Cisco IOS/CCP — 使用Cisco CP配置DMVPN

簡介

本文檔提供使用Cisco Configuration Professional(Cisco CP)在中心路由器與分支路由器之間配置動態多點VPN(DMVPN)隧道的示例。 動態多點VPN技術整合了GRE、IPSec加密、NHRP和路由等不同概念，可提供複雜的解決方案，使終端使用者能夠通過動態建立的輻條到輻條IPSec隧道進行有效通訊。

必要條件

需求

要獲得最佳DMVPN功能，建議您運行Cisco IOS®軟體版本12.4 mainline、12.4T及更高版本。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 採用軟體版本12.4(22)的Cisco IOS路由器3800系列

• 採用軟體版本12.3(8)的Cisco IOS路由器1800系列

• 思科組態專業版2.5

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

背景資訊

本文檔提供有關如何使用Cisco CP將路由器配置為分支路由器並將另一路由器配置為集線器的資訊。最初顯示輻條配置，但稍後在文檔中會詳細顯示與集線器相關的配置，以便更好地理解。也可使用類似的方法配置其它輻條以連線到集線器。當前方案使用以下引數：

• 集線器路由器公共網路 — 209.165.201.0

• 隧道網路 — 192.168.10.0

• 使用的路由協定 — OSPF

設定

本節提供用於設定本文件中所述功能的資訊。

註：使用Command Lookup Tool(僅供已註冊客戶使用)可獲取本節中使用的命令的詳細資訊。

網路圖表

本檔案會使用以下網路設定：

使用Cisco CP的分支配置

本節介紹如何使用Cisco Configuration Professional中的分步DMVPN嚮導將路由器配置為分支。

1. 要啟動Cisco CP應用並啟動DMVPN嚮導，請轉至Configure > Security > VPN > Dynamic Multipoint VPN。然後，選擇在DMVPN中建立輻條選項，然後單擊Launch the selected task。

   

2. 按一下Next開始。

   

3. 選擇Hub and Spoke network選項，然後按一下Next。

   

4. 指定與集線器相關的資訊，例如集線器路由器的公共介面和集線器路由器的隧道介面。

   

5. 指定分支的隧道介面詳細資訊和分支的公共介面。然後按一下Advanced。

   

6. 驗證隧道引數和NHRP引數，並確保它們與Hub引數完全匹配。

   

7. 指定預共用金鑰並按一下下一步。

   

8. 按一下Add以新增單獨的IKE提議。

   

9. 指定加密、驗證和雜湊引數。然後，按一下OK。

   

10. 此處可以看到新建立的IKE策略。按「Next」（下一步）。

    

11. 按一下下一步繼續使用預設轉換集。

    

12. 選擇所需的路由協定。此處選擇了OSPF。

    

13. 指定OSPF進程ID和區域ID。按一下Add以新增要由OSPF通告的網路。

    

14. 新增隧道網路，然後按一下OK。

    

15. 在分支路由器後面新增專用網路。然後，按一下下一步。

    

16. 按一下完成完成嚮導配置。

    

17. 按一下Deliver執行命令。如果要儲存配置，請選中Save running config to device's startup config覈取方塊。

    

分支的CLI配置

相關CLI配置如下所示：

crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

使用Cisco CP的集線器配置

本節介紹了如何為DMVPN配置中心路由器的逐步方法。

1. 轉至Configure > Security > VPN > Dynamic Multipoint VPN，然後選擇Create a hub in a DMVPN選項。，按一下Launch the selected task。

   

2. 按「Next」（下一步）。

   

3. 選擇Hub and Spoke network選項，然後按一下Next。

   

4. 選擇Primary Hub。然後，按一下下一步。

   

5. 指定Tunnel介面引數，然後按一下Advanced。

   

6. 指定隧道引數和NHRP引數。然後，按一下OK。

   

7. 根據您的網路設定指定選項。

   

8. 選擇Pre-shared Keys並指定預共用金鑰。然後，按一下下一步。

   

9. 按一下Add以新增單獨的IKE提議。

   

10. 指定加密、驗證和雜湊引數。然後，按一下OK。

    

11. 此處可以看到新建立的IKE策略。按「Next」（下一步）。

    

12. 按一下下一步繼續使用預設轉換集。

    

13. 選擇所需的路由協定。此處選擇了OSPF。

    

14. 指定OSPF進程ID和區域ID。按一下Add以新增要由OSPF通告的網路。

    

15. 新增隧道網路，然後按一下OK。

    

16. 在中心路由器後面新增專用網路，然後按一下下一步。

    

17. 按一下完成完成嚮導配置。

    

18. 按一下Deliver執行命令。

    

集線器的CLI配置

相關CLI配置如下所示：

!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

使用CCP編輯DMVPN配置

選擇隧道介面並按一下Edit時，可以手動編輯現有的DMVPN隧道引數。

通道介面引數（例如MTU和通道金鑰）在General索引標籤下修改。

1. 根據NHRP頁籤下的要求找到並修改NHRP相關引數。對於分支路由器，您應該能夠將NHS作為中心路由器的IP地址檢視。在NHRP對映部分中按一下Add以新增NHRP對映。

   

2. 根據網路設定，可以如下所示配置NHRP對映引數：

   

在「工藝路線」(Routing)頁籤下檢視和修改與工藝路線相關的引數。

更多資訊

DMVPN隧道通過以下兩種方式配置：

• 通過中心點進行輻射到輻射通訊

• 無中心點的分支對分支通訊

本文只討論第一種方法。為了允許建立輻射點到輻射點動態IPSec隧道，使用此方法將輻射點新增到DMVPN雲：

1. 啟動DMVPN嚮導並選擇分支配置選項。

2. 在DMVPN Network Topology視窗中，選擇Full meshed network選項，而不是Hub and Spoke network選項。

   

3. 使用與本文檔中的其他配置相同的步驟完成其餘配置。

驗證

目前沒有適用於此組態的驗證程序。

相關資訊

• Cisco動態多點VPN:簡單、安全的分支機構到分支機構通訊
• IOS 12.2動態多點VPN(DMVPN)
• 技術支援與文件 - Cisco Systems