动态多点VPN(DMVPN)“
将降低资本和运营费用,简化分支通信,降低部署复杂性,并提高业务弹性
mGRE
通常,GRE隧道是具有已定义源和目标的点对点接口。在集线器和分支网络中,对于每个辐条位置,在集线器路由器上必须有n个隧道接口。使用mGRE隧道,中心路由器只需要一个具有n个目的地的隧道接口。问题是定义隧道的目的地或下一跳;
NHRP
NHRP在RFC 2332中定义,其定义为创建所有分支隧道到NBMA网络的实际地址的分布式映射数据库。中枢路由器将充当作为客户端的分支路由器的注册服务器。集线器路由器的配置很少,因为辐条正在启动连接。必须从辐条到集线器配置映射,但不能相反。集线器将根据辐条的初始请求动态构建关系。必须有一个底层传输,允许辐条和集线器之间的通信。
将它放在一起
Spoke有一个动态的永久GRE隧道到集线器,但不是其他辐条。他们注册为NHRP服务器的客户端。当一个分支需要将数据包发送到另一个分支后面的目的地(私有)子网时,它会向NHRP服务器查询目标分支的真实(外部)地址。然后,始发辐条可以启动到目标辐条的动态GRE隧道(因为它知道对等地址)。分支到分支隧道是在mGRE接口上构建的。
安全性
DMVPN不需要IPSec,但可以通过mGRE隧道实现IPSec。如果需要,这将添加验证源和加密的选项
在现实世界中,它将节省路由器(以及我们这些必须管理这些设备的人)的配置和开销。
例如,假设您有250个不同的分支位置,希望连接到集线器位置。如果没有DMVPN,这将是集线器路由器上的250个隧道接口,每个接口需要七行配置代码,在集线器路由器上可以使用1,750行代码,并配置每个分支。每个辐条必须位于不同的子网中或使用未编号的IP。每次你想添加另一个辐条时,中心路由器都需要一个新的接口,并且必须为连接留出寻址。
使用DMVPN,集线器路由器有一个隧道接口,大约有15行代码。辐条将位于同一子网中,节省了地址空间。添加额外的辐条不需要对集线器路由器进行任何更改。这似乎是使用DMVPN的一个非常合理的理由。
二,单点故障是一个值得关注的问题?然后使用第二个集线器将所有这些加倍。使用传统的点对点型隧道,工作量增加了一倍。使用DMVPN,它增加了一倍,但总体影响远远小于传统方法。
最后,由于CCIE路由和交换版本5.0,我们应该关心DMVPN。如果您希望获得最新版本的CCIE R&,您会注意到5.0版蓝图,我们的传统集线器和分支技术(帧中继)已被删除,并且已添加了DMVPN。在CCIE世界中,中心和辐射拓扑一直很有趣,使用DMVPN使我们能够继续处理路由协议中出现的一些有趣问题。
DMVPN配置
让我们看一下单个集线器配置。我假设一个底层网络,允许集线器和辐条能够到达彼此的环回接口。
R1:
!
! Hub router
!
router ospf 123
router-id 10.0.0.1
network 10.0.0.0 0.255.255.255 area 0
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Loopback 1
ip address 10.0.1.1 255.255.255.0
!
!
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 124
tunnel source Loopback0
tunnel mode gre multipoint
tunnel key 123
ip ospf network point-to-multipoint
R2:
!
! Spoke Router
!
router ospf 123
network 10.0.0.0 0.255.255.255 area 0
router-id 10.0.0.2
!
interface Loopback0
ip address 192.168.2.2 255.255.255.0
!
interface Loopback 1
ip address 10.0.2.2 255.255.255.0
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
ip nhrp map 10.0.0.1 192.168.1.1
ip nhrp map multicast 192.168.1.1
ip nhrp network-id 123
ip nhrp nhs 10.0.0.1
tunnel source Loopback0
tunnel mode gre multipoint
tunnel key 123
ip ospf network point-to-multipoint
!
ip route 0.0.0.0 0.0.0.0 Tunnel0
R3:
!
! Spoke Router
!
router ospf 123
network 10.0.0.0 0.255.255.255 area 0
router-id 10.0.0.3
!
interface Loopback0
ip address 192.168.3.3 255.255.255.0
!
interface Loopback 1
ip address 10.0.3.3 255.255.255.0
!
interface Tunnel0
ip address 10.0.0.3 255.255.255.0
ip nhrp map 10.0.0.1 192.168.1.1
ip nhrp map multicast 192.168.1.1
ip nhrp network-id 123
ip nhrp nhs 10.0.0.1
tunnel source Loopback0
tunnel mode gre multipoint
tunnel key 123
ip ospf network point-to-multipoint
!
ip route 0.0.0.0 0.0.0.0 Tunnel0
请注意,OSPF配置用于通过隧道的流量和路由。对于OSPF,隧道接口将默认为点对点,因此网络类型将需要更改为可支持集线器和分支配置的网络类型。
如果您希望通过DMVPN支持IPv6,则除了添加IPv6部分之外,配置不必进行太多更改。
R1:
!
! Hub router
!
router ospf 123
router-id 10.0.0.1
network 10.0.0.0 0.255.255.255 area 0
!
interface Loopback0
ip address 192.168.1.1 255.255.255.0
!
interface Loopback 1
ip address 10.0.1.1 255.255.255.0
!
!
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 124
ipv6 address 2005:DEAD:BEEF:123::1/80
ipv6 nhrp map multicast dynamic
ipv6 nhrp network-id 1
tunnel source Loopback0
tunnel mode gre multipoint
tunnel key 123
ip ospf network point-to-multipoint
R2:
!
! Spoke Router
!
router ospf 123
network 10.0.0.0 0.255.255.255 area 0
router-id 10.0.0.2
!
interface Loopback0
ip address 192.168.2.2 255.255.255.0
!
interface Loopback 1
ip address 10.0.2.2 255.255.255.0
!
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
ip nhrp map 10.0.0.1 192.168.1.1
ip nhrp map multicast 192.168.1.1
ip nhrp network-id 123
ip nhrp nhs 10.0.0.1
ipv6 address 2005:DEAD:BEEF:123::2/80
ipv6 nhrp map multicast dynamic
ipv6 nhrp map multicast 192.168.1.1
ipv6 nhrp map 2005:DEAD:BEEF:123::1/80 192.168.1.1
ipv6 nhrp network-id 1
ipv6 nhrp nhs 2005:DEAD:BEEF:123::1
tunnel source Loopback0
tunnel mode gre multipoint
tunnel key 123
ip ospf network point-to-multipoint
!
ip route 0.0.0.0 0.0.0.0 Tunnel0
R3:
!
! Spoke Router
!
router ospf 123
network 10.0.0.0 0.255.255.255 area 0
router-id 10.0.0.3
!
interface Loopback0
ip address 192.168.3.3 255.255.255.0
!
interface Loopback 1
ip address 10.0.3.3 255.255.255.0
!
interface Tunnel0
ip address 10.0.0.3 255.255.255.0
ip nhrp map 10.0.0.1 192.168.1.1
ip nhrp map multicast 192.168.1.1
ip nhrp network-id 123
ip nhrp nhs 10.0.0.1
ipv6 address 2005:DEAD:BEEF:123::3/80
ipv6 nhrp map multicast dynamic
ipv6 nhrp map multicast 192.168.1.1
ipv6 nhrp map 2005:DEAD:BEEF:123::1/80 192.168.1.1
ipv6 nhrp network-id 1
ipv6 nhrp nhs 2005:DEAD:BEEF:123::1
tunnel source Loopback0
tunnel mode gre multipoint
tunnel key 123
ip ospf network point-to-multipoint
!
ip route 0.0.0.0 0.0.0.0 Tunnel0
要为此配置添加安全性,您需要至少配置一个转换集,将其应用于IPSec安全配置文件,然后使用该tunnel protection ipsec profile命令将配置文件应用于通道接口。
像任何其他技术一样,如果您以前没有使用它,可能会有一些神秘或恐惧。但是,正如你所看到的,DMVPN并不是那么糟糕。如果你把它分解成它的部分,它变得非常容易管理,并且长期的好处可以很好。