[典型配置]AR18宽带路由器DVPN的应用

　　组网和简单配置 　　1.1　 DVPN典型组网应用　　1.1.1　　　　　　应用说明　　分公司采用ADSL路由器接入INTERNET，配置为DVPN Client，地址为电信动态分配公网地址。此例中为3Com 3031和AR 18-32两种xDSL路由器。　　 　　总公司路由器采用AR 18-20路由器作为DVPN Server，WAN口ETH1/0分配固定的公有IP地址162.105.66.30。由于AR 18-20WAN口采用10M全双工模式，因此需要对端强制配置为10M全双工工作模式。　　　　公司网络规划：192.168.10.x作为tunnel地址，维护DVPN隧道的信息；10.x.x.x作为路由器下挂公司网络的私网地址。总公司下网络地址分配为10.10.10.x，tunnel地址192.168.10.10；分公司A（使用路由器AR 18-32）下网络地址分配为10.10.11.x，tunnel地址192.168.10.11；分公司B（使用路由器3Com 3031）下网络地址分配为10.10.12.x，tunnel地址192.168.10.12。　　　　1.1.2　　　　　　组网图　　 　　图表 1 Client动态获得地址方式，连接DVPN Server的配置　　1.1.3　　　　　　配置步骤　　配置Server接入到INTERNET …… AR 18-20　　　　#　　　　 sysname 1820　　　　#　　　　interface Ethernet1/0　　　　#　　　　interface Ethernet2/0　　　　 speed 10　　　　 duplex full　　　　 ip address 162.105.66.30 255.255.255.0　　　　#　　　　interface NULL0　　　　#　　　　 ip route-static 0.0.0.0 0.0.0.0 162.105.66.1 preference 60　　　　#　　　　user-interface con 0　　　　 idle-timeout 0 0　　　　user-interface vty 0 4　　　　#　　　　return　　　　按照ISP提供的服务类型配置Client接入到INTERNET …… AR 18-32　　　　目前ISP可能提供的服务类型有PPPoEoA、PPPoA、IPoA、IPoEoA，具体的配置情况可以参考ADSL的配置文档。下面以PPPoEoA为例作为参考。　　　　#　　　　 sysname 1832　　　　#　　　　 dialer-rule 1 ip permit　　　　#　　　　interface Dialer0　　　　 link-protocol ppp　　　　 mtu 1450　　　　 tcp mss 1410　　　　 ip address ppp-negotiate　　　　 dialer user whateveryouwant　　　　 dialer-group 1　　　　 dialer bundle 20　　　　#　　　　interface Ethernet1/0　　　　#　　　　interface Atm2/0　　　　 adsl standard gdmt　　　　#　　　　interface Atm2/0.1 p2p　　　　 atm-link check　　　　 pvc 1/36　　　　　map bridge Virtual-Ethernet1　　　　#　　　　interface Virtual-Ethernet1　　　　 pppoe-client dial-bundle-number 20　　　　#　　　　interface NULL0　　　　#　　　　 ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60　　　　#　　　　user-interface con 0　　　　user-interface vty 0 4　　　　#　　　　return　　　　配置DVPN Server …… AR 18-20　　　　# 配置Tunnel0接口属性。　　　　[1820]interface Tunnel 0　　　　[1820-Tunnel0]tunnel-protocol udp dvpn　　　　[1820-Tunnel0]dvpn interface-type server　　　　[1820-Tunnel0]dvpn vpn-id 100　　　　[1820-Tunnel0]dvpn udp-port 8008　　　　[1820-Tunnel0]source Ethernet 2/0　　　　[1820-Tunnel0]ip address 192.168.10.10 24　　　　配置DVPN Client …… AR 18-32　　　　# 配置dvpn-class。　　　　[1832]dvpn class zongbu-server　　　　[1832-dvpn-class-zongbu-server]public-ip 162.105.66.30　　　　[1832-dvpn-class-zongbu-server]private-ip 192.168.10.10　　　　[1832-dvpn-class-zongbu-server]udp-port 8008　　　　# 配置tunnel接口属性。　　　　[1832]interface Tunnel 0　　　　[1832-Tunnel0]tunnel-protocol udp dvpn　　　　[1832-Tunnel0]dvpn interface-type client　　　　[1832-Tunnel0]dvpn vpn-id 100　　　　[1832-Tunnel0]dvpn server zongbu-server　　　　[1832-Tunnel0]source Dialer 0　　　　[1832-Tunnel0]ip address 192.168.10.11 24　　　　[1832-Tunnel0]dvpn udp-port 8001　　　　验证DVPN链路是否正常　　　　[1832-Tunnel0]dis dvpn map　　　　　VPNID　　　　　privateip　　　　　 publicip　 udpport　　 state　　 type　　　　　　100　　　192.168.10.10　　　162.105.66.30　　　8008　　Active　　CS　　　　dis dvpn map　　　　　VPNID　　　　　privateip　　　　　 publicip　 udpport　　 state　　 type　　　　　　100　　　192.168.10.11　　　202.113.67.10　　　8001　　Active　　CS　　　　在DVPN域内配置发布私网路由 　　　　#配置分公司A（AR 18-32）　　　　[1832]interface Ethernet 1/0　　　　[1832-Ethernet1/0]ip address 10.10.11.1 24　　　　[1832-Ethernet1/0]dhcp select interface　　　　[1832]ospf 1　　　　[1832-ospf-1]area 0　　　　[1832-ospf-1-area-0.0.0.0]network 10.10.11.0 0.0.0.255　　　　[1832-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255　　　　[1832]interface Tunnel 0　　　　[1832-Tunnel0]ospf network-type p2mp　　　　#配置总公司A（AR 18-20）　　　　[1820]interface Ethernet 1/0　　　　[1820-Ethernet1/0]ip address 10.10.10.1 24　　　　[1820-Ethernet1/0]dhcp select interface　　　　[1820]ospf 1　　　　[1820-ospf-1]area 0　　　　[1820-ospf-1-area-0.0.0.0]network 10.10.10.0 0.0.0.255　　　　[1820-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255　　　　[1820]interface Tunnel 0　　　　[1820-Tunnel0]ospf network-type p2mp　　　　参照分公司A的配置，配置分公司B路由器3Com 3031　　　　　　路由表检查　　　　dis ip rout　　　　 Routing Table: public net　　　　Destination/Mask　 Protocol Pre　Cost　　　　Nexthop　　　　 Interface　　　　0.0.0.0/0　　　　　STATIC　 60　 0　　　　　 202.112.58.8　　Dialer0　　　　10.10.10.0/24　　　OSPF　　 10　 1563　　　　192.168.10.10　 Tunnel0　　　　10.10.11.0/24　　　OSPF　　 10　 3125　　　　192.168.10.10　 Tunnel0　　　　10.10.12.0/24　　　DIRECT　 0　　0　　　　　 10.10.12.1　　　Ethernet1/0　　　　10.10.12.1/32　　　DIRECT　 0　　0　　　　　 127.0.0.1　　　 InLoopBack0　　　　127.0.0.0/8　　　　DIRECT　 0　　0　　　　　 127.0.0.1　　　 InLoopBack0　　　　127.0.0.1/32　　　 DIRECT　 0　　0　　　　　 127.0.0.1　　　 InLoopBack0　　　　192.168.10.0/24　　DIRECT　 0　　0　　　　　 192.168.10.12　 Tunnel0　　　　192.168.10.10/32　 OSPF　　 10　 1562　　　　192.168.10.10　 Tunnel0　　　　192.168.10.11/32　 OSPF　　 10　 3124　　　　192.168.10.10　 Tunnel0　　　　192.168.10.12/32　 DIRECT　 0　　0　　　　　 127.0.0.1　　　 InLoopBack0　　　　202.112.58.1/32　　DIRECT　 0　　0　　　　　 202.112.58.1　　Dialer0　　　　202.112.58.8/32　　DIRECT　 0　　0　　　　　 127.0.0.1　　　 InLoopBack0　　　　安全配置　　DVPN封装支持GRE封装和UDP封装，对于路由路径中存在NAT的情况，只有UDP能够穿越NAT，因此如果配置GRE封装，dis dvpn map没有任何信息的时候，修改Client和Server的报文封装测试一下。　　　　若需要配置Tunnel接口认证，应首先在Server及Client两端同时使能认证功能，并配置Client的私有密钥。然后在Server上配置Client的注册认证信息列表（包括Client的IP地址及Client的私有密钥），以便Client向Server注册时进行认证信息的匹配。　　　　#配置总公司　　　　[1820-Tunnel0]dvpn authenticate enable　　　　[1820-Tunnel0]dvpn client private-ip 192.168.10.11 key 9741039　　　　[1820-Tunnel0]dvpn client private-ip 192.168.10.12 key 3031　　　　#配置分公司A　　　　[1832-Tunnel0]dvpn authenticate enable　　　　[1832-Tunnel0]dvpn key 9741039　　　　#配置分公司B　　　　[3031-Tunnel0]dvpn authenticate enable　　　　[3031-Tunnel0]dvpn key 3031