请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器

利用Dynamic MAP实现总部与分支双动态IP的GRE-over-IPSec配置

热度 1已有 240 次阅读2019-11-15 16:53 |个人分类:VPN|系统分类:分享| VPN, dynamic map, gre over ipsec, gre, cisco

一.概述
    一般情况下,总部会有固定的公网IP,但是分支机构通过宽带上网,没有固定的公网IP,有时甚至是假的公网IP,实际ISP做一次PAT再出公网。在更苛刻的情况下,总部和分支都没有固定公网IP。另外分支网络一般比较简单,可能就一台路由器,一台交换机,这就需要在边界路由器上配置VPN。

二.测试拓扑

    测试的拓扑如下,实际测试时,Branch路由器接口的DHCP由手工修改接口IP来实现,另外在Internet路由器配置动态PAT,目的是模拟Branch获取的不是实际公网IP的情况。同时,在Internet路由器配置DNS服务器,Branch为DNS客户端,通过同时修改DNS记录和Center公网口的IP,来模拟DDNS。

三.配置步骤
1.基本配置
①PC路由器
hostname PC
interface Ethernet0/0
    ip address 192.168.1.1 255.255.255.0
    no shutdow
ip route 0.0.0.0 0.0.0.0 192.168.1.10
②Branch路由器
hostname Branch
interface Loopback0
    ip address 11.1.1.1 255.255.255.255
interface Ethernet0/0
    ip address 192.168.1.10 255.255.255.0
    ip nat inside
    no shutdow
interface Ethernet0/1
    ip address 202.100.1.1 255.255.255.0
    ip nat outside
    no shutdown
ip route 0.0.0.0 0.0.0.0 202.100.1.10
③Internet路由器
hostname Internet
interface Ethernet0/0
    ip address 202.100.1.10 255.255.255.0
    ip nat inside
    no shutdow
interface Ethernet0/1
    ip address 61.128.1.10 255.255.255.0
    ip nat outside
    no shutdow
④Center路由器
hostname Center
interface Ethernet0/0
    ip address 61.128.1.1 255.255.255.0
    ip nat outside
    no shutdow
interface Ethernet0/1
    ip address 10.1.1.10 255.255.255.0
    ip nat inside
    no shutdow
ip route 0.0.0.0 0.0.0.0 61.128.1.10
⑤Center-VPN路由器
interface Loopback0
    ip address 192.168.2.1 255.255.255.0
    ip ospf network point-to-point
interface Ethernet0/0
    ip address 10.1.1.1 255.255.255.0
    no shutdow
ip route 0.0.0.0 0.0.0.0 10.1.1.10
2.DNS配置
Internet路由器
ip dns server
ip host center.yuntian.com 61.128.1.1
Branch路由器
ip name-server 202.100.1.10
③验证
3.GRE隧道配置
①Branch路由器
interface Tunnel0
    ip address 172.16.1.1 255.255.255.0
    tunnel source Loopback0
    tunnel destination 10.1.1.1
Center-VPN路由器
interface Tunnel0
    ip address 172.16.1.100 255.255.255.0
    tunnel source Ethernet0/0
    tunnel destination 11.1.1.1
备注:tunnel目的地址必须为对方配置的tunnel源地址。
4.NAT配置
①Branch路由器
ip access-list extended pat
    permit ip 192.168.1.0 0.0.0.255 any
ip nat inside source list pat interface Ethernet0/1 overload
②Internet路由器
ip access-list extended pat
    permit ip 202.100.1.0 0.0.0.255 any
ip nat inside source list pat interface Ethernet0/1 overload
③Center路由器
ip nat inside source static udp 10.1.1.1 500 interface Ethernet0/0 500
ip nat inside source static udp 10.1.1.1 4500 interface Ethernet0/0 4500
5.VPN及动态路由配置
Branch-VPN路由器
--第一阶段策略
crypto isakmp policy 10
    encr 3des
    hash md5
    authentication pre-share
    group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
--第二节阶段转换集
crypto ipsec transform-set transet esp-3des esp-md5-hmac
备注:实际测试发现,存在NAT的情况下,都会是tunnel模式,即使配置成transport模式
---配置感兴趣流
ip access-list extended gre
    permit gre host 11.1.1.1 host 10.1.1.1
---配置静态crypto map
crypto map crymap 10 ipsec-isakmp
    set peer  center.yuntian.com dynamic
    set transform-set transet
    match address gre
---配置DPD
crypto isakmp keepalive 10
---物理口应用静态crypto map
interface Ethernet0/0
     crypto map crymap
--配置动态路由
router ospf 1
    passive-interface Ethernet0/0
    network 172.16.1.0 0.0.0.255 area 0
    network 192.168.1.10 0.0.0.0 area 0
②Center-VPN路由器
--第一阶段策略
crypto isakmp policy 10
    encr 3des
    hash md5
    authentication pre-share
    group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
--第二节阶段转换集
crypto ipsec transform-set transet esp-3des esp-md5-hmac
---配置动态及静态crypto map
crypto dynamic-map dymap 10
    set transform-set transet
crypto map crymap 10 ipsec-isakmp dynamic dymap
---配置DPD
crypto isakmp keepalive 10
---物理口应用静态crypto map
interface Ethernet0/0
     crypto map crymap
--配置动态路由
router ospf 1
    passive-interface Loopback0
    network 172.16.1.0 0.0.0.255 area 0
    network 192.168.2.1 0.0.0.0 area 0    
四.测试
1.通过ospf能够正常获取路由
2.Branch路由器修改公网接口地址测试
在修改地址回车之前,PC先ping 对端地址,可以看到修改地址会导致丢两个包
3.Center路由器修改公网接口地址
①修改修改dns记录
②修改接口地址
③在修改地址回车之前,PC先ping 对端地址,可以看到修改地址会导致丢13个包

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)

路过

鸡蛋
1

鲜花

握手

雷人

刚表态过的朋友 (1 人)

评论 (0 个评论)

facelist

您需要登录后才可以评论 思科 CCO 登录 | 思科 CCO 注册   

Archiver | 思科社区  

GMT+8, 2020-6-3 14:01 , Processed in 0.069772 second(s), 24 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

返回顶部