iKuai爱快流控路由

标题: 下挂或旁挂二级GRE路由，实现IPSEC保护组播业务示例 [打印本页]

作者: xibanya 时间: 2023-8-11 17:29
标题: 下挂或旁挂二级GRE路由，实现IPSEC保护组播业务示例
本帖最后由 xibanya 于 2023-8-11 17:30 编辑

需求：（1）总部，分支均为IK网关  （2）分支需要跨运营商获取总部特定的组播业务流量，并且希望组播数据传输被ipsec保护
因爱快x86的vpn不支持组播业务，因此需要借助其它设备将组播流量进行封装（例如GRE封装），封装后再通过爱快进行esp封装，从而保护组播业务流量

涉及到的总部基本拓扑：爱快lan：192.168.10.1/24 三层交换机：vlanif10 192.168.10.254/24 vlanif11 192.168.11.254/24

组播源1：192.168.12.1/24 总部GRE路由器：192.168.11.4/24 192.168.12.4/24

分支：爱快lan 192.168.30.0/24  分支GRE路由器 192.168.30.6/24

配置思路：
（1) ik之间正常建立ipsec对等体，定义本段和对端网络
  例如总部本端：192.168.11.0/24  对端 192.168.30/24
  分支本端：192.168.30.0/24 对端 192.168.11.0/24

  (2） GRE路由器开启组播路由功能，并创建GRE隧道，开启pim协议，

  （3）总部GRE路由添加去往分支客户端的明细路由，例如去往192.168.30.100/32 下一跳送向隧道接口（只有送向隧道口才会进行GRE封装）

（4）分支终端添加明细路由，例如windows上执行  route add -p 192.168.12.0 mask 255.255.255.0 192.168.30.6 （将流量送向旁挂GRE）

（5）分支GRE路由添加明细路由，去往192.168.12.0/24 下一跳送向隧道口进行GRE封装

配置完成后，分支机构PC可以得到总部的组播流量，并且数据在公网传输时被IPSEC保护

主要配置（以HW，PIM-DM为例）

（1）总部GRE
#
multicast routing-enable #启用组播路由

#
interface GigabitEthernet0/0/0
ip address 192.168.11.4 255.255.255.0
#
interface GigabitEthernet0/0/1 #连接组播源一侧
ip address 192.168.12.4 255.255.255.0
pim hello-option dr-priority 255
pim dm
#
interface Tunnel0/0/0
ip address 192.168.23.2 255.255.255.0
tunnel-protocol gre
source 192.168.11.4
destination 192.168.30.6
pim dm       #隧道口要开启pim协议
#
ip route-static 0.0.0.0 0.0.0.0 192.168.11.254  #缺省指向三层
ip route-static 192.168.30.100 255.255.255.255 Tunnel0/0/0 添加去往分支客户端的明细路由，匹配时送向隧道口进行GRE封装

（2）分支GRE
#
multicast routing-enable

#
interface GigabitEthernet0/0/0    #分支旁挂只用了一个物理口接到交换机
ip address 192.168.30.6 255.255.255.0
pim dm
igmp enable       #开启igmp协议

#
interface Tunnel0/0/0
ip address 192.168.23.3 255.255.255.0
tunnel-protocol gre
source 192.168.30.6
destination 192.168.11.4
pim dm 隧道口要开启pim协议

#
ip route-static 0.0.0.0 0.0.0.0 192.168.30.1  #缺省指向爱快
ip route-static 192.168.12.0 255.255.255.0 Tunnel0/0/0

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)