CISCO_DMVPN原理与配置
一.CISCO DMVPN概览
CISCO 动态多点VPN(DMVPN)用于构建可扩展性的企业VPN网络,用于支持分布式的应用程序,比如视频和语音.具备如下优势:
1.采用星型(hub-and-spoke)结构与按需全互联相结合的拓扑结构.
2.自动应用IPSec.
3.当增加远程站点时无需做额外部署.
4.减小延迟与节约带宽.
如下图:
CISCO的DMVPN可以和IOS防火墙,IOS IPS,QoS,IP组播,隧道分离,与路由协议热备份技术结合使用.
通常情况下,DMVPN适用于以下场合:
1.中型与大型企业.
2.SOHO.
3.企业网外网.
4.企业WAN备份连接.
5.SP VPN业务.
二.CISCO DMVPN的部署与结构.
CISCO DMVPN部署方案有两种方式:纽爱科网络实验室社区
1.星型(hub-and-spoke)结构:
在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图:
2.边缘(spoke-to-spoke)结构:
CISCO DMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图:
至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:纽爱科网络实验室社区
1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构.
2.如果20%甚至更过的流量是为边缘节点所服务,那么采用边缘结构.
为了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对多的应用程序变得更为麻烦.
CISCO DMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图:
CISCO DMVPN的关键组件如下:
1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个IPsec隧道,简化配置.
2.IPsec末端节点的动态发现与加密模板:无需为每对对等体手动指定crypto map,简化部署.
3.NHRP:允许边缘节点采用动态IP地址,中心节点用于维护每个边缘节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时,它向中心节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址.
三.CISCO DMVPN的实施
可以通过CISCO SDM采用向导化的配置:
通过IOS来配置CISCO DMVPN.拓扑如下图:
R1配置如下:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ccsp esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile 91lab
set transform-set ccsp
!
!
interface Tunnel0
ip address 192.168.1.1 255.255.255.0
ip nhrp authentication cisco /---配置NHRP的认证---/
ip nhrp map multicast dynamic /---允许NHRP自动增加路由器到组播NHRP映射---/
ip nhrp network-id 1 /---在接口上启用NHRP---/
ip ospf network broadcast
ip ospf priority 2555
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile 91lab
!
interface Loopback0
ip address 11.1.1.1 255.255.255.0
!
interface Serial0/0
ip address 125.71.1.1 255.255.255.248
encapsulation frame-relay
no frame-relay inverse-arp
frame-relay map ip 125.71.1.2 102 broadcast
frame-relay map ip 125.71.1.3 103 broadcast
!
router ospf 1
log-adjacency-changes
network 11.1.1.1 0.0.0.0 area 0
network 125.71.1.1 0.0.0.0 area 0
network 192.168.1.1 0.0.0.0 area 0
!
R2配置如下:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
!
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ccsp esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile 91lab
set transform-set ccsp
!
!
interface Tunnel0
ip address 192.168.1.2 255.255.255.0
ip nhrp authentication cisco
ip nhrp map multicast 192.168.1.1 /---将NBMA地址做为通过隧道网络发送广播或组播的目标地址---/
ip nhrp network-id 1)
ip nhrp nhs 125.71.1.1 /---定义NHRP服务器地址---/
ip ospf network broadcast
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile 91lab
!
interface Loopback0
ip address 22.1.1.1 255.255.255.0
!
interface Serial0/0
ip address 125.71.1.2 255.255.255.248
encapsulation frame-relay
no frame-relay inverse-arp
frame-relay map ip 125.71.1.1 201 broadcast
frame-relay map ip 125.71.1.3 201 broadcast
!
router ospf 1
network 22.1.1.1 0.0.0.0 area 0
network 125.71.1.2 0.0.0.0 area 0
network 192.168.1.2 0.0.0.0 area 0
!
R3配置如下:
!
crypto isakmp policy 10
encr aes
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set ccsp esp-aes esp-sha-hmac
mode transport
!
crypto ipsec profile 91lab
set transform-set ccsp
!
!
interface Tunnel0
ip address 192.168.1.3 255.255.255.0
ip nhrp authentication cisco
ip nhrp map multicast 192.168.1.1
ip nhrp network-id 1
ip nhrp nhs 125.71.1.1
ip ospf network broadcast
tunnel source Serial0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile 91lab
!
interface Loopback0
ip address 33.1.1.1 255.255.255.0
!
interface Serial0/0
ip address 125.71.1.3 255.255.255.248
encapsulation frame-relay
no frame-relay inverse-arp
frame-relay map ip 125.71.1.1 301 broadcast
frame-relay map ip 125.71.1.2 301 broadcast
router ospf 1
log-adjacency-changes
network 33.1.1.1 0.0.0.0 area 0
network 125.71.1.3 0.0.0.0 area 0
network 192.168.1.3 0.0.0.0 area 0
