 |
如圖,采用Loopback地址模擬內網網段,檢測實驗結果。
1. 武漢和上海兩個分部接入北京總部,所有VPN設備均有公網地址可互通。其中,分部公網地址可以是靜態也可以是動態獲得。
2. 通過DVPN連接總部和兩個分部,并實現分部之間DVPN隧道的自動建立。
1. 所有隧道接口可以互相ping通。
2. 所有內網(loopback地址)可以互相ping通。
3. 武漢和上海分部之間的隧道為動態建立。
DVPN目前僅在secpath專用VPN網關上支持。
|
|
|
|
|
[Secpath1-beijing] |
interface GigabitEthernet0/0 |
|
|
|
ip address 202.38.1.1 255.255.255.0 |
|
|
|
# |
|
|
|
interface Tunnel0 |
配置DVPN 隧道接口 |
|
|
ip address 192.168.1.1 255.255.255.0 |
|
|
|
tunnel-protocol udp dvpn |
采用使用UDP協議的DVPN隧道技術。 DVPN支持GRE和UDP兩種封裝,推薦使用UDP封裝。 |
|
|
source GigabitEthernet0/0 |
指定隧道源端口 |
|
|
dvpn interface-type server |
北京總部需指定為Server工作方式。 默認為client方式 |
|
|
dvpn vpn-id 100 |
指定DVPN的VPN ID,所有需要互通的分部其VPN ID也必須相同 |
|
|
dvpn udp-port 8005 |
指定本端DVPN采用的端口號 |
|
|
# |
|
|
|
ip route-static 10.1.2.0 255.255.255.0 192.168.1.2 preference 60 |
指定去往武漢分部私網的路由 注意:不要僅指定為出接口(tunnel 口),否則在多點連接時無法找到下一跳。 |
|
|
ip route-static 10.1.3.0 255.255.255.0 192.168.1.3 preference 60 |
指定去往上海分部私網的路由 |
|
|
# |
|
|
|
|
|
|
[Secpath2-wuhan] |
interface GigabitEthernet0/0 |
|
|
|
ip address 202.38.1.2 255.255.255.0 |
|
|
|
# |
|
|
|
interface Tunnel0 |
配置DVPN 隧道接口 |
|
|
ip address 192.168.1.2 255.255.255.0 |
|
|
|
tunnel-protocol udp dvpn |
采用使用UDP協議的DVPN隧道技術 |
|
|
source GigabitEthernet0/0 |
指定隧道源端口 |
|
|
dvpn server test-server |
本端作為DVPN的客戶端,指定要連接的DVPN server |
|
|
dvpn vpn-id 100 |
指定DVPN的VPN ID,所有需要互通的分部其VPN ID也必須相同 |
|
|
dvpn register-type want |
必須配置want參數,要求總部轉發其他分部的信息。 |
|
|
dvpn udp-port 8001 |
指定本端DVPN采用的端口號 |
|
|
# |
|
|
|
dvpn class test-server |
配置DVPN server的息 |
|
|
public-ip 202.38.1.1 |
Server公網地址 |
|
|
private-ip 192.168.1.1 |
Server私網地址 |
|
|
udp-port 8005 |
Server的DVPN端口號 |
|
|
|
|
|
|
ip route-static 10.1.1.0 255.255.255.0 192.168.1.1 preference 60 |
指定去往北京總部私網的路由 |
|
|
ip route-static 10.1.3.0 255.255.255.0 192.168.1.3 preference 60 |
指定去往上海分部私網的路由 |
|
|
# |
|
|
[Secpath3-shanghai] |
|
參考武漢節點的配置 |
1. 常見錯誤為路由設置問題。沒有去往對端私網或公網的路由。
2. 隧道必須由分部發起,因為僅靠配置,總部無法知道分部的公網地址。
3. 以武漢去北京的數據為例,分析報文格式如下:
 |
