DMVPN(Dynamic Multipoint VPN)是通過多點GRE(MGRE)和下一跳解析協議(NHRP)與IPSec相結合實現的解決方案。
(1) DMVPN的特點,包括:
A、Dynamic Multipoint VPN,高擴展性VPN解決方案
B、簡單的Hub和Spoke配置提供了Full meshed連通性
C、支持Spoke動态地址
D、增加新的Spoke無須更改Hub配置
E、Spoke到Spoke動态産生隧道觸發IPsec加密
(2)DMVPN有4個組成部分,即
A、MGRE
B 、NHRP
C、Dynamic Routing Protocol
D、IPSec VPN
DMVPN組網拓撲:
DMVPN使用傳輸模式
初始化配置如下:
R1-Hub(config)#interface e0/1
R1-Hub(config-if)#no sh
R1-Hub(config-if)#ip address 61.128.1.100 255.255.255.0
R1-Hub(config)#ip route 0.0.0.0 0.0.0.0 ethernet 0/1 61.128.1.254
R2-Spoke1(config)#int e 0/2
R2-Spoke1(config-if)#ip address 202.100.1.1 255.255.255.0
R2-Spoke1(config-if)#no sh
R2-Spoke1(config)#ip route 0.0.0.0 0.0.0.0 ethernet 0/2 202.100.1.254
R3-Spoke2(config)#int e 0/3
R3-Spoke2(config-if)#no sh
R3-Spoke2(config-if)#ip address 202.100.1.3 255.255.255.0
SW的E0/1屬于VLAN20, E0/2和E0/3屬于VLAN10
Switch#sho run int vlan 10
interface Vlan10
ip address 202.100.1.254 255.255.255.0
Switch#sho run int vlan 20
interface Vlan20
ip address 61.128.1.254 255.255.255.0
====================================================
MGRE:
前提是NBMA地址路由可達,通過默認路由加密點相互可達,剛才已完成
R1-Hub(config-if)#do sho run int tu0
interface Tunnel0
ip address 172.16.1.100 255.255.255.0
Tunnel source Ethernet0/1
tunnel mode gre multipoint ----配置MGRE, R2和R3配置和R1MGRE一樣,此處省略
以上配置完成後缺少Mapping--->NHRP,重點NHRP地址解析 R2和R3 NHRP配置一樣:
R1-Hub(config)#interface tunnel 0
R1-Hub(config-if)#ip nhrp network-id 10---所有的設備需要配置相同的ID
R1-Hub(config-if)#ip nhrp authentication cisco --啟用NHRP認證,可選配置
R1-Hub(config-if)#ip nhrp map multicast dynamic ---動态接收組播映射
R2-Spoke1(config)#interface tunnel 0
R2-Spoke1(config-if)#ip nhrp network-id 10
R2-Spoke1(config-if)#ip nhrp authentication cisco
R2-Spoke1(config-if)#ip nhrp nhs 172.16.1.100--Spoke啟動後會到這個服務器注冊自己的虛拟隧道地址到公網地址
R2-Spoke1(config-if)#ip nhrp map 172.16.1.100 61.128.1.100--所有Spoke需要靜态配置Hub映射,隧道虛拟地址映射到公網地址
R2-Spoke1(config-if)#ip nhrp map multicast 61.128.1.100---所有Spoke需要手動映射組播到Hub的公網地址,便于Spoke和Hub建立動态路由
R2-Spoke1#ping 172.16.1.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.100, timeout is 2 seconds:
!!!!!
R1、R2、R3配置EIGRP并發布路由:
R1-Hub(config)#router eigrp 90
R1-Hub(config-router)#network 172.16.1.0 0.0.0.255
R1-Hub(config-router)#network 192.168.100.0 0.0.0.255
R1-Hub(config)#int lo 0
R1-Hub(config-if)#ip address 192.168.100.1 255.255.255.0
R2-Spoke1(config)#router eigrp 90
R2-Spoke1(config-router)#network 172.16.1.0 0.0.0.255
R2-Spoke1(config-router)#network 192.168.1.0 0.0.0.255
R2-Spoke1(config-router)#int lo 0
R2-Spoke1(config-if)#ip address 192.168.1.1 255.255.255.0
R3-Spoke2(config)#router eigrp 90
R3-Spoke2(config-router)#network 172.16.1.0 0.0.0.255
R3-Spoke2(config-router)#network 192.168.2.0 0.0.0.255
R3-Spoke2(config-router)#int lo 0
R3-Spoke2(config-if)#ip address 192.168.2.1 255.255.255.0
由于水平分割,R2和R3之間默認隻能學到R1的路由
R1-Hub(config)#int tun 0
R1-Hub(config-if)#no ip split-horizon eigrp 90 ---關掉EIGRP的水平分割後R2和R3可以相互學到路由:
以上完成的是DMVPN第一階段,屬于星型拓撲設計,中心站點為MGRE隧道,所有分支站點均為普通的點對點GRE隧道,分支站點的流量都必須經過中心站點轉發!
DMVPN第二階段:虛拟網狀拓撲設計,所有站點都配置MGRE隧道,中心站點與分支站點維護一個永恒隧道,分支站點與分支站點間則按需建立隧道,形成虛拟網狀拓撲!
我們解決下一跳問題: Tunnel對EIGRP的優化
R1-Hub(config-if)#no ip next-hop-self eigrp 90 ---下一跳不是自己
然後我們R2查看下路由:
IPSec VPN配置: (R1 R2 R3配置一樣)
R1-Hub(config)#crypto isakmp policy 10
R1-Hub(config-isakmp)#encryption aes
R1-Hub(config-isakmp)#authentication pre-share
R1-Hub(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 --多點VPN地址配置0
R1-Hub(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac --轉換集
R1-Hub(cfg-crypto-trans)#mode transport ---模式為傳輸模式
R1-Hub(config)#crypto ipsec profile cisco
R1-Hub(ipsec-profile)#set transform-set cisco
R1-Hub(config)#interface tunnel 0
R1-Hub(config-if)#tunnel protection ipsec profile cisco--調用模闆
DMVPN第三階段:層次化(樹狀)設計
DMVPN第二階段和第三階段基本一緻,所有站點都使用MGRE,第三階段對大規模的DMVPN實施進行了優化和調整,中心和分支維持一條VPN即可,Spoke之間按需建立隧道,Spoke之間的流量無需通過中心站點轉發。
歡迎關注和轉發,更多精彩内容下期繼續分享!
,