一、實驗目的

在多點GRE over IPsecVPN模式下對nhrp進行調優，在總部開啟重定向、在分支開啟shortcut

網絡拓撲：

二、基礎設置

（一）如圖所示配置接口地址和區域，連接PC的接口位于trust區域、連接路由器的接口位于untrue區域、虛擬接口位于DMZ區域（此處省略......）

（二）安全策略配置

security-policy
?rule name OUT_TO_LOCAL
? source-zone untrust
? destination-zone local
? service protocol 50
? service protocol udp destination-port 500
? action permit
?rule name LOCAL_TO_ANY
? source-zone local
? action permit
?rule name IN_TO_DMZ
? source-zone trust
? destination-zone dmz
? action permit
?rule name DMZ_TO_IN
? source-zone dmz
? destination-zone trust
? source-address 10.1.0.0 mask 255.255.0.0
? destination-address 10.1.0.0 mask 255.255.0.0
? action permit

（三）將tunnel接口設置為gre p2mp模式（此處省略......）

（四）在tunnel接口下將ospf網絡類型設置為broadcast模式，并設置FW1為根節點（此處省略......）

（五）配置IPsecVPN，其中Ike peer的對端為ALL模式，IPsec的策略使用profile方式設置（此處省略......）

（六）nhrp設置為多點自動解析和注冊模式

總部：?nhrp entry multicast dynamic

分支：nhrp entry 10.1.0.12 155.1.121.12 register

三、詳細設置

在總部和分支分別修改nhrp的模式為shortcut方式

總部：

[FW1-Tunnel0]dis th
#
interface Tunnel0
?ip address 10.1.0.12 255.255.255.0
?tunnel-protocol gre p2mp
?source GigabitEthernet1/0/0
?ospf network-type broadcast
?service-manage ping permit
?nhrp redirect
?nhrp entry multicast dynamic
?ipsec profile DM_PRO
#

分支：

2024-07-09 03:17:18.580?
#
interface Tunnel0
?ip address 10.1.0.13 255.255.255.0
?tunnel-protocol gre p2mp
?source GigabitEthernet1/0/0
?ospf network-type broadcast
?ospf dr-priority 0
?service-manage ping permit
?nhrp shortcut
?nhrp entry 10.1.0.12 155.1.121.12 register
?ipsec profile DM_PRO

四、結果驗證

（一）HNRP非shortcut模式下的情況：

1、初始狀態

<FW2>dis ike sa
--------------------------------------------------------------------------------
----------------------------------------------------
?5 ? ? ? ? ?155.1.121.12:500 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? RD|ST
|A ? ? ? ? ? ? ? v2:2 ? IP ? ? ? ? ?155.1.121.12 ? ?
?4 ? ? ? ? ?155.1.121.12:500 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? RD|ST
|A ? ? ? ? ? ? ? v2:1 ? IP ? ? ? ? ?155.1.121.12 ? ?

? Number of IKE SA : 2
--------------------------------------------------------------------------------
----------------------------------------------------

<FW2>dis nhrp peer all
Protocol-addr ? Mask ?NBMA-addr ? ? ? NextHop-addr ? ?Type ? ? ? ? ? ?Flag ? ? ?
? ?
--------------------------------------------------------------------------------
--?
10.1.0.12 ? ? ? 32 ? ?155.1.121.12 ? ?10.1.0.12 ? ? ? hub ? ? ? ? ? ? up ? ? ? ?
? ?
--------------------------------------------------------------------------------

2、通過pc2 ping通 pc4后，增加了目標的虛擬口地址和公網地址的映射

<FW2>dis ike sa?
--------------------------------------------------------------------------------
----------------------------------------------------
?7 ? ? ? ? ?155.1.141.254:500 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?RD|A?
? ? ? ? ? ? ? ? ?v2:2 ? IP ? ? ? ? ?155.1.141.254 ??
?6 ? ? ? ? ?155.1.141.254:500 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?RD|A?
? ? ? ? ? ? ? ? ?v2:1 ? IP ? ? ? ? ?155.1.141.254 ??
?5 ? ? ? ? ?155.1.121.12:500 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? RD|ST
|A ? ? ? ? ? ? ? v2:2 ? IP ? ? ? ? ?155.1.121.12 ? ?
?4 ? ? ? ? ?155.1.121.12:500 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? RD|ST
|A ? ? ? ? ? ? ? v2:1 ? IP ? ? ? ? ?155.1.121.12 ? ?

? Number of IKE SA : 4
--------------------------------------------------------------------------------
----------------------------------------------------

<FW2>dis nhrp peer all
--------------------------------------------------------------------------------
--?
Protocol-addr ? Mask ?NBMA-addr ? ? ? NextHop-addr ? ?Type ? ? ? ? ? ?Flag ? ? ?
? ?
--------------------------------------------------------------------------------
--?
10.1.0.12 ? ? ? 32 ? ?155.1.121.12 ? ?10.1.0.12 ? ? ? hub ? ? ? ? ? ? up ? ? ? ?
? ?
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
--?
10.1.0.14 ? ? ? 32 ? ?155.1.141.254 ? 10.1.0.14 ? ? ? remote ? ? ? ? ?up ? ? ? ?
? ?
--------------------------------------------------------------------------------

（二）在配置nhrp shortcut后，多了目標的內網地址和公網地址的映射

[FW2-Tunnel0]dis nhrp peer all
--?
Protocol-addr ? Mask ?NBMA-addr ? ? ? NextHop-addr ? ?Type ? ? ? ? ? ?Flag ? ? ?
? ?
--------------------------------------------------------------------------------
--?
10.1.0.12 ? ? ? 32 ? ?155.1.121.12 ? ?10.1.0.12 ? ? ? hub ? ? ? ? ? ? up ? ? ? ?
? ?
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
--?
Protocol-addr ? Mask ?NBMA-addr ? ? ? NextHop-addr ? ?Type ? ? ? ? ? ?Flag ? ? ?
? ?
--------------------------------------------------------------------------------
--?
10.1.14.10 ? ? ?32 ? ?155.1.141.254 ? 10.1.0.14 ? ? ? remote-network ?up ? ? ? ?
? ?
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
--?
Protocol-addr ? Mask ?NBMA-addr ? ? ? NextHop-addr ? ?Type ? ? ? ? ? ?Flag ? ? ?
? ?
--------------------------------------------------------------------------------
--?
10.1.0.14 ? ? ? 32 ? ?155.1.141.254 ? 10.1.0.14 ? ? ? remote ? ? ? ? ?up ? ? ? ?
? ?
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------
--?
Protocol-addr ? Mask ?NBMA-addr ? ? ? NextHop-addr ? ?Type ? ? ? ? ? ?Flag ? ? ?
? ?
--------------------------------------------------------------------------------
--?
10.1.13.10 ? ? ?32 ? ?155.1.131.254 ? 10.1.0.13 ? ? ? local ? ? ? ? ? up ? ? ? ?
? ?
--------------------------------------------------------------------------------

路由表也進行了調整

[FW2]dis ip routing-table protocol ospf?

Destination/Mask ? ?Proto ? Pre ?Cost ? ? ?Flags NextHop ? ? ? ? Interface

? ? ? 10.1.12.0/24 ?OSPF ? ?10 ? 1563 ? ? ? ?D ? 10.1.0.12 ? ? ? Tunnel0
? ? ? 10.1.14.0/24 ?OSPF ? ?10 ? 1563 ? ? ? ?D ? 10.1.0.14 ? ? ? Tunnel0