HCIE-Security Day24：DSPN+NHRP+Mgre：实验(三）配置非shortcut方式DSPN（BGP路由协议）（hcie-security这是什么证书）

HCIE-Security Day24：DSPN+NHRP+Mgre：实验(三）配置非shortcut方式DSPN（BGP路由协议）（hcie-security这是什么证书）

目录

​​复习bgp的内容​​

​​bgp邻居建立过程​​

​​实验：配置非shortcut方式DSVPN（BGP路由协议）​​

​​需求和拓扑​​

​​操作步骤​​

​​1、配置地址和安全区域​​

​​2、配置安全策略​​

​​3、配置公网动态路由确保公网接口路由可达​​

​​4、配置tunnel​​

​​ 5、配置ebgp​​

​​分析和验证​​

​​1、在pc3上ping pc2​​

​​2、检查spoke2的nhrp表​​

如果分支机构分布地域较远，处于不同的as域中，总部和分支机构的私有子网环境频繁变动，比如新增和删除。为了简化维护，as间建立ebgp来传递网络路由就比较适合。

复习bgp的内容

bgp邻居建立过程

bgp依托tcp传递协议数据来建立邻居关系。邻居关系是相对于router-id而言的，而tcp是基于ip的，所以bgp的route-id必须路由可达。

bgp的router-id是手工配置或者自动生成的。如果没有进行手工配置，那么就会使用逻辑接口的地址作为路由器的router-id。这个逻辑接口可以是loopback接口，也可以是tunnel接口。如果没有up的逻辑接口，才会使用地址最大的物理接口的ip地址。

bgp建立过程中全部使用单播报文。

缺省情况下，分支向hub发送nhrp注册报文的周期为1800s，这个注册会触发hub建立及维持nhrp映射，所以，当hub重启后，除非spoke也进行重启，否则不会立即发送nhrp注册消息， 从而hub的nhrp映射表还是空的。所以无法建立起spoke的公网地址和隧道地址的映射关系，bgp关系也就无法建立起来，而是停留在connect阶段，因为无法发送open消息。

如果在已经手动配置了注册的情况下，想通过再配一次触发注册是不行的，vrp会提示已经注册。

手动在spoke节点的tunnel接口下 undo nhrp entry x.x.x.x x.x.x.x regester。将会触发取消注册报文的发送。

取消后再配置才能触发注册消息发送。

紧随其后，bgp的open报文也会从hub开始发送，随后spoke也回复一个。

实验：配置非shortcut方式DSVPN（BGP路由协议）

需求和拓扑

某中小企业有总部（Hub）和两个分支（Spoke1和Spoke2），分布在不同地域并所属不同AS域，总部和分支的子网环境会经常出现变动。分支采用动态地址接入公网。企业现网网络规划AS域内部使用OSPF路由协议，AS域间使用EBGP路由协议。

现在用户希望能够实现分支之间的VPN互联。

操作步骤

1、配置地址和安全区域

2、配置安全策略

3、配置公网动态路由确保公网接口路由可达

4、配置tunnel

//f1(hub)interface Tunnel0 ip address 172.16.1.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/1//f2f3(spoke)interface Tunnel0 ip address 172.16.1.2 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/1 nhrp entry 172.16.1.1 1.1.1.10 register （手动触发向hub注册）

检查hub的nhrp注册情况，只有nhrp表项建立完成，后续的配置才有意义。

dis nhrp peer all2022-03-06 10:02:06.990 ---------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ---------------------------------------------------------------------------------- 172.16.1.3 32 1.1.3.10 172.16.1.3 registered up|unique ---------------------------------------------------------------------------------- Tunnel interface: Tunnel0Created time : 00:15:45Expire time : 01:44:15HostName : f3HostEsn : F8A93336815F3222AB8B45A1812CFE55---------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ---------------------------------------------------------------------------------- 172.16.1.2 32 1.1.2.10 172.16.1.2 registered up|unique ---------------------------------------------------------------------------------- Tunnel interface: Tunnel0Created time : 00:08:19Expire time : 01:51:41HostName : f2HostEsn : 7578183FC75338E9B2EF54539E604239Number of nhrp peers: 2

5、配置ebgp

5.1 配置ebgp邻居关系

//f1bgp 100 peer 172.16.1.2 as-number 200 peer 172.16.1.3 as-number 300//f2bgp 200 peer 172.16.1.1 as-number 100 peer 172.16.1.3 as-number 300//f3bgp 300 peer 172.16.1.2 as-number 200 peer 172.16.1.1 as-number 100

检查f1和f2和f3的bgp邻居建立情况

[f1-bgp]dis bgp peer2022-03-06 10:02:55.020 BGP local router ID : 172.16.1.1 Local AS number : 100 Total number of peers : 2 Peers in established state : 2 Peer V AS MsgRcvd MsgSent OutQ Up/Down State PrefRcv 172.16.1.2 4 200 11 11 0 00:09:07 Established 0 172.16.1.3 4 300 18 18 0 00:16:25 Established 0

5.2 配置ospf进程2，将私有子网进行发布

//f1ospf 2 area 0.0.0.0 network 192.168.0.0 0.0.0.255//f2ospf 2 area 0.0.0.0 network 192.168.1.0 0.0.0.255//f3ospf 2 area 0.0.0.0 network 192.168.2.0 0.0.0.255

这个ospf进程的作用只有一个，就是后续将其发布的网络引入bgp进行传递，所以不需要建立ospf邻居关系，只需要发布了私有网段就可以

5.3 将ospf2的路由引入ebgp中

//f1bgp 100import-route ospf 2 //f2bgp 200import-route ospf 2 //f3bgp 300import-route ospf 2

检查路由情况

[f2]dis ip routing-table pro bgp2022-03-06 10:09:45.420 Route Flags: R - relay, D - download to fib------------------------------------------------------------------------------Public routing table : BGP Destinations : 2 Routes : 2 BGP routing table status : Destinations : 2 Routes : 2Destination/Mask Proto Pre Cost Flags NextHop Interface 192.168.0.0/24 EBGP 255 0 D 172.16.1.1 Tunnel0 192.168.2.0/24 EBGP 255 0 D 172.16.1.3 Tunnel0BGP routing table status : Destinations : 0 Routes : 0

分析和验证

1、在pc3上ping pc2

2、检查spoke2的nhrp表

[f3]dis nhrp peer all2022-03-06 10:17:03.130 ---------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ---------------------------------------------------------------------------------- 172.16.1.1 32 1.1.1.10 172.16.1.1 hub up ---------------------------------------------------------------------------------- Tunnel interface: Tunnel0Created time : 00:24:43Expire time : --HostName : f1HostEsn : 32C9D6CE92F3344ABA1224AB45239A7B---------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ---------------------------------------------------------------------------------- 172.16.1.2 32 1.1.2.10 172.16.1.2 remote up ---------------------------------------------------------------------------------- Tunnel interface: Tunnel0Created time : 01:33:55Expire time : 01:24:41HostName : f2HostEsn : 7578183FC75338E9B2EF54539E604239---------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ---------------------------------------------------------------------------------- 172.16.1.3 32 1.1.3.10 172.16.1.3 local up ---------------------------------------------------------------------------------- Tunnel interface: Tunnel0Created time : 01:33:55Expire time : 01:24:41HostName : f3HostEsn : F8A93336815F3222AB8B45A1812CFE55Number of nhrp peers: 3

实验拓扑和完整配置以打包，回复dspn3获得。

补充

1、nhrp注册报文发送间隔是1800s，老化时间是7200s。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。