【DMVPN】
1.动态多点VPN(思科私有的)
(1)总部地址固定,分支地址动态
(2)新增分支,不会影响hub的配置
(3)支持动态路由协议
(4)分支之间支持动态隧道的建立
(5)分支之间的流量可以不用经过hub
(6)性能优化
(7)本质上是在hub和spoke之间建立gre隧道,依然是基于协议47来实现
(8)总部可以优先发起到分支的连接
2.传统VPN的扩展性问题
3.DMVPN的组件
(1)mGRE:多点GRE,一个隧道接口,可以同时跟多个远端目标建立连接,mGRE的接口是没有指定目标的。
(2)NHRP:下一跳地址解析协议,C/S,用于映射隧道地址(逻辑)到物理地址(NBMA)的关系,spoke在启动的时候会主动通过NHRP消息,将自己的隧道地址与物理地址的映射关系主动向NHRP服务器注册
(3)动态路由协议:用于传递站点之间的路由信息→路由下一跳问题,水平分割问题,OSPF的网络类型问题
(4)IPSec:加密GRE上的流量,可以采用ipsec profile包保护隧道上的流量,建议使用传输模式
4.DMVPN的三个阶段
(1)阶段一:中心站点是mGRE,其他分支都是普通的GRE
a.水平分割问题:R1(config-if)#no ip split-horizon eigrp 110→关闭水平分割→导致分支需要学习大量的明细条目
b.流量必须经过hub
c.可以在hub端做汇总,分支不用学习和记录明细条目
(2)阶段二:所有站点都采用mGRE
a.水平分割问题:R1(config-if)#no ip split-horizon eigrp 110→关闭水平分割→导致分支需要学习大量的明细条目
b.路由的下一跳问题:R1(config-if)#no ip next-hop-self eigrp 110→关闭下一跳修改问题
c.分支需要记录和维护所有站点的全部路由条目
(3)阶段三:所有站点都采用mGRE,对阶段二的升级和优化
a.可以实现分支不需要记录庞大的路由条目,依然可以实现分支之间的流量不用经过hub→针对特定协议
b.NHRP redirect:NHRP重定向→hub端告诉spoke端更优的下一跳
c.NHRP shortcut:NHRP短路→实现spoke强制更改针对最新下一跳的二层封装信息
d.在hub端进行路由汇总
5.DMVPN的配置
===阶段一===
interface Tunnel10
ip address 10.1.1.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco123→对NHRP做验证
ip nhrp map multicast dynamic→允许通过动态学习的远端地址,跟本地发送组播,建立邻居关系
ip nhrp network-id 12345→指定一个NHRP的域
tunnel source Ethernet0/1
tunnel mode gre multipoint
tunnel key 54321
interface Tunnel10
ip address 10.1.1.4 255.255.255.0
ip nhrp authentication cisco123
ip nhrp map 10.1.1.1 202.101.12.1
ip nhrp map multicast 202.101.12.1
ip nhrp network-id 12345
ip nhrp nhs 10.1.1.1
tunnel source Ethernet0/1
tunnel destination 202.101.12.1
tunnel key 54321
===阶段二===
interface Tunnel10
ip address 10.1.1.3 255.255.255.0
no ip redirects
ip nhrp authentication cisco123
ip nhrp map 10.1.1.1 202.101.12.1
ip nhrp map multicast 202.101.12.1
ip nhrp network-id 12345
ip nhrp nhs 10.1.1.1
tunnel source Ethernet0/1
tunnel mode gre multipoint
tunnel key 54321
tunnel protection ipsec profile PRO
===阶段三===
interface Tunnel10
ip address 10.1.1.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco123
ip nhrp map multicast dynamic
ip nhrp network-id 12345
ip nhrp redirect
ip ospf network point-to-multipoint
ip ospf 1 area 0
tunnel source Ethernet0/1
tunnel mode gre multipoint
tunnel key 54321
tunnel protection ipsec profile PRO
interface Tunnel10
ip address 10.1.1.3 255.255.255.0
no ip redirects
ip nhrp authentication cisco123
ip nhrp map 10.1.1.1 202.101.12.1
ip nhrp map multicast 202.101.12.1
ip nhrp network-id 12345
ip nhrp nhs 10.1.1.1
ip nhrp shortcut
ip ospf network point-to-multipoint
ip ospf 1 area 0
tunnel source Ethernet0/1
tunnel mode gre multipoint
tunnel key 54321
tunnel protection ipsec profile PRO
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0
crypto ipsec transform-set myset esp-3des esp-sha256-hmac
mode transport
crypto ipsec profile PRO
set transform-set myset