一、多点GRE配置（mGRE),结合NHRP（下一跳地址解析协议）使用 1.中心站点配置： 1）建立tunnel口及相关配置 inter tunnel 0 tunnel source e1/0(指定公网的外出接口作为隧道源地址） tunnel mode gre multipoint(指定隧道的类型为多点GRE） tunnel key 验证密码（为数字，双方必须匹配，验证为可选项） 2）NHRP协议的配置 R1(config-if)#ip nhrp map multicast（支持组播及广播） dynamic （客户端地址采用动态解析） R1(config-if)#ip nhrp network-id 100（指定网络ID，相同ID在同一广播域，要求所有站点ID相同） 2.分支站点配置： 1）建立tunnel口及相关配置 inter tunnel 0 tunnel source e1/0(指定公网的外出接口作为隧道源地址） tunnel mode gre multipoint(指定隧道的类型为多点GRE,在本模式下，分支站点也可建立动态隧道） ###(如建立全互联tunnel隧道,可指定为mGRE( 多点隧道接口),否则可以直接指定目的为HUB地址tunnel destination 202.1.1.2) tunnel key 验证密码（为数字，双方必须匹配，验证为可选项） 2）NHRP协议的配置 ip nhrp nhs 192.168.1.1 （指定NHRP服务器地址，通常为中心站点tunnel接口私网地址） ip nhrp map 192.168.1.1（本地址为中心站点隧道接口的私网地址） 201.1.1.1 （为中心站点公网接口地址） ip nhrp network-id 100（指定网络ID，相同ID在同一广播域，要求所有站点ID相同） 可选项：NHRP验证：ip nhrp authentication test （验证密码） 3.关于动态路由协议在多点GRE NBMA模式下配置 在分支站点还必须做如下配置 1)ip nhrp map multicast 201.1.1.1 (中心站点公网地址) 使得多点GRE接口能够向中心站点发送组播和广播包 (ospf网络类型改成broadcast或point-to-multipoint) 2)距离矢量类路由协议必须关闭水平分割（因为是点到多点接口） no ip split-horizon no ip split-horizon eigrp 1 二、ipsec配置 1、第一阶段 crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key g2myway(验证密码）address 0.0.0.0 0.0.0.0 （对所有地址验证全匹配） 2、第二阶段 crypto ipsec transform-set r1trans esp-3des esp-sha-hmac 转换集的配置 3、ipsec profile的配置（没有定义对等体及感兴趣流量） crypto ipsec profile myprofile(profile命名） set transform-set r1trans 4、应用至tunnel接口 tunnel protection ipsec profile myprofile（profile命名） 对所有tunnel的流量进行ipsec的保护

本文出自 “” 博客，请务必保留此出处