配置DMVPN
DMVPN技术介绍:Dynamic Multipoint VPN1. 简单的Hub和Spoke配置提供了Full Meshed连通性;2. 支持Spoke动态地址;3. 增加新的Spoke无需更改Hub配置;4. Spoke到Spoke动态产生隧道触发IPsec加密;5. 优化网络性能,降低实时运用的延时;6. 减少Hub路由器的配置,在不改变Hub配置的情况下动态增加多个spoke隧道;7. 动态建立spoke-to-spoke IPsec隧道,这些流量无需穿越Hub;8. 支持动态路由协议;9. 支持Hub到spoke的组播;10.支持MPSL网络的VRF11.支持多个VPN的负载均衡; DMVPN组件:1. MGRE :Multipoint GRE;2. NHRP :Next HOP Resolution Protocol; 一个二层的C/S解析协议,用于映射隧道地址(虚拟)到一个MAC地址和Reverse ARP(映射IP到DLCI),就像ARP一样,NHRP支持静态映射和动态映射;Hub路由器维护一个所有Spoke隧道地址到公网地址的数据库,当Spoke启动后,他注册自己的公网地址到Hub,并且询问其他目的Spoke的公网地址,这样Spoke之间就能直接建立隧道;3. Dynamic Routing Protocol; 一个协议用来宣告私有网络到DMVPN网络,IP路由更新和IP组播数据包仅仅在Hub-Spoke隧道中进行传输,单播数据包既能穿越hub-spoke隧道,也能穿越直接建立的spoke-to-spoke隧道。路由邻居关系只有在hub-to-spoke隧道上建立,spoke-to-spoke的路由逻辑有NHRP来执行,路由协议并不监控spoke-to-spoke隧道的状态,支持的动态路由协议有RIP、EIGRP、OSPF、ODR、BGP。4.IPsec VPN;实验案例:实验拓扑:实验步骤:R1:配置GRE Tunnel:启用NHRP认证,配置动态接受组播映射,配置所有设备在相同的NHRP组,配置Tunnel源地址(公网地址),将Tunnel设置为多点GRE模式,为Tunnel设置密码: 配置动态路由协议:以EIGRP为例在Hub端的Tunnel口需要关闭水平分割,并且更改转发EIGRP路由的下一跳地址:配置IPsec VPN:需调整MTU,防止分片
查看:
测试:数据已被加密: R2:所有spoke需要静态配置Hub映射(隧道虚拟地址到公网地址),所有spoke需要手动映射组播到Hub的公网地址,偏于后续spoke和Hub之间建立动态路由协议邻居关系!配置NHRP Server地址,spoke启动后会到这个服务器上注册自己的虚拟隧道地址到公网地址!
R3:
附个人DMVPN实验笔记,里面还有一个DMVPN实验:
附拓扑:
http://bbs.spoto.net/xwb/images/bgimg/icon_logo.png 该贴已经同步到 songjiaqi的微博 这么好的帖子,沙发! 仔细浏览了一遍帖子,楼主强悍!板凳我抢了! 厉害的楼主,在添加点东西呗。比如说,分支站点使用动态地址之类的,最好来点支持域名的。哈哈。。这样更贴合实际。 不错,谢谢楼主的分享。
页:
[1]