多点GRE over IPsecVPN模式下nhrp的调优

一、实验目的

在多点GRE over IPsecVPN模式下对nhrp进行调优,在总部开启重定向、在分支开启shortcut

网络拓扑:

二、基础设置

(一)如图所示配置接口地址和区域,连接PC的接口位于trust区域、连接路由器的接口位于untrue区域、虚拟接口位于DMZ区域(此处省略......)

(二)安全策略配置

security-policy
 rule name OUT_TO_LOCAL
  source-zone untrust
  destination-zone local
  service protocol 50
  service protocol udp destination-port 500
  action permit
 rule name LOCAL_TO_ANY
  source-zone local
  action permit
 rule name IN_TO_DMZ
  source-zone trust
  destination-zone dmz
  action permit
 rule name DMZ_TO_IN
  source-zone dmz
  destination-zone trust
  source-address 10.1.0.0 mask 255.255.0.0
  destination-address 10.1.0.0 mask 255.255.0.0
  action permit

(三)将tunnel接口设置为gre p2mp模式(此处省略......)

(四)在tunnel接口下将ospf网络类型设置为broadcast模式,并设置FW1为根节点(此处省略......)

(五)配置IPsecVPN,其中Ike peer的对端为ALL模式,IPsec的策略使用profile方式设置(此处省略......)

(六)nhrp设置为多点自动解析和注册模式

总部: nhrp entry multicast dynamic

分支:nhrp entry 10.1.0.12 155.1.121.12 register

三、详细设置

在总部和分支分别修改nhrp的模式为shortcut方式

总部:

[FW1-Tunnel0]dis th
#
interface Tunnel0
 ip address 10.1.0.12 255.255.255.0
 tunnel-protocol gre p2mp
 source GigabitEthernet1/0/0
 ospf network-type broadcast
 service-manage ping permit
 nhrp redirect
 nhrp entry multicast dynamic
 ipsec profile DM_PRO
#

分支:

2024-07-09 03:17:18.580 
#
interface Tunnel0
 ip address 10.1.0.13 255.255.255.0
 tunnel-protocol gre p2mp
 source GigabitEthernet1/0/0
 ospf network-type broadcast
 ospf dr-priority 0
 service-manage ping permit
 nhrp shortcut
 nhrp entry 10.1.0.12 155.1.121.12 register
 ipsec profile DM_PRO

四、结果验证

(一)HNRP非shortcut模式下的情况:

1、初始状态

<FW2>dis ike sa
--------------------------------------------------------------------------------
----------------------------------------------------
 5          155.1.121.12:500                                               RD|ST
|A               v2:2   IP          155.1.121.12    
 4          155.1.121.12:500                                               RD|ST
|A               v2:1   IP          155.1.121.12    

  Number of IKE SA : 2
--------------------------------------------------------------------------------
----------------------------------------------------

<FW2>dis nhrp peer all
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.0.12       32    155.1.121.12    10.1.0.12       hub             up        
   
--------------------------------------------------------------------------------

2、通过pc2 ping通 pc4后,增加了目标的虚拟口地址和公网地址的映射

<FW2>dis ike sa 
--------------------------------------------------------------------------------
----------------------------------------------------
 7          155.1.141.254:500                                              RD|A 
                 v2:2   IP          155.1.141.254   
 6          155.1.141.254:500                                              RD|A 
                 v2:1   IP          155.1.141.254   
 5          155.1.121.12:500                                               RD|ST
|A               v2:2   IP          155.1.121.12    
 4          155.1.121.12:500                                               RD|ST
|A               v2:1   IP          155.1.121.12    

  Number of IKE SA : 4
--------------------------------------------------------------------------------
----------------------------------------------------

<FW2>dis nhrp peer all
--------------------------------------------------------------------------------
-- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.0.12       32    155.1.121.12    10.1.0.12       hub             up        
   
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
-- 
10.1.0.14       32    155.1.141.254   10.1.0.14       remote          up        
   
--------------------------------------------------------------------------------

(二)在配置nhrp shortcut后,多了目标的内网地址和公网地址的映射

[FW2-Tunnel0]dis nhrp peer all
-- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.0.12       32    155.1.121.12    10.1.0.12       hub             up        
   
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
-- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.14.10      32    155.1.141.254   10.1.0.14       remote-network  up        
   
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
-- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.0.14       32    155.1.141.254   10.1.0.14       remote          up        
   
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
-- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.13.10      32    155.1.131.254   10.1.0.13       local           up        
   
--------------------------------------------------------------------------------

路由表也进行了调整

[FW2]dis ip routing-table protocol ospf 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

      10.1.12.0/24  OSPF    10   1563        D   10.1.0.12       Tunnel0
      10.1.14.0/24  OSPF    10   1563        D   10.1.0.14       Tunnel0

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/43510.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

qt5.15关于qradiobutton遇到的坑

qt5.15关于qradiobutton遇到的坑

前言 不知道是只有我遇到了&#xff0c;还是qt本身就存在这个bug 当将2个qradiobutton放入到一个布局内&#xff0c;然后进行来回切换&#xff0c;若无数据刷新的情况下&#xff0c;切换无异常&#xff0c;当窗体内有数据开始刷新了&#xff0c;则点击其中一个qradiobutton&am…
阅读更多...
语法糖:代码中的甜品

语法糖:代码中的甜品

人不走空 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌赋&#xff1a;斯是陋室&#xff0c;惟吾德馨 目录 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌…
阅读更多...
以太网电路相关功能说明

以太网电路相关功能说明

RJ45模块用于PHY芯片之间的互连&#xff0c;如图1所示&#xff0c;RJ45有两种组合形式&#xff0c;一种是分立式&#xff0c;网口变压器和RJ45连接座是分开的&#xff0c;另一种是网口变压器和RJ45集成在一起。 图1 RJ45两种主要形式 接下来以分立式RJ45的百兆网电路做个说明&a…
阅读更多...
基于springboot+vue养老院管理系统+lw+源码+讲解+调试+演示视频

基于springboot+vue养老院管理系统+lw+源码+讲解+调试+演示视频

第3章 系统分析 用户的需求以及与本系统相似的在市场上存在的其它系统可以作为系统分析中参考的资料&#xff0c;分析人员可以根据这些信息确定出本系统具备的功能&#xff0c;分析出本系统具备的性能等内容。 3.1可行性分析 尽管系统是根据用户的要求进行制作&#xff0c;但…
阅读更多...
Matlab基础语法篇(上)

Matlab基础语法篇(上)

Matlab基础语法&#xff08;上&#xff09; 一、基知&#xff08;一&#xff09;界面介绍&#xff08;二&#xff09;常用快捷键&#xff08;三&#xff09;常用指令&#xff08;四&#xff09;Matlab帮助系统 二、运算基础&#xff08;一&#xff09;变量&#xff08;二&#…
阅读更多...
车道线识别研究

车道线识别研究

想研究车道线识别的深度学习网络… 目录 1.车道线数据集汇总及研究1.1 CULane Datesets1.1.1 相关连接1.1.2 介绍 1.2 Tusimple1.3 LLAMAS1.4 APOLLOSCAPE 2.车道线检测框架2.1 LaneNet&#xff1a;实时车道线检测框架 1.车道线数据集汇总及研究 参考文档&#xff1a; 1.车道线…
阅读更多...
sysbench 搭建使用

sysbench 搭建使用

1.下载地址&#xff1a; https://github.com/akopytov/sysbench/tree/0.5 2.安装 #进入解压目录&#xff0c;并且创建安装目录&#xff1a; unzip sysbench-0.5.zip cd sysbench-0.5#安装依赖包 yum -y install automake autoconf libtool mysql-devel#准备编译 ./autogen.s…
阅读更多...
【初阶数据结构】深入解析队列:探索底层逻辑

【初阶数据结构】深入解析队列:探索底层逻辑

初阶数据结构相关知识点可以通过点击以下链接进行学习一起加油&#xff01;时间与空间复杂度的深度剖析深入解析顺序表:探索底层逻辑深入解析单链表:探索底层逻辑深入解析带头双向循环链表:探索底层逻辑深入解析栈:探索底层逻辑深入解析队列:探索底层逻辑深入解析循环队列:探索…
阅读更多...
三、Python日志系统之监控邮件发送

三、Python日志系统之监控邮件发送

import smtplib from email.mime.text import MIMEText import time import os import datetime from watchdog.observers import Observer from watchdog.events import FileSystemEventHandler# 邮件配置 SMTP_SERVER smtp.example.com SMTP_PORT 587 SMTP_USERNAME your_…
阅读更多...
EXISTS、NOT EXISTS、IN和NOT IN辨析

EXISTS、NOT EXISTS、IN和NOT IN辨析

文章目录 概要EXISTSNOT EXISTSINNOT IN辨析 概要 EXISTS、NOT EXISTS、IN 和 NOT IN 是 SQL 中用于查询时进行条件判断的关键字&#xff0c;它们在功能上有相似之处&#xff0c;但使用场景和性能表现上有所不同。 EXISTS 1.用途&#xff1a;用于子查询中&#xff0c;判断子…
阅读更多...
C++:cv.absdiff函数含义

C++:cv.absdiff函数含义

在OpenCV库中&#xff0c;absdiff函数是一个非常重要的图像处理函数&#xff0c;其意义在于计算两个输入数组&#xff08;通常是图像&#xff09;之间对应元素差的绝对值。这个函数在图像处理和计算机视觉领域有着广泛的应用&#xff0c;如图像对比、运动检测等。 函数的基本用…
阅读更多...
python第三方库【numpy.array】的使用(超详细)

python第三方库【numpy.array】的使用(超详细)

NumPy 是 Python 中用于科学计算的基础库之一&#xff0c;它提供了高性能的多维数组对象以及这些数组的操作。NumPy 的核心数据结构是 ndarray&#xff08;N-dimensional array&#xff0c;N维数组&#xff09;&#xff0c;它提供了一种高效的存储和操作大型多维数组的方法。以…
阅读更多...
熬了一晚上,我从零实现了 Transformer 模型,把代码讲给你听

熬了一晚上,我从零实现了 Transformer 模型,把代码讲给你听

自从彻底搞懂Self_Attention机制之后&#xff0c;笔者对Transformer模型的理解直接从地下一层上升到大气层&#xff0c;瞬间打通任督二脉。夜夜入睡之前&#xff0c;那句柔情百转的"Attention is all you need"时常在耳畔环绕&#xff0c;情到深处不禁拍床叫好。于是…
阅读更多...
客户案例|某大型证券公司数据库运维场景数据安全实践

客户案例|某大型证券公司数据库运维场景数据安全实践

证券行业涉及股票、债券、基金等金融产品的发行、交易和监管&#xff0c;业务具有数据规模大、数据价值高、数据应用场景复杂的显著特点&#xff0c;其中高速流转的业务系统中含有海量的客户个人信息、交易、行情、咨询等高敏感高价值信息。由于证券期货业务场景所具有的特殊性…
阅读更多...
初中生物知识点总结(人教版)

初中生物知识点总结(人教版)

第一章 认识生物 一、 生物的特征&#xff1a; 1&#xff0e; 生物的生活需要营养 2&#xff0e; 生物能进行呼吸 3&#xff0e; 生物能排出身体内产生的废物 4&#xff0e; 生物能对外界的刺激做出反应 5&#xff0e; 生物能生长和繁殖 除病毒以外&#xff0c;生物都是由细胞构…
阅读更多...
单例模式(大话设计模式)C/C++版本

单例模式(大话设计模式)C/C++版本

单例模式 C 饿汉 /* HM hungry man 饿汉 */ #include <iostream> using namespace std; class Singleton { private:Singleton() { cout << "单例对象创建&#xff01;" << endl; };Singleton(const Singleton &);Singleton &operator(c…
阅读更多...
C++:cv.contourArea()函数解析

C++:cv.contourArea()函数解析

cv::contourArea是OpenCV库中用于计算轮廓面积的函数。该函数非常适用于图像处理中的形状分析、物体检测等领域。以下是关于cv::contourArea的详细介绍&#xff1a; 一、函数概述 cv::contourArea是OpenCV中用于计算封闭轮廓面积的函数。它接受一个轮廓作为输入&#xff0c;并…
阅读更多...
Fedora 41 移除 Python 2支持

Fedora 41 移除 Python 2支持

2024年的今天&#xff0c;在 Python 3 发布 16 年后&#xff0c;Fedora 发行版项目宣布 Fedora 41 将移除 Python 2.7。 除了 PyPy&#xff0c;Fedora 41 以及之后的版本将不再有 Python 2.7。运行时或构建时需要 python2.7 的软件包也将面临退役。 Fedora 41 将包含图像处理…
阅读更多...
C++ 十进制与十六进制之间相互转换

C++ 十进制与十六进制之间相互转换

十进制与十六进制之间相互转换 10_to_16 与二进制类似&#xff0c;十进制转十六进制对16整除&#xff0c;得到的余数的倒序即为转换而成的十六进制&#xff0c;特别地&#xff0c;如果超过10以后&#xff0c;分别用ABCDEF或abcdef来代替10、11、12、13、14、15。 代码1: #in…
阅读更多...
【密码学基础】基于LWE(Learning with Errors)的全同态加密方案

【密码学基础】基于LWE(Learning with Errors)的全同态加密方案

学习资源&#xff1a; 全同态加密I&#xff1a;理论与基础&#xff08;上海交通大学 郁昱老师&#xff09; 全同态加密II&#xff1a;全同态加密的理论与构造&#xff08;Xiang Xie老师&#xff09; 现在第二代&#xff08;如BGV和BFV&#xff09;和第三代全同态加密方案都是基…
阅读更多...
最新文章

Copyright @ 2022~2023