|
DMVPN技术介绍:Dynamic Multipoint VPN 1. 简单的Hub和Spoke配置提供了Full Meshed连通性; 2. 支持Spoke动态地址; 3. 增加新的Spoke无需更改Hub配置; 4. Spoke到Spoke动态产生隧道触发IPsec加密; 5. 优化网络性能,降低实时运用的延时; 6. 减少Hub路由器的配置,在不改变Hub配置的情况下动态增加多个spoke隧道; 7. 动态建立spoke-to-spoke IPsec隧道,这些流量无需穿越Hub; 8. 支持动态路由协议; 9. 支持Hub到spoke的组播; 10.支持MPSL网络的VRF 11.支持多个VPN的负载均衡; DMVPN组件: 1. MGRE :Multipoint GRE; 2. NHRP :Next HOP Resolution Protocol; 一个二层的C/S解析协议,用于映射隧道地址(虚拟)到一个MAC地址和Reverse ARP(映射IP到DLCI),就像ARP一样,NHRP支持静态映射和动态映射;Hub路由器维护一个所有Spoke隧道地址到公网地址的数据库,当Spoke启动后,他注册自己的公网地址到Hub,并且询问其他目的Spoke的公网地址,这样Spoke之间就能直接建立隧道; 3. Dynamic Routing Protocol; 一个协议用来宣告私有网络到DMVPN网络,IP路由更新和IP组播数据包仅仅在Hub-Spoke隧道中进行传输,单播数据包既能穿越hub-spoke隧道,也能穿越直接建立的spoke-to-spoke隧道。路由邻居关系只有在hub-to-spoke隧道上建立,spoke-to-spoke的路由逻辑有NHRP来执行,路由协议并不监控spoke-to-spoke隧道的状态,支持的动态路由协议有RIP、EIGRP、OSPF、ODR、BGP。 4.IPsec VPN;
实验案例: 实验拓扑:
实验步骤: R1: 配置GRE Tunnel:启用NHRP认证,配置动态接受组播映射,配置所有设备在相同的NHRP组,配置Tunnel源地址(公网地址),将Tunnel设置为多点GRE模式,为Tunnel设置密码:
配置动态路由协议:以EIGRP为例
在Hub端的Tunnel口需要关闭水平分割,并且更改转发EIGRP路由的下一跳地址:
配置IPsec VPN:需调整MTU,防止分片
查看:
测试:
数据已被加密:
R2:所有spoke需要静态配置Hub映射(隧道虚拟地址到公网地址),所有spoke需要手动映射组播到Hub的公网地址,偏于后续spoke和Hub之间建立动态路由协议邻居关系!配置NHRP Server地址,spoke启动后会到这个服务器上注册自己的虚拟隧道地址到公网地址!
R3:
附个人DMVPN实验笔记,里面还有一个DMVPN实验:
附拓扑:
 该贴已经同步到 songjiaqi的微博 | 
|熊猫同学技术论坛|小黑屋|
网络工程师论坛
( 沪ICP备09076391 )
发表于 2013-4-14 20:59:35
提升卡
置顶卡
变色卡
显身卡