DM XXX理论

传统XXX高扩展性问题：

图1：两次加解密，两次占用中心带宽
图2：ipsec XXX配置过多，每一个客户端需要维护过多的ipsec SA，每一个客户需要固定的IP地址
另外，链路down掉，无法自动切换，造成冗余性问题

DMXXX：dynamic multipoint XXX，动态多点XXX
DMXXX是建设的ipsec+GRE解决方案，是一个简单的，动态的，可扩展的方式
1.简单的hub-spoke配置了full meshed连通性
2.支持spoke动态地址
3.增加新的spokes，无需更改hub配置
4.spoke到spoke动态产生隧道触发ipsec加密

DMXXX的特点
1.动态建立hua-spoke，spoke-spoke的ipsec隧道
2.优化网络性能，避免两次占用中心带宽，spoke之间通信不需要借助hub端
3.减低实时运用的延时
4.减少hub路由器配置，在不改变hub配置的情况下动态增加多个spoke隧道
5.零丢包功能
6.支持spoke路由器动态地址
7.动态建立spoke-spoke ipsec隧道，这些流量无需穿过hub
8.支持动态路由协议
9.支持hub到spoke的组播，GRE spoke和spoke之间没有动态路由协议邻居关系
10.支持MPLS网络的VRF
11.拥有自愈能力，最大的保障了XXX隧道的运行时间
12.支持多个XXX中心设备的负载均衡

DMXXX的四个技术组件
MGRE(multiport GRE)
NHRP(next hop resolution protocol)
dynamic routing protocol
IPsec XXX

MGRE
multipoint GRE tunnel interface：单GRE接口支持多个GRE和ipsec通道，简化了配置的复杂性
NHRP
next hop resolution protocol：下一跳解析协议
一个二层的客户服务器解析协议
用于映射隧道地址（逻辑）到一个NBMA地址（物理）
NHRP功能类似于ARP
NHRP支持静态映射和动态映射
hub路由器维护一个所有spoke隧道地址到公网地址的数据库
当spoke启动后，向hub注册自己的公网地址，并且询问其它目的spoke的公网地址，这样，spoke之间就能直接建立隧道。
dynamic routing protocol
用来宣告私有网络到DMXXX网络
IP路由更新和IP组播包仅仅只在hub-to-spoke隧道中传输
单播数据包既能穿越hub-to-spoke隧道，也能穿越直接动态建立spoke-to-spoke隧道
路由器邻居只在hub-to-spoke隧道上建立
spoke-to-spoke的路由逻辑由NHRP来进行，路由协议不监控spoke-to-spoke隧道的状态
支持的动态路由协议：RIP EIGRP OSPF BGP等
ipsec xxx
DMXXX依然是一种GRE over ipsec技术，也是典型的传输模式

dynamic tunnels：example
路由表的显示结果中的目标网络的下一跳是tunnel地址，访问目标网络时候，需要将数据包发送到对应的tunnel地址，这个时候就得知道tunnel的目标地址，与其建立XXX（tunnel的源地址与目标地址就是对应的物理接口地址），所以需要两张表，路由表和NHRP表项
NHRP作用：当路由器需要建立XXX时候，告诉隧道的目标地址

DMXXX的工作流程：
1.建立hub-spoke的静态隧道
目的是为了能够传递NHRP的注册信息，为了能够建立路由协议
2.spoke向hub发送注册信息，包含自己的地址映射关系tunnel地址与NBMA地址
3.利用之前建立的静态hub-spoke的XXX运行动态路由协议，生成路由表
DMXXX dual hub

DMXXX配置
实验拓扑图：

1.按拓扑配置IP地址，测试连通性，环回地址模拟私网
2.保证公网之间通信，运行BGP协议，保证每个路由器有对方tunnel source的路由

3.配置MGRE

4.配置NHRP协议
hub端配置解释：
配置相同的ID
启用NHRP认证，可选
动态接收组播映射
spoke端配置解释：
配置相同的ID
启用认证，可选
所有spoke需要静态配置hub地址映射关系
所有spoke需要手动映射组播到hub，以便后续的spoke和hub之间建立动态路由协议邻居
配置nhrp server地址，spoke启动以后会到服务器注册自己的地址映射关系
查看注册信息：

这个时候已经有dmxxx了，验证了hub与spoke建立了XXX，传递NHRP的注册信息

5.配置路由协议
选择EIGRP，只通告私有地址与tunnel地址
注意：这里得关水平分割

观察路由表，发现下一跳不优
spoke访问spoke的过程：
1.查找路由表，得到下一跳是对方spoke的tunnel地址
2.查找NHRP表得到对方的tunnel地址对应的NBMA地址，和NBMA地址建立XXX，发现NHRP表中没有关于对方tunnel地址的NBMA地址，就会向NHS进行查询，直接ping就会查询
3.建立DMXXX
关于下一跳不优的问题还可以采取NHRP的机制解决
第一次访问还是走了hub，后续直接走一跳

6.配置ipsec

OSPF需注意：
Show ip ospf interface tunnel 0
Point-to-point，修改为broadcast或者是P-M-P
HUB是DR设备
Ip ospf priority 255