多点GRE over IPsecVPN模式下nhrp的调优

一、实验目的

在多点GRE over IPsecVPN模式下对nhrp进行调优,在总部开启重定向、在分支开启shortcut

网络拓扑:

二、基础设置

(一)如图所示配置接口地址和区域,连接PC的接口位于trust区域、连接路由器的接口位于untrue区域、虚拟接口位于DMZ区域(此处省略......)

(二)安全策略配置

security-policy
 rule name OUT_TO_LOCAL
  source-zone untrust
  destination-zone local
  service protocol 50
  service protocol udp destination-port 500
  action permit
 rule name LOCAL_TO_ANY
  source-zone local
  action permit
 rule name IN_TO_DMZ
  source-zone trust
  destination-zone dmz
  action permit
 rule name DMZ_TO_IN
  source-zone dmz
  destination-zone trust
  source-address 10.1.0.0 mask 255.255.0.0
  destination-address 10.1.0.0 mask 255.255.0.0
  action permit

(三)将tunnel接口设置为gre p2mp模式(此处省略......)

(四)在tunnel接口下将ospf网络类型设置为broadcast模式,并设置FW1为根节点(此处省略......)

(五)配置IPsecVPN,其中Ike peer的对端为ALL模式,IPsec的策略使用profile方式设置(此处省略......)

(六)nhrp设置为多点自动解析和注册模式

总部: nhrp entry multicast dynamic

分支:nhrp entry 10.1.0.12 155.1.121.12 register

三、详细设置

在总部和分支分别修改nhrp的模式为shortcut方式

总部:

[FW1-Tunnel0]dis th
#
interface Tunnel0
 ip address 10.1.0.12 255.255.255.0
 tunnel-protocol gre p2mp
 source GigabitEthernet1/0/0
 ospf network-type broadcast
 service-manage ping permit
 nhrp redirect
 nhrp entry multicast dynamic
 ipsec profile DM_PRO
#

分支:

2024-07-09 03:17:18.580 
#
interface Tunnel0
 ip address 10.1.0.13 255.255.255.0
 tunnel-protocol gre p2mp
 source GigabitEthernet1/0/0
 ospf network-type broadcast
 ospf dr-priority 0
 service-manage ping permit
 nhrp shortcut
 nhrp entry 10.1.0.12 155.1.121.12 register
 ipsec profile DM_PRO

四、结果验证

(一)HNRP非shortcut模式下的情况:

1、初始状态

<FW2>dis ike sa
--------------------------------------------------------------------------------
----------------------------------------------------
 5          155.1.121.12:500                                               RD|ST
|A               v2:2   IP          155.1.121.12    
 4          155.1.121.12:500                                               RD|ST
|A               v2:1   IP          155.1.121.12    

  Number of IKE SA : 2
--------------------------------------------------------------------------------
----------------------------------------------------

<FW2>dis nhrp peer all
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.0.12       32    155.1.121.12    10.1.0.12       hub             up        
   
--------------------------------------------------------------------------------

2、通过pc2 ping通 pc4后,增加了目标的虚拟口地址和公网地址的映射

<FW2>dis ike sa 
--------------------------------------------------------------------------------
----------------------------------------------------
 7          155.1.141.254:500                                              RD|A 
                 v2:2   IP          155.1.141.254   
 6          155.1.141.254:500                                              RD|A 
                 v2:1   IP          155.1.141.254   

 5          155.1.121.12:500                                               RD|ST
|A               v2:2   IP          155.1.121.12    
 4          155.1.121.12:500                                               RD|ST
|A               v2:1   IP          155.1.121.12    

  Number of IKE SA : 4
--------------------------------------------------------------------------------
----------------------------------------------------

<FW2>dis nhrp peer all
--------------------------------------------------------------------------------
-- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.0.12       32    155.1.121.12    10.1.0.12       hub             up        
   
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
-- 
10.1.0.14       32    155.1.141.254   10.1.0.14       remote          up        
   
--------------------------------------------------------------------------------

(二)在配置nhrp shortcut后,多了目标的内网地址和公网地址的映射

[FW2-Tunnel0]dis nhrp peer all
-- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.0.12       32    155.1.121.12    10.1.0.12       hub             up        
   
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
-- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.14.10      32    155.1.141.254   10.1.0.14       remote-network  up        
   
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
-- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.0.14       32    155.1.141.254   10.1.0.14       remote          up        
   
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
-- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type            Flag      
   
--------------------------------------------------------------------------------
-- 
10.1.13.10      32    155.1.131.254   10.1.0.13       local           up        
   
--------------------------------------------------------------------------------

路由表也进行了调整

[FW2]dis ip routing-table protocol ospf 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

      10.1.12.0/24  OSPF    10   1563        D   10.1.0.12       Tunnel0
      10.1.14.0/24  OSPF    10   1563        D   10.1.0.14       Tunnel0

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/43510.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

qt5.15关于qradiobutton遇到的坑

前言 不知道是只有我遇到了&#xff0c;还是qt本身就存在这个bug 当将2个qradiobutton放入到一个布局内&#xff0c;然后进行来回切换&#xff0c;若无数据刷新的情况下&#xff0c;切换无异常&#xff0c;当窗体内有数据开始刷新了&#xff0c;则点击其中一个qradiobutton&am…

语法糖:代码中的甜品

人不走空 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌赋&#xff1a;斯是陋室&#xff0c;惟吾德馨 目录 &#x1f308;个人主页&#xff1a;人不走空 &#x1f496;系列专栏&#xff1a;算法专题 ⏰诗词歌…

以太网电路相关功能说明

RJ45模块用于PHY芯片之间的互连&#xff0c;如图1所示&#xff0c;RJ45有两种组合形式&#xff0c;一种是分立式&#xff0c;网口变压器和RJ45连接座是分开的&#xff0c;另一种是网口变压器和RJ45集成在一起。 图1 RJ45两种主要形式 接下来以分立式RJ45的百兆网电路做个说明&a…

基于springboot+vue养老院管理系统+lw+源码+讲解+调试+演示视频

第3章 系统分析 用户的需求以及与本系统相似的在市场上存在的其它系统可以作为系统分析中参考的资料&#xff0c;分析人员可以根据这些信息确定出本系统具备的功能&#xff0c;分析出本系统具备的性能等内容。 3.1可行性分析 尽管系统是根据用户的要求进行制作&#xff0c;但…

Matlab基础语法篇(上)

Matlab基础语法&#xff08;上&#xff09; 一、基知&#xff08;一&#xff09;界面介绍&#xff08;二&#xff09;常用快捷键&#xff08;三&#xff09;常用指令&#xff08;四&#xff09;Matlab帮助系统 二、运算基础&#xff08;一&#xff09;变量&#xff08;二&#…

【初阶数据结构】深入解析队列:探索底层逻辑

初阶数据结构相关知识点可以通过点击以下链接进行学习一起加油&#xff01;时间与空间复杂度的深度剖析深入解析顺序表:探索底层逻辑深入解析单链表:探索底层逻辑深入解析带头双向循环链表:探索底层逻辑深入解析栈:探索底层逻辑深入解析队列:探索底层逻辑深入解析循环队列:探索…

熬了一晚上,我从零实现了 Transformer 模型,把代码讲给你听

自从彻底搞懂Self_Attention机制之后&#xff0c;笔者对Transformer模型的理解直接从地下一层上升到大气层&#xff0c;瞬间打通任督二脉。夜夜入睡之前&#xff0c;那句柔情百转的"Attention is all you need"时常在耳畔环绕&#xff0c;情到深处不禁拍床叫好。于是…

客户案例|某大型证券公司数据库运维场景数据安全实践

证券行业涉及股票、债券、基金等金融产品的发行、交易和监管&#xff0c;业务具有数据规模大、数据价值高、数据应用场景复杂的显著特点&#xff0c;其中高速流转的业务系统中含有海量的客户个人信息、交易、行情、咨询等高敏感高价值信息。由于证券期货业务场景所具有的特殊性…

初中生物知识点总结(人教版)

第一章 认识生物 一、 生物的特征&#xff1a; 1&#xff0e; 生物的生活需要营养 2&#xff0e; 生物能进行呼吸 3&#xff0e; 生物能排出身体内产生的废物 4&#xff0e; 生物能对外界的刺激做出反应 5&#xff0e; 生物能生长和繁殖 除病毒以外&#xff0c;生物都是由细胞构…

单例模式(大话设计模式)C/C++版本

单例模式 C 饿汉 /* HM hungry man 饿汉 */ #include <iostream> using namespace std; class Singleton { private:Singleton() { cout << "单例对象创建&#xff01;" << endl; };Singleton(const Singleton &);Singleton &operator(c…

C++ 十进制与十六进制之间相互转换

十进制与十六进制之间相互转换 10_to_16 与二进制类似&#xff0c;十进制转十六进制对16整除&#xff0c;得到的余数的倒序即为转换而成的十六进制&#xff0c;特别地&#xff0c;如果超过10以后&#xff0c;分别用ABCDEF或abcdef来代替10、11、12、13、14、15。 代码1: #in…

【密码学基础】基于LWE(Learning with Errors)的全同态加密方案

学习资源&#xff1a; 全同态加密I&#xff1a;理论与基础&#xff08;上海交通大学 郁昱老师&#xff09; 全同态加密II&#xff1a;全同态加密的理论与构造&#xff08;Xiang Xie老师&#xff09; 现在第二代&#xff08;如BGV和BFV&#xff09;和第三代全同态加密方案都是基…

Git 快速上手

这个文档适用于需要快速上手 Git 的用户&#xff0c;本文尽可能的做到简单易懂 ❤️❤️❤️ git 的详细讲解请看这篇博客 Git 详解&#xff08;原理、使用&#xff09; 1. 什么是 Git Git 是目前最主流的一个版本控制器&#xff0c;并且是分布式版本控制系统&#xff0c;可…

合规与安全双重护航:ADVANCE.AI让跨境支付更无忧

近年来&#xff0c;随着全球化进程的加速和跨境贸易的蓬勃发展&#xff0c;跨境支付的需求大幅增加。根据Grand View Research的报告&#xff0c;2021年全球跨境支付市场规模估计为22.09万亿美元。到2025年&#xff0c;全球跨境支付市场预计将达到35.9万亿美元&#xff0c;较20…

rfid资产管理系统解决方案 rfid固定资产管理系统建设方案

在现代化的仓库储备中&#xff0c;仅仅完成对货物进出的简单批次处理已经不再足够&#xff0c;对库内货品的种类、数量、生产属性、垛位等信息的清晰记录变得至关重要。然而&#xff0c;传统的资产管理方式如条形码在长期使用中逐渐暴露出不耐脏、数据存储量小、读取间隔短、不…

优质可视化大屏模板+动态图表+科技感原件等

优质可视化大屏模板动态图表科技感原件等 软件版本&#xff1a;Axure RP 9 作品类型&#xff1a;高保真 作品内容&#xff1a; 1、大屏可视化模版&#xff08;100套&#xff09;&#xff1a;包含智慧城市、智慧社区、智慧园区、智慧农业、智慧水务、智慧警务、城市交通、电…

新加坡工作和生活指北:教育篇

文章首发于公众号&#xff1a;Keegan小钢 新加坡的基础教育在东南亚处于领先地位&#xff0c;这点基本是人尽皆知&#xff0c;但很多人对其教育体系只是一知半解&#xff0c;今日我们就来深入了解一下。 新加坡的学校主要分为三大类&#xff1a;政府学校、国际学校、私立学校。…

Python 中将字典内容保存到 Excel 文件使用详解

概要 在数据处理和分析的过程中,经常需要将字典等数据结构保存到Excel文件中,以便于数据的存储、共享和进一步分析。Python提供了丰富的库来实现这一功能,其中最常用的是pandas和openpyxl。本文将详细介绍如何使用这些库将字典内容保存到Excel文件中,并包含具体的示例代码…

Xterminal工具的安装与使用体验

Xterminal工具的安装与使用体验 一、Xterminal简介二、Xterminal核心特性三、Xterminal使用场景四、Xterminal下载地址五、Xterminal的基本使用5.1 设置仓库密码5.2 SSH连接5.3 Windows远程桌面5.4 笔记功能5.5 AI工具 六、总结 一、Xterminal简介 Xterminal是一款专为开发者设…

【Linux进阶】vim的用法

1.什么是vi/vim? 简单来说&#xff0c;vi是老式的文本编辑器&#xff0c;不过功能已经很齐全了&#xff0c;但是还是有可以进步的地方。vim则可以说是程序开发者的一项很好用的工具&#xff0c;就连 vim的官方网站&#xff08; http://www.vim.org&#xff09;自己也说vim是一…