DM×××設計

轉:DM×××配置詳解 一

 (2009-02-16 16:13:06)

轉載▼

標籤：  cisco   it

DM×××常用於大型網絡的L2L設計，爲簡化配置和管理。否則在上百個分支站點的×××建設和管理將是尷尬的

DM×××基本拓撲：R1爲中心站，R2、R3爲分支站
                             
                            172.1.1.1/GRE隧道/172.1.1.2 
                         |————————————————|               
                         |                              ———192.1.1.2/R2/192.168.2.0/24 
                           |                            |
                           |                            |
192.168.1.0/24/R1/192.1.1.1——SW OR WAN ——192.1.1.3/R3/192.168.3.0/24 
                           |                            |
                           |————————————————| 
                               172.1..1/GRE隧道/172.1.1.3
要求：內部網絡運行OSPF，要求中心和分支可以相互學習到動態路由；中心到分支，分支到分支要部署×××保護。

DM××× HUB配置
crypto isakmp policy 10
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
第一階段策略，注意是通配符密碼，因爲中心站是不站點分支的情況的
!
crypto ipsec transform-set cisco esp-aes esp-sha-hmac
mode transport
設置傳輸模式，用於GRE的點到點網絡結構

crypto ipsec profile deng 爲簡化配置使用此語法，允許將多個TRANS調用到一起，爲匹配多個分支的策略，你需要這樣做
set transform-set cisco

interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
這裏是核心內容，主要是通過TUNNEL命令處理隧道、IP NHRP處理網絡可達來完成

ip address 172.1.1.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco123
啓動認證，用來不被路由欺騙，常用於WAN邊界的安全考慮；

ip nhrp map multicast dynamic
動態的映射多播流，將用來學習分支站點路由

ip nhrp network-id 10000
指定網絡域，同一個TUNNEL必須處在相同的區域，且是一個子網中

ip nhrp holdtime 500
檢測對端失效計時器，默認的時間是2小時

ip nhrp cache non-authoritative
這是默認產生的

ip ospf network broadcast
起用廣播，纔可以選擇DR，否則路由會有問題

ip ospf priority 2
設置中心站點是DR

tunnel source 192.1.1.1
tunnel mode gre multipoint
多點模式

tunnel key 10000 
當有多個TUNNEL的時候用於選擇

tunnel protection ipsec profile deng
這裏很重要，相當於crypto map的意義，用於觸發×××的發動機。當調用DENG到這個地方的時候，不需要在物理接口上再去應用CRY MAP。還應該注意這裏只調用了設置爲傳輸模式的TRANS，沒有PEER，也沒有CRY ACL，就是說任何PEER和數據包去撞擊GRE TUNNEL的時候都會觸發×××，包括WAN接口，因爲這裏的TUNNEL SOURE是定義在WAN接口上的。//錯誤：正確的是——WAN流量不會觸發×××，只有GRE流（ACL是PERMIT IP ANY ANY默認語句，並且在簡化配置的IPSEC-PROFILE下沒有這樣的命令去配置ACL，）才觸發×××。這裏經常讓人不可理解——VTI接口和物理接口的流量是怎麼區分的，CISCO的某些人是如此聰明，VTI類似GRE隧道，但是又不完全相同，VTI的魅力是即使流量終歸是要在物理鏈路上通過的，但是隻有隧道流量才觸發×××。
tunnel protection ipsec profile deng這個命令的解釋是：讓IPSEC的流量附着在隧道接口上（即使TUNNEL源和目的地址任何時候都調用物理接口上的流量），而不是一個物理接口上！！！

可以說以上的配置都是必須的，對TUNNEL端口的配置應該仔細檢查

interface FastEthernet0/0
ip address 192.1.1.1 255.255.255.0
duplex half

router ospf 1
log-adjacency-changes
network 172.1.1.0 0.0.0.255 area 1
network 192.168.1.0 0.0.0.255 area 0
這裏的考慮是信任骨幹網的穩定性，將中心的LAN放在區域0中，而所有分支的連接網絡都放在區域1中，好處當然是利於OSPF的故障排除
另外一個考慮是將分支的連接也放到區域0中，而只將分支站的LAN放其他區域


DM××× SPOKE R2配置：
crypto isakmp policy 10
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
這裏也是通配符密鑰，因爲分支也需要和其他分支通信
!
crypto ipsec transform-set cisco esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile deng
set transform-set cisco

interface Loopback0
ip address 192.168.2.1 255.255.255.0
!
interface Tunnel0
ip address 172.1.1.2 255.255.255.0
no ip redirects
ip nhrp authentication cisco123
ip nhrp map multicast 192.1.1.1
比較R1的配置，R1是需要動態獲取分支站的路由信息的，因爲分支可能基於DHCP服務器產生地址。
分支必須要靜態指向中心站的物理接口地址而不是指向TUNNEL地址，本質上是通過此命令去獲取其他分支的路由條目，路由信息是通過多播流來泛發的
ip nhrp map 172.1.1.1 192.1.1.1
實現物理接口和TUNNEL的對接，原理同上
ip nhrp network-id 10000
ip nhrp holdtime 500
ip nhrp nhs 172.1.1.1
這個命令的解析是：將中心站的TUNNEL地址作爲分支站得到下一跳路由的服務器，用於處理分支的NHRP查詢
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf priority 0（這是重要的，排除分支設備成爲DR/BDR的可能，否則整個的路由體系是混亂的）
tunnel source FastEthernet0/0這裏必須指向接口，因爲DHCP可能產生不同的IP地址
tunnel mode gre multipoint
tunnel key 10000
tunnel protection ipsec profile deng
!
interface FastEthernet0/0
ip address 192.1.1.2 255.255.255.0
duplex half

router ospf 1
log-adjacency-changes
network 172.1.1.0 0.0.0.255 area 1
network 192.168.2.0 0.0.0.255 area 1

配置解析：
1、路由可達：在實驗中不需要開啓缺省路由，因爲成功配置TUNNEL後，傳遞了路由信息
2、×××思路：
中心和分支都不靜態指定PEER和CRY ACL，只設置了TRANS，自動去感知感興趣的數據流——全部的數據流。注意：這裏會引發另外一個思考，如果有不希望保護的數據流，需要重新考慮分離隧道，或是另外的WAN連接。
如何將路由可達和×××結構融和在一起的？
物理接口調用TUNNEL在中心站和分支站來傳遞路由，這個GRE可以做得很好，完成和OSPF的融和。
但是分支站的路由是怎麼得到的？並最終建立分支和分支之間的×××的呢？
這是NHRP的工作任務了，注意每個分支站點上有三條關鍵的命令：
ip nhrp map muticast hub-phyical-ip_add
這條命令完成將多播流路由信息映射到中心站物理接口的目的，分支站基於這個命令去建立自己的路由表，記得去比較中心站點的配置，那裏的關鍵字是DYNAMIC
ip nhrp map hub-tunnel_ip_add hub-phyical-ip_add
將TUNNEL接口同樣映射到物理接口
ip nhrp nhs hub-tunnel_ip_add
將NHRP，下一條路由查詢服務器設置爲中心站的TUNNEL接口
通過以上的命令，這裏會有兩個最核心的問題會發生：路由是通過TUNNEL在中心站點之間傳遞的，但是×××通道是通過分支之間的物理鏈路建立的，是很美妙的事情，說明中心站點不需要處理如此龐大的分支站之間的數據信息，而只需要處理維持內部網絡的路由信息——這些流量不是大的。

下面將顯示一個簡單的例子來說明基於分支站之間的×××過程是如何處理的
R3的內部網絡需要和R2的內部網絡說話，下面是R3通過GRE學習到的路由表
R3#sh ip rou
Gateway of last resort is not set

     172.1.0.0/24 is subnetted, 1 subnets
C       172.1.1.0 is directly connected, Tunnel0
C    192.1.1.0/24 is directly connected, FastEthernet0/0
     192.168.1.0/32 is subnetted, 1 subnets
O IA    192.168.1.1 [110/11112] via 172.1.1.1, 00:35:17, Tunnel0
     192.168.2.0/32 is subnetted, 1 subnets
O       192.168.2.1 [110/11112] via 172.1.1.2, 00:35:17, Tunnel0（這裏有個小問題需要解釋一下，L0接口被解析成主機路由）
C    192.168.3.0/24 is directly connected, Loopback0

第一步：R3查詢是通過172.1.1.2這個TUNNEL可達 
tunnel protection ipsec profile deng
還記得這個命令嗎？×××通話因這個命令被觸發（這裏和前面的GRE靜態案例有些不同，那裏的情況是ACL是明確指向物理接口地址的，而這裏是被調用在TUNNEL接口上的），是不是就在TUNNEL上建立×××通話呢？
——R3和R2是通過R1纔有TUNNEL連接的，如果 通過TUNNEL建立×××連接說明所有流量都需要經過R1，這是絕對不希望發生的事情，相反R3和R2之間是有物理鏈路的，應該去把×××流量放到物理 鏈路上去。這時候發生什麼呢，這個機器會自己變得聰明起來嗎？
是的，它很棒。
第二步：R3的下一跳查詢服務器是通過命令靜態指定的R1的172.1.1.1地址，R3查詢下面這個表，請求172.1.1.2怎麼走
R3#sh ip nhrp
172.1.1.1/32 via 172.1.1.1, Tunnel0 created 00:40:45, never expire
Type: static, Flags: nat used
NBMA address: 192.1.1.1
第三步：NHS查詢下面這個表，會返回給R3一個R2的物理接口地址
R1#sh ip nhrp
172.1.1.2/32 via 172.1.1.2, Tunnel0 created 01:34:39, expire 00:07:16
Type: dynamic, Flags: unique nat registered
NBMA address: 192.1.1.2
172.1.1.3/32 via 172.1.1.3, Tunnel0 created 00:47:27, expire 00:06:32
Type: dynamic, Flags: unique nat registered
NBMA address: 192.1.1.3
第四步：×××會話得以在物理鏈路上奔跑

記住並理解這四個命令很重要