Как настроить DMVPN туннель на роутерах iRZ

В данном примере WAN интерфейсу Cisco назначен “внешний” IP адрес 10.11.11.250. Роутеры IRZ выступают в роли “клиентов” (SPOKE). Сisco является “сервером” (HUB) Схема сети:

Пример настройки Cisco (hub):

Настройка IPSec:

cisco-871(config)#crypto isakmp policy 1 +
cisco-871(config-isakmp)#encryption aes +
cisco-871(config-isakmp)#authentication pre-share +
cisco-871(config-isakmp)#group *5* // *- DH Group* +
cisco-871(config-isakmp)#crypto isakmp key *isakmpkey* address 0.0.0.0
0.0.0.0 // *-* pre-shared key cisco-871(config)#crypto ipsec
transform-set AES128-SHA esp-aes esp-sha-hmac +
cisco-871(cfg-crypto-trans)#mode transport +
cisco-871(cfg-crypto-trans)#crypto ipsec profile *DMVPN-P* // *-
название профиля, который назначим туннелю* +
cisco-871(ipsec-profile)#set transform-set AES128-SHA

Настройка туннеля:

cisco-871(config)#interface tunnel 0 +
cisco-871(config-if)#ip address 172.16.254.1 255.255.255.0 +
cisco-871(config-if)#no ip redirects +
cisco-871(config-if)#ip mtu 1300 +
cisco-871(config-if)#ip nhrp authentication *12345678* // *- Cisco
Authentication* +
cisco-871(config-if)#ip nhrp map multicast dynamic +
cisco-871(config-if)#ip nhrp network-id 1 +
cisco-871(config-if)#tunnel source *FastEthernet4 // - итерфейс, через
который будет работать туннель* cisco-871(config-if)#tunnel mode gre
multipoint +
cisco-871(config-if)#tunnel protection ipsec profile *DMVPN-P // –
назначаем ipsec профиль туннелю*

Настройка на стороне RL41w (SPOKE):

Local NBMA Address – интерфейс, через который будет работать туннель.

Remote NBMA Address – адрес “сервера” (HUB).

Local Tunnel Address - туннельный IP адрес данного роутера, назначится на туннельный mgre интерфейс.

HUB Tunnel Address - Туннельный IP адрес HUBа к которому происходит подключение. Tunnel Netmask - Маска сети туннеля.

HUB is Cisco / Cisco Authentification - NHRP ключ, установленный на Cisco.

Allow Redirects - Разрешает направлять трафик напрямую между spoke маршрутизаторами в обход хаба.

Настройки IPSec выставлены в соответствии с Cisco.

Настройка на стороне RL21w (spoke):

Настроено по аналогии, указан свой Local Tunnel Address.

Туннельное подключение установлено: