Cisco IOS/CCP — 使用Cisco CP配置DMVPN

下载选项

PDF (1.8 MB)
在各种设备上使用 Adobe Reader 查看
ePub (2.0 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (2.2 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2011 年 9 月 27 日

文档 ID:113265

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档提供使用思科配置专家（思科CP）在中心路由器和分支路由器之间建立动态多点VPN(DMVPN)隧道的示例配置。动态多点VPN技术集成了GRE、IPSec加密、NHRP和路由等不同概念，可提供高级解决方案，使最终用户能够通过动态创建的分支到分支IPSec隧道进行有效通信。

先决条件

要求

为获得最佳DMVPN功能，建议您运行Cisco IOS®软件版本12.4 mainline、12.4T及更高版本。

使用的组件

本文档中的信息基于以下软件和硬件版本：

软件版本为12.4(22)的思科IOS路由器3800系列
软件版本12.3(8)的Cisco IOS路由器1800系列
思科配置专业版2.5

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档约定的更多信息，请参考 Cisco 技术提示约定。

背景信息

本文档提供了如何使用Cisco CP将路由器配置为辐条，将另一台路由器配置为集线器的信息。初始辐条配置如图所示，但稍后在文档中还会详细显示集线器相关配置，以便更好地了解。也可使用类似方法配置其他辐条以连接到集线器。当前场景使用以下参数：

集线器路由器公共网络 — 209.165.201.0
隧道网络 — 192.168.10.0
使用的路由协议 — OSPF

要启动Cisco CP应用并启动DMVPN向导，请转至Configure > Security > VPN > Dynamic Multipoint VPN。然后，选择“在DMVPN中创建辐条”选项，然后单击“启动选定任务”。
单击“下一步”开始.
选择中心辐射型网络选项，然后单击下一步。
指定集线器相关信息，例如集线器路由器的公共接口和集线器路由器的隧道接口。
指定分支的隧道接口详细信息和分支的公共接口。然后，单击Advanced。
验证隧道参数和NHRP参数，并确保它们与集线器参数完全匹配。
指定预共享密钥，然后单击Next。
单击Add以添加单独的IKE建议。
指定加密、身份验证和哈希参数。然后，单击OK。
可在此处查看新创建的IKE策略。单击 Next。
单击Next继续使用默认转换集。
选择所需的路由协议。此处选择了OSPF。
指定OSPF进程ID和区域ID。单击Add以添加要由OSPF通告的网络。
添加隧道网络并单击OK。
在分支路由器后面添加专用网络。然后单击 Next。
单击Finish完成向导配置。
单击Deliver执行命令。如果要保存配置，请选中将运行配置保存到设备的启动配置复选框。

分支的CLI配置

分支路由器
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des mode transport exit crypto ipsec profile CiscoCP_Profile1 set transform-set ESP-3DES-SHA exit interface Tunnel0 exit default interface Tunnel0 interface Tunnel0 bandwidth 1000 delay 1000 ip nhrp holdtime 360 ip nhrp network-id 100000 ip nhrp authentication DMVPN_NW ip ospf network point-to-multipoint ip mtu 1400 no shutdown ip address 192.168.10.5 255.255.255.0 ip tcp adjust-mss 1360 ip nhrp nhs 192.168.10.2 ip nhrp map 192.168.10.2 209.165.201.2 tunnel source FastEthernet0 tunnel destination 209.165.201.2 tunnel protection ipsec profile CiscoCP_Profile1 tunnel key 100000 exit router ospf 10 network 192.168.10.0 0.0.0.255 area 2 network 172.16.18.0 0.0.0.255 area 2 exit crypto isakmp key ******** address 209.165.201.2 crypto isakmp policy 2 authentication pre-share encr aes 192 hash sha group 1 lifetime 86400 exit crypto isakmp policy 1 authentication pre-share encr 3des hash sha group 2 lifetime 86400 exit

使用Cisco CP的集线器配置

本部分显示了如何为DMVPN配置中心路由器的分步方法。

转到Configure > Security > VPN > Dynamic Multipoint VPN，并选择Create a hub in a DMVPN选项。单击“Launch the selected task(启动所选任务)”。
单击 Next。
选择中心辐射型网络选项，然后单击下一步。
选择主集线器。然后单击 Next。
指定Tunnel接口参数，然后单击Advanced。
指定隧道参数和NHRP参数。然后，单击OK。
根据网络设置指定选项。
选择预共享密钥并指定预共享密钥。然后单击 Next。
单击Add以添加单独的IKE建议。
指定加密、身份验证和哈希参数。然后，单击OK。
可在此处查看新创建的IKE策略。单击 Next。
单击Next继续使用默认转换集。
选择所需的路由协议。此处选择了OSPF。
指定OSPF进程ID和区域ID。单击Add以添加要由OSPF通告的网络。
添加隧道网络并单击OK。
在集线器路由器后添加专用网络，然后单击Next。
单击Finish完成向导配置。
单击Deliver执行命令。

集线器的CLI配置

中心路由器
! crypto isakmp policy 1 encr 3des authentication pre-share group 2 ! crypto isakmp policy 2 encr aes 192 authentication pre-share crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0 ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac mode transport ! crypto ipsec profile CiscoCP_Profile1 set transform-set ESP-3DES-SHA ! interface Tunnel0 bandwidth 1000 ip address 192.168.10.2 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication DMVPN_NW ip nhrp map multicast dynamic ip nhrp network-id 100000 ip nhrp holdtime 360 ip tcp adjust-mss 1360 ip ospf network point-to-multipoint delay 1000 tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile CiscoCP_Profile1 ! router ospf 10 log-adjacency-changes network 172.16.20.0 0.0.0.255 area 2 network 192.168.10.0 0.0.0.255 area 2 !