安全 : 动态多点 VPN (DMVPN)

IOS/CCP :动态多点VPN使用Cisco Configuration Professional配置示例

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文为在使用Cisco Configuration Professional (思科CP)的星型网路由器之间的动态多点VPN (DMVPN)通道提供一配置示例。动态多点VPN是集成不同的概念例如GRE、IPSec加密、NHRP和路由提供一复杂的解决方案允许最终用户通过动态地已创建spoke-to-spoke IPSec隧道有效通信的技术。

先决条件

要求

对于最好的DMVPN功能,推荐您运行Cisco IOSï ¿  ½软件版本12.4 mainline,12.4T和以后。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco IOS路由器3800系列用软件版本12.4 (22)

  • Cisco IOS路由器1800系列用软件版本12.3 (8)

  • Cisco Configuration Professional版本2.5

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

使用思科CP,本文提供信息如何配置路由器作为分支和另一个路由器作为集线器。最初辐条配置显示,但是以后在本文,集线器相关的配置详细也显示提供一更加好了解。其他spoke可能也配置使用相似的方法连接到集线器。现在方案使用这些参数:

  • 中心路由器公共网络- 209.165.201.0

  • 隧道网络- 192.168.10.0

  • 使用的路由协议- OSPF

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-01.gif

辐条配置使用思科CP

使用Cisco Configuration Professional的,逐步DMVPN向导此部分显示如何配置路由器作为分支。

  1. 为了运行思科CP应用程序和启动DMVPN向导,请去配置> Security > VPN >动态多点VPN。然后,请选择创建在DMVPN选项的一分支并且点击启动选定的任务

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-02.gif

  2. 单击在旁边开始。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-03.gif

  3. 选择星型网Network选项并且其次单击。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-04.gif

  4. 指定集线器相关信息,例如中心路由器的公共接口和中心路由器的隧道接口。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-05.gif

  5. 指定分支的隧道接口详细信息和分支的公共接口。然后,请点击先进

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-06.gif

  6. 验证通道参数和NHRP参数,并且确保他们完全匹配对集线器参数。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-07.gif

  7. 指定预先共享密钥并且其次单击。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-08.gif

  8. 单击添加为了添加一个分开的IKE建议。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-09.gif

  9. 指定加密、验证和哈希参数。然后,单击OK

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-10.gif

  10. 新建立的IKE策略能被看到此处。单击 Next

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-11.gif

  11. 单击在旁边继续默认转换集。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-12.gif

  12. 选择需要的路由协议。这里, OSPF选择。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-13.gif

  13. 指定OSPF程序ID和区域ID单击添加为了添加OSPF将通告的网络。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-14.gif

  14. 添加隧道网络并且点击OK键。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-15.gif

  15. 添加私有网络在分支路由器背后。然后单击 Next

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-16.gif

  16. 点击芬通社完成向导配置。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-17.gif

  17. 单击传送执行命令。如果要保存配置,请检查保存运行配置到设备的启动配置复选框。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-18.gif

分支的CLI配置

相关CLI配置显示此处:

分支路由器
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

集线器上配置使用思科CP

关于怎样的一逐步方法配置DMVPN的中心路由器在此部分显示。

  1. 配置> Security > VPN >动态多点VPN和选择创建在DMVPN选项的一台集线器。请点击启动选定的任务

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-19.gif

  2. 单击 Next

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-20.gif

  3. 选择星型网Network选项并且其次单击。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-21.gif

  4. 选择主集线器。然后单击 Next

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-22.gif

  5. 指定隧道接口参数并且点击先进

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-23.gif

  6. 指定通道参数和NHRP参数。然后,单击OK

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-24.gif

  7. 指定根据您的网络设置的选项。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-25.gif

  8. 选择预先共享密钥并且指定预先共享密钥。然后单击 Next

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-26.gif

  9. 单击添加为了添加一个分开的IKE建议。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-27.gif

  10. 指定加密、验证和哈希参数。然后,单击OK

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-28.gif

  11. 新建立的IKE策略能被看到此处。单击 Next

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-29.gif

  12. 单击在旁边继续默认转换集。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-30.gif

  13. 选择需要的路由协议。这里, OSPF选择。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-31.gif

  14. 指定OSPF程序ID和区域ID单击添加为了添加OSPF将通告的网络。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-32.gif

  15. 添加隧道网络并且点击OK键。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-33.gif

  16. 添加私有网络在中心路由器背后并且其次单击。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-34.gif

  17. 点击芬通社完成向导配置。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-35.gif

  18. 单击传送执行命令。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-36.gif

集线器的CLI配置

相关CLI配置显示此处:

中心路由器
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

使用CCP,编辑DMVPN配置

当您选择隧道接口并且单击编辑时,您能手工编辑现有DMVPN通道参数。

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-37.gif

隧道接口参数例如MTU和通道密钥,被修改在常规选项卡下

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-38.gif

  1. NHRP相关参数根据在NHRP选项卡下的需求被找到并且被修改。对于分支路由器,您应该能观看NHS作为中心路由器的IP地址。单击添加在NHRP地图部分为了添加NHRP映射。

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-39.gif

  2. 根据网络设置, NHRP映射参数可以配置如显示此处:

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-40.gif

路由相关参数查看并且被修改在路由选项卡下。

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-41.gif

更多信息

DMVPN通道配置用这两个方式:

  • spoke-to-spoke通信通过集线器

  • 没有集线器的spoke-to-spoke通信

在本文中,仅第一种方法讨论。为了允许spoke-to-spoke动态IPSec隧道的建立,此方法是使用的添加发言对DMVPN网云:

  1. 启动DMVPN向导并且选择辐条配置选项。

  2. DMVPN Network Topology窗口,请选择全双工网状网络选项而不是星型网Network选项

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-42.gif

  3. 完成配置的其余使用步骤和在本文的其他配置一样。

验证

当前没有可用于此配置的验证过程。


相关信息


Document ID: 113265