`
izuoyan
  • 浏览: 9019335 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

H3C路由器Hub-Spoke网络结构DVPN配置案例(试读连载一)

H3C数据结构配置管理SchemeCisco 
阅读更多

[博主按]从本期开始,应广大网友的要求,将从我的两本即将在10月底出版的路由器新书《路由器配置与管理完全手册》(CiscoH3C各一本)中抽取一些精彩小节,在11月底,每星期发表一篇内容试读文章,以便大家对这两本新书有更加充分的了解。

这两本书的目录参见:

http://blog.csdn.net/lycb_gz/archive/2010/06/19/5680564.aspx

http://blog.csdn.net/lycb_gz/archive/2010/07/20/5750498.aspx

目前这两本新书正接受限量300预订的读者(目前已预订了100多名了)将享受特别优惠的7折预订,并且赠送价值在10元以上的,为纪念我著书十周年而特制的2011年精美台历(满员后不再享受7折优惠,也没有礼品赠送)。要预订的请把你的姓名、地址、邮编、邮箱、电话、开发票单位告诉我即可。联系方式QQ93220994

13.3.2H3C路由器Hub-Spoke结构DVPN配置示例

本示例的拓扑结构如图13-8所示。示例中的网络结构为Hub-Spoke结构,数据仅通过Hub-Spoke隧道进行转发,SpokeHub之间建立永久隧道连接;Spoke之间不能直接构建虚拟隧道进行数据转发。示例中的各设备接口IP地址分配如表13-10所示。主/VAM服务器负责管理、维护各个节点的信息;AAA服务器负责对VAM客户端进行认证和计费管理;两个Hub互为备份,负责数据的转发和路由信息的交换。两个Hub和两Spoke上均只配置一个隧道接口Tunnel 1,也就只需配置一个VPNVPN 1

13-8 Hub-Spoke结构DVPN配置示例的拓扑结构

13-10 Hub-Spoke结构DVPN配置示例中的设备接口IP地址分配

设备

接口

IP地址

设备

接口

IP地址

Hub 1

 

Eth1/1

192.168.1.1/24

Spoke 1

 

 

Eth1/1

192.168.1.3/24

Tunnel1

10.0.1.1/24

Eth1/2

10.0.2.1/24

Hub 2

 

Eth1/1

192.168.1.2/24

Tunnel1

10.0.1.3/24

Tunnel1

10.0.1.2/24

Spoke 2

 

 

Eth1/1

192.168.1.4/24

VAM服务器

Eth1/1

192.168.1.22/24

Eth1/2

10.0.3.1/24

备份VAM服务器

Eth1/1

192.168.1.33//24

Tunnel1

10.0.1.4/24

AAA服务器

 

192.168.1.11/24

 

 

 

一、主VAM服务器的配置

1)按照图中标注配置主VAM服务器上各接口的IP地址(略)

2)配置AAA认证(认证方案为RADIUS)。

<MainServer> system-view

[MainServer] radius scheme rad1 !---创建一个名为rad1RADIUS认证方案

[MainServer-radius-radsun] primary authentication 192.168.1.11 1812 !--- 配置主RADIUS认证/授权服务器的IP地址为192.168.1.11UDP端口采用默认的1812号端口

[MainServer-radius-radsun] primary accounting 192.168.1.11 1813 !--- 配置主RADIUS计费服务器的IP地址为192.168.1.11UDP端口采用默认的1813号端口

[MainServer-radius-radsun] key authentication lycb !--- 配置RADIUS认证/授权报文的共享密钥为lycb

[MainServer-radius-radsun] key accounting lycb !--- 配置RADIUS计费报文的共享密钥为lycb

[MainServer-radius-radsun] server-type standard !--- 指定采用标准类型的RADIUS服务器,还可以选择“extended”选项,指定RADIUS服务器支持私有RADIUS标准

[MainServer-radius-radsun] user-name-format with-domain !--- 设置发送给RADIUS服务器的用户名采用带ISP域名的格式:userid@isp-name,还可以选择“without-domain选项,则用户名格式不带ISP域名。如果采用不带域名格式,则不同域中的用户名不要一样

[MainServer-radius-radsun] quit

3)配置ISP域的AAA方案。

[MainServer] domain domain1 !---创建一个名为domain1ISP

[MainServer-isp-domain1] authentication default radius-scheme rad1 !---指定domain1中所有用户默认采用名为前面创建的名为rad1RADIUS认证/授权方案

[MainServer-isp-domain1] accounting default radius-scheme rad1 !---指定domain1中所有用户默认采用名为前面创建的名为rad1RADIUS计费方案

[MainServer-isp-domain1] quit

[MainServer] domain default enable domain1 !--- 配置系统缺省的ISP域为domain1,所有在登录时没有提供ISP域名的用户都属于这个域

4)配置主VAM服务器。

[MainServer] vam server ip-address 192.168.1.22 !----指定VAM服务器上的监听IP地址

[MainServer] vam server vpn 1 !----创建VPN1

[MainServer-vam-server-vpn-1] pre-shared-key simple 123456 !---配置预共享密钥为123456

[MainServer-vam-server-vpn-1] authentication-method chap !----配置对客户端进行CHAP认证

!---下面三条用来指定VPN1中的两个Hub地址。

[MainServer-vam-server-vpn-1] hub private-ip 10.0.1.1

[MainServer-vam-server-vpn-1] hub private-ip 10.0.1.2

[MainServer-vam-server-vpn-1] quit

[MainServer] vam server vpn 2 !---创建VPN2

[MainServer-vam-server-vpn-2] pre-shared-key simple 654321 !----配置预共享密钥为654321

[MainServer-vam-server-vpn-2] authentication-method pap !---配置对客户端进行PAP认证

!---下面三条指定VPN2中的两个Hub地址。

[MainServer-vam-server-vpn-2] hub private-ip 10.0.2.1

[MainServer-vam-server-vpn-2] hub private-ip 10.0.2.2

[MainServer-vam-server-vpn-1] quit

[MainServer] vam server enable all !----启动所有VPN域的VAM Server功能

二、备份VAM服务器的配置

下面再来配置备份VAM服务器。这部分除监听IP地址外,备份VAM ServerDVPN配置与主VAM服务器的相同,参见前面介绍的主VAM服务器配置。

三、Hub1的配置

1)配置各接口的IP地址(略)。

2)配置VAM客户端。

<Hub1> system-view

!---下面两条是创建VPN1的客户端dvpn1hub1

[Hub1] vam client name dvpn1hub1

[Hub1-vam-client-name-dvpn1hub1] vpn 1

!---下面三条是配置VAM服务器的IP地址及VAM客户端的预共享密钥。

[Hub1-vam-client-name-dvpn1hub1] server primary ip-address 192.168.1.22

[Hub1-vam-client-name-dvpn1hub1] server secondary ip-address 192.168.1.33

[Hub1-vam-client-name-dvpn1hub1] pre-shared-key simple 123456

!---下面三条是配置Hub1的本地用户,用户名为dvpn1hub1,密码为dvpn1hub1

[Hub1-vam-client-name-dvpn1hub1] user dvpn1hub1 password simple dvpn1hub1

[Hub1-vam-client-name-dvpn1hub1] client enable

[Hub1-vam-client-name-dvpn1hub1] quit

3)配置IPsec安全框架

!---下面几条是配置IPsec安全提议。

[Hub1] ipsec proposal proppo1

[Hub1-ipsec-proposal-vam] encapsulation-mode tunnel

[Hub1-ipsec-proposal-vam] transform esp

[Hub1-ipsec-proposal-vam] esp encryption-algorithm des

[Hub1-ipsec-proposal-vam] esp authentication-algorithm sha1

[Hub1-ipsec-proposal-vam] quit

!---下面几条是配置IKE对等体。

[Hub1] ike peer peer1

[Hub1-ike-peer-vam] pre-shared-key abcdef

[Hub1-ike-peer-vam] quit

!---下面几条是配置IPsec安全框架。

[Hub1] ipsec profile profile1

[Hub1-ipsec-profile-vamp] proposal propo1

[Hub1-ipsec-profile-vamp] ike-peer peer1

[Hub1-ipsec-profile-vamp] sa duration time-based 600

[Hub1-ipsec-profile-vamp] pfs dh-group2

[Hub1-ipsec-profile-vamp] quit

4)配置DVPN隧道,配置VPN1的隧道接口Tunnel1及属性。

[Hub1] interface tunnel 1

[Hub1-Tunnel1] tunnel-protocol dvpn udp

[Hub1-Tunnel1] vam client dvpn1hub1

[Hub1-Tunnel1] ip address 10.0.1.1 255.255.255.0

[Hub1-Tunnel1] source ethernet 1/1

[Hub1-Tunnel1] ospf network-type broadcast

[Hub1-Tunnel1] ipsec profile profile1

[Hub1-Tunnel1] quit

5)配置OSPF路由

!---下面几条是配置公网的路由信息。

[Hub1] ospf 100

[Hub1-ospf-100] area 0

[Hub1-ospf-100-area-0.0.0.0] network 192.168.1.1 0.0.0.255

[Hub1-ospf-100-area-0.0.0.0] quit

!---下面几条是配置私网的路由信息。

[Hub1] ospf 200

[Hub1-ospf-200] area 0

[Hub1-ospf-200-area-0.0.0.0] network 10.0.1.1 0.0.0.255

[Hub1-ospf-200-area-0.0.0.0] quit

四、Hub2的配置

1)配置各接口的IP地址(略)。

2)配置VAM客户端。

<Hub2> system-view

!---下面两条是创建VPN1的客户端dvpn1hub2

[Hub2] vam client name dvpn1hub2

[Hub2-vam-client-name-dvpn1hub2] vpn 1

!---下面三条是配置VAM服务器的IP地址及VAM客户端的预共享密钥。

[Hub2-vam-client-name-dvpn1hub2] server primary ip-address 192.168.1.22

[Hub2-vam-client-name-dvpn1hub2] server secondary ip-address 192.168.1.33

[Hub2-vam-client-name-dvpn1hub2] pre-shared-key simple 123456

!---下面三条是配置Hub1的本地用户,用户名为dvpn1hub2,密码为dvpn1hub2

[Hub2-vam-client-name-dvpn1hub2] user dvpn1hub1 password simple dvpn1hub2

[Hub2-vam-client-name-dvpn1hub2] client enable

[Hub2-vam-client-name-dvpn1hub2] quit

3)配置IPsec安全框架

!---下面几条是配置IPsec安全提议。

[Hub2] ipsec proposal propo1

[Hub2-ipsec-proposal-vam] encapsulation-mode tunnel

[Hub2-ipsec-proposal-vam] transform esp

[Hub2-ipsec-proposal-vam] esp encryption-algorithm des

[Hub2-ipsec-proposal-vam] esp authentication-algorithm sha1

[Hub2-ipsec-proposal-vam] quit

!---下面几条是配置IKE对等体。

[Hub2] ike peer peer1

[Hub2-ike-peer-vam] pre-shared-key abcdef

[Hub2-ike-peer-vam] quit

!---下面几条是配置IPsec安全框架。

[Hub2] ipsec profile profile1

[Hub2-ipsec-profile-vamp] proposal propo1

[Hub2-ipsec-profile-vamp] ike-peer peer1

[Hub2-ipsec-profile-vamp] sa duration time-based 600

[Hub2-ipsec-profile-vamp] pfs dh-group2

[Hub2-ipsec-profile-vamp] quit

4)配置DVPN隧道,配置VPN1的隧道接口Tunnel1及属性。

[Hub2] interface tunnel 1

[Hub2-Tunnel1] tunnel-protocol dvpn udp

[Hub2-Tunnel1] vam client dvpn1hub2

[Hub2-Tunnel1] ip address 10.0.1.2 255.255.255.0

[Hub2-Tunnel1] source ethernet 1/1

[Hub2-Tunnel1] ospf network-type broadcast

[Hub2-Tunnel1] ipsec profile profile1

[Hub2-Tunnel1] quit

5)配置OSPF路由

!---下面几条是配置公网的路由信息。

[Hub2] ospf 100

[Hub2-ospf-100] area 0

[Hub2-ospf-100-area-0.0.0.0] network 192.168.1.2 0.0.0.255

[Hub2-ospf-100-area-0.0.0.0] quit

!---下面几条是配置私网的路由信息。

[Hub2] ospf 200

[Hub2-ospf-200] area 0

[Hub2-ospf-200-area-0.0.0.0] network 10.0.1.2 0.0.0.255

[Hub2-ospf-200-area-0.0.0.0] quit

五、Spoke1配置。

1)配置各接口的IP地址(略)。

2)配置VAM客户端。

<Spoke1> system-view

!---下面两条是创建VPN1的客户端dvpn1spoke1

styl

分享到:
| 我是这样给Ubuntu Server服务器版安装桌面 ...
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Magicbox
Global site tag (gtag.js) - Google Analytics