[典型配置]AR18宽带路由器DVPN的应用
日期:2007-10-17 荐:
组网和简单配置 1.1 DVPN典型组网应用 1.1.1 应用说明 分公司采用ADSL路由器接入INTERNET,配置为DVPN Client,地址为电信动态分配公网地址。此例中为3Com 3031和AR 18-32两种xDSL路由器。
总公司路由器采用AR 18-20路由器作为DVPN Server,WAN口ETH1/0分配固定的公有IP地址162.105.66.30。由于AR 18-20WAN口采用10M全双工模式,因此需要对端强制配置为10M全双工工作模式。 公司网络规划:192.168.10.x作为tunnel地址,维护DVPN隧道的信息;10.x.x.x作为路由器下挂公司网络的私网地址。总公司下网络地址分配为10.10.10.x,tunnel地址192.168.10.10;分公司A(使用路由器AR 18-32)下网络地址分配为10.10.11.x,tunnel地址192.168.10.11;分公司B(使用路由器3Com 3031)下网络地址分配为10.10.12.x,tunnel地址192.168.10.12。 1.1.2 组网图 图表 1 Client动态获得地址方式,连接DVPN Server的配置 1.1.3 配置步骤 配置Server接入到INTERNET …… AR 18-20 # sysname 1820 # interface Ethernet1/0 # interface Ethernet2/0 speed 10 duplex full ip address 162.105.66.30 255.255.255.0 # interface NULL0 # ip route-static 0.0.0.0 0.0.0.0 162.105.66.1 preference 60 # user-interface con 0 idle-timeout 0 0 user-interface vty 0 4 # return 按照ISP提供的服务类型配置Client接入到INTERNET …… AR 18-32 目前ISP可能提供的服务类型有PPPoEoA、PPPoA、IPoA、IPoEoA,具体的配置情况可以参考ADSL的配置文档。下面以PPPoEoA为例作为参考。 # sysname 1832 # dialer-rule 1 ip permit # interface Dialer0 link-protocol ppp mtu 1450 tcp mss 1410 ip address ppp-negotiate dialer user whateveryouwant dialer-group 1 dialer bundle 20 # interface Ethernet1/0 # interface Atm2/0 adsl standard gdmt # interface Atm2/0.1 p2p atm-link check pvc 1/36 map bridge Virtual-Ethernet1 # interface Virtual-Ethernet1 pppoe-client dial-bundle-number 20 # interface NULL0 # ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60 # user-interface con 0 user-interface vty 0 4 # return 配置DVPN Server …… AR 18-20 # 配置Tunnel0接口属性。 [1820]interface Tunnel 0 [1820-Tunnel0]tunnel-protocol udp dvpn [1820-Tunnel0]dvpn interface-type server [1820-Tunnel0]dvpn vpn-id 100 [1820-Tunnel0]dvpn udp-port 8008 [1820-Tunnel0]source Ethernet 2/0 [1820-Tunnel0]ip address 192.168.10.10 24 配置DVPN Client …… AR 18-32 # 配置dvpn-class。 [1832]dvpn class zongbu-server [1832-dvpn-class-zongbu-server]public-ip 162.105.66.30 [1832-dvpn-class-zongbu-server]private-ip 192.168.10.10 [1832-dvpn-class-zongbu-server]udp-port 8008 # 配置tunnel接口属性。 [1832]interface Tunnel 0 [1832-Tunnel0]tunnel-protocol udp dvpn [1832-Tunnel0]dvpn interface-type client [1832-Tunnel0]dvpn vpn-id 100 [1832-Tunnel0]dvpn server zongbu-server [1832-Tunnel0]source Dialer 0 [1832-Tunnel0]ip address 192.168.10.11 24 [1832-Tunnel0]dvpn udp-port 8001 验证DVPN链路是否正常 [1832-Tunnel0]dis dvpn map VPNID privateip publicip udpport state type 100 192.168.10.10 162.105.66.30 8008 Active CS dis dvpn map VPNID privateip publicip udpport state type 100 192.168.10.11 202.113.67.10 8001 Active CS 在DVPN域内配置发布私网路由
#配置分公司A(AR 18-32) [1832]interface Ethernet 1/0 [1832-Ethernet1/0]ip address 10.10.11.1 24 [1832-Ethernet1/0]dhcp select interface [1832]ospf 1 [1832-ospf-1]area 0 [1832-ospf-1-area-0.0.0.0]network 10.10.11.0 0.0.0.255 [1832-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 [1832]interface Tunnel 0 [1832-Tunnel0]ospf network-type p2mp #配置总公司A(AR 18-20) [1820]interface Ethernet 1/0 [1820-Ethernet1/0]ip address 10.10.10.1 24 [1820-Ethernet1/0]dhcp select interface [1820]ospf 1 [1820-ospf-1]area 0 [1820-ospf-1-area-0.0.0.0]network 10.10.10.0 0.0.0.255 [1820-ospf-1-area-0.0.0.0]network 192.168.10.0 0.0.0.255 [1820]interface Tunnel 0 [1820-Tunnel0]ospf network-type p2mp 参照分公司A的配置,配置分公司B路由器3Com 3031 路由表检查 dis ip rout Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface 0.0.0.0/0 STATIC 60 0 202.112.58.8 Dialer0 10.10.10.0/24 OSPF 10 1563 192.168.10.10 Tunnel0 10.10.11.0/24 OSPF 10 3125 192.168.10.10 Tunnel0 10.10.12.0/24 DIRECT 0 0 10.10.12.1 Ethernet1/0 10.10.12.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0 127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 192.168.10.0/24 DIRECT 0 0 192.168.10.12 Tunnel0 192.168.10.10/32 OSPF 10 1562 192.168.10.10 Tunnel0 192.168.10.11/32 OSPF 10 3124 192.168.10.10 Tunnel0 192.168.10.12/32 DIRECT 0 0 127.0.0.1 InLoopBack0 202.112.58.1/32 DIRECT 0 0 202.112.58.1 Dialer0 202.112.58.8/32 DIRECT 0 0 127.0.0.1 InLoopBack0 安全配置 DVPN封装支持GRE封装和UDP封装,对于路由路径中存在NAT的情况,只有UDP能够穿越NAT,因此如果配置GRE封装,dis dvpn map没有任何信息的时候,修改Client和Server的报文封装测试一下。 若需要配置Tunnel接口认证,应首先在Server及Client两端同时使能认证功能,并配置Client的私有密钥。然后在Server上配置Client的注册认证信息列表(包括Client的IP地址及Client的私有密钥),以便Client向Server注册时进行认证信息的匹配。 #配置总公司 [1820-Tunnel0]dvpn authenticate enable [1820-Tunnel0]dvpn client private-ip 192.168.10.11 key 9741039 [1820-Tunnel0]dvpn client private-ip 192.168.10.12 key 3031 #配置分公司A [1832-Tunnel0]dvpn authenticate enable [1832-Tunnel0]dvpn key 9741039 #配置分公司B [3031-Tunnel0]dvpn authenticate enable [3031-Tunnel0]dvpn key 3031
标签: