資源描述:
《MSR系列路由器GREoverIPSecOSPF功能的配置.doc》由會員上傳分享�,免費在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫�。
1、MSR系列路由器GREOverIPSec+OSPF功能的配置關(guān)鍵詞:MSR;GRE;IPSec;IKE;OSPF;VPN;多分支;傳輸模式一��、組網(wǎng)需求:其中一臺MSR作為總部網(wǎng)絡(luò)的出口路由器����,對2個分支提供GREOverIPSec的接入,另外兩臺MSR分別是2個企業(yè)分支網(wǎng)絡(luò)的出口路由器���,通過GREOverIPSec方式接入到總部�?��?偛颗c各個分支在GRE隧道上啟動OSPF路由協(xié)議�����,傳送總部和分支的各個路由����,該配置實際使用較多,即可以運行OSPF等IGP��,又能對所有總部與分支之間的流量進(jìn)行加密��,該應(yīng)用的弊端在于分支之間的流量需要經(jīng)過總部轉(zhuǎn)發(fā)
2�、設(shè)備清單:MSR系列路由器3臺二、組網(wǎng)圖:三�����、配置步驟:Center的配置#//OSPF的RouterIDrouterid192.168.255.255#//創(chuàng)建與分支1的IKEPeer��,可根據(jù)實際需要可以采用野蠻模式和NAT穿越ikepeerbranch1//預(yù)共享密鑰pre-shared-keyh3c-msr//分支1路由器的地址remote-address1.0.0.1//指定本端地址local-address1.0.0.254#//傳建與分支2的IKEPeerikepeerbranch2//預(yù)共享密鑰pre-shared-key
3�����、h3c-msr//分支2路由器的地址remote-address1.0.0.2//指定本端地址local-address1.0.0.254#//建立IPSec提議ipsecproposaldefault//這里采用傳輸模式���,也可以使用隧道模式encapsulation-modetransport#//建立IPSec策略branch�����,序號10�����,用于與分支1的GRE連接��,使用ISAKMP方式ipsecpolicybranch10isakmp//對匹配ACL3000的流量使用該策略securityacl3000//指定所使用的IKEPeeri
4����、ke-peerbranch1//指定使用的IPSec提議proposaldefault#//建立IPSec策略branch���,序號20����,用于與分支2的GRE連接���,使用ISAKMP方式ipsecpolicybranch20isakmp//對匹配ACL3001的流量使用該策略securityacl3001//指定所使用的IKEPeerike-peerbranch2//指定使用的IPSec提議proposaldefault#//ACL3000�,精確匹配總部路由器和分支1路由器的出口地址aclnumber3000rule0permitipsour
5�、ce1.0.0.2540destination1.0.0.10//ACL3001,精確匹配總部路由器和分支2路由器的出口地址aclnumber3001rule0permitipsource1.0.0.2540destination1.0.0.20#//用于RouterID的環(huán)回地址interfaceLoopBack0ipaddress192.168.255.255255.255.255.255#//總部外網(wǎng)出口G0/0interfaceGigabitEthernet0/0portlink-moderoutecomboenablecopp
6、er//總部路由器的出口地址ipaddress1.0.0.254255.255.255.0//綁定IPSec策略branchipsecpolicybranch#interfaceGigabitEthernet0/1portlink-moderoutecomboenablecopper//公司總部內(nèi)網(wǎng)接口地址ipaddress10.0.0.1255.255.255.0#//用于與分支1建立GRE連接的隧道接口interfaceTunnel0ipaddress192.168.0.1255.255.255.252//指定源地址���,注意與ACL3
7��、000吻合sourceGigabitEthernet0/0//指定目的地址��,注意與ACL3000吻合destination1.0.0.1#//用于與分支2建立GRE連接的隧道接口interfaceTunnel1ipaddress192.168.0.5255.255.255.252//指定源地址���,注意與ACL3001吻合sourceGigabitEthernet0/0//指定目的地址,注意與ACL3001吻合destination1.0.0.2#//OSPF進(jìn)程1��,在AREA0中使能所有配置公司內(nèi)網(wǎng)地址的接口��,不使能G0/0(總部出口)o
8����、spf1area0.0.0.0network10.0.0.00.0.0.255network192.168.255.2550.0.0.0network192.168.0.00.0.0.3network192
