- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
19-mGRE配置
本章節下載: 19-mGRE配置 (532.06 KB)
目 錄
1.9.3 Full-Mesh網絡類型IPsec保護mGRE隧道報文典型配置舉例
1.9.4 NHS-NHC網絡類型IPsec保護mGRE隧道報文典型配置舉例
1.9.5 Full-Mesh網絡類型mGRE穿越NAT典型配置舉例
mGRE(Multipoint Generic Routing Encapsulation,多點通用路由封裝)是一種基於NHRP(Next Hop Resolution Protocol,下一跳地址解析協議)的動態VPN技術。
在普通的VPN網絡(如GRE)中,隧道是靜態的,需要管理員手動建立,無法利用公網地址動態建立,配置和維護的工作量巨大,擴展性差。
在mGRE網絡中,NHRP用來實現網絡分支節點的私網地址到公網地址的動態映射,在企業網各分支機構使用動態地址接入公網的情況下,可以利用mGRE在各分支機構間建立動態VPN。
mGRE網絡采用Client/Server模型,包含如下兩類節點:
· NHS(NHRP Server):mGRE網絡的中心設備,是路由信息交換的中心。
· NHC(NHRP Client):mGRE網絡的分支設備,通常是企業分支機構的網關。該節點不會轉發收到的其它mGRE節點的數據。
公網地址是NHC和NHS連接Internet的接口的地址,私網地址是指隧道的IP地址。當公網地址變化時,NHC將變化後的公網地址注冊到NHS。NHC通過NHRP協議從NHS獲取另一端NHC的新公網地址,從而實現在兩個NHC之間動態建立跨越Internet的mGRE隧道。
根據數據是否經過NHS轉發,mGRE網絡分為如下兩種:
· Full-Mesh(全互聯)網絡:如圖1-1所示,NHC和NHC之間可以建立隧道直接通信。
圖1-1 Full-Mesh網絡示意圖
· Hub-Spoke網絡:如圖1-2所示,NHC之間不能建立隧道直接通信,隻能通過NHS轉發數據,NHS既作為路由信息交換的中心,又作為數據轉發的中心。
圖1-2 NHS-NHC網絡示意圖
mGRE的工作過程分為注冊、隧道建立、路由學習和報文轉發三個階段,下麵對這三個階段做簡單說明。
如圖1-3所示,注冊階段的具體過程為:
(1) NHC向NHS發送注冊請求報文,注冊請求報文中包括NHC的公網地址、私網地址、連接的私網網段、NHRP報文認證密鑰和GRE Key等信息。
(2) NHS收到注冊請求報文後,根據配置對該NHC進行NHRP報文認證密鑰和GRE Key匹配認證,隻有兩者同時匹配才能注冊成功。注冊成功後,NHS會向NHC發送注冊成功響應報文。
具體隧道建立過程為:
· NHC-NHS隧道:在NHC向NHS注冊的過程中,NHC與NHS之間建立的隧道狀態為初始化狀態,當NHC向NHS注冊成功後,二者之間的隧道便成功建立。
一個NHC可以和任意多個NHS建立永久隧道。
· NHC-NHC隧道:
a. 在Full-Mesh組網中,NHC收到數據報文後,若沒有查到能夠轉發該報文的隧道,則會向NHS發送地址解析請求。
b. NHS接收到地址解析請求後通過查找本地映射表找到響應方NHC,並將地址解析請求轉發到響應方NHC。
c. 響應方在接收到地址解析請求後創建臨時隧道並向發起方NHC發送地址解析請求回應報文。
NHC-NHC隧道是動態的,若在一段時間(NHC-NHC隧道空閑超時時間)內沒有數據報文交互,則刪除該隧道。
隧道發起方和隧道接收方任何一方在NAT網關後側,或兩者都在NAT網關後側,均可以建立穿越NAT的NHC-NHC隧道。
mGRE節點可以通過動態路由協議學習私網路由。mGRE網絡連接的各個私網及mGRE隧道接口上都配置動態路由協議,實現私網路由的連通。mGRE隧道建立以後,路由協議通過隧道進行鄰居發現、路由更新,並建立路由表。mGRE隧道可以看作是私網中的一條普通鏈路,負責連接不同的私網網段。
完成私網路由的學習後,NHC接收到其下私網用戶訪問其他私網的報文時,處理過程如下:
(1) 查找路由表找到目的私網的下一跳地址。
(2) 通過本地NHRP映射表找到目的私網下一跳對應的公網地址。
(3) 將該公網地址作為隧道的目的地址對報文進行封裝。
(4) 將封裝後的報文通過mGRE隧道發送給對端NHC。
搭建mGRE網絡時,一般先配置NHS設備,再配置NHC設備。
mGRE NHS配置任務如下:
(1) NHS配置mGRE隧道
(2) 配置路由
(3) (可選)配置IPsec保護mGRE隧道報文
mGRE NHS配置任務如下:
(4) NHC配置mGRE隧道
(5) 配置路由
(6) (可選)配置IPsec保護mGRE隧道報文
NHS的公網地址和私網地址必須靜態配置,不能動態變化。
隧道兩端必須設置相同的GRE Key,或者都不設置GRE Key。
如果設備上配置了多個mGRE隧道接口,且隧道的源端地址或源接口相同,則不同的mGRE隧道接口的GRE Key不能相同。
關於GRE Key和Tunnel接口的詳細介紹,請參見“三層技術-IP業務配置指導”中的“GRE”和“隧道”。
(1) 進入係統視圖。
system-view
(2) 創建mGRE隧道類型的Tunnel接口,並進入Tunnel接口視圖。
interface tunnel number mode mgre
(3) 配置Tunnel接口的私網地址。
ip address ip-address { mask | mask-length } [ sub ]
缺省情況下,Tunnel接口上沒有配置私網地址。
(4) 配置mGRE隧道的源端地址或源接口。
source { ip-address | interface-type interface-number }
缺省情況下,未設置mGRE隧道的源端地址和源接口。
如果設置的是源端地址,則該地址將作為封裝後隧道報文的源地址;如果設置的是源接口,則該接口的地址將作為封裝後隧道報文的源地址。
(5) 配置NHRP報文認證密鑰。
nhrp authentication { cipher | simple } string
缺省情況下,未指定NHRP報文認證密鑰,各NHRP節點之間的NHRP報文不進行認證。
同一mGRE網絡中所有NHRP客戶端和NHRP服務器的認證密鑰必須相同。
(6) 配置mGRE隧道的NHRP網絡標識。
nhrp network-id number
缺省情況下,不存在NHRP網絡標識。
(7) 配置NHRP映射表項保活時間。
nhrp holdtime seconds
缺省情況下,NHRP映射表項保活時間是7200秒。
(8) 開啟固化NHS功能。
nhrp server-only
缺省情況下,固化NHS功能處於關閉狀態。
(9) (可選)指定發送NHRP報文的DSCP優先級。
nhrp dscp
缺省情況下,發送NHRP報文的DSCP優先級為48。
(10) (可選)設置mGRE類型Tunnel接口的GRE Key。
gre key key
缺省情況下,未設置mGRE類型Tunnel接口的GRE Key。
(11) (可選)設置封裝後隧道報文的DF(Don’t Fragment,不分片)標誌。
tunnel dfbit enable
缺省情況下,未設置隧道報文的不分片標誌,即轉發隧道報文時允許分片。
NHC的公網地址既可以靜態配置也可以動態獲取,私網地址必須靜態配置。
隧道兩端必須設置相同的GRE Key,或者都不設置GRE Key。
如果設備上配置了多個mGRE隧道接口,且隧道的源端地址或源接口相同,則不同的mGRE隧道接口的GRE Key不能相同。
關於GRE Key和Tunnel接口的詳細介紹,請參見“三層技術-IP業務配置指導”中的“GRE”和“隧道”。
(1) 進入係統視圖。
system-view
(2) 創建mGRE隧道類型的Tunnel接口,並進入Tunnel接口視圖。
interface tunnel number mode mgre
(3) 配置Tunnel接口的私網地址。
ip address ip-address { mask | mask-length } [ sub ]
缺省情況下,Tunnel接口上沒有配置私網地址。
(4) 配置mGRE隧道的源端地址或源接口。
source { ip-address | interface-type interface-number }
缺省情況下,未設置mGRE隧道的源端地址和源接口。
如果設置的是源端地址,則該地址將作為封裝後隧道報文的源地址;如果設置的是源接口,則該接口的地址將作為封裝後隧道報文的源地址。
(5) 配置NHRP報文認證密鑰。
nhrp authentication { cipher | simple } string
缺省情況下,未指定NHRP報文認證密鑰,各NHRP節點之間的NHRP報文不進行認證。
同一mGRE網絡中所有NHRP客戶端和NHRP服務器的認證密鑰必須相同。
(6) 配置mGRE隧道的NHRP網絡標識。
nhrp network-id number
缺省情況下,不存在NHRP網絡標識。
(7) 配置NHRP映射表項保活時間。
nhrp holdtime seconds
缺省情況下,NHRP映射表項保活時間是7200秒。
保活時間到期後,NHC會自動刪除本地的NHRP映射表項,然後向NHS重新注冊。
(8) 配置NHRP服務器的私網地址和公網域名或地址的映射。
nhrp nhs nhs-address nbma { dns-name | nbma-address }
缺省情況下,未配置NHRP服務器私網地址和公網域名或地址的映射。
(9) (可選)指定發送NHRP報文的DSCP優先級。
nhrp dscp
缺省情況下,發送NHRP報文的DSCP優先級為48。
(10) (可選)配置NHC發送NHRP注冊報文的間隔時間。
nhrp registration time-out seconds
缺省情況下,NHC發送NHRP注冊報文的間隔時間為2400秒。
注冊間隔時間需要小於NHRP映射表保活時間。
(11) (可選)配置NHC發送的NHRP報文攜帶no-unique標誌。
nhrp registration no-unique
缺省情況下,報文不攜帶no-unique標誌。
(12) (可選)設置mGRE類型Tunnel接口的GRE Key。
gre key key
缺省情況下,未設置mGRE類型Tunnel接口的GRE Key。
(13) (可選)設置封裝後隧道報文的DF(Don’t Fragment,不分片)標誌。
tunnel dfbit enable
缺省情況下,未設置隧道報文的不分片標誌,即轉發隧道報文時允許分片。
NHC私網支持的路由協議為OSPF、RIP和BGP,具體配置要求請參見表1-1。
|
網絡類型 |
路由協議 |
配置要求 |
|
Full-Mesh |
RIP |
不支持 |
|
OSPF |
接口的網絡類型需要配置為broadcast |
|
|
BGP |
需要配置路由策略等,保證一端NHC/NHS學習到的到達對端私網路由的下一跳為對端NHC的地址 |
|
|
NHS-NHC |
RIP |
使用RIP-2組播方式,並且關閉NHS的水平分割功能 |
|
OSPF |
接口的網絡類型需要配置為p2mp |
|
|
BGP |
需要配置路由策略等,保證一端NHC/NHS學習到的到達對端私網路由的下一跳為NHS/NHC的地址 |
路由協議和路由策略的具體配置請參見“三層技術-IP路由配置指導”中的“RIP”、 “OSPF”、“BGP”和“路由策略”。
設備支持用IPsec安全框架來保護mGRE隧道數據報文和控製報文,其基本配置思路如下:
(1) 配置IPsec安全提議:指定安全協議、認證算法和加密算法、封裝模式等。
(2) 配置IKE協商方式的IPsec安全框架。
(3) 在mGRE隧道接口上應用IKE協商方式的IPsec安全框架。
詳細配置請參見“安全配置指導”中的“IPsec”。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後mGRE的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除相應的統計信息和mGRE會話信息。
表1-2 mGRE顯示和維護
|
操作 |
命令 |
|
顯示mGRE的會話信息 |
display mgre session [ count | [ interface tunnel interface-number [ peer ipv4-address ] ] [ dynamic | static ] [ verbose ] |
|
顯示被清除/老化的NHRP映射表項 |
display nhrp history-map [ count count-number ] |
|
顯示NHRP地址映射表項信息 |
display nhrp map [ interface tunnel interface-number [ peer ipv4-address ] ] [ dynamic | static ] [ verbose ] |
|
顯示Tunnel接口下的NHRP報文統計信息 |
display nhrp statistics [ interface tunnel interface-number ] |
|
清除mGRE會話 |
reset mgre session [ interface tunnel interface-number [ peer ipv4-address ] ] |
|
清除mGRE會話的統計信息 |
reset mgre statistics [ interface tunnel interface-number [ peer ipv4-address ] ] |
|
清除動態協商的NHRP映射表項 |
reset nhrp dynamic map [ protocol-address [ mask ] ] |
|
清除設備記錄的NHRP映射表項信息 |
reset nhrp history-map |
|
清除Tunnel接口下的NHRP報文統計信息 |
reset nhrp statistics [ interface tunnel inteface-number ] |
· 組網方式為Full-Mesh,NHS負責管理、維護各個節點的信息;
· NHC與NHS之間建立永久的mGRE隧道;
· NHC之間在有數據時動態建立mGRE隧道。
圖1-4 Full-Mesh網絡類型mGRE組網圖
(1) 配置NHS
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHS> system-view
[NHS] interface gigabitethernet 1/0/1
[NHS-GigabitEthernet1/0/1] ip address 80.1.1.161 255.255.255.0
[NHS-GigabitEthernet1/0/1] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHS] interface tunnel0 mode mgre
[NHS-Tunnel0] ip address 192.168.4.161 255.255.255.0
# 配置OSPF接口網絡類型為廣播類型。
[NHS-Tunnel0] ospf network-type broadcast
# 配置接口使能OSPF。
[NHS-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHS-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHS-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHS-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHS-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHS-Tunnel0] nhrp holdtime 3600
[NHS-Tunnel0] quit
# 配置OSPF基本功能。
[NHS] ospf 1
[NHS-ospf-1] area 0.0.0.1
[NHS-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHS-ospf-1-area-0.0.0.1] quit
(2) 配置NHC1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC1> system-view
[NHC1] interface gigabitethernet 1/0/1
[NHC1-GigabitEthernet1/0/1] ip address 80.1.2.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC1] interface gigabitethernet 1/0/2
[NHC1-GigabitEthernet1/0/2] ip address 192.168.1.162 255.255.255.0
[NHC1-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0
# 配置OSPF接口網絡類型為廣播類型。
[NHC1-Tunnel0] ospf network-type broadcast
# 配置接口使能OSPF。
[NHC1-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHC1-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHC1-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHC1-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHC1-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHC1-Tunnel0] nhrp holdtime 3600
# 配置NHRP服務器的私網地址和公網地址映射。
[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC1-Tunnel0] quit
# 配置OSPF基本功能。
[NHC1] ospf 1
[NHC1-ospf-1] area 0.0.0.1
[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] quit
(3) 配置NHC2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC2> system-view
[NHC2] interface gigabitethernet 1/0/1
[NHC2-GigabitEthernet1/0/1] ip address 80.1.3.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC2] interface gigabitethernet 1/0/2
[NHC2-GigabitEthernet1/0/2] ip address 192.168.0.163 255.255.255.0
[NHC2-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0
# 配置OSPF接口網絡類型為廣播類型。
[NHC2-Tunnel0] ospf network-type broadcast
# 配置接口使能OSPF。
[NHC2-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHC2-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHC2-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHC2-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHC2-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHC2-Tunnel0] nhrp holdtime 3600
# 配置NHRP服務器的私網地址映射到公網地址。
[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC2-Tunnel0] quit
# 配置OSPF基本功能。
[NHC2] ospf 1
[NHC2-ospf-1] area 0.0.0.1
[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] quit
# 顯示NHS上的NHRP映射表的詳細信息。
[NHS] display nhrp map verbose
Destination/mask Next hop NBMA address Type Interface
192.168.4.161 192.168.4.161 80.1.1.161 static Tunnel0
# 顯示NHS上的mGRE會話的摘要信息。
[NHS] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 S-C Succeeded 00:09:42
以上顯示信息表示NHS建立了NHS-NHC永久隧道。
# 在NHC1上ping NHC2的私網地址192.168.4.163。
[NHC1] ping 192.168.4.163
Ping 192.168.4.163 (192.168.4.163): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.4.163: icmp_seq=0 ttl=255 time=3.314 ms
56 bytes from 192.168.4.163: icmp_seq=1 ttl=255 time=2.786 ms
56 bytes from 192.168.4.163: icmp_seq=2 ttl=255 time=2.317 ms
56 bytes from 192.168.4.163: icmp_seq=3 ttl=255 time=3.060 ms
56 bytes from 192.168.4.163: icmp_seq=4 ttl=255 time=2.258 ms
--- Ping statistics for 192.168.4.163 ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 2.258/2.747/3.314/0.411 ms
# 顯示NHC1上的NHRP映射表的詳細信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 01:10:25
Expiration time : never expire
Type : static
Flags : up
NBMA address : 80.1.1.161
Interface : Tunnel0
Destination/mask : 192.168.4.163/32
Next hop : 192.168.4.163
Creation time : 00:00:24
Expiration time : 00:01:36
Type : cached
Flags : used up
NBMA address : 80.1.3.163
# 顯示NHC1上的mGRE會話的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 2
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 00:10:28
80.1.3.163 192.168.4.163 C-C Succeeded 00:00:32
以上顯示信息表示NHC1與NHS建立了NHS-NHC永久隧道。NHC1與NHC2建立了NHC-NHC臨時隧道。NHC2上的顯示信息與NHC1類似。
· 組網方式為NHS-NHC,NHS負責管理、維護各個節點的信息,並轉發NHC之間的報文;
· NHC與NHS之間建立永久的mGRE隧道。
圖1-5 NHS-NHC網絡類型mGRE組網圖
(1) 配置NHS
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHS> system-view
[NHS] interface gigabitethernet 1/0/1
[NHS-GigabitEthernet1/0/1] ip address 80.1.1.161 255.255.255.0
[NHS-GigabitEthernet1/0/1] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHS] interface tunnel0 mode mgre
[NHS-Tunnel0] ip address 192.168.4.161 255.255.255.0
# 配置OSPF接口網絡類型為廣播類型。
[NHS-Tunnel0] ospf network-type p2mp
# 配置接口使能OSPF。
[NHS-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHS-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHS-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHS-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHS-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHS-Tunnel0] nhrp holdtime 3600
[NHS-Tunnel0] quit
# 配置OSPF基本功能。
[NHS] ospf 1
[NHS-ospf-1] area 0.0.0.1
[NHS-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHS-ospf-1-area-0.0.0.1] quit
(2) 配置NHC1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC1> system-view
[NHC1] interface gigabitethernet 1/0/1
[NHC1-GigabitEthernet1/0/1] ip address 80.1.2.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC1] interface gigabitethernet 1/0/2
[NHC1-GigabitEthernet1/0/2] ip address 192.168.1.162 255.255.255.0
[NHC1-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0
# 配置OSPF接口網絡類型為點到多點類型。
[NHC1-Tunnel0] ospf network-type p2mp
# 配置接口使能OSPF。
[NHC1-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHC1-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHC1-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHC1-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHC1-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHC1-Tunnel0] nhrp holdtime 3600
# 配置將NHRP服務器的私網地址映射到公網地址。
[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC1-Tunnel0] quit
# 配置OSPF基本功能。
[NHC1] ospf 1
[NHC1-ospf-1] area 0.0.0.1
[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] quit
(3) 配置NHC2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC2> system-view
[NHC2] interface gigabitethernet 1/0/1
[NHC2-GigabitEthernet1/0/1] ip address 80.1.3.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC2] interface gigabitethernet 1/0/2
[NHC2-GigabitEthernet1/0/2] ip address 192.168.0.163 255.255.255.0
[NHC2-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0
# 配置OSPF接口網絡類型為點到多點類型。
[NHC2-Tunnel0] ospf network-type p2mp
# 配置接口使能OSPF。
[NHC2-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHC2-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHC2-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHC2-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHC2-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHC2-Tunnel0] nhrp holdtime 3600
# 配置將NHRP服務器的私網地址映射到公網地址。
[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC2-Tunnel0] quit
# 配置OSPF基本功能。
[NHC2] ospf 1
[NHC2-ospf-1] area 0.0.0.1
[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] quit
# 顯示NHS上的NHRP映射表的詳細信息。
[NHS] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.162/24
Next hop : 192.168.4.162
Creation time : 00:14:12
Expiration time : 00:01:28
Type : static
Flags : up
NBMA address : 80.1.2.162
Interface : Tunnel0
Destination/mask : 192.168.4.163/24
Next hop : 192.168.4.163
Creation time : 00:13:59
Expiration time : 00:01:06
Type : static
Flags : up
NBMA address : 80.1.2.163
# 顯示NHS上的mGRE會話的摘要信息。
[NHS] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.2.162 192.168.4.162 S-C Succeeded 00:09:42
80.1.3.163 192.168.4.163 S-C Succeeded 00:09:42
以上顯示信息表示NHS建立了NHS-NHC永久隧道。
# 顯示NHC1上的NHRP映射表的詳細信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 07:50:32
Expiration time : never expire
Type : static
Flags : up
NBMA address : 80.1.1.161
# 顯示NHC1上的MGRE會話的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 07:49:14
以上顯示信息表示NHC1與NHS建立了NHS-NHC永久隧道。NHC2上的顯示信息與NHC1類似。
# 在NHC1上ping Site1和Site2,可以ping通。
[NHC1] ping -a 192.168.1.162 192.168.0.163
Ping 192.168.0.163 (192.168.0.163) from 192.168.1.162: 56 data bytes, press CTRL_C to bre
ak
56 bytes from 192.168.0.163: icmp_seq=0 ttl=254 time=10.000 ms
56 bytes from 192.168.0.163: icmp_seq=1 ttl=254 time=17.000 ms
56 bytes from 192.168.0.163: icmp_seq=2 ttl=254 time=14.000 ms
56 bytes from 192.168.0.163: icmp_seq=3 ttl=254 time=7.000 ms
56 bytes from 192.168.0.163: icmp_seq=4 ttl=254 time=7.000 ms
--- Ping statistics for 192.168.0.163 ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 7.000/11.000/17.000/3.950 ms
· 組網方式為Full-Mesh,NHS負責管理、維護各個節點的信息;
· NHC與NHS之間建立永久的mGRE隧道;
· NHC之間在有數據時動態建立mGRE隧道;
· NHS-NHC隧道及NHC-NHC隧道受到IPsec保護。
圖1-6 Full-Mesh網絡類型mGRE受到IPsec保護組網圖
(1) 配置NHS
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHS> system-view
[NHS] interface gigabitethernet 1/0/1
[NHS-GigabitEthernet1/0/1] ip address 80.1.1.161 255.255.255.0
[NHS-GigabitEthernet1/0/1] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHS] interface tunnel0 mode mgre
[NHS-Tunnel0] ip address 192.168.4.161 255.255.255.0
# 配置OSPF接口網絡類型為廣播類型。
[NHS-Tunnel0] ospf network-type broadcast
# 配置接口使能OSPF。
[NHS-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHS-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHS-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHS-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHS-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHS-Tunnel0] nhrp holdtime 3600
[NHS-Tunnel0] quit
# 配置OSPF基本功能。
[NHS] ospf 1
[NHS-ospf-1] area 0.0.0.1
[NHS-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHS-ospf-1-area-0.0.0.1] quit
# 創建IPsec安全提議,名稱為aa,加密算法采用56比特的DES,認證算法采用HMAC-SHA1。
[NHS] ipsec transform-set aa
[NHS-ipsec-transform-set-aa] esp encryption-algorithm des-cbc
[NHS-ipsec-transform-set-aa] esp authentication-algorithm sha1
[NHS-ipsec-transform-set-aa] quit
# 創建IKE keychain,名稱為1。
[NHS] ike keychain 1
# 配置與地址為80.1.2.162的對端使用的預共享密鑰為明文的12345678。
[NHS-ike-keychain-1] pre-shared-key address 80.1.2.162 24 key simple 12345678
# 配置與地址為80.1.3.163的對端使用的預共享密鑰為明文的12345678。
[NHS-ike-keychain-1] pre-shared-key address 80.1.3.163 24 key simple 12345678
[NHS-ike-keychain-1] quit
# 創建IKE profile,名稱為abc。
[NHS] ike profile abc
# 指定引用的IKE keychain為1。
[NHS-ike-profile-abc] keychain 1
[NHS-ike-profile-abc] quit
# 創建IKE協商方式的IPsec安全框架,名稱為abc。
[NHS] ipsec profile abc isakmp
# 指定引用的安全提議為aa。
[NHS-ipsec-profile-isakmp-abc] transform-set aa
# 指定引用的IKE profile為abc。
[NHS-ipsec-profile-isakmp-abc] ike-profile abc
[NHS-ipsec-profile-isakmp-abc] quit
# 在mGRE隧道接口上應用IPsec安全框架abc。
[NHS] interface tunnel0 mode mgre
[NHS-Tunnel0] tunnel protection ipsec profile abc
[NHS-Tunnel0] quit
(2) 配置NHC1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC1> system-view
[NHC1] interface gigabitethernet 1/0/1
[NHC1-GigabitEthernet1/0/1] ip address 80.1.2.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC1] interface gigabitethernet 1/0/2
[NHC1-GigabitEthernet1/0/2] ip address 192.168.1.162 255.255.255.0
[NHC1-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0
# 配置OSPF接口網絡類型為廣播類型。
[NHC1-Tunnel0] ospf network-type broadcast
# 配置OSPF接口的DR優先級為0。
[NHC1-Tunnel0] ospf dr-priority 0
# 配置接口使能OSPF。
[NHC1-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHC1-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHC1-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHC1-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHC1-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHC1-Tunnel0] nhrp holdtime 3600
# 配置將NHRP服務器的私網地址映射到公網地址。
[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC1-Tunnel0] quit
# 配置OSPF基本功能。
[NHC1] ospf 1
[NHC1-ospf-1] area 0.0.0.1
[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] quit
# 創建IPsec安全提議,名稱為aa,加密算法采用56比特的DES,認證算法采用HMAC-SHA1。
[NHC1] ipsec transform-set aa
[NHC1-ipsec-transform-set-aa] esp encryption-algorithm des-cbc
[NHC1-ipsec-transform-set-aa] esp authentication-algorithm sha1
[NHC1-ipsec-transform-set-aa] quit
# 創建IKE keychain,名稱為1。
[NHC1] ike keychain 1
# 配置與地址為80.1.1.161的對端使用的預共享密鑰為明文的12345678。
[NHC1-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678
# 配置與地址為80.1.3.163的對端使用的預共享密鑰為明文的12345678。
[NHC1-ike-keychain-1] pre-shared-key address 80.1.3.163 24 key simple 12345678
[NHC1-ike-keychain-1] quit
# 創建IKE profile,名稱為abc。
[NHC1] ike profile abc
# 指定引用的IKE keychain為1。
[NHC1-ike-profile-abc] keychain 1
[NHC1-ike-profile-abc] quit
# 創建IKE協商方式的IPsec安全框架,名稱為abc。
[NHC1] ipsec profile abc isakmp
# 指定引用的安全提議為aa。
[NHC1-ipsec-profile-isakmp-abc] transform-set aa
# 指定引用的IKE profile為abc。
[NHC1-ipsec-profile-isakmp-abc] ike-profile abc
[NHC1-ipsec-profile-isakmp-abc] quit
# 在mGRE隧道接口上應用IPsec安全框架abc。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] tunnel protection ipsec profile abc
[NHC1-Tunnel0] quit
(3) 配置NHC2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC2> system-view
[NHC2] interface gigabitethernet 1/0/1
[NHC2-GigabitEthernet1/0/1] ip address 80.1.3.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC2] interface gigabitethernet 1/0/2
[NHC2-GigabitEthernet1/0/2] ip address 192.168.0.163 255.255.255.0
[NHC2-GigabitEthernet1/0/2] quit
# 配置隧道接口Tunnel0的IP地址。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0
# 配置OSPF接口網絡類型為廣播類型。
[NHC2-Tunnel0] ospf network-type broadcast
# 配置OSPF接口的DR優先級為0。
[NHC2-Tunnel0] ospf dr-priority 0
# 配置接口使能OSPF。
[NHC2-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHC2-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHC2-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHC2-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHC2-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHC2-Tunnel0] nhrp holdtime 3600
# 配置將NHRP服務器的私網地址映射到公網地址。
[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC2-Tunnel0] quit
# 配置OSPF基本功能。
[NHC2] ospf 1
[NHC2-ospf-1] area 0.0.0.1
[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] quit
# 創建IPsec安全提議,名稱為aa,加密算法采用56比特的DES,認證算法采用HMAC-SHA1。
[NHC2] ipsec transform-set aa
[NHC2-ipsec-transform-set-aa] esp encryption-algorithm des-cbc
[NHC2-ipsec-transform-set-aa] esp authentication-algorithm sha1
[NHC2-ipsec-transform-set-aa] quit
# 創建IKE keychain,名稱為1。
[NHC2] ike keychain 1
# 配置與地址為80.1.1.161的對端使用的預共享密鑰為明文的12345678。
[NHC2-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678
# 配置與地址為80.1.2.162的對端使用的預共享密鑰為明文的12345678。
[NHC2-ike-keychain-1] pre-shared-key address 80.1.2.162 24 key simple 12345678
[NHC2-ike-keychain-1] quit
# 創建IKE profile,名稱為abc。
[NHC2] ike profile abc
# 指定引用的IKE keychain為1。
[NHC2-ike-profile-abc] keychain 1
[NHC2-ike-profile-abc] quit
# 創建IKE協商方式的IPsec安全框架,名稱為abc。
[NHC2] ipsec profile abc isakmp
# 指定引用的安全提議為aa。
[NHC2-ipsec-profile-isakmp-abc] transform-set aa
# 指定引用的IKE profile為abc。
[NHC2-ipsec-profile-isakmp-abc] ike-profile abc
[NHC2-ipsec-profile-isakmp-abc] quit
# 在mGRE隧道接口上應用IPsec安全框架abc。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] tunnel protection ipsec profile abc
[NHC2-Tunnel0] quit
# 顯示NHS上的NHRP映射表的詳細信息。
[NHS] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.162/24
Next hop : 192.168.4.162
Creation time : 00:14:12
Expiration time : 00:01:28
Type : static
Flags : up ipsec
NBMA address : 80.1.2.162
Interface : Tunnel0
Destination/mask : 192.168.4.163/24
Next hop : 192.168.4.163
Creation time : 00:13:59
Expiration time : 00:01:06
Type : static
Flags : up ipsec
NBMA address : 80.1.2.163
# 顯示NHS上的mGRE會話的摘要信息。
[NHS] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.2.162 192.168.4.162 S-C Succeeded 00:09:42
80.1.3.163 192.168.4.163 S-C Succeeded 00:09:42
以上顯示信息表示NHS建立了NHS-NHC永久隧道。
# 顯示NHC1上的NHRP映射表的詳細信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 00:30:51
Expiration time : never expire
Type : static
Flags : up ipsec
NBMA address : 80.1.1.161
# 顯示NHC1上的mGRE會話的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 00:09:42
以上顯示信息表示NHC1與NHS建立了NHS-NHC永久隧道。NHC2上的顯示信息與NHC1類似。
# 在NHC1上ping NHC2的私網地址192.168.4.163。
[NHC1] ping 192.168.4.163
Ping 192.168.4.163 (192.168.4.163): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.4.163: icmp_seq=0 ttl=255 time=3.314 ms
56 bytes from 192.168.4.163: icmp_seq=1 ttl=255 time=2.786 ms
56 bytes from 192.168.4.163: icmp_seq=2 ttl=255 time=2.317 ms
56 bytes from 192.168.4.163: icmp_seq=3 ttl=255 time=3.060 ms
56 bytes from 192.168.4.163: icmp_seq=4 ttl=255 time=2.258 ms
--- Ping statistics for 192.168.4.163 ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 2.258/2.747/3.314/0.411 ms
# 顯示NHC1上的NHRP映射表的詳細信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 01:10:25
Expiration time : never expire
Type : static
Flags : up ipsec
NBMA address : 80.1.1.161
Interface : Tunnel0
Destination/mask : 192.168.4.163/32
Next hop : 192.168.4.163
Creation time : 00:00:24
Expiration time : 00:01:36
Type : cached
Flags : used up ipsec
NBMA address : 80.1.3.163
# 顯示NHC1上的mGRE會話的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 2
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 00:10:28
80.1.3.163 192.168.4.163 C-C Succeeded 00:00:32
以上顯示信息表示NHC1與NHS建立了NHS-NHC永久隧道,並受到了IPsec保護。NHC1與NHC2建立了NHC-NHC臨時隧道,並受到了IPsec保護。NHC2上的顯示信息與NHC1類似。
# 在NHC1上可通過以下顯示信息查看到協商生成的IKE SA。NHC2上的顯示信息與NHC1類似。
[NHC1] display ike sa
Connection-ID Remote Flag DOI
------------------------------------------------------------------
240 80.1.1.161 RD IPsec
241 80.1.3.163 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING
# 在NHC1上可通過以下顯示信息查看到協商生成的IPsec SA。NHC2上的顯示信息與NHC1類似。
[NHC1] display ipsec sa
-------------------------------
Interface: Tunnel0
-------------------------------
-----------------------------
IPsec profile: abc
Mode: ISAKMP
-----------------------------
Tunnel id: 4
Encapsulation mode: tunnel
Perfect forward secrecy:
Path MTU: 1398
Tunnel:
local address: 80.1.2.162
remote address: 80.1.3.163
Flow:
sour addr: 80.1.2.162/255.255.255.255 port: 0 protocol: gre
dest addr: 80.1.3.163/255.255.255.255 port: 0 protocol: gre
[Inbound ESP SAs]
SPI: 1566691874 (0x5d61d222)
Connection ID: 21474836488
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843200/3584
Max received sequence-number: 0
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 1199855674 (0x4784583a)
Connection ID: 12884901895
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3584
Max sent sequence-number: 4
UDP encapsulation used for NAT traversal: N
Status: Active
-----------------------------
IPsec profile: abc
Mode: ISAKMP
-----------------------------
Tunnel id: 5
Encapsulation mode: tunnel
Perfect forward secrecy:
Path MTU: 1398
Tunnel:
local address: 80.1.2.162
remote address: 80.1.1.161
Flow:
sour addr: 80.1.2.162/255.255.255.255 port: 0 protocol: gre
dest addr: 80.1.1.161/255.255.255.255 port: 0 protocol: gre
[Inbound ESP SAs]
SPI: 989656188 (0x3afcf47c)
Connection ID: 30064771081
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843198/3560
Max received sequence-number: 12
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 1408141582 (0x53ee890e)
Connection ID: 38654705674
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3560
Max sent sequence-number: 8
UDP encapsulation used for NAT traversal: N
Status: Active
· 組網方式為NHS-NHC,NHS負責管理、維護各個節點的信息;
· NHC與NHS之間建立永久的mGRE隧道。
· NHC之間報文都經過NHS轉發。
· NHS-NHC隧道受到IPsec保護。
圖1-7 NHS-NHC網絡類型mGRE受到IPsec保護組網圖
(1) 配置NHS
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHS> system-view
[NHS] interface gigabitethernet 1/0/1
[NHS-GigabitEthernet1/0/1] ip address 80.1.1.161 255.255.255.0
[NHS-GigabitEthernet1/0/1] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHS] interface tunnel0 mode mgre
[NHS-Tunnel0] ip address 192.168.4.161 255.255.255.0
# 配置OSPF接口網絡類型為廣播類型。
[NHS-Tunnel0] ospf network-type p2mp
# 配置接口使能OSPF。
[NHS-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHS-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHS-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHS-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHS-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHS-Tunnel0] nhrp holdtime 3600
[NHS-Tunnel0] quit
# 配置OSPF基本功能。
[NHS] ospf 1
[NHS-ospf-1] area 0.0.0.1
[NHS-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHS-ospf-1-area-0.0.0.1] quit
# 創建IPsec安全提議,名稱為aa,加密算法采用56比特的DES,認證算法采用HMAC-SHA1。
[NHS] ipsec transform-set aa
[NHS-ipsec-transform-set-aa] esp encryption-algorithm des-cbc
[NHS-ipsec-transform-set-aa] esp authentication-algorithm sha1
[NHS-ipsec-transform-set-aa] quit
# 創建IKE keychain,名稱為1。
[NHS] ike keychain 1
# 配置與地址為80.1.2.162的對端使用的預共享密鑰為明文的12345678。
[NHS-ike-keychain-1] pre-shared-key address 80.1.2.162 24 key simple 12345678
# 配置與地址為80.1.3.163的對端使用的預共享密鑰為明文的12345678。
[NHS-ike-keychain-1] pre-shared-key address 80.1.3.163 24 key simple 12345678
[NHS-ike-keychain-1] quit
# 創建IKE profile,名稱為abc。
[NHS] ike profile abc
# 指定引用的IKE keychain為1。
[NHS-ike-profile-abc] keychain 1
[NHS-ike-profile-abc] quit
# 創建IKE協商方式的IPsec安全框架,名稱為abc。
[NHS] ipsec profile abc isakmp
# 指定引用的安全提議為aa。
[NHS-ipsec-profile-isakmp-abc] transform-set aa
# 指定引用的IKE profile為abc。
[NHS-ipsec-profile-isakmp-abc] ike-profile abc
[NHS-ipsec-profile-isakmp-abc] quit
# 在mGRE隧道接口上應用IPsec安全框架abc。
[NHS] interface tunnel0 mode mgre
[NHS-Tunnel0] tunnel protection ipsec profile abc
[NHS-Tunnel0] quit
(2) 配置NHC1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC1> system-view
[NHC1] interface gigabitethernet 1/0/1
[NHC1-GigabitEthernet1/0/1] ip address 80.1.2.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC1] interface gigabitethernet 1/0/2
[NHC1-GigabitEthernet1/0/2] ip address 192.168.1.162 255.255.255.0
[NHC1-GigabitEthernet1/0/2] quit
# 配置隧道接口Tunnel0的IP地址。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0
# 配置OSPF接口網絡類型為點到多點類型。
[NHC1-Tunnel0] ospf network-type p2mp
# 配置接口使能OSPF。
[NHC1-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHC1-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHC1-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHC1-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHC1-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHC1-Tunnel0] nhrp holdtime 3600
# 配置將NHRP服務器的私網地址映射到公網地址。
[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC1-Tunnel0] quit
# 配置OSPF基本功能。
[NHC1] ospf 1
[NHC1-ospf-1] area 0.0.0.1
[NHC1-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] network 192.168.1.0 0.0.0.255
[NHC1-ospf-1-area-0.0.0.1] quit
# 創建IPsec安全提議,名稱為aa,加密算法采用56比特的DES,認證算法采用HMAC-SHA1。
[NHC1] ipsec transform-set aa
[NHC1-ipsec-transform-set-aa] esp encryption-algorithm des-cbc
[NHC1-ipsec-transform-set-aa] esp authentication-algorithm sha1
[NHC1-ipsec-transform-set-aa] quit
# 創建IKE keychain,名稱為1。
[NHC1] ike keychain 1
# 配置與地址為80.1.1.161的對端使用的預共享密鑰為明文的12345678。
[NHC1-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678
# 配置與地址為80.1.3.163的對端使用的預共享密鑰為明文的12345678。
[NHC1-ike-keychain-1] pre-shared-key address 80.1.3.163 24 key simple 12345678
[NHC1-ike-keychain-1] quit
# 創建IKE profile,名稱為abc。
[NHC1] ike profile abc
# 指定引用的IKE keychain為1。
[NHC1-ike-profile-abc] keychain 1
[NHC1-ike-profile-abc] quit
# 創建IKE協商方式的IPsec安全框架,名稱為abc。
[NHC1] ipsec profile abc isakmp
# 指定引用的IPsec安全提議為aa。
[NHC1-ipsec-profile-isakmp-abc] transform-set aa
# 指定引用的IKE profile為abc。
[NHC1-ipsec-profile-isakmp-abc] ike-profile abc
[NHC1-ipsec-profile-isakmp-abc] quit
# 在mGRE隧道接口上應用IPsec安全框架abc。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] tunnel protection ipsec profile abc
[NHC1-Tunnel0] quit
(3) 配置NHC2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC2> system-view
[NHC2] interface gigabitethernet 1/0/1
[NHC2-GigabitEthernet1/0/1] ip address 80.1.3.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC2] interface gigabitethernet 1/0/2
[NHC2-GigabitEthernet1/0/2] ip address 192.168.0.163 255.255.255.0
[NHC2-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0
# 配置OSPF接口網絡類型為點到多點類型。
[NHC2-Tunnel0] ospf network-type p2mp
# 配置接口使能OSPF。
[NHC2-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHC2-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHC2-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHC2-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHC2-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為3600秒。
[NHC2-Tunnel0] nhrp holdtime 3600
# 配置將NHRP服務器的私網地址映射到公網地址。
[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 80.1.1.161
[NHC2-Tunnel0] quit
# 配置OSPF基本功能。
[NHC2] ospf 1
[NHC2-ospf-1] area 0.0.0.1
[NHC2-ospf-1-area-0.0.0.1] network 192.168.4.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] network 192.168.0.0 0.0.0.255
[NHC2-ospf-1-area-0.0.0.1] quit
# 創建IPsec安全提議,名稱為aa,加密算法采用56比特的DES,認證算法采用HMAC-SHA1。
[NHC2] ipsec transform-set aa
[NHC2-ipsec-transform-set-aa] esp encryption-algorithm des-cbc
[NHC2-ipsec-transform-set-aa] esp authentication-algorithm sha1
[NHC2-ipsec-transform-set-aa] quit
# 創建IKE keychain,名稱為1。
[NHC2] ike keychain 1
# 配置與地址為80.1.1.161的對端使用的預共享密鑰為明文的12345678。
[NHC2-ike-keychain-1] pre-shared-key address 80.1.1.161 24 key simple 12345678
# 配置與地址為80.1.2.162的對端使用的預共享密鑰為明文的12345678。
[NHC2-ike-keychain-1] pre-shared-key address 80.1.2.162 24 key simple 12345678
[NHC2-ike-keychain-1] quit
# 創建IKE profile,名稱為abc。
[NHC2] ike profile abc
# 指定引用的IKE keychain為1。
[NHC2-ike-profile-abc] keychain 1
[NHC2-ike-profile-abc] quit
# 創建IKE協商方式的IPsec安全框架,名稱為abc。
[NHC2] ipsec profile abc isakmp
# 指定引用的IPsec安全提議為aa。
[NHC2-ipsec-profile-isakmp-abc] transform-set aa
# 指定引用的IKE profile為abc。
[NHC2-ipsec-profile-isakmp-abc] ike-profile abc
[NHC2-ipsec-profile-isakmp-abc] quit
# 在mGRE隧道接口上應用IPsec安全框架abc。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] tunnel protection ipsec profile abc
[NHC2-Tunnel0] quit
# 顯示NHS上的NHRP映射表的詳細信息。
[NHS] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.162/24
Next hop : 192.168.4.162
Creation time : 00:14:12
Expiration time : 00:01:28
Type : static
Flags : up
NBMA address : 80.1.2.162
Interface : Tunnel0
Destination/mask : 192.168.4.163/24
Next hop : 192.168.4.163
Creation time : 00:13:59
Expiration time : 00:01:06
Type : static
Flags : up
NBMA address : 80.1.2.163
# 顯示NHS上的mGRE會話的摘要信息。
[NHS] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.2.162 192.168.4.162 S-C Succeeded 00:09:42
80.1.3.163 192.168.4.163 S-C Succeeded 00:09:42
以上顯示信息表示NHS建立了NHS-NHC永久隧道。
# 顯示NHC1上的NHRP映射表的詳細信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 08:17:14
Expiration time : never expire
Type : static
Flags : up ipsec
NBMA address : 80.1.1.161
# 顯示NHC1上的MGRE會話的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.1.161 192.168.4.161 C-S Succeeded 00:00:18
以上顯示信息表示NHC1與NHS建立了NHS-NHC永久隧道。NHC2上的顯示信息與NHC1類似。
# 在NHC1上對Site1和Site2的連通性進行測試,可以ping通。
[NHC1] ping -a 192.168.1.162 192.168.0.163
Ping 192.168.0.163 (192.168.0.163) from 192.168.1.162: 56 data bytes, press CTRL_C to bre
ak
56 bytes from 192.168.0.163: icmp_seq=0 ttl=254 time=10.000 ms
56 bytes from 192.168.0.163: icmp_seq=1 ttl=254 time=17.000 ms
56 bytes from 192.168.0.163: icmp_seq=2 ttl=254 time=14.000 ms
56 bytes from 192.168.0.163: icmp_seq=3 ttl=254 time=7.000 ms
56 bytes from 192.168.0.163: icmp_seq=4 ttl=254 time=7.000 ms
--- Ping statistics for 192.168.0.163 ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 7.000/11.000/17.000/3.950 ms
# 在NHC1上可通過以下顯示查看到協商生成的IKE SA。NHC2上的顯示信息與NHC1類似。
[NHC1] display ike sa
Connection-ID Remote Flag DOI
------------------------------------------------------------------
3 80.1.1.161 RD IPsec
Flags:
RD--READY RL--REPLACED FD-FADING
# 在NHC1上可通過以下顯示查看到協商生成的IPsec SA。NHC2上的顯示信息與NHC1類似。
[NHC1] display ipsec sa
-------------------------------
Interface: Tunnel0
-------------------------------
-----------------------------
IPsec profile: abc
Mode: ISAKMP
-----------------------------
Tunnel id: 5
Encapsulation mode: tunnel
Perfect forward secrecy:
Path MTU: 1398
Tunnel:
local address: 80.1.2.162
remote address: 80.1.1.161
Flow:
sour addr: 80.1.2.162/255.255.255.255 port: 0 protocol: gre
dest addr: 80.1.1.161/255.255.255.255 port: 0 protocol: gre
[Inbound ESP SAs]
SPI: 2791687835 (0xa665c69b)
Connection ID: 12884901898
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3520
Max received sequence-number: 9
Anti-replay check enable: Y
Anti-replay window size: 64
UDP encapsulation used for NAT traversal: N
Status: Active
[Outbound ESP SAs]
SPI: 1369008262 (0x51996886)
Connection ID: 12884901897
Transform set: ESP-ENCRYPT-DES-CBC ESP-AUTH-SHA1
SA duration (kilobytes/sec): 1843200/3600
SA remaining duration (kilobytes/sec): 1843199/3520
Max sent sequence-number: 10
UDP encapsulation used for NAT traversal: N
Status: Active
· 在Full-Mesh的組網方式下,NHS負責管理、維護各個節點的信息。
· NHC與NHS之間建立永久的mGRE隧道。
· NHC之間在有數據時動態建立mGRE隧道。
· NHS和NHC均在NAT網關之後。
圖1-8 Full-Mesh穿越NAT類型mGRE組網圖
|
設備 |
接口 |
IP地址 |
設備 |
接口 |
IP地址 |
|
|
NHC 1 |
GE1/0/1 |
80.1.2.162/24 |
NAT 1 |
GE1/0/1 |
80.1.1.4/24 |
|
|
|
GE1/0/2 |
192.168.1.162/24 |
|
GE1/0/2 |
40.1.1.4/24 |
|
|
|
Tunnel0 |
192.168.4.162/24 |
NAT 2 |
GE1/0/1 |
40.1.1.2/24 |
|
|
NHC 2 |
GE1/0/1 |
80.1.3.163/24 |
|
GE1/0/2 |
80.1.2.2/24 |
|
|
|
GE1/0/2 |
192.168.0.163/24 |
NAT 3 |
GE1/0/1 |
40.1.1.3/24 |
|
|
|
Tunnel0 |
192.168.4.163/24 |
|
GE1/0/2 |
80.1.3.3/24 |
|
|
NHS |
GE1/0/1 |
80.1.1.161/24 |
- |
- |
- |
|
|
|
Tunnel0 |
192.168.4.161/24 |
- |
|
-- |
|
NAT設備上通過session aging-time state命令配置的RAWIP-OPEN狀態的會話老化時間必須大於NHC設備Tunnel口上通過命令nhrp holdtime配置的NHRP映射表項保活時間。
(1) 配置NHS
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHS> system-view
[NHS] interface gigabitethernet 1/0/1
[NHS-GigabitEthernet1/0/1] ip address 80.1.1.161 255.255.255.0
[NHS-GigabitEthernet1/0/1] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHS] interface tunnel0 mode mgre
[NHS-Tunnel0] ip address 192.168.4.161 255.255.255.0
# 配置OSPF接口網絡類型為廣播類型。
[NHS-Tunnel0] ospf network-type broadcast
# 配置接口使能OSPF。
[NHS-Tunnel0] ospf 1 area 0.0.0.1
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHS-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHS-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHS-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHS-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為240秒。
[NHS-Tunnel0] nhrp holdtime 240
[NHS-Tunnel0] quit
# 配置靜態路由。
[NHS] ip route-static 40.1.1.0 24 80.1.1.0
[NHS] ip route-static 192.168.0.0 24 192.168.4.163
[NHS] ip route-static 192.168.1.0 24 192.168.4.162
(2) 配置NHC1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC1> system-view
[NHC1] interface gigabitethernet 1/0/1
[NHC1-GigabitEthernet1/0/1] ip address 80.1.2.162 255.255.255.0
[NHC1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC1] interface gigabitethernet 1/0/2
[NHC1-GigabitEthernet1/0/2] ip address 192.168.1.162 255.255.255.0
[NHC1-GigabitEthernet1/0/2] quit
# 配置隧道接口Tunnel0的IP地址。
[NHC1] interface tunnel0 mode mgre
[NHC1-Tunnel0] ip address 192.168.4.162 255.255.255.0
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHC1-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHC1-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHC1-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHC1-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為240秒。
[NHC1-Tunnel0] nhrp holdtime 240
# 配置將NHRP服務器的私網地址映射到公網地址。
[NHC1-Tunnel0] nhrp nhs 192.168.4.161 nbma 40.1.1.9
[NHC1-Tunnel0] quit
# 配置靜態路由。
[NHC1] ip route-static 40.1.1.0 24 80.1.2.2
[NHC1] ip route-static 192.168.0.0 24 192.168.4.163
(3) 配置NHC2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NHC2> system-view
[NHC2] interface gigabitethernet 1/0/1
[NHC2-GigabitEthernet1/0/1] ip address 80.1.3.163 255.255.255.0
[NHC2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NHC2] interface gigabitethernet 1/0/2
[NHC2-GigabitEthernet1/0/2] ip address 192.168.0.163 255.255.255.0
[NHC2-GigabitEthernet1/0/2] quit
# 配置mGRE隧道接口Tunnel0的IP地址。
[NHC2] interface tunnel0 mode mgre
[NHC2-Tunnel0] ip address 192.168.4.163 255.255.255.0
# 配置mGRE隧道的源接口為GigabitEthernet1/0/1。
[NHC2-Tunnel0] source gigabitethernet 1/0/1
# 配置GRE key為100000。
[NHC2-Tunnel0] gre key 100000
# 配置mGRE隧道的NHRP網絡標識為9。
[NHC2-Tunnel0] nhrp network-id 9
# 配置NHRP報文認證密鑰為明文12345678。
[NHC2-Tunnel0] nhrp authentication simple 12345678
# 配置NHRP映射表項保活時間為240秒。
[NHC2-Tunnel0] nhrp holdtime 240
# 配置將NHRP服務器的私網地址映射到公網地址。
[NHC2-Tunnel0] nhrp nhs 192.168.4.161 nbma 40.1.1.9
[NHC2-Tunnel0] quit
# 配置靜態路由。
[NHC2] ip route-static 40.1.1.0 24 80.1.3.3
[NHC2] ip route-static 192.168.1.0 24 192.168.4.162
(4) 配置NAT1
# 配置接口GigabitEthernet1/0/1的IP地址。
<NAT1> system-view
[NAT1] interface gigabitethernet 1/0/1
[NAT1-GigabitEthernet1/0/1] ip address 80.1.1.4 255.255.255.0
[NAT1-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NAT1] interface gigabitethernet 1/0/2
[NAT1-GigabitEthernet1/0/2] ip address 40.1.1.4 255.255.255.0
[NAT1-GigabitEthernet1/0/2] quit
# 開啟接口上的NAT靜態地址轉換功能。
[NAT1] interface gigabitethernet 1/0/2
[NAT1-GigabitEthernet1/0/2] nat static enable
[NAT1-GigabitEthernet1/0/2] quit
# 配置內網IP地址80.1.1.161到外網地址40.1.1.9之間的一對一靜態地址轉換映射。
[NAT1] nat static outbound 80.1.1.161 40.1.1.9
(5) 配置NAT2
# 配置接口GigabitEthernet1/0/1的IP地址。
<NAT2> system-view
[NAT2] interface gigabitethernet 1/0/1
[NAT2-GigabitEthernet1/0/1] ip address 40.1.1.2 255.255.255.0
[NAT2-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NAT2] interface gigabitethernet 1/0/2
[NAT2-GigabitEthernet1/0/2] ip address 80.1.2.2 255.255.255.0
[NAT2-GigabitEthernet1/0/2] quit
# 配置地址組0,包含兩個外網地址40.1.1.5和40.1.1.6。
[NAT2] nat address-group 0
[NAT2-nat-address-group-0] address 40.1.1.5 40.1.1.6
[NAT2-nat-address-group-0] quit
# 在接口GigabitEthernet1/0/1上配置出方向動態地址轉換,允許使用地址組0中的地址對公網地址進行轉換,並在轉換過程中不使用端口信息,以及允許反向地址轉換。
[NAT2] interface gigabitethernet 1/0/1
[NAT2-GigabitEthernet1/0/1] nat outbound address-group 0 no-pat reversible
[NAT2-GigabitEthernet1/0/1] quit
(6) 配置NAT3
# 配置接口GigabitEthernet1/0/1的IP地址。
<NAT3> system-view
[NAT3] interface gigabitethernet 1/0/1
[NAT3-GigabitEthernet1/0/1] ip address 40.1.1.3 255.255.255.0
[NAT3-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2的IP地址。
[NAT3] interface gigabitethernet 1/0/2
[NAT3-GigabitEthernet1/0/2] ip address 80.1.3.3 255.255.255.0
[NAT3-GigabitEthernet1/0/2] quit
# 配置地址組0,包含兩個外網地址40.1.1.7和40.1.1.8。
[NAT3] nat address-group 0
[NAT3-nat-address-group-0] address 40.1.1.7 40.1.1.8
[NAT3-nat-address-group-0] quit
# 在接口GigabitEthernet1/0/1上配置出方向動態地址轉換,允許使用地址組0中的地址對公網地址進行轉換,並在轉換過程中不使用端口信息,以及允許反向地址轉換。
[NAT3] interface gigabitethernet 1/0/1
[NAT3-GigabitEthernet1/0/1] nat outbound address-group 0 no-pat reversible
[NAT3-GigabitEthernet1/0/1] quit
# 顯示NHS上的NHRP映射表的詳細信息。
[NHS] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.162/24
Next hop : 192.168.4.162
Creation time : 00:14:12
Expiration time : 00:01:28
Type : static
Flags : up
NBMA address : 80.1.2.162
Interface : Tunnel0
Destination/mask : 192.168.4.163/24
Next hop : 192.168.4.163
Creation time : 00:13:59
Expiration time : 00:01:06
Type : static
Flags : up
NBMA address : 80.1.2.163
# 顯示NHS上的mGRE會話的摘要信息。
[NHS] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
80.1.2.162 192.168.4.162 S-C Succeeded 00:09:42
80.1.3.163 192.168.4.163 S-C Succeeded 00:09:42
以上顯示信息表示NHS建立了NHS-NHC永久隧道。
# 顯示NHC1上的NHRP映射表的詳細信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 01:12:50
Expiration time : never expire
Type : static
Flags : up
NBMA address : 40.1.1.9
# 顯示NHC1上的MGRE會話的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 1
Peer NBMA address Peer protocol address Type State State duration
40.1.1.9 192.168.4.161 C-S Succeeded 01:12:43
以上顯示信息表示NHC1與NHS建立了NHS-NHC永久隧道。NHC2上的顯示信息與NHC1類似。
# 在NHC1上ping NHC2的私網地址192.168.4.163。
[NHC1] ping 192.168.4.163
Ping 192.168.4.163 (192.168.4.163): 56 data bytes, press CTRL_C to break
56 bytes from 192.168.4.163: icmp_seq=0 ttl=255 time=3.314 ms
56 bytes from 192.168.4.163: icmp_seq=1 ttl=255 time=2.786 ms
56 bytes from 192.168.4.163: icmp_seq=2 ttl=255 time=2.317 ms
56 bytes from 192.168.4.163: icmp_seq=3 ttl=255 time=3.060 ms
56 bytes from 192.168.4.163: icmp_seq=4 ttl=255 time=2.258 ms
--- Ping statistics for 192.168.4.163 ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 2.258/2.747/3.314/0.411 ms
# 顯示NHC1上的NHRP映射表的詳細信息。
[NHC1] display nhrp map verbose
Interface : Tunnel0
Destination/mask : 192.168.4.161/24
Next hop : 192.168.4.161
Creation time : 01:10:25
Expiration time : never expire
Type : static
Flags : up
NBMA address : 40.1.1.9
Interface : Tunnel0
Destination/mask : 192.168.4.163/32
Next hop : 192.168.4.163
Creation time : 00:00:24
Expiration time : 00:01:36
Type : cached
Flags : used up
NBMA address : 40.1.1.8
# 顯示NHC1上的mGRE會話的摘要信息。
[NHC1] display mgre session
Interface : Tunnel0
Number of sessions: 2
Peer NBMA address Peer protocol address Type State State duration
40.1.1.9 192.168.4.161 C-S Succeeded 00:10:28
40.1.1.8 192.168.4.163 C-C Succeeded 00:00:32
以上顯示信息表示NHC1與NHS建立了NHS-NHC永久隧道。NHC1與NHC2建立了NHC-NHC臨時隧道。NHC2上的顯示信息與NHC1類似。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
