动态多点GRE-VPN技术,DMVPN详解,理论+实战,五分钟快速掌握
一、DMVPN简述
DMVPN(Dynamic Multipoint VPN)是通过多点GRE(MGRE)和下一跳解析协议(NHRP)与IPSec相结合实现的解决方案。
(1) DMVPN的特点,包括:
A、Dynamic Multipoint VPN,高扩展性VPN解决方案
B、简单的Hub和Spoke配置提供了Full meshed连通性
C、支持Spoke动态地址
D、增加新的Spoke无须更改Hub配置
E、Spoke到Spoke动态产生隧道触发IPsec加密
(2)DMVPN有4个组成部分,即
A、MGRE
B 、NHRP
C、Dynamic Routing Protocol
D、IPSec VPN
二、DMVPN组网拓扑:
DMVPN使用传输模式
初始化配置如下:
R1-Hub(config)#interface e0/1
R1-Hub(config-if)#no sh
R1-Hub(config-if)#ip address 61.128.1.100 255.255.255.0
R1-Hub(config)#ip route 0.0.0.0 0.0.0.0 ethernet 0/1 61.128.1.254
R2-Spoke1(config)#int e 0/2
R2-Spoke1(config-if)#ip address 202.100.1.1 255.255.255.0
R2-Spoke1(config-if)#no sh
R2-Spoke1(config)#ip route 0.0.0.0 0.0.0.0 ethernet 0/2 202.100.1.254
R3-Spoke2(config)#int e 0/3
R3-Spoke2(config-if)#no sh
R3-Spoke2(config-if)#ip address 202.100.1.3 255.255.255.0
SW的E0/1属于VLAN20, E0/2和E0/3属于VLAN10
Switch#sho run int vlan 10
interface Vlan10
ip address 202.100.1.254 255.255.255.0
Switch#sho run int vlan 20
interface Vlan20
ip address 61.128.1.254 255.255.255.0
====================================================
MGRE:
前提是NBMA地址路由可达,通过默认路由加密点相互可达,刚才已完成
R1-Hub(config-if)#do sho run int tu0
interface Tunnel0
ip address 172.16.1.100 255.255.255.0
tunnel source Ethernet0/1
tunnel mode gre multipoint ----配置MGRE, R2和R3配置和R1MGRE一样,此处省略
以上配置完成后缺少Mapping--->NHRP,重点NHRP地址解析 R2和R3 NHRP配置一样:
R1-Hub(config)#interface tunnel 0
R1-Hub(config-if)#ip nhrp network-id 10---所有的设备需要配置相同的ID
R1-Hub(config-if)#ip nhrp authentication cisco --启用NHRP认证,可选配置
R1-Hub(config-if)#ip nhrp map multicast dynamic ---动态接收组播映射
R2-Spoke1(config)#interface tunnel 0
R2-Spoke1(config-if)#ip nhrp network-id 10
R2-Spoke1(config-if)#ip nhrp authentication cisco
R2-Spoke1(config-if)#ip nhrp nhs 172.16.1.100--Spoke启动后会到这个服务器注册自己的虚拟隧道地址到公网地址
R2-Spoke1(config-if)#ip nhrp map 172.16.1.100 61.128.1.100--所有Spoke需要静态配置Hub映射,隧道虚拟地址映射到公网地址
R2-Spoke1(config-if)#ip nhrp map multicast 61.128.1.100---所有Spoke需要手动映射组播到Hub的公网地址,便于Spoke和Hub建立动态路由
R2-Spoke1#ping 172.16.1.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.100, timeout is 2 seconds:
!!!!!
R1、R2、R3配置EIGRP并发布路由:
R1-Hub(config)#router eigrp 90
R1-Hub(config-router)#network 172.16.1.0 0.0.0.255
R1-Hub(config-router)#network 192.168.100.0 0.0.0.255
R1-Hub(config)#int lo 0
R1-Hub(config-if)#ip address 192.168.100.1 255.255.255.0
R2-Spoke1(config)#router eigrp 90
R2-Spoke1(config-router)#network 172.16.1.0 0.0.0.255
R2-Spoke1(config-router)#network 192.168.1.0 0.0.0.255
R2-Spoke1(config-router)#int lo 0
R2-Spoke1(config-if)#ip address 192.168.1.1 255.255.255.0
R3-Spoke2(config)#router eigrp 90
R3-Spoke2(config-router)#network 172.16.1.0 0.0.0.255
R3-Spoke2(config-router)#network 192.168.2.0 0.0.0.255
R3-Spoke2(config-router)#int lo 0
R3-Spoke2(config-if)#ip address 192.168.2.1 255.255.255.0
由于水平分割,R2和R3之间默认只能学到R1的路由
R1-Hub(config)#int tun 0
R1-Hub(config-if)#no ip split-horizon eigrp 90 ---关掉EIGRP的水平分割后R2和R3可以相互学到路由:
以上完成的是DMVPN第一阶段,属于星型拓扑设计,中心站点为MGRE隧道,所有分支站点均为普通的点对点GRE隧道,分支站点的流量都必须经过中心站点转发!
DMVPN第二阶段:虚拟网状拓扑设计,所有站点都配置MGRE隧道,中心站点与分支站点维护一个永恒隧道,分支站点与分支站点间则按需建立隧道,形成虚拟网状拓扑!
我们解决下一跳问题: Tunnel对EIGRP的优化
R1-Hub(config-if)#no ip next-hop-self eigrp 90 ---下一跳不是自己
然后我们R2查看下路由:
IPSec VPN配置: (R1 R2 R3配置一样)
R1-Hub(config)#crypto isakmp policy 10
R1-Hub(config-isakmp)#encryption aes
R1-Hub(config-isakmp)#authentication pre-share
R1-Hub(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 --多点VPN地址配置0
R1-Hub(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac --转换集
R1-Hub(cfg-crypto-trans)#mode transport ---模式为传输模式
R1-Hub(config)#crypto ipsec profile cisco
R1-Hub(ipsec-profile)#set transform-set cisco
R1-Hub(config)#interface tunnel 0
R1-Hub(config-if)#tunnel protection ipsec profile cisco--调用模板
DMVPN第三阶段:层次化(树状)设计
DMVPN第二阶段和第三阶段基本一致,所有站点都使用MGRE,第三阶段对大规模的DMVPN实施进行了优化和调整,中心和分支维持一条VPN即可,Spoke之间按需建立隧道,Spoke之间的流量无需通过中心站点转发。
欢迎关注转发学网络小伙伴们,关注分享该WX Gongzhonghao,持续分享干货网络技术。
同时为方便广大网络爱好者一起共同学习交流,开设了华为&思科网络技术交流qun,qun里上传大量免费学习资料,欢迎广大网络爱好者进群学习交流!
