DMVPN技术详解.pdf

GRE依赖目的地址，所以只能支持点到点隧道，MGRE的可以实现点到多点• MGRE封装和GRE相同• spoke路由器只需知道hub路由器的地址，即可建立MGRE• MGRE依赖NHRP工作• GRE： NHRP能够动态学习其他站点的NBMA地址• hub路由器会维护一个NHRP数据库（tunnel和NBMA地址的映射），spoke路由器启动后，一方面会注册自己的NBMA地址， 一方面会向hub获取其他站点的地址，从而建立终端间的隧道 • spoke注册后，hub和多个spoke已建立永久隧道，此时spoke之间想要直接通信，会像hub解析其他的spoke的地址，直接建立 隧道（有流量则建立，无流量则拆除） • spoke和hub间可以传输单播和组播报文，spoke和spoke间只能传输单播（无法运行路由协议）• NHRP： DM-VPN=MGRE+ipsec 封装与gre over ipsec相同 实现站点之间的全互联 支持站点为动态地址（hub端需要为静态） 加入新的站点时，hub不需要增加配置 DM-VPN的优势： DM-VPN（动态多点VPN）： 某公司有两个分支机构，现需要在总部与分支之间运行eigrp，由于动态lan to lan VPN只支持两个站点，并且不能运行动态 路由协议。

所以需要使用DMVPN，总部作为HUB端（固定ip），两个分支机构作为spoke端（动态ip） 组网需求：• mGRE1. nhrp2. eigrp3. ipsec4. 配置过程：• 配置： mGRE NHRP DMVPN 2015年6月17日 19:31 分区 文档备份 的第 1 页 R1无需做配置，直连可保证tunnel通 R2(config)#int tunnel 1 R2(config-if)#tunnel mode gre multipoint R2(config-if)#tunnel source e1/0 R2(config-if)#ip address 100.1.1.2 255.255.255.0 R2（HUB）：○ R4(config)#int tunnel 1 R4(config-if)#tunnel mode gre multipoint R4(config-if)#tunnel source e1/1 R4(config-if)#ip address 100.1.1.4 255.255.255.0 R4（Spoke）：○ R6(config)#int tunnel 1 R6(config-if)#tunnel mode gre multipoint R6(config-if)#tunnel source e1/2 R6(config-if)#ip address 100.1.1.6 255.255.255.0 R6（Spoke）：○ mGRE：• R2(config)#int tunnel 1 配置nhrp网络ID，需要相同：▪ R2(config-if)#ip nhrp network-id 1 配置nhrp支持组播（运行路由协议）：▪ R2(config-if)#ip nhrp map multicast dynamic R2（HUB）：○ R4(config)#int tunnel 1 R4(config-if)#ip nhrp network-id 1 绑定hub的物理和tunnel地址：▪ R4(config-if)#ip nhrp map 100.1.1.2 12.1.1.2 指定hub地址：▪ R4(config-if)#ip nhrp nhs 100.1.1.2 配置组播数据封装地址（运行路由协议）：▪ R4(config-if)#ip nhrp map multicast 12.1.1.2 R4（Spoke）：○ R6(config)#int tunnel 1 R6(config-if)#ip nhrp network-id 1 R6(config-if)#ip nhrp map 100.1.1.2 12.1.1.2 R6（Spoke）：○ nhrp：• 分区 文档备份 的第 2 页 R6(config-if)#ip nhrp nhs 100.1.1.2 R6(config-if)#ip nhrp map multicast 12.1.1.2 R2（HUB）、R4（Spoke）、R6（Spoke）宣告内网网段和tunnel网段。

hub端tunnel接口关闭水平分割，保证spoke互相学到路由： R2(config-if)#no ip split-horizon eigrp 1 eigrp：• R2(config)#crypto isakmp policy 1 R2(config-isakmp)#encryption 3des R2(config-isakmp)#authentication pre-share R2(config)#crypto isakmp key 123456 address 0.0.0.0 R2(config)#crypto ipsec transform-set 1 esp-3des esp-sha-hmac crypto map改为crypto ipsec profile：▪ R2(config)#crypto ipsec profile 1 R2(ipsec-profile)#set transform-set 1 将ipsec profile调用在tunnel接口：▪ R2(config-if)#tunnel protection ipsec profile 1 R2（HUB）、R4（Spoke）、R6（Spoke）配置相同： ipsec：• R3、R5、R7模拟内网路由器，只运行路由协议。

关闭eigrp下一跳本地hub点发出的路由不会将下一跳置为自己，而会带真实下一跳，从而使多个分支直接通信（路由直 通），不必在hub中转 R2(config-if)#no ip next-hop-self eigrp 1 通过全连接，实现分支直通：• 开启nhrp重定向，分支1内网设备向分支2内网设备发送数据，第一次像hub做请求，hub会发送重定向信息给分支1和分支 2，两个分支内网设备会互相请求对方的nhrp信息，动态建立隧道 R1(config-if)#ip nhrp redirect R1打开nhrp重定向：○ R2(config-if)#ip nhrp shortcut R2、R3开启nhrp shortcut：○ 层次化网络设计• DM-VPN优化： 分区 文档备份 的第 3 页 。