设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ Cisco安全 DMVPN求助
12下一页
返回列表 发新帖
查看: 3242|回复: 16
收起左侧

DMVPN求助

  [复制链接]
xiegui
发表于 2013-3-29 14:36:18 | 显示全部楼层 |阅读模式
QQ截图20130329142654.jpg 如图:R1为中心站点,R2,R3为分支站点,双方运行DMVPN,物理接口为200.1.1.0/24网段,隧道接口为123.1.1.0/24网段。
  R1的配置:crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2  
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth
!         
!         
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
mode transport
!         
crypto ipsec profile PRO
set transform-set IPSEC
     
interface Tunnel1
ip address 123.1.1.1 255.255.255.0
no ip redirects
no ip next-hop-self eigrp 100
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 10
no ip split-horizon
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 123
tunnel protection ipsec profile PRO
!         
interface Loopback1
ip address 1.1.1.1 255.255.255.0
!         
interface FastEthernet0/0
ip address 200.1.1.1 255.255.255.0
no ip next-hop-self eigrp 100
no ip split-horizon
duplex auto
speed auto
!         
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!         
!         
router eigrp 100
network 1.1.1.0 0.0.0.255
network 123.1.1.0 0.0.0.255
no auto-summary

R1路由表:Gateway of last resort is not set

     1.0.0.0/24 is subnetted, 1 subnets
C       1.1.1.0 is directly connected, Loopback1
     2.0.0.0/24 is subnetted, 1 subnets
D       2.2.2.0 [90/297372416] via 123.1.1.2, 00:12:20, Tunnel1
     3.0.0.0/24 is subnetted, 1 subnets
D       3.3.3.0 [90/297372416] via 123.1.1.3, 00:09:16, Tunnel1
C    200.1.1.0/24 is directly connected, FastEthernet0/0
     123.0.0.0/24 is subnetted, 1 subnets
C       123.1.1.0 is directly connected, Tunnel1


R2的配置:crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2  
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth
!         
!         
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
mode transport
!         
crypto ipsec profile PRO
set transform-set IPSEC
!         
!         
!         
!         
!         
!         
interface Tunnel2
ip address 123.1.1.2 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map 123.1.1.1 200.1.1.1
ip nhrp map multicast 200.1.1.1
ip nhrp network-id 10
ip nhrp nhs 123.1.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 123
tunnel protection ipsec profile PRO
!         
interface Loopback2
ip address 2.2.2.2 255.255.255.0
!         
interface FastEthernet0/0
ip address 200.1.1.2 255.255.255.0
no ip next-hop-self eigrp 100
no ip split-horizon
duplex auto
speed auto
!         
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!         
!         
router eigrp 100
network 2.2.2.0 0.0.0.255
network 123.1.1.0 0.0.0.255
no auto-summary

R2路由表:Gateway of last resort is not set

     1.0.0.0/24 is subnetted, 1 subnets
D       1.1.1.0 [90/297372416] via 123.1.1.1, 00:12:44, Tunnel2
     2.0.0.0/24 is subnetted, 1 subnets
C       2.2.2.0 is directly connected, Loopback2
C    200.1.1.0/24 is directly connected, FastEthernet0/0
     123.0.0.0/24 is subnetted, 1 subnets
C       123.1.1.0 is directly connected, Tunnel2

R3的配置:crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2  
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 no-xauth
!         
!         
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
mode transport
!         
crypto ipsec profile PRO
set transform-set IPSEC
!         
interface Tunnel3
ip address 123.1.1.3 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map 123.1.1.1 200.1.1.1
ip nhrp map multicast 200.1.1.1
ip nhrp network-id 10
ip nhrp nhs 123.1.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 123
tunnel protection ipsec profile PRO
!         
interface Loopback3
ip address 3.3.3.3 255.255.255.0
!         
interface FastEthernet0/0
ip address 200.1.1.3 255.255.255.0
no ip next-hop-self eigrp 100
no ip split-horizon
duplex auto
speed auto
!         
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!         
!         
router eigrp 100
network 3.3.3.0 0.0.0.255
network 123.1.1.0 0.0.0.255
no auto-summary

R3的路由表:Gateway of last resort is not set

     1.0.0.0/24 is subnetted, 1 subnets
D       1.1.1.0 [90/297372416] via 123.1.1.1, 00:10:07, Tunnel3
     3.0.0.0/24 is subnetted, 1 subnets
C       3.3.3.0 is directly connected, Loopback3
C    200.1.1.0/24 is directly connected, FastEthernet0/0
     123.0.0.0/24 is subnetted, 1 subnets
C       123.1.1.0 is directly connected, Tunnel3

R1能够学到R2和R3的环回口路由,R2,R3能够学到R1的环回口路由,为什么R2,R3学不到对方的路由呢?
回复

使用道具 举报

qq360870025
发表于 2013-3-29 14:55:26 | 显示全部楼层
R1上面no ip split-horizon eigrp 100,你关闭的只是RIP的水平分割
沙发 2013-3-29 14:55:26 回复 收起回复
回复 支持 0 反对 1

使用道具 举报

xiegui
 楼主| 发表于 2013-3-29 15:14:39 | 显示全部楼层
qq360870025 发表于 2013-3-29 14:55
R1上面no ip split-horizon eigrp 100,你关闭的只是RIP的水平分割

试了 也没有用
板凳 2013-3-29 15:14:39 回复 收起回复
回复 支持 1 反对 0

使用道具 举报

qq360870025
发表于 2013-3-29 15:20:00 | 显示全部楼层
xiegui 发表于 2013-3-29 15:14
试了 也没有用

你自己看Tunnel配置
地板 2013-3-29 15:20:00 回复 收起回复
回复 支持 1 反对 0

使用道具 举报

xiegui
 楼主| 发表于 2013-3-29 15:22:06 | 显示全部楼层
qq360870025 发表于 2013-3-29 15:20
你自己看Tunnel配置

我后面检查的时候 试了那方法  还是没有学到     这是这个配置没有贴出来     
5# 2013-3-29 15:22:06 回复 收起回复
回复 支持 1 反对 0

使用道具 举报

qq360870025
发表于 2013-3-29 17:18:12 | 显示全部楼层
xiegui 发表于 2013-3-29 15:22
我后面检查的时候 试了那方法  还是没有学到     这是这个配置没有贴出来

那你清下邻居看看,配置没问题的, 只要关闭了这个就能学到了
6# 2013-3-29 17:18:12 回复 收起回复
回复 支持 反对

使用道具 举报

xiegui
 楼主| 发表于 2013-3-29 19:56:37 | 显示全部楼层
qq360870025 发表于 2013-3-29 17:18
那你清下邻居看看,配置没问题的, 只要关闭了这个就能学到了

没用 用OSPF可以 就这个EIGRP不行
7# 2013-3-29 19:56:37 回复 收起回复
回复 支持 反对

使用道具 举报

在路上
发表于 2013-3-30 09:51:28 | 显示全部楼层
本帖最后由 在路上 于 2013-3-30 09:56 编辑

在Hub端mGRE隧道接口中关闭EIGRP水平分割和下一跳特性:   
R1(config)#interface tunnel 1
R1(config-if)#no ip split-horizon eigrp 100
R1(config-if)#no ip next-hop-self eigrp 100
命令no ip split-horizon eigrp 100 作用是关闭EIGRP水平分割特性,这样spoke端之间可以互相学到去往对方内部网络路由。
命令no ip next-hop-self eigrp 100 作用是关闭EIGRP路由下一跳指向自己特性,这样Hub端路由器R1不再将从一个spoke端收到的路由发给另一个spoke端时将下一跳地址改为自己,而是保持原来的下一跳地址不变,即spoke端到另外一个spoke端的下一跳地址还是源spoke端而不是Hub端路由器,但spoke端上的EIGRP邻居关系不会发生变化。
8# 2013-3-30 09:51:28 回复 收起回复
回复 支持 反对

使用道具 举报

xiegui
 楼主| 发表于 2013-3-30 10:27:02 | 显示全部楼层
在路上 发表于 2013-3-30 09:51
在Hub端mGRE隧道接口中关闭EIGRP水平分割和下一跳特性:   
R1(config)#interface tunnel 1
R1(config-i ...

没用,都敲了
9# 2013-3-30 10:27:02 回复 收起回复
回复 支持 反对

使用道具 举报

在路上
发表于 2013-3-30 11:04:02 | 显示全部楼层
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
mode transport
你把mode模式改成隧道模式试试。
10# 2013-3-30 11:04:02 回复 收起回复
回复 支持 反对

使用道具 举报

xiegui
 楼主| 发表于 2013-3-30 12:36:21 | 显示全部楼层
在路上 发表于 2013-3-30 11:04
crypto ipsec transform-set IPSEC esp-3des esp-md5-hmac
mode transport
你把mode模式改成隧道模式试 ...

这个用了GRE必须是传输模式,  

点评

在路上
GRE必须是传输模式?怎么可能?一般是推荐使用传输模式!我配置很多DMVPN实验,都是使用隧道模式。  详情 回复 发表于 2013-3-30 14:02
11# 2013-3-30 12:36:21 回复 收起回复
回复 支持 反对

使用道具 举报

在路上
发表于 2013-3-30 14:02:35 | 显示全部楼层
xiegui 发表于 2013-3-30 12:36
这个用了GRE必须是传输模式,

GRE必须是传输模式?怎么可能?一般是推荐使用传输模式!我配置很多DMVPN实验,都是使用隧道模式。
12# 2013-3-30 14:02:35 回复 收起回复
回复 支持 反对

使用道具 举报

xiegui
 楼主| 发表于 2013-3-30 15:26:22 | 显示全部楼层
在路上 发表于 2013-3-30 14:02
GRE必须是传输模式?怎么可能?一般是推荐使用传输模式!我配置很多DMVPN实验,都是使用隧道模式。

cisco vpn完全配置指南  这本书上写的

点评

在路上
参考教程 文档固然很重要,更重要是自己做一做,做完了你就知道隧道模式同样适用于GRE(DMVPN),  详情 回复 发表于 2013-3-30 16:09
13# 2013-3-30 15:26:22 回复 收起回复
回复 支持 反对

使用道具 举报

在路上
发表于 2013-3-30 16:09:58 | 显示全部楼层
xiegui 发表于 2013-3-30 15:26
cisco vpn完全配置指南  这本书上写的

参考教程 文档固然很重要,更重要是自己做一做,做完了你就知道隧道模式同样适用于GRE(DMVPN),
14# 2013-3-30 16:09:58 回复 收起回复
回复 支持 反对

使用道具 举报

244146314
发表于 2013-4-28 16:21:23 | 显示全部楼层
15# 2013-4-28 16:21:23 回复 收起回复
回复 支持 反对

使用道具 举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-4-17 15:23 , Processed in 0.116708 second(s), 30 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表