下挂或旁挂二级GRE路由，实现IPSEC保护组播业务示例

xibanya

需求：（1）总部，分支均为IK网关  （2）分支需要跨运营商获取总部特定的组播业务流量，并且希望组播数据传输被ipsec保护
因爱快x86的vpn不支持组播业务，因此需要借助其它设备将组播流量进行封装（例如GRE封装），封装后再通过爱快进行esp封装，从而保护组播业务流量

涉及到的总部基本拓扑：爱快lan：192.168.10.1/24    三层交换机：vlanif10 192.168.10.254/24   vlanif11 192.168.11.254/24

组播源1：192.168.12.1/24   总部GRE路由器：192.168.11.4/24   192.168.12.4/24

分支：爱快lan 192.168.30.0/24  分支GRE路由器 192.168.30.6/24   

配置思路：
（1) ik之间正常建立ipsec对等体，定义本段和对端网络
  例如总部本端：192.168.11.0/24  对端 192.168.30/24
  分支本端：192.168.30.0/24 对端 192.168.11.0/24

  (2） GRE路由器开启组播路由功能，并创建GRE隧道，开启pim协议，

  （3）总部GRE路由添加去往分支客户端的明细路由，例如去往192.168.30.100/32 下一跳送向隧道接口（只有送向隧道口才会进行GRE封装）

    （4）分支终端添加明细路由，例如windows上执行  route add -p 192.168.12.0 mask 255.255.255.0 192.168.30.6 （将流量送向旁挂GRE）

    （5）分支GRE路由添加明细路由，去往192.168.12.0/24    下一跳送向隧道口进行GRE封装

配置完成后，分支机构PC可以得到总部的组播流量，并且数据在公网传输时被IPSEC保护

主要配置（以HW，PIM-DM为例）

（1）总部GRE
#
multicast routing-enable    #启用组播路由

#
interface GigabitEthernet0/0/0
ip address 192.168.11.4 255.255.255.0
#
interface GigabitEthernet0/0/1   #连接组播源一侧
ip address 192.168.12.4 255.255.255.0
pim hello-option dr-priority 255
pim dm
#
interface Tunnel0/0/0
ip address 192.168.23.2 255.255.255.0
tunnel-protocol gre
source 192.168.11.4
destination 192.168.30.6
pim dm         #隧道口要开启pim协议
#
ip route-static 0.0.0.0 0.0.0.0 192.168.11.254  #缺省指向三层
ip route-static 192.168.30.100 255.255.255.255 Tunnel0/0/0   添加去往分支客户端的明细路由，匹配时送向隧道口进行GRE封装


（2）分支GRE
#
multicast routing-enable

#
interface GigabitEthernet0/0/0      #分支旁挂只用了一个物理口接到交换机
ip address 192.168.30.6 255.255.255.0
pim dm
igmp enable         #开启igmp协议

#
interface Tunnel0/0/0
ip address 192.168.23.3 255.255.255.0
tunnel-protocol gre
source 192.168.30.6
destination 192.168.11.4
pim dm   隧道口要开启pim协议

#
ip route-static 0.0.0.0 0.0.0.0 192.168.30.1  #缺省指向爱快
ip route-static 192.168.12.0 255.255.255.0 Tunnel0/0/0