Web举例：配置shortcut场景DSVPN示例（OSPF路由协议）

组网需求

某大型企业有总部（Hub）和多个分支（Spoke1、Spoke2……，举例中仅使用两个分支），分布在不同地域。分支采用动态地址接入公网，用户希望能够实现分支之间的VPN互联。

总部和分支的子网环境会经常出现变动，企业内网采用OSPF路由协议。

图1 配置shortcut方式DSVPN组网图

配置思路

企业网络管理员可以采用如下思路进行分析：

• 由于分支是采用动态地址接入公网的，分支之间互相不知道对方的公网地址，因此必须采用DSVPN来实现分支之间的VPN互联。
• 由于分支数量较多，因此采用shortcut方式的DSVPN。
• 由于分支和总部的子网环境经常出现变动，为简化维护并根据企业网络规划，选择部署OSPF路由协议来实现分支/总部间的通信。
  
  

操作步骤

• 配置FW各接口的IP地址，并将接口加入到对应的安全区域。

  此处以配置Hub接口的IP地址和安全区域为例。Spoke1、Spoke2的公网接口IP地址采用动态获取方式（DHCP方式），具体配置过程与配置Hub类似。假设获取到的地址是1.1.2.10/24和1.1.3.10/24。

  
  
  选择“网络 > 接口”，单击GE1/0/0对应的。按如下参数配置后单击“确定”。
  
  安全区域	untrust
  IPv4
  IP地址	1.1.1.10/24
  
  
  单击“新建”，按如下参数配置后单击“确定”。
  
  接口名称	LoopBack0
  类型	本地环回接口
  IPv4
  IP地址	192.168.0.1/24
  
  
• 在各设备上配置公网路由。

  选择“网络 > 路由 > 静态路由”，单击“新建”。按如下参数配置后单击“确定”。

  目的地址/掩码	0.0.0.0/0.0.0.0
  出接口	GE1/0/0

  
  
• 在各设备上配置安全策略。

  
  
  选择“策略 > 安全策略 > 安全策略”。
  单击“新建”，选择“新建安全策略”。按如下参数配置用户子网间的域间策略后，单击“确定”。
  
  本例中以Loopback接口（隶属于Local区域）模拟企业内部子网用户，因此要放开Local到Tunnel接口所在安全区域的域间策略。实际应用时，需要根据企业内部子网所处的真实安全区域来开放其域间策略。例如，企业内部子网如果位于trust区域，则应放开trust到Tunnel接口所在安全区域的域间策略。
  名称	rule1
  源安全区域	untrust local
  目的安全区域	untrust local
  源地址/地区	192.168.0.0/16
  动作	允许
  
  
  单击“新建”，选择“新建安全策略”。按如下参数配置公网接口的域间策略后，单击“确定”。
  
  名称	rule2
  源安全区域	untrust local
  目的安全区域	untrust local
  服务	gre
  动作	允许
  
  
• 配置Spoke的DSVPN参数。
  

  此处以Spoke1为例，介绍配置DSVPN参数的步骤。

  选择“网络 > DSVPN > DSVPN”，单击“新建”。按如下参数配置后单击“确定”。

  基本配置
  设备身份	分支机构
  策略名称	Spoke1
  安全区域	untrust
  隧道IP地址	172.16.1.2/24
  公网IP配置方式	接口
  公网接口	GE1/0/0
  认证密码	认证密钥由网络管理员自行规划，只要保证隧道两端的认证密钥一致即可。本举例中使用的认证密钥为Test!123。
  总部信息
  隧道IP地址	172.16.1.1
  公网IP地址	1.1.1.10
  路由配置
  路由发布方式	OSPF
  网络地址	192.168.1.0/24
  路由学习方式	分支节点路由汇聚到总部

  
  
• 配置Hub的DSVPN参数。
  

  选择“网络 > DSVPN > DSVPN”，单击“新建”。按如下参数配置后单击“确定”。

  基本配置
  设备身份	总部
  策略名称	Hub
  安全区域	untrust
  隧道IP地址	172.16.1.1/24
  公网IP配置方式	接口
  公网接口	GE1/0/0
  认证密码	认证密钥由网络管理员自行规划，只要保证隧道两端的认证密钥一致即可。本举例中使用的认证密钥为Test!123。
  路由配置
  路由发布方式	OSPF
  网络地址	192.168.0.0/24
  路由学习方式	分支节点路由汇聚到总部

  
  
  
  

结果验证

• 使用Spoke1下的用户PC访问Spoke2下的用户PC，或者通过Spoke1的LoopBack口IP地址Ping Spoke2的LoopBack口IP地址。触发Spoke之间建立动态mGRE隧道。 说明：

  使用Ping的方式检测，需要将沿途所有防火墙接口的Ping服务设置为允许。

  
  
• 查看Spoke1的“网络 > DSVPN > 监控”可以看到Spoke1与Hub、Spoke2建立的隧道状态为UP。
  
  
  

配置脚本

• Spoke1的配置脚本

  # sysname Spoke1#interface GigabitEthernet1/0/0 ip address dhcp-alloc#interface LoopBack0 ip address 192.168.1.1 255.255.255.0 alias LoopBack0#interface Tunnel0 description spoke ip address 172.16.1.2 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf network-type broadcast ospf dr-priority 0 alias Spoke1 nhrp authentication sha1 %^%#$]8@BBRhtL)i)m4/LP,5l$;gMF$xjY)RXoXCca3V%^%# nhrp shortcut  nhrp entry multicast dynamic nhrp entry 172.16.1.1 1.1.1.10 register preference 10#ospf 1 area 0.0.0.0  network 172.16.1.0 0.0.0.255 area 0.0.0.1  network 192.168.1.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/0#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/0 add interface Tunnel0#security-policy rule name rule1  source-zone local  source-zone untrust  destination-zone local  destination-zone untrust  source-address 192.168.0.0 mask 255.255.0.0  action permit rule name rule2  source-zone local  source-zone untrust  destination-zone local  destination-zone untrust  service gre  action permit#return
• Spoke2的配置脚本

  # sysname Spoke2#interface GigabitEthernet1/0/0 ip address dhcp-alloc#interface LoopBack0 ip address 192.168.2.1 255.255.255.0 alias LoopBack0#interface Tunnel0 description spoke ip address 172.16.1.3 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf network-type broadcast ospf dr-priority 0 alias Spoke2 nhrp authentication sha1 %^%#$]8@BBRhtL)i)m4/LP,5l$;gMF$xjY)RXoXCca3V%^%# nhrp shortcut  nhrp entry multicast dynamic nhrp entry 172.16.1.1 1.1.1.10 register preference 10#ospf 1 area 0.0.0.0  network 172.16.1.0 0.0.0.255 area 0.0.0.1  network 192.168.2.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/0#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/0 add interface Tunnel0#security-policy rule name rule1  source-zone local  source-zone untrust  destination-zone local  destination-zone untrust  source-address 192.168.0.0 mask 255.255.0.0  action permit rule name rule2  source-zone local  source-zone untrust  destination-zone local  destination-zone untrust  service gre  action permit#return
• Hub的配置脚本

  # sysname Hub#interface GigabitEthernet1/0/0 ip address 1.1.1.10 255.255.255.0#interface LoopBack0 ip address 192.168.0.1 255.255.255.0 alias LoopBack0#interface Tunnel0 description hub ip address 172.16.1.1 255.255.255.255 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf network-type broadcast ospf dr-priority 2 alias Hub nhrp authentication sha1 %^%#$]8@BBRhtL)i)m4/LP,5l$;gMF$xjY)RXoXCca3V%^%# nhrp redirect   nhrp entry multicast dynamic undo nhrp hub reverse-route enable#ospf 1 area 0.0.0.0  network 172.16.1.1 0.0.0.0 area 0.0.0.1  network 192.168.0.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/0#firewall zone untrust set priority 5 add interface GigabitEthernet1/0/0 add interface Tunnel0#security-policy rule name rule1  source-zone local  source-zone untrust  destination-zone local  destination-zone untrust  source-address 192.168.0.0 mask 255.255.0.0  action permit rule name rule2  source-zone local  source-zone untrust  destination-zone local  destination-zone untrust  service gre  action permit#return
  
  

好好学习天天向上！！！！！！！！！！！！！！！！！！