CCSP学习笔记之第十三天 DMVPN.docVIP

DMVPN (动态多点VPN)是一种具有高扩展性的VPN解决方案,用以处理具有大量分支站点的VPN连通问题 特点 采用Hub和Spoke连接模型 提供了full mesh连通性（虚拟） Hub和Spoke配置简单 支持Spoke动态地址 增加新Spoke无需更改Hub配置 Spoke到Spoke动态产生触发IPSec隧道加密 采用技术 MGRE 类似于点到多点帧中继，每条GRE隧道有一个逻辑地址也就是隧道地址，通过与globe IP即外接口IP的映射实现 NHRP 用于映射隧道地址到一个物理地址。类似于ARP和RARP，支持静态映射和动态映射。Hub路由器会维护一个所有Spoke的逻辑地址和物理地址的映射数据库 IPSec VPN DMVPN也是一种GRE over IPSec VPN技术，可采用SVTI或GRE over IPSec VPN(实际应用时多采用SVTI) 动态路由协议 GRE隧道支持动态路由协议 IP路由更新和组播数据只能在Hub和Spoke之间的隧道中传输，或者说只有Hub和Spoke才有邻接关系而Spoke之间没有邻接关系 单播数据包既能穿越Hub和Spoke隧道，也能穿越Spoke-to-Spoke动态隧道 Spoke-to-Spoke路由逻辑由NHRP执行，路由协议不监控Spoke之间的隧道状态 第一步 配置MGRE 中心路由器 interface Tunnel0 ip address 172.16.1.100 255.255.255.0 tunnel source FastEthernet0/0指定隧道源地址，无需指定目的地址，因为是多播类型隧道 tunnel mode gre multipoint指定TUNNEL类型为GRE 多播 tunnel key 123456隧道保护，可选项 分支路由器 interface Tunnel0 ip address 172.16.1.1 255.255.255.0 tunnel source FastEthernet1/0 tunnel mode gre multipoint tunnel key 123456 第二步 配置NHRP 所有路由器上启用NHRP interace Tunnel 0 ip nhrp network-id 1指定NHRP组，序列号要统一 中心路由器 interace Tunnel 0 ip nhrp map multicast dynamic接受NHRP动态组播注册 ip nhrp authentication ciscoNHRP认证，可选项 分支路由器 interace Tunnel 0 ip nhrp map 172.16.1.100 202.100.100.10指定到中心的地址映射，注意逻辑地址在前，物理地址在后 ip nhrp map multicast 202.100.100.10配置到中心的组播注册 ip nhrp nhs 172.16.1.100指定NHRP服务器 ip nhrp authentication cisco NHRP配置完毕后，可在中心检查 center#sh ip nhrp 172.16.1.1/32 via 172.16.1.1, Tunnel0 created 00:19:33, expire 01:40:27 Type: dynamic, Flags: unique registered 可看到动态学到的远端映射 NBMA address: 202.100.1.10 172.16.1.2/32 via 172.16.1.2, Tunnel0 created 00:19:41, expire 01:41:20 Type: dynamic, Flags: unique registered NBMA address: 202.100.2.10 172.16.1.3/32 via 172.16.1.3, Tunnel0 created 00:17:50, expire 01:42:09 Type: dynamic, Flags: unique registered NBMA address: 202.100.3.10 第三步 动态路由配置 （DMVPN是CISCO专有技术，当让用EIGRP是最好） 很简单，中心和分支都分别宣告互联GRE隧道网络和身后网络 router eigrp 1 network 172.16.0.0 network 192.168.100.0 no auto-summary 中心路由器动态路由优化 interface Tunnel0 no ip split-horizon eigrp 1关闭水平分割，很好理解，类似于多点帧中