Mgre tunnel 配置

一、多点GRE配置（mGRE),结合NHRP（下一跳地址解析协议）使用

    1.中心站点配置：

      1）建立tunnel口及相关配置

          inter tunnel 0

          tunnel source e1/0(指定公网的外出接口作为隧道源地址）

          tunnel mode gre multipoint(指定隧道的类型为多点GRE）

  

          tunnel key 验证密码（为数字，双方必须匹配，验证为可选项）

      

      2）NHRP协议的配置

          R1(config-if)#ip nhrp map multicast（支持组播及广播） dynamic （客户端地址采用动态解析）

          R1(config-if)#ip nhrp network-id 100（指定网络ID，相同ID在同一广播域，要求所有站点ID相同）

 

 

    2.分支站点配置：

      1）建立tunnel口及相关配置

         inter tunnel 0

         tunnel source e1/0(指定公网的外出接口作为隧道源地址）

         tunnel mode gre multipoint(指定隧道的类型为多点GRE,在本模式下，分支站点也可建立动态隧道）

   ###(如建立全互联tunnel隧道,可指定为mGRE( 多点隧道接口),否则可以直接指定目的为HUB地址tunnel destination 202.1.1.2)

 

         tunnel key 验证密码（为数字，双方必须匹配，验证为可选项）

 

 

      2）NHRP协议的配置

         ip nhrp nhs 192.168.1.1 （指定NHRP服务器地址，通常为中心站点tunnel接口私网地址）

         ip nhrp map 192.168.1.1（本地址为中心站点隧道接口的私网地址） 201.1.1.1 

       

                                                            （为中心站点公网接口地址）

         ip nhrp network-id 100（指定网络ID，相同ID在同一广播域，要求所有站点ID相同）

 

 

 

 

 

可选项：NHRP验证：ip nhrp authentication test （验证密码）

 

    3.关于动态路由协议在多点GRE NBMA模式下配置

         在分支站点还必须做如下配置

        1)ip nhrp map multicast 201.1.1.1 (中心站点公网地址)

          使得多点GRE接口能够向中心站点发送组播和广播包

          (ospf网络类型改成broadcast或point-to-multipoint)

 

        2)距离矢量类路由协议必须关闭水平分割（因为是点到多点接口）

          no ip split-horizon

          no ip split-horizon eigrp 1 

 

 

二、ipsec配置

    1、第一阶段

    crypto isakmp policy 1

    encr 3des

    hash md5 

    authentication pre-share

    group 2

    crypto isakmp key g2myway(验证密码）address 0.0.0.0 0.0.0.0

   （对所有地址验证全匹配）

 

 

    2、第二阶段

    crypto ipsec transform-set r1trans esp-3des esp-sha-hmac

    转换集的配置

 

 

    3、ipsec profile的配置（没有定义对等体及感兴趣流量）

    crypto ipsec profile myprofile(profile命名）

    set transform-set r1trans 

 

    4、应用至tunnel接口

    tunnel protection ipsec profile myprofile（profile命名）

    对所有tunnel的流量进行ipsec的保护