DM XXX理论

传统XXX高扩展性问题:
DM XXX理论_第1张图片
图1:两次加解密,两次占用中心带宽
图2:ipsec XXX配置过多,每一个客户端需要维护过多的ipsec SA,每一个客户需要固定的IP地址
另外,链路down掉,无法自动切换,造成冗余性问题

DMXXX:dynamic multipoint XXX,动态多点XXX
DMXXX是建设的ipsec+GRE解决方案,是一个简单的,动态的,可扩展的方式
1.简单的hub-spoke配置了full meshed连通性
2.支持spoke动态地址
3.增加新的spokes,无需更改hub配置
4.spoke到spoke动态产生隧道触发ipsec加密

DMXXX的特点
1.动态建立hua-spoke,spoke-spoke的ipsec隧道
2.优化网络性能,避免两次占用中心带宽,spoke之间通信不需要借助hub端
3.减低实时运用的延时
4.减少hub路由器配置,在不改变hub配置的情况下动态增加多个spoke隧道
5.零丢包功能
6.支持spoke路由器动态地址
7.动态建立spoke-spoke ipsec隧道,这些流量无需穿过hub
8.支持动态路由协议
9.支持hub到spoke的组播,GRE spoke和spoke之间没有动态路由协议邻居关系
10.支持MPLS网络的VRF
11.拥有自愈能力,最大的保障了XXX隧道的运行时间
12.支持多个XXX中心设备的负载均衡

DMXXX的四个技术组件
MGRE(multiport GRE)
NHRP(next hop resolution protocol)
dynamic routing protocol
IPsec XXX

MGRE
multipoint GRE tunnel interface:单GRE接口支持多个GRE和ipsec通道,简化了配置的复杂性
NHRP
next hop resolution protocol:下一跳解析协议
一个二层的客户服务器解析协议
用于映射隧道地址(逻辑)到一个NBMA地址(物理)
NHRP功能类似于ARP
NHRP支持静态映射和动态映射
hub路由器维护一个所有spoke隧道地址到公网地址的数据库
当spoke启动后,向hub注册自己的公网地址,并且询问其它目的spoke的公网地址,这样,spoke之间就能直接建立隧道。
dynamic routing protocol
用来宣告私有网络到DMXXX网络
IP路由更新和IP组播包仅仅只在hub-to-spoke隧道中传输
单播数据包既能穿越hub-to-spoke隧道,也能穿越直接动态建立spoke-to-spoke隧道
路由器邻居只在hub-to-spoke隧道上建立
spoke-to-spoke的路由逻辑由NHRP来进行,路由协议不监控spoke-to-spoke隧道的状态
支持的动态路由协议:RIP EIGRP OSPF BGP等
ipsec xxx
DMXXX依然是一种GRE over ipsec技术,也是典型的传输模式

dynamic tunnels:example
DM XXX理论_第2张图片DM XXX理论_第3张图片路由表的显示结果中的目标网络的下一跳是tunnel地址,访问目标网络时候,需要将数据包发送到对应的tunnel地址,这个时候就得知道tunnel的目标地址,与其建立XXX(tunnel的源地址与目标地址就是对应的物理接口地址),所以需要两张表,路由表和NHRP表项
NHRP作用:当路由器需要建立XXX时候,告诉隧道的目标地址

DMXXX的工作流程:
1.建立hub-spoke的静态隧道
目的是为了能够传递NHRP的注册信息,为了能够建立路由协议
2.spoke向hub发送注册信息,包含自己的地址映射关系tunnel地址与NBMA地址
3.利用之前建立的静态hub-spoke的XXX运行动态路由协议,生成路由表
DMXXX dual hub
DM XXX理论_第4张图片
DMXXX配置
实验拓扑图:
DM XXX理论_第5张图片
1.按拓扑配置IP地址,测试连通性,环回地址模拟私网
2.保证公网之间通信,运行BGP协议,保证每个路由器有对方tunnel source的路由
DM XXX理论_第6张图片
3.配置MGRE
在这里插入图片描述
4.配置NHRP协议
DM XXX理论_第7张图片DM XXX理论_第8张图片hub端配置解释:
配置相同的ID
启用NHRP认证,可选
动态接收组播映射
spoke端配置解释:
配置相同的ID
启用认证,可选
所有spoke需要静态配置hub地址映射关系
所有spoke需要手动映射组播到hub,以便后续的spoke和hub之间建立动态路由协议邻居
配置nhrp server地址,spoke启动以后会到服务器注册自己的地址映射关系
查看注册信息:
DM XXX理论_第9张图片
这个时候已经有dmxxx了,验证了hub与spoke建立了XXX,传递NHRP的注册信息
DM XXX理论_第10张图片
5.配置路由协议
选择EIGRP,只通告私有地址与tunnel地址
注意:这里得关水平分割
在这里插入图片描述
观察路由表,发现下一跳不优
在这里插入图片描述在这里插入图片描述在这里插入图片描述spoke访问spoke的过程:
1.查找路由表,得到下一跳是对方spoke的tunnel地址
2.查找NHRP表得到对方的tunnel地址对应的NBMA地址,和NBMA地址建立XXX,发现NHRP表中没有关于对方tunnel地址的NBMA地址,就会向NHS进行查询,直接ping就会查询
3.建立DMXXX
DM XXX理论_第11张图片关于下一跳不优的问题还可以采取NHRP的机制解决
DM XXX理论_第12张图片第一次访问还是走了hub,后续直接走一跳

6.配置ipsec
DM XXX理论_第13张图片DM XXX理论_第14张图片
DM XXX理论_第15张图片

OSPF需注意:
Show ip ospf interface tunnel 0
Point-to-point,修改为broadcast或者是P-M-P
HUB是DR设备
Ip ospf priority 255

你可能感兴趣的:(CCIE学习)