ESR-series Documentation 1.20.0
Дерево страниц

Сравнение версий

Старая версия 49

changes.mady.by.user Сервисный центр Ethernet

Сохранено

по сравнению с

Новая версия 50

changes.mady.by.user Сервисный центр Ethernet

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.
Комментарий: [Сиваткин А.Н.] Добавил в алгоритм настройки DMVPN пример мапинга QoS политики к группе NHRP

...

Чтобы установить такое соединение, клиенты (NHC) по шифрованному IPsec-туннелю отправляют соответствие своего внутреннего (туннельного) адреса и внешнего (NBMA) адреса на NHRP-сервер (NHS). Когда клиент захочет соединиться с другим NHC, он посылает на сервер запрос, чтобы узнать его внешний адрес. Получив ответ от сервера, клиент теперь самостоятельно может устанавливать соединение c удалённым филиалом.

Алгоритм настройки

Шаг

Описание

Команда

Ключи

1

Проверить доступность «внешних» IP-адресов, находящихся на физических интерфейсах.

 


2

Подготовить IPsec-туннели для работы совместно с динамическими GRE-туннелями.

 

См. раздел Настройка Policy-based IPsec VPN.

2Создать GRE-туннель и перейти в режим его конфигурирования.

esr(config)# tunnel gre <INDEX>

<INDEX> – идентификатор туннеля.

3

Перевести GRE-туннель в режим multipoint.

esr(config-gre )# multipoint


4

Установить открытый пароль для NHRP-пакетов (не обязательно).

esr(config-gre)# ip nhrp authentication <WORD>

<WORD> – пароль в открытой форме, задается строкой [1..8] символов, может включать символы [0-9a-fA-F].

5

Указать время, в течение которого на NHS будет существовать запись о данном клиенте (не обязательно).

esr(config-gre)# ip nhrp holding-time <TIME>

<TIME> – время в секундах, в течение которого на сервере будет существовать запись о данном клиенте, принимает значения [1..65535].

Значение по умолчанию: 7200.

6

Задать «логический (туннельный)» адрес NHRP-сервера.

esr(config-gre)# ip nhrp nhs <ADDR> [ no-registration ]

<ADDR/LEN> – адрес, задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];

  • no-registration – не регистрироваться на NHRP сервере.

7

Задать соответствие «внутреннего» туннельного адреса с «внешним» NBMA-адресом.

esr(config-gre)# ip nhrp map <ADDR> <ADDR>

<ADDR> – IP-адрес задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

8

Определить адресата мультикастного трафика.

esr(config-gre)# ip nhrp multicast { dynamic | nhs | <ADDR> }

  • dynamic – отправлять на все пиры, с которыми есть соединение;
  • nhs – отправлять на все статические сконфигурированные сервера;

<ADDR> – отправлять на специфически сконфигурированный адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].

9

Включить возможность отправки NHRP Traffic Indication пакетов. Выполняется на NHS (не обязательно).

esr(config-gre)# ip nhrp redirect


10

Включить возможность создания кратчайших маршрутов. Выполняется на NHC (не обязательно).

esr(config-gre)# ip nhrp shortcut


11

Привязать IPsec-VPN к mGRE-туннелю (не обязательно).

esr(config-gre)# ip nhrp ipsec <WORD> { static | dynamic }

<WORD> – имя VPN, задаётся строкой до 31 символа;

  • static – статическое соединение, применятся для связи с NHS;
  • dynamic – динамически устанавливающееся соединение, конфигурируется для связи между NHC.
12Включить передачу группового атрибута от NHC на NHS при регистрации (не обязательно).esr(config-gre)# ip nhrp attribute group <WORD>
<WORD> – имя группы NHRP, задаётся строкой [1..40] символов, не принимает символы [^#].
13Задать на NHS соответствие группы NHRP, переданной NHC в ходе регистрации, и политики QoS, которая будет применена к исходящему в сторону этого NHC трафика.esr(config-gre)# ip nhrp map group <GROUP> service-policy output <POLICY><GROUP> - имя группы NHRP, задаётся строкой [1..40] символов, не принимает символы [^#];
<POLICY> - имя QoS политики, задается строкой [1..31] символов.
13

14

Включить работу протокола NHRP.

esr(config-gre)# ip nhrp enable

14


15

Организовать IP-связность посредством протокола динамической маршрутизации.



Остальные настройки – аналогичны настройкам статичного GRE-туннеля (см. раздел Настройка GRE-туннелей)

Пример настройки 1

Задача:

...

<MODE> – режим переподключения, принимает следующие значения:

  • no – установленное подключение XAUTH будет удалено, если для нового подключения XAUTH инициатором соединения будет отправлено уведомление "INITIAL_CONTACT", будет назначен ранее использованный IP-адрес. В противном случае, установленное соединение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес.
  • never – установленное подключение XAUTH будет удержано. Для нового подключения XAUTH будет назначен новый IP-адрес. Уведомление "INITIAL_CONTACT" будет в любом случае проигнорировано.
  • replace – установленное подключение XAUTH будет удалено. Для нового подключения XAUTH будет использован ранее использованный IP-адрес.
  • keep – установленное подключение XAUTH будет удержано. Новое подключение XAUTH будет отклонено. 

...