配置DMVPN

songjiaqi

DMVPN技术介绍：Dynamic Multipoint VPN

1. 简单的Hub和Spoke配置提供了Full Meshed连通性；

2. 支持Spoke动态地址；

3. 增加新的Spoke无需更改Hub配置；

4. Spoke到Spoke动态产生隧道触发IPsec加密；

5. 优化网络性能，降低实时运用的延时；

6. 减少Hub路由器的配置，在不改变Hub配置的情况下动态增加多个spoke隧道；

7. 动态建立spoke-to-spoke IPsec隧道，这些流量无需穿越Hub；

8. 支持动态路由协议；

9. 支持Hub到spoke的组播；

10.支持MPSL网络的VRF

11.支持多个VPN的负载均衡；

DMVPN组件：

1. MGRE :Multipoint GRE;

2. NHRP ：Next HOP Resolution Protocol;

       一个二层的C/S解析协议，用于映射隧道地址（虚拟）到一个MAC地址和Reverse ARP（映射IP到DLCI），就像ARP一样，NHRP支持静态映射和动态映射；Hub路由器维护一个所有Spoke隧道地址到公网地址的数据库，当Spoke启动后，他注册自己的公网地址到Hub，并且询问其他目的Spoke的公网地址，这样Spoke之间就能直接建立隧道；

3. Dynamic Routing Protocol;

    一个协议用来宣告私有网络到DMVPN网络，IP路由更新和IP组播数据包仅仅在Hub-Spoke隧道中进行传输，单播数据包既能穿越hub-spoke隧道，也能穿越直接建立的spoke-to-spoke隧道。路由邻居关系只有在hub-to-spoke隧道上建立，spoke-to-spoke的路由逻辑有NHRP来执行，路由协议并不监控spoke-to-spoke隧道的状态，支持的动态路由协议有RIP、EIGRP、OSPF、ODR、BGP。

4.IPsec VPN;

实验案例：

实验拓扑：

实验步骤：

R1：

配置GRE Tunnel：启用NHRP认证，配置动态接受组播映射，配置所有设备在相同的NHRP组，配置Tunnel源地址（公网地址），将Tunnel设置为多点GRE模式，为Tunnel设置密码：

配置动态路由协议：以EIGRP为例

在Hub端的Tunnel口需要关闭水平分割，并且更改转发EIGRP路由的下一跳地址：

配置IPsec VPN：需调整MTU，防止分片

查看：

测试：

数据已被加密：

R2：所有spoke需要静态配置Hub映射（隧道虚拟地址到公网地址），所有spoke需要手动映射组播到Hub的公网地址，偏于后续spoke和Hub之间建立动态路由协议邻居关系！配置NHRP Server地址，spoke启动后会到这个服务器上注册自己的虚拟隧道地址到公网地址！

R3：

附个人DMVPN实验笔记，里面还有一个DMVPN实验：
附拓扑：




该贴已经同步到 songjiaqi的微博

tea

这么好的帖子，沙发！

clover小苜

仔细浏览了一遍帖子，楼主强悍！板凳我抢了！

Cindy_ju

厉害的楼主，在添加点东西呗。比如说，分支站点使用动态地址之类的，最好来点支持域名的。哈哈。。这样更贴合实际。

王晓强

不错，谢谢楼主的分享。