hcie-security内容修订20套第二部分hc ds

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031066USG6000V1R1V1.0开发/优化者时间审核人开发类型（新开发/优化）姚传哲2014-08-15王锐开发丁祖贤2015-03-27优化本页不打印HC13031066DSVPN原理及应用 目标学完本课程后，您将能够:掌握DSVPN各组成协议的原理理解MGRE的原理和作用掌握NHRP协议的协商过程掌握DSVPN的各种配置细节 目录GRE Over IPSec的缺陷DSVPN原理介绍MGRENHRP协议原理及过程IPSec安全封装DSVPN应用场景分析DSVPN配置细节GRE Over IPSec的扩展性问题IPSEC 隧道

2、集中在hub点 所有流量都穿越hub点每来一个新的spoke点，hub都必须被配置当一边地址为动态时，点到点的GRE部署存在问题DSVPNDSVPN（Dynamic Smart IPsec VPNs），动态智能VPN。NHRP协议（NBMA Next Hop Resolution Protocol ），下一跳 解析协议。MGRE（Multipoint GRE），多点GRE。可选的IPSec封装，实现数据的安全传输。与DSVPN特性相关的参考标准与协议如下：RFC2332：The Next Hop Resolution Protocol（NHRP）RFC1701：Generic Routing

3、Encapsulation（GRE）DSVPN使用限制使用限制DSVPN网络中只支持两种路由协议：静态路由和OSPF路由协议。DSVPN特性不支持双机热备。DSVPN特性不支持虚拟系统。注意事项在同一个DSVPN网络中，所有Tunnel接口的IP地址应该配置为同一个网段。在MGRE隧道中，一个Tunnel接口下只能引用一个IPsec安全框架。在DSVPN部署了IPSec隧道时，快速刷新NHRP映射表会引发IKE邻居重协商等待，有可能造成业务中断，因此应避免频繁刷新NHRP映射表。mGRE多点GREMGRE（Multipoint Generic Routing Encapsulation）点到多

4、点的GRE隧道静态隧道动态隧道NHRP协议的作用NHRP（Next Hop Resolution Protocol）即下一跳地址解析协议。主要功能：解决非点到点直连网络跨互联网映射问题。类似于IPMAC，IPDHCI号。解决动态IP问题。NHRP协议报文src_protocol_address_lendst_protocol_address_lenflagsrequest_idsrc_nbma_addresssrc_protocol_addressCodeOffsetdst_protocol_addressNHRP（Next Hop Resolution Protocol）即下一跳地址解析协议

5、。报文必须字段：NHRP协议映射表NHRP（Next Hop Resolution Protocol）即下一跳地址解析协议。静态表项：手工配置获得；动态表项：主动注册或动态查询获得。NHRP协议协商过程一：Spoke向Hub注册NHRP协议协商过程二：Normal方式建立Spoke与Spoke之间的隧道Normal方式。当DSVPN采用分支节点相互学习路由方案时，源Spoke可以学习到目的Spoke的Tunnel地址（在该路由部署方案下，目的Spoke的Tunnel地址等同于源Spoke到目的Spoke路由的下一跳地址），因此源Spoke将以目的Spoke的Tunnel地址为索引，查找其公网地

6、址。NHRP协议协商过程二：Normal方式建立Spoke与Spoke之间的隧道Normal方式。NHRP协议协商过程二:Normal方式建立Spoke与Spoke之间的隧道Normal方式。MGRE隧道报文封装过程。NHRP协议协商过程三:Shortcut方式建立Spoke与Spoke之间的隧道Shortcut方式。NHRP协议协商过程三:Shortcut方式建立Spoke与Spoke之间的隧道Shortcut方式。MGRE隧道报文封装过程。IPSec安全封装 控制报文在DSVPN网络中经过IPSEC加密的封装格式：IPGRENHRPIPSec 数据报文在DSVPN网络中经过IPSEC加密的

7、封装格式（transport模式）：IPGREIPIPSecPayload当企业需要对总部和分支机构以及分支机构间传输的数据进行加密保护的时候，可以在部署DSVPN的同时绑定IPSec安全框架，实现分支间同时动态建立起MGRE隧道和IPSec隧道。DSVPN应用场景分析基本场景 介绍DSVPN网络的典型组网及应用。Hub主备备份场景 DSVPN支持部署多台Hub设备，用以提高总部的可靠性。 Hub负载分担场景 单台Hub设备受性能制约，其下所能连接的Spoke数量有限，当网络中Spoke节点较多时，总部需要部署多台Hub来提高总部的处理能力。级联场景 介绍设备同时充当Spoke和Hub两种角色

8、时的应用场景。DSVPN应用场景分析基本场景：DSVPN应用场景分析Hub主备备份场景：DSVPN应用场景分析Hub负载分担场景：DSVPN应用场景分析级联场景：DSVPN配置细则 配置DSVPN时，需要先配置MGRE隧道，再配置DSVPN网络中的路由学习方式。如果需要对隧道之间的流量进行加密，还需要配置IPSec安全框架。配置隧道参数配置路由参数（可选）配置IPSec安全框架DSVPN配置细则隧道参数配置配置Spoke节点的MGRE隧道参数：配置Tunnel接口的类型为P2MP。 system-view interface tunnel interface-number tunnel-pro

9、tocol gre p2mp ip address ip-address mask | maslength 配置静态NHRP映射表项。 nhrp entry protocol-address nbma-address register配置分支劢态生成本地的组播成员列表。 nhrp entry multicast dynamic（可选）配置MGRE隧道建立方式为Shortcut方式。 nhrp shortcutDSVPN配置细则隧道参数配置配置Hub节点的MGRE隧道参数：配置Tunnel接口的类型为P2MP。 system-view interface tunnel interface-num

10、ber tunnel-protocol gre p2mp配置分支劢态生成本地的组播成员列表。 nhrp entry multicast dynamic（可选）配置NHRP重定向功能。 nhrp redirectDSVPN配置细则路由配置分支节点相互学习路由：配置静态路由。 ip route-static ip-address mask | mask-length nexthop-address | interface-type interface-number nexthop-address 配置动态路由，动态路由只支持OSPF协议。 进入OSPF视图： ospf process-id 指定S

11、poke要发布的内网路由信息。 network address wildcard-mask进入Spoke的Tunnel接口视图，配置OSPF的网络类型为广播型。 interface tunnel interface-number ospf network-type broadcastDSVPN配置细则路由配置分支节点路由汇聚到总部：配置静态路由。 ip route-static ip-address mask | mask-length nexthop-address | interface-type interface-number nexthop-address 配置动态路由，动态路由只支

12、持OSPF协议。 进入OSPF视图： ospf process-id 指定Spoke要发布的内网路由信息。 network address wildcard-mask进入Spoke的Tunnel接口视图，配置OSPF的网络类型为广播型。 interface tunnel interface-number ospf network-type p2mpDSVPN配置细则IPSec保护 当企业需要对总部和分支机构以及分支机构间传输的数据进行加密保护的时候，可以在部署DSVPN的同时绑定IPSec安全框架，数据安全传输。创建一个IPSec安全框架，并进入IPSec安全框架视图。 ipsec profile profile-name在IPSec安全框架下绑定IKE对等体（对等体中无需配置本端和对端地址） ike-peer peer-name在I