

[NHC2-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678

# 配置与地址为80.1.2.162的对端使用的预共享密钥为明文的12345678。

[NHC2-ike-keychain-1] pre-shared-key address 80.1.2.162 24 key simple 12345678

[NHC2-ike-keychain-1] quit

# 创建IKE profile,名称为abc。

[NHC2] ike profile abc

# 指定引用的IKE keychain为1。

[NHC2-ike-profile-abc] keychain 1

[NHC2-ike-profile-abc] quit

# 创建IKE协商方式的IPsec安全框架,名称为abc。

[NHC2] ipsec profile abc isakmp

# 指定引用的IPsec安全提议为aa。

[NHC2-ipsec-profile-isakmp-abc] transform-set aa

# 指定引用的IKE profile为abc。

[NHC2-ipsec-profile-isakmp-abc] ike-profile abc

[NHC2-ipsec-profile-isakmp-abc] quit

# 在mGRE隧道接口上应用IPsec安全框架abc。

[NHC2] interface tunnel0 mode mgre

[NHC2-Tunnel0] tunnel protection ipsec profile abc

[NHC2-Tunnel0] quit

4. 验证配置

# 显示NHC1上的NHRP映射表的详细信息。

[NHC1] display nhrp map verbose

Interface   : Tunnel0

  Destination/mask    : 192.168.4.161/24

  Next hop            : 192.168.4.161

  Creation time       : 08:17:14

  Expiration time     : never expire

  Type                : static

  Flags               : up ipsec

  NBMA address        : 80.1.1.161

# 显示NHC1上的MGRE会话的摘要信息。

[NHC1] display mgre session

Interface         : Tunnel0

Number of sessions: 1

Peer NBMA address  Peer protocol address  Type    State        State duration

80.1.1.161         192.168.4.161          C-S     Succeeded    00:00:18

以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC2上的显示信息与NHC1类似。

# 在NHC1上对Site1和Site2的连通性进行测试,可以ping通。

[NHC1] ping -a 192.168.1.162 192.168.0.163

Ping 192.168.0.163 (192.168.0.163) from 192.168.1.162: 56 data bytes, press CTRL_C to bre

ak

56 bytes from 192.168.0.163: icmp_seq=0 ttl=254 time=10.000 ms

56 bytes from 192.168.0.163: icmp_seq=1 ttl=254 time=17.000 ms

56 bytes from 192.168.0.163: icmp_seq=2 ttl=254 time=14.000 ms

56 bytes from 192.168.0.163: icmp_seq=3 ttl=254 time=7.000 ms

56 bytes from 192.168.0.163: icmp_seq=4 ttl=254 time=7.000 ms

 

--- Ping statistics for 192.168.0.163 ---

5 packets transmitted, 5 packets received, 0.0% packet loss

round-trip min/avg/max/std-dev = 7.000/11.000/17.000/3.950 ms

# 在NHC1上可通过以下显示查看到协商生成的IKE SA。NHC2上的显示信息与NHC1类似。

[NHC1] display ike sa

    Connection-ID   Remote                Flag         DOI

------------------------------------------------------------------

    3               80.1.1.161            RD           IPsec

Flags:

RD--READY RL--REPLACED FD-FADING

# 在NHC1上可通过以下显示查看到协商生成的IPsec SA。NHC2上的显示信息与NHC1类似。

[NHC1] display ipsec sa

-------------------------------

Interface: Tunnel0

-------------------------------

 

  -----------------------------

  IPsec profile: abc

  Mode: ISAKMP

  -----------------------------

    Tunnel id: 5

    Encapsulation mode: tunnel

    Perfect forward secrecy:

    Path MTU: 1398

    Tunnel:

        local  address: 80.1.2.162

        remote address: 80.1.1.161

    Flow:

        sour addr: 80.1.2.162/255.255.255.255  port: 0  protocol: gre

        dest addr: 80.1.1.161/255.255.255.255  port: 0  protocol: gre

 

    [Inbound ESP SAs]

      SPI: 2791687835 (0xa665c69b)

      Connection ID: 12884901898

      Transform set:  ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3520

      Max received sequence-number: 9

      Anti-replay check enable: Y

      Anti-replay window size: 64

      UDP encapsulation used for NAT traversal: N

      Status: Active

 

    [Outbound ESP SAs]

      SPI: 1369008262 (0x51996886)

      Connection ID: 12884901897

      Transform set:  ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1

      SA duration (kilobytes/sec): 1843200/3600

      SA remaining duration (kilobytes/sec): 1843199/3520

      Max sent sequence-number: 10

      UDP encapsulation used for NAT traversal: N

      Status: Active

1.8.5  Full-Mesh网络类型mGRE穿越NAT典型配置举例

1. 组网需求

·     在Full-Mesh的组网方式下,NHS负责管理、维护各个节点的信息。

·     NHC与NHS之间建立永久的mGRE隧道。

·     NHC之间在有数据时动态建立mGRE隧道。

·     NHS和NHC均在NAT网关之后。

2. 组网图

图1-8 Full-Mesh穿越NAT类型mGRE组网图

设备

接口

IP地址

设备

接口

IP地址

 

NHC 1

GE2/0/1

80.1.2.162/24

NAT 1

GE2/0/1

80.1.1.4/24

 

GE2/0/2

192.168.1.162/24

 

GE2/0/2

40.1.1.4/24

 

Tunnel0

192.168.4.162/24

NAT 2

GE2/0/1

40.1.1.2/24

NHC 2

GE2/0/1

80.1.3.163/24

 

GE2/0/2

80.1.2.2/24

 

GE2/0/2

192.168.0.163/24

NAT 3

GE2/0/1

40.1.1.3/24

 

Tunnel0

192.168.4.163/24

 

GE2/0/2

80.1.3.3/24

 

3. 配置步骤

注意

NAT设备上通过session aging-time state命令配置的RAWIP-OPEN状态的会话老化时间必须大于NHC设备Tunnel口上通过命令nhrp holdtime配置的NHRP映射表项保活时间。

 

(1)     配置NHC1

# 配置接口GigabitEthernet2/0/1的IP地址。

<NHC1> system-view

[NHC1] interface gigabitethernet 2/0/1

[NHC1-GigabitEthernet2/0/1] ip address 80.1.2.162 255.255.255.0

[NHC1-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NHC1] interface gigabitethernet 2/0/2

[NHC1-GigabitEthernet2/0/2] ip address 192.168.1.162 255.255.255.0

[NHC1-GigabitEthernet2/0/2] quit

# 配置隧道接口Tunnel0的IP地址。

[NHC1] interface tunnel0 mode mgre

[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0

# 配置mGRE隧道的源接口为GigabitEthernet2/0/1。

[NHC1-Tunnel0] source gigabitethernet 2/0/1

# 配置GRE key为100000。

[NHC1-Tunnel0] gre key 100000

# 配置mGRE隧道的NHRP网络标识为9。

[NHC1-Tunnel0] nhrp network-id 9

# 配置NHRP报文认证密钥为明文12345678。

[NHC1-Tunnel0] nhrp authentication simple 12345678

# 配置NHRP映射表项保活时间为240秒。

[NHC1-Tunnel0] nhrp holdtime 240

# 配置将NHRP服务器的私网地址映射到公网地址。

[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 40.1.1.9

[NHC1-Tunnel0] quit

# 配置静态路由。

[NHC1] ip route-static 40.1.1.0 24 80.1.2.2

[NHC1] ip route-static 192.168.0.0 24 192.168.4.163

(2)     配置NHC2

# 配置接口GigabitEthernet2/0/1的IP地址。

<NHC2> system-view

[NHC2] interface gigabitethernet 2/0/1

[NHC2-GigabitEthernet2/0/1] ip address 80.1.3.163 255.255.255.0

[NHC2-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NHC2] interface gigabitethernet 2/0/2

[NHC2-GigabitEthernet2/0/2] ip address 192.168.0.163 255.255.255.0

[NHC2-GigabitEthernet2/0/2] quit

# 配置mGRE隧道接口Tunnel0的IP地址。

[NHC2] interface tunnel0 mode mgre

[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0

# 配置mGRE隧道的源接口为GigabitEthernet2/0/1。

[NHC2-Tunnel0] source gigabitethernet 2/0/1

# 配置GRE key为100000。

[NHC2-Tunnel0] gre key 100000

# 配置mGRE隧道的NHRP网络标识为9。

[NHC2-Tunnel0] nhrp network-id 9

# 配置NHRP报文认证密钥为明文12345678。

[NHC2-Tunnel0] nhrp authentication simple 12345678

# 配置NHRP映射表项保活时间为240秒。

[NHC2-Tunnel0] nhrp holdtime 240

# 配置将NHRP服务器的私网地址映射到公网地址。

[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 40.1.1.9

[NHC2-Tunnel0] quit

# 配置静态路由。

[NHC2] ip route-static 40.1.1.0 24 80.1.3.3

[NHC2] ip route-static 192.168.1.0 24 192.168.4.162

(3)     配置NAT1

# 配置接口GigabitEthernet2/0/1的IP地址。

<NAT1> system-view

[NAT1] interface gigabitethernet 2/0/1

[NAT1-GigabitEthernet2/0/1] ip address 80.1.1.4 255.255.255.0

[NAT1-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NAT1] interface gigabitethernet 2/0/2

[NAT1-GigabitEthernet2/0/2] ip address 40.1.1.4 255.255.255.0

[NAT1-GigabitEthernet2/0/2] quit

# 开启接口上的NAT静态地址转换功能。

[NAT1] interface gigabitethernet 2/0/2

[NAT1-GigabitEthernet2/0/2] nat static enable

[NAT1-GigabitEthernet2/0/2] quit

# 配置内网IP地址80.1.1.161到外网地址40.1.1.9之间的一对一静态地址转换映射。

[NAT1] nat static outbound 80.1.1.161 40.1.1.9

(4)     配置NAT2

# 配置接口GigabitEthernet2/0/1的IP地址。

<NAT2> system-view

[NAT2] interface gigabitethernet 2/0/1

[NAT2-GigabitEthernet2/0/1] ip address 40.1.1.2 255.255.255.0

[NAT2-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NAT2] interface gigabitethernet 2/0/2

[NAT2-GigabitEthernet2/0/2] ip address 80.1.2.2 255.255.255.0

[NAT2-GigabitEthernet2/0/2] quit

# 配置地址组0,包含两个外网地址40.1.1.5和40.1.1.6。

[NAT2] nat address-group 0

[NAT2-nat-address-group-0] address 40.1.1.5  40.1.1.6

[NAT2-nat-address-group-0] quit

# 在接口GigabitEthernet2/0/1上配置出方向动态地址转换,允许使用地址组0中的地址对公网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[NAT2] interface gigabitethernet 2/0/1

[NAT2-GigabitEthernet2/0/1] nat outbound address-group 0 no-pat reversible

[NAT2-GigabitEthernet2/0/1] quit

(5)     配置NAT3

# 配置接口GigabitEthernet2/0/1的IP地址。

<NAT3> system-view

[NAT3] interface gigabitethernet 2/0/1

[NAT3-GigabitEthernet2/0/1] ip address 40.1.1.3 255.255.255.0

[NAT3-GigabitEthernet2/0/1] quit

# 配置接口GigabitEthernet2/0/2的IP地址。

[NAT3] interface gigabitethernet 2/0/2

[NAT3-GigabitEthernet2/0/2] ip address 80.1.3.3 255.255.255.0

[NAT3-GigabitEthernet2/0/2] quit

# 配置地址组0,包含两个外网地址40.1.1.7和40.1.1.8。

[NAT3] nat address-group 0

[NAT3-nat-address-group-0] address 40.1.1.7  40.1.1.8

[NAT3-nat-address-group-0] quit

# 在接口GigabitEthernet2/0/1上配置出方向动态地址转换,允许使用地址组0中的地址对公网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[NAT3] interface gigabitethernet 2/0/1

[NAT3-GigabitEthernet2/0/1] nat outbound address-group 0 no-pat reversible

[NAT3-GigabitEthernet2/0/1] quit

4. 验证配置

# 显示NHC1上的NHRP映射表的详细信息。

[NHC1] display nhrp map verbose

Interface   : Tunnel0

  Destination/mask    : 192.168.4.161/24

  Next hop            : 192.168.4.161

  Creation time       : 01:12:50

  Expiration time     : never expire

  Type                : static

  Flags               : up

  NBMA address        : 40.1.1.9

# 显示NHC1上的MGRE会话的摘要信息。

[NHC1] display mgre session

Interface         : Tunnel0

Number of sessions: 1

Peer NBMA address  Peer protocol address  Type    State        State duration

40.1.1.9           192.168.4.161          C-S     Succeeded    01:12:43

以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC2上的显示信息与NHC1类似。

# 在NHC1上ping NHC2的私网地址192.168.4.163。

[NHC1] ping 192.168.4.163

Ping 192.168.4.163 (192.168.4.163): 56 data bytes, press CTRL_C to break

56 bytes from 192.168.4.163: icmp_seq=0 ttl=255 time=3.314 ms

56 bytes from 192.168.4.163: icmp_seq=1 ttl=255 time=2.786 ms

56 bytes from 192.168.4.163: icmp_seq=2 ttl=255 time=2.317 ms

56 bytes from 192.168.4.163: icmp_seq=3 ttl=255 time=3.060 ms

56 bytes from 192.168.4.163: icmp_seq=4 ttl=255 time=2.258 ms

 

--- Ping statistics for 192.168.4.163 ---

5 packets transmitted, 5 packets received, 0.0% packet loss

round-trip min/avg/max/std-dev = 2.258/2.747/3.314/0.411 ms

# 显示NHC1上的NHRP映射表的详细信息。

[NHC1] display nhrp map verbose

Interface   : Tunnel0

  Destination/mask    : 192.168.4.161/24

  Next hop            : 192.168.4.161

  Creation time       : 01:10:25

  Expiration time     : never expire

  Type                : static

  Flags               : up

  NBMA address        : 40.1.1.9

 

Interface   : Tunnel0

  Destination/mask    : 192.168.4.163/32

  Next hop            : 192.168.4.163

  Creation time       : 00:00:24

  Expiration time     : 00:01:36

  Type                : cached

  Flags               : used up

  NBMA address        : 40.1.1.8

# 显示NHC1上的mGRE会话的摘要信息。

[NHC1] display mgre session

Interface         : Tunnel0

Number of sessions: 2

Peer NBMA address  Peer protocol address  Type    State        State duration

40.1.1.9           192.168.4.161          C-S     Succeeded    00:10:28

40.1.1.8           192.168.4.163          C-C     Succeeded    00:00:32

以上显示信息表示NHC1与NHS建立了NHS-NHC永久隧道。NHC1与NHC2建立了NHC-NHC临时隧道。NHC2上的显示信息与NHC1类似。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们