一.CISCO DMVPN概览 CISCO 动态多点VPN(DMVPN)用于构建可扩展性的企业VPN网络,用于支持分布式的应用程序,比如视频和语音.具备如下优势: 1.采用星型(hub-and-spoke)结构与按需全互联相结合的拓扑结构. 2.自动应用IPSec. 3.当增加远程站点时无需做额外部署. 4.减小延迟与节约带宽. 如下图: CISCO的DMVPN可以和IOS防火墙,IOS IPS,QoS,IP组播,隧道分离,与路由协议热备份技术结合使用. 通常情况下,DMVPN适用于以下场合: 1.中型与大型企业. 2.SOHO. 3.企业网外网. 4.企业WAN备份连接. 5.SP VPN业务. 二.CISCO DMVPN的部署与结构.  CISCO DMVPN部署方案有两种方式:纽爱科网络实验室社区 1.星型(hub-and-spoke)结构: 在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图: 2.边缘(spoke-to-spoke)结构: CISCO DMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图: 至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:纽爱科网络实验室社区 1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构. 2.如果20%甚至更过的流量是为边缘节点所服务,那么采用边缘结构. 为了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对多的应用程序变得更为麻烦. CISCO DMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图: CISCO DMVPN的关键组件如下: 1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个IPsec隧道,简化配置. 2.IPsec末端节点的动态发现与加密模板:无需为每对对等体手动指定crypto map,简化部署. 3.NHRP:允许边缘节点采用动态IP地址,中心节点用于维护每个边缘节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时,它向中心节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址. 三.CISCO DMVPN的实施 可以通过CISCO SDM采用向导化的配置: 通过IOS来配置CISCO DMVPN.拓扑如下图: R1配置如下: ! crypto isakmp policy 10  encr aes  authentication pre-share  group 2   ! crypto isakmp key cisco address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set ccsp esp-aes esp-sha-hmac   mode transport ! crypto ipsec profile 91lab set transform-set ccsp ! ! interface Tunnel0  ip address 192.168.1.1 255.255.255.0  ip nhrp authentication cisco          /---配置NHRP的认证---/  ip nhrp map multicast dynamic         /---允许NHRP自动增加路由器到组播NHRP映射---/ ip nhrp network-id 1                  /---在接口上启用NHRP---/ ip ospf network broadcast  ip ospf priority 2555  tunnel source Serial0/0  tunnel mode gre multipoint  tunnel key 1 tunnel protection ipsec profile 91lab ! interface Loopback0 ip address 11.1.1.1 255.255.255.0 ! interface Serial0/0  ip address 125.71.1.1 255.255.255.248  encapsulation frame-relay  no frame-relay inverse-arp frame-relay map ip 125.71.1.2 102 broadcast  frame-relay map ip 125.71.1.3 103 broadcast ! router ospf 1  log-adjacency-changes network 11.1.1.1 0.0.0.0 area 0  network 125.71.1.1 0.0.0.0 area 0 network 192.168.1.1 0.0.0.0 area 0 ! R2配置如下: ! crypto isakmp policy 10 encr aes authentication pre-share  group 2   ! crypto isakmp key cisco address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set ccsp esp-aes esp-sha-hmac  mode transport ! crypto ipsec profile 91lab  set transform-set ccsp  ! ! interface Tunnel0  ip address 192.168.1.2 255.255.255.0  ip nhrp authentication cisco ip nhrp map multicast 192.168.1.1             /---将NBMA地址做为通过隧道网络发送广播或组播的目标地址---/  ip nhrp network-id 1) ip nhrp nhs 125.71.1.1                        /---定义NHRP服务器地址---/   ip ospf network broadcast  tunnel source Serial0/0  tunnel mode gre multipoint  tunnel key 1 tunnel protection ipsec profile 91lab ! interface Loopback0 ip address 22.1.1.1 255.255.255.0 ! interface Serial0/0  ip address 125.71.1.2 255.255.255.248 encapsulation frame-relay  no frame-relay inverse-arp  frame-relay map ip 125.71.1.1 201 broadcast  frame-relay map ip 125.71.1.3 201 broadcast ! router ospf 1 network 22.1.1.1 0.0.0.0 area 0 network 125.71.1.2 0.0.0.0 area 0 network 192.168.1.2 0.0.0.0 area 0 ! R3配置如下: ! crypto isakmp policy 10  encr aes authentication pre-share  group 2   crypto isakmp key cisco address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set ccsp esp-aes esp-sha-hmac   mode transport ! crypto ipsec profile 91lab set transform-set ccsp  ! ! interface Tunnel0 ip address 192.168.1.3 255.255.255.0 ip nhrp authentication cisco  ip nhrp map multicast 192.168.1.1 ip nhrp network-id 1 ip nhrp nhs 125.71.1.1  ip ospf network broadcast tunnel source Serial0/0  tunnel mode gre multipoint tunnel key 1 tunnel protection ipsec profile 91lab ! interface Loopback0  ip address 33.1.1.1 255.255.255.0 ! interface Serial0/0 ip address 125.71.1.3 255.255.255.248 encapsulation frame-relay  no frame-relay inverse-arp  frame-relay map ip 125.71.1.1 301 broadcast  frame-relay map ip 125.71.1.2 301 broadcast router ospf 1 log-adjacency-changes  network 33.1.1.1 0.0.0.0 area 0  network 125.71.1.3 0.0.0.0 area 0 network 192.168.1.3 0.0.0.0 area 0