DMVPN配置实验.docVIP

动态多点VPN（DMVPN）介绍 DMVPN是一个高扩展性的IPSec VPN技术，什么叫做高扩展性呢？也就是适合企业级的大规模部署，例如:一个企业有几百个分支机构的场合，对于一个大型连锁企业而言，这种规模并不算夸张。那么DMVPN是高扩展性的IPSec VPN，那么传统技术的IPSec VPN又有什么高扩展性的问题呢？我们就从传统IPSec VPN的两种连接拓扑谈起，说说它们有什么高扩展性的问题。 传统IPSec VPN星形拓扑IPSec VPN有如下问题: 1.中心站点配置量大 不管是经典配置还是GRE Over IPSec或者SVI，多一个分支站点就要多一份配置，如果分支站点数量过多，配置就会变成沉重的负担，并且不容易管理。 2.分支站点间流量延时较大 因为一个分支站点的数据要抵达另外一个分支站点，首先需要加密数据送往中心，数据在中心站点被第一次解密，查看路由判断出隧道，然后在中心站点被第二次加密，并且送往目的站点。目的站点收到数据后，再进行第二次解密。由于数据被两次加解密，所以大大增加了延时。 3.分支站点间流量占用中心带宽 星形拓扑分支站点间的所有流量，都需要经过中心站点进行转发。如果分支站点间流量过大，会大大消耗中心站点的带宽。 综上所述，星形拓扑的传统IPSec VPN，很明显不是一个高扩展性的设计，不适合在有大量分支站点的网络中部署IPSec VPN。 传统IPSec VPN网状模型拓扑IPSec VPN有如下问题: 1.中心与分支站点配置量大 不管是经典配置还是GRE Over IPSec或者SVI，多一个分支站点，所有的站点都要多一份配置，如果在分支站点数量过多的网络，使用网状拓扑的IPSec VPN，配置将是一场噩梦。 2.分支站点需要维护过多IPSec SA 网状拓扑的IPSec VPN，分支站点要和每一个其它站点建立IPSecSA，如果站点过多，每一个分支站点就会维护很多的IPSec SA，一般分支站点都使用低端路由器产品，例如:18或者28系列路由器，维护过多的IPSec SA会让这些设备的内存和CPU不堪重负。 3.每一个分支站点需要固定IP地址 网状拓扑的IPSec VPN，因为两两站点之间需要建立IPSec VPN，所以每一个分支站点都需要有固定IP地址。很明显这在工程中很难实现，因为大多数分支机构可能都是通过ADSL这种廉价的接入技术，并且动态获取互联网地址。 由于传统IPSec VPN星形和网状拓扑存在高扩展性问题，Cisco提出了自己的高扩展性IPSec VPN技术，这个技术就叫做Dynamic Multipoint VPN（DMVPN）。 DMVPN相比于传统的IPSec VPN技术有如下几个优点: 1.简单的星形拓扑配置，提供了虚拟网状连通性 2.分支站点支持动态获取地址 3.增加新的分支站点，无需更改中心站点配置 4.分支站点到分支站点动态产生隧道 要了解DMVPN为什么能够提供上述的四大特点，我们首先需要了解组成DMVPN这个解决方案的四大协议。下面我们就对这四大协议进行详细的介绍。 协议一:Multiple GRE（MGRE）---动态多点GRE MGRE是一种特殊的GRE技术，非常类似于多点帧中继技术，是一个典型NBMA网络。 MGRE拓扑 可以看到所有站点的MGRE隧道接口都处于一个网段，顾名思义多点GRE。也就是说任何一个分支站点不仅能够和中心站点进行通讯，而且还能够直接和其它分支站点进行通讯。这其实就说明了DMVPN的第一个优点，虚拟网状连通性。 协议二: Next Hop Resolution Protocol（NHRP）---下一跳解析协议 如果你认为配置了MGRE隧道，所有站点就能够直接进行通讯，那就大错而特错了。举两个例子来说明这个问题，第一个例子就是以太网，在以太网IP地址为逻辑地址，MAC地址才是物理地址。如果一台设备只知道对方的逻辑地址，是不能进行通讯的。一定需要知道对方的物理地址，才能够向网络发送数据包。ARP技术就是完成在以太网内，动态的或者手动的映射逻辑地址到物理地址。第二个例子就是和MGRE拓扑非常类似的多点帧中继网络，每一个帧中继接口都有一个逻辑的IP地址，但是要访问对方的逻辑IP必须要知道他的物理地址才行。在帧中继网络中物理地址就是DLCI，我们可以通过手动帧中继映射，或者动态反向ARP技术，映射IP地址到DLCI。同样的在MGRE网络中，也需要影射逻辑地址到物理地址，MGRE隧道的虚拟地址就是逻辑地址，站点获取的公网IP地址，就是物理地址。下一跳解析协议（NHRP）就是为了实现这个映射而设计的，首先每一个分支站点都需要手动影射中心站点的虚拟IP到公网IP，所以中心站点必须拥有固定IP地址。分支站点有了这个手动映射就能够和中心站点取得联系，并