cisco dmvpn原理跟配置[红头发版].docVIP

CISCO DMVPN原理与配置 转载请保留此信息:作者:红头发(aka CCIE#15101)出处: HYPERLINK \t _blank 一.CISCO DMVPN概览CISCO 动态多点VPN(DMVPN)用于构建可扩展性的企业VPN网络,用于支持分布式的应用程序,比如视频和语音.具备如下优势:1.采用星型(hub-and-spoke)结构与按需全互联相结合的拓扑结构.2.自动应用IPSec.3.当增加远程站点时无需做额外部署.4.减小延迟与节约带宽.如下图: CISCO的DMVPN可以和IOS防火墙,IOS IPS,QoS,IP组播,隧道分离,与路由协议热备份技术结合使用.通常情况下,DMVPN适用于以下场合:1.中型与大型企业.2.SOHO.3.企业网外网.4.企业WAN备份连接.5.SP VPN业务.二.CISCO DMVPN的部署与结构CISCO DMVPN部署方案有两种方式:1.星型(hub-and-spoke)结构:在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图: 2.边缘(spoke-to-spoke)结构:CISCO DMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图: 至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构.2.如果20%甚至更过的流量是为边缘节点所服务,那么采用边缘结构.为了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对对的应用程序变得更为麻烦.CISCO DMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图: CISCO DMVPN的关键组件如下:1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个IPsec隧道,简化配置.2.IPsec末端节点的动态发现与加密模板:无需为每对对等体手动指定crypto map,简化部署.3.NHRP:允许边缘节点采用动态IP地址,中心节点用于维护每个边缘节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时,它向中心节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址.三.CISCO DMVPN的实施可以通过CISCO SDM采用向导化的配置: 通过IOS来配置CISCO DMVPN.拓扑如下图: R1配置如下:!crypto isakmp policy 10encr aes authentication pre-sharegroup 2??!crypto isakmp key cisco address !!crypto ipsec transform-set ccsp esp-aes esp-sha-hmac mode transport!crypto ipsec profile 91lab set transform-set ccsp !!interface Tunnel0ip address  ip nhrp authentication cisco? ?? ?? ? /---配置NHRP的认证---/ ip nhrp map multicast dynamic? ?? ?? ?/---允许NHRP自动增加路由器到组播NHRP映射---/ip nhrp network-id 1? ?? ?? ?? ?? ?? ?/---在接口上启用NHRP---/ ip ospf network broadcastip ospf priority 255tunnel source Serial0/0 tunnel mode gre multipoint tunnel key 1tunnel protection ipsec profile 91lab!interface Loopback0 ip address !interface Serial0/0 ip address 48 encapsulation frame-relayno frame-relay inverse-arp frame-rel