配置GRE Over EzVPN
GRE Over EzVPN技术能够实现双动态地址,并且可以支持动态路由选择协议实验拓扑:
实验步骤: 1. 首先配置EzVPN: EzVPN Server: R4(config)#crypto isakmp policy 10R4(config-isakmp)#authentication pre-shareR4(config-isakmp)#encryption 3des R4(config-isakmp)#group 2R4(config-isakmp)#hash md5R4(config-isakmp)#exR4(config)#R4(config)#crypto isakmp client configuration group ipsecgroupR4(config-isakmp-group)#key ciscoR4(config-isakmp-group)#exR4(config)#R4(config)#aaa new-modelR4(config)#aaa authentication login noacs noneR4(config)#line con 0R4(config-line)#login authentication noacsR4(config-line)#exitR4(config)#line aux 0R4(config-line)#login authentication noacsR4(config-line)#exitR4(config)#R4(config)#aaa authentication login remote localR4(config)#username ipsecuser password ciscoR4(config)#aaa authorization network remote localR4(config)#ip local pool pool 192.168.45.100 192.168.45.200R4(config)#ip access-list extended aclR4(config-ext-nacl)#permit ip host 4.4.4.4 anyR4(config-ext-nacl)#exR4(config)#crypto isakmp client configuration group ipsecgroupR4(config-isakmp-group)#pool poolR4(config-isakmp-group)#save-passwordR4(config-isakmp-group)#acl aclR4(config-isakmp-group)#exR4(config)#crypto isakmp profile pro% A profile is deemed incomplete until it has match identity statementsR4(conf-isa-prof)#match identity group ipsecgroupR4(conf-isa-prof)#client config address respondR4(conf-isa-prof)#client authentication list remoteR4(conf-isa-prof)#isakmp authorization list remoteR4(conf-isa-prof)#exR4(config)#R4(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmacR4(cfg-crypto-trans)#exR4(config)#crypto dynamic dy-cisco 10R4(config-crypto-map)#set transform-set ciscoR4(config-crypto-map)#set isakmp-profile pro R4(config-crypto-map)#reverse-routeR4(config-crypto-map)#exR4(config)#crypto map cisco 10 ipsec-isakmp dynamic dy-ciscoR4(config)#R4(config)#interface serial 1/0R4(config-if)#crypto map ciscoR4(config-if)#ex*Mar1 00:10:43.719: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ONR4(config-if)#exR4(config)# EzVPN Client: R2(config)#crypto ipsec client ezvpn ezvpnR2(config-crypto-ezvpn)#peer 34.1.1.4 //EzVPN的最大特点就是不仅可以配置IP地址,还可以配置域名,中心可以使用动态域名技术,客户端动态获取IP地址,并且通过Peer指定中心的动态域名实现中心和分支节点地址的双动态;R2(config-crypto-ezvpn)#connect auto //EzVPN的自动连接也是一个重要的特点,不需要感兴趣流的触发,只需要设备开机或者有互联网连接即可发起VPN连接;R2(config-crypto-ezvpn)#group ipsecgroup key ciscoR2(config-crypto-ezvpn)#username ipsecuser password ciscoR2(config-crypto-ezvpn)#mode network-extensionR2(config-crypto-ezvpn)#exR2(config)#R2(config)#int loopback 0R2(config-if)#crypto ipsec client ezvpn ezvpn insideR2(config-if)#exR2(config)#int s 1/1R2(config-if)#crypto ipsec client ezvpn ezvpn outsideR2(config-if)#ex 2. 配置GRE 隧道 EzVPN Server: R4(config)#interface tunnel 0R4(config-if)#ip add 24.1.1.4 255.255.255.0R4(config-if)#tunnel source 4.4.4.4R4(config-if)#tunnel destination 2.2.2.2R4(config-if)#exR4(config)# EzVPN Client:R2(config)#interface tunnel 0 R2(config-if)#ip address 24.1.1.2 255.255.255.0R2(config-if)#tunnel source 2.2.2.2R2(config-if)#tunnel destination 4.4.4.4R2(config-if)#exit 3. 配置动态路由协议: R1:R1(config)#router ospf 1R1(config-router)#router-id 1.1.1.1R1(config-router)#network 192.168.12.1 0.0.0.0 area 0R1(config-router)#exR1(config)# R2:R2(config)#router ospf 1R2(config-router)#router-id 2.2.2.2R2(config-router)#network 192.168.12.2 0.0.0.0 area 0R2(config-router)#network 24.1.1.2 0.0.0.0 area 0R2(config-router)#exR2(config)# R4:R4(config)#router ospf 1R4(config-router)#router-id 4.4.4.4R4(config-router)#network 192.168.45.4 0.0.0.0 area 0R4(config-router)#network 24.1.1.4 0.0.0.0 area 0R4(config-router)#exit R5:R5(config)#router ospf 1R5(config-router)#router-id 5.5.5.5R5(config-router)#network 192.168.45.5 0.0.0.0 area 0R5(config-router)#ex 4. 测试 R5(config)#do ping 192.168.12.1 Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.12.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 44/76/120 ms
http://bbs.spoto.net/xwb/images/bgimg/icon_logo.png 该贴已经同步到 songjiaqi的微博 不错的帖子。
懂VPN的不多,感谢分享。 除了EZVPN,传统L2L VPN也支持peer用DDNS域名指定。
set peer domain.com dynamic
我在工作中很少遇到双动态的环境。一般是双静态,或者一边静态一边动态。DDNS方案也不适合大规模部署,工作量大。 感谢LZ分享~!
页:
[1]