七、DM-VPN

已于 2024-02-29 21:34:00 修改
阅读量1k 收藏 5
点赞数 1
分类专栏: CCIE 文章标签: 运维 网络 服务器
于 2023-09-12 20:20:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liyao1569/article/details/132773086
版权

0 VPN思考五点

  • VPN的架构
    Hub-Spoke架构,即一个总公司多个分支子节点结构;
    (其他:Full Mesh、Part Mesh架构…)

  • VPN的类型
    L3 VPN,即可以支持企业各分支机构的不同内网网段的通信
    (其他:L2 VPN,即可以支持企业各分支机构的相同内网网段的通信,如VXLAN)

  • VPN的作用
    Site-to-Site VPN,即用于企业之间内网互访使用;
    (其他:Remote-Access VPN即我们日常翻墙使用的VPN,如EZVPN或者SSL)

  • VPN的端点位置
    CE侧
    (其他:PE侧)

  • VPN穿越的中间网络
    Internet
    (其他:专用线路-如MPLS)

1 名词概念

  • GRE
    GRE(general route encapsulation) 通用路由封装,就是一种封装的模型,也就是所谓的隧道技术,实现私网数据在公网上的透传,GRE模式通常会建立tunnel;数据到隧道口进行二次的封装,可以通过隧道进行ISP的远程邻居建立,从而宣告内部路由来实现内网的互通;注意单纯的GRE不能算是一种VPN,因为GRE本身并不具备加密的功能,所以并不满足VPN要实现的需求;
    在这里插入图片描述

  • VPN
    VPN(Vitual Private Network)叫虚拟专用网络技术,该技术要求 两个公司节点之间 可以在公网中建立安全的专用传输通道,当然实现安全有很多种的方法,可以是通过标签转发的方式来实现流量的物理隔离,也可以是通过加密的方式来实现数据的安全性保障;如果不能满足建立安全专用通道的需求,则算不上是一种VPN技术,只能说是一种隧道技术;

  • NHRP
    NHRP(Next Hop Resolution Protocol)下一跳解析协议,为了帮助在gre模型中的外部公网头部的封装;如果流量对应的路由表表项的出接口是tunnel的话,设备会根据该路由条目的下一跳的地址在NHRP表中查询对应的映射关系,来进行外层公网IP头部的封装,如果NHRP表内不存在相应的表项,设备会向NHRP Server请求对应表项信息

  • DM VPN

  • Dynamic
    ■ Hub处动态获取Sopke侧的注册信息完成静态隧道建立
    (类似DHCP,Spoke每隔1/3的NHRP老化时间发送自身注册信息给Hub更新表项,NHRP老化时间2小时)
    ■ Spoke侧的IP地址可以是动态的不固定
    ■ Spoke之间通过Hub获取信息建立动态隧道

  • Multiple
    ■ 多点接入,则需要用到mGRE技术

  • VPN
    ■ 用于实现公司节点之间的内网互通

  • MAP
    MAP,即“映射关系”,在这里表示NHRP表中,NH对应需要封装的外网目的IP地址;

2 DMVPN 针对的痛点

在 “一个总公司下连大量子公司,且他们之间要实现内网互通” 的模型中

  • 痛点一
    每次增加一个子公司都需要在总公司和子公司两端配置 传统 P2P VPN,工作量大,且子公司IP地址不固定也不好实现
  • 痛点二
    子公司和子公司之间的通信如果通过总公司中转,传输速度较慢,且总公司设备负担较大
  • 痛点三
    子公司和子公司之间的通信如果单独建立传统 P2P VPN 则需要的工作量太大(因为子公司很多),另一方面子公司之间通信的频率并不高,且并不实际因为子公司的IP地址不固定;

3 DMVPN 实现功能

  • 功能一
    总公司只需要配置一次VPN,后续新加子公司只需要在子公司上进行配置(Spoke会自动发送配置给Hub),总公司可以动态获取子公司的映射关系;
  • 功能二
    子公司和子公司之间通信可以通过总公司的NHRP报文提供的材料按需建立临时的VPN(基于NHRP);
  • 功能三
    只需要Hub有固定的公网IP就行,Spoke侧不需要固定的公网IP;

4 DMVPN 三大板块

1、Tunnel
2、NHRP
3、IPSec(IPsec的包会在Spoke向Hub主动发送NHRP报文之前就行发送)

5 DMVPN 部分运行机制

十分重要!!!
1、首先建立NHRP的邻居关系,确定谁是NHRP的Server,因为Server的组播是动态的,本地有几条NHRP表由几条映射就发几个组播出去,所以NHRP客户端会主动发送自身的NHRP映射关系给NHRP Server来完善其动态NHRP组播映射;
2、所有CE设备通过Tunnel接口建立ISP邻居,因为NHRP协议中单播和组播的映射是分开的,所以在客户端要写静态的NHRP组播映射,映射到NHRP Server的公网IP,而NHRP Server直接根据动态组播发送IGP报文;
3、然后所有CE在建立IGP邻居之后,就会通过Tunnel宣告内网的网段信息;
4、对于一个CE来说,从其他Tunnel学习到内网路由,自然下一跳就是那个Tunnel,出接口就是自身的Tunnel,由于自身Tunnel没有对应NHRP表项,所以要发送NHRP请求给NHRP Server来请求对应映射关系进行封装;获取到之后封装完最外层IP,再根据路由表从一个物理口转发出去;

  • 初始状态
    在这里插入图片描述

  • Spoke和Hub通过Tunnel建立ISP邻居关系
    (默认都启用RIP作为tunnel互联的ISP协议)
    (部分过程省略)
    在这里插入图片描述
    注意:在Hub上获取到的Spoke的NHRP信息都是Dynamic——动态的
    在这里插入图片描述
    在这里插入图片描述
    注:使用的IGP是OSPF不是RIP,不过路由表效果差不多
    由于存在隧道的直连网段,所以IGP的路由条目可达,也就可以添加到RIB表中,首先根据Tunnel封装外部源IP和目的IP,然后根据外部目的IP来从真实的物理接口转发出去
    在这里插入图片描述

  • Spoke访问Hub
    在这里插入图片描述

  • Spoke访问Spoke
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    注意:在Spoke上获取到的Spoke信息也是动态的

6 DMVPN 主要配置

  • 拓扑图
    在这里插入图片描述
  • 命令(三个模块:tunnel NHRP IPSec)

Tunnel+NHRP配置
Spoke 1 配置

tunnel source s2/0//设置封装的初始地址,注意不能直接写IP,因为可能会变化

interface Loopback0
 ip address 10.0.0.1 255.255.255.0
interface Tunnel0 //进入Tunnel
 ip address 100.0.0.1 255.255.255.0
 no ip redirects
 ip nhrp map 100.0.0.2 24.24.24.2 //设置NHRP的单播静态映射,为spoke主动向hub发map做tunnel
 ip nhrp map multicast 24.24.24.2  //设置NHRP的组播静态映射,为spoke和hub之间建立igp做tunnel
 ip nhrp network-id 1 //设置NHRP的组
 ip nhrp nhs 100.0.0.2 //设置NHRP 的 Server 的IP地址
 tunnel source s2/0//设置封装的初始地址,不能直接写IP,因为可能会变化
 tunnel mode gre multipoint //设置GRE的模式为 多点GRE
interface Serial2/0
 ip address 14.14.14.1 255.255.255.0

Spoke 2 配置

interface Loopback0
 ip address 192.168.0.1 255.255.255.0
interface Tunnel0 //进入Tunnel
 ip address 100.0.0.3 255.255.255.0
 no ip redirects
 ip nhrp map multicast 24.24.24.2  //设置NHRP的单播静态映射
 ip nhrp map 100.0.0.2 24.24.24.2  //设置NHRP的组播静态映射
 ip nhrp network-id 1 //设置NHRP的组
 ip nhrp nhs 100.0.0.2 //设置NHRP 的 Server 的IP地址
 tunnel source s2/0 //设置封装的初始地址,不能直接写IP,因为可能会变化
 tunnel mode gre multipoint //设置GRE的模式为 多点GRE
interface Serial2/0
 ip address 34.34.34.3 255.255.255.0

Hub配置

interface Loopback0
 ip address 172.16.0.1 255.255.255.0
interface Tunnel0
 ip address 100.0.0.2 255.255.255.0
 no ip redirects
 ip nhrp map multicast dynamic //动态组播,几个Spoke注册就封装成几个组播发出去
 ip nhrp network-id 1
 tunnel source 24.24.24.2
 tunnel mode gre multipoint
interface Serial2/0
 ip address 24.24.24.2 255.255.255.0

Spoke配置和Hub的区别:

  • tunnel source X 表示经过tunnel转发的流量封装的外层IP头的接口,不能直接写IP因为可能会变化
  • 在配置了tunnel mode gre multipoint之后,外层IP头的[目的IP地址]封装取决于NHRP内的表项,
    ■ 对于配置了ip nhrp map multicast dynamic的设备,它会根据接收到的组播报文的外部IP头和内部IP头自动总结出MAP映射关系,形成动态的MAP映射关系存储在NHRP表中,在超时时间内供设备使用;
    ■ 对于配置了ip nhrp multicast
    Y.Y.Y.Y的设备,它会直接在NHRP表中产生固定的组播MAP映射关系,来提供给设备产生组播流量时封装外层的IP头部;

IPSec配置
Spoke 1配置

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set 1 esp-3des esp-md5-hmac 
crypto ipsec profile DMVPN //创建简化的IPSec文档
 set transform-set 1
interface Tunnel0
 tunnel protection ipsec profile DMVPN //新的挂接方式

Spoke 2配置

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 //和P2P的IPSec有区别
crypto ipsec transform-set 1 esp-3des esp-md5-hmac 
crypto ipsec profile DMVPN //创建简化的IPSec文档
 set transform-set 1 
interface Tunnel0
 tunnel protection ipsec profile DMVPN //新的挂接方式

Hub 配置

crypto isakmp policy 1
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0 //和P2P的IPSec有区别
crypto ipsec transform-set 1 esp-3des esp-md5-hmac 
crypto ipsec profile DMVPN //创建简化的IPSec文档
 set transform-set 1 
interface Tunnel0
 tunnel protection ipsec profile DMVPN //新的挂接方式

和P2P VPN配置的区别

  • pre-shared-key的邻居IP设置为0.0.0.0而非指定IP地址
    crypto isakmp key cisco address 0.0.0.0
  • 简化的IPSec模板
    ■ DMVPN的简化模板:
    crypto ipsec profile DMVPN
    set transform-set 1
    ■ P2P VPN的模板:
    crypto map CCIE 10 ipsec-isakmp
    match address
    set peer
    set transform-set
  • 挂载的方式不同
    ■ DMVPN的挂接方式:tunnel protection ipsec profile DMVPN
    ■ P2P的挂接方式: crypto map

7 DMVPN中通过Tunnel建立IGP邻居的注意点

7.1 RIP

关闭RIP的水平分割功能(距离矢量协议特有的功能)

SPOKE(config-if)#int s2/0
SPOKE(config-if)#no ip split-horizon

在这里插入图片描述

7.2 EIGRP

关闭Eigrp的水平分割(关闭原理图同EIGRP不再展示)

SPOKE(config)#int s2/0
SPOKE(config-if)#no ip split-horizon eigrp 1

关闭下一跳的承载功能,不改变初始路由的下一跳

SPOKE(config)#int s2/0
SPOKE(config-if)#no ip next-hop-self eigrp 1

在这里插入图片描述

7.3 OSPF

tunnel的初始接口类型为P2P,需要修改为Broadcast,P2P模式下一个接口只能建立一个邻居,所以此时如果多个接口启邻居就会出现邻居一致抢占的报错问题

Spoke1(config)#int t 0
Spoke1(config-if)#ip ospf network broadcast

在这里插入图片描述
在这里插入图片描述

使HUB成为DR,直接使其他的Spoke退出DR\BDR的选举;否则会出现问题;

Spoke2(config-if)#int t 0
Spoke2(config-if)#ip ospf priority 0

在这里插入图片描述

7.4 BGP

  • EBGP,每个节点一个AS,EBGP默认的Next-hop-Self要改
  • IBGP,所有节点一个AS,HUB要设为RR

8 DM-VPN问题

8.1 Hub和Spoke之间为啥建立静态隧道?

建立静态隧道是因为要在隧道之上跑IGP协议,实现各节点内网路由的学习

8.2 Spoke之间为啥建立静态隧道?

子节点之间通信并不没有很高的频率,所以选择动态隧道,避免网络资源的过度浪费

8.3 DM-VPN本质是什么?

IGP:控制层
NHRP:数据层

8.4 IPSec配置在哪个接口上?为什么?先GRE还是先IPSec?

  • 配置在Tunnel口上,则出接口为Tunnel的流量就会自动IPSec,如果配置在最终的物理出接口上,则会导致所有的流量都需要进行IPSec过程,这可能会出问题;
  • 且DM-VPN是 GRE over IPSEC 的Transport Mode(即先GRE再IPSec的ESP传输模式),不需要隧道模式,不然外部IP地址重叠了,头部模式:IP GRE IP——>IP ESP;
辽胜于无
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
华为HCNP-RS培训视频教程【共32集】.rar
09-24
目录:网盘文件,永久连接 ...6-3 PIM-DM 6-4 PIM-SM 7-1 交换机高级技术 7-2 DHCP配置与安全防护 7-3 DHCP安全防护 8-1 QOS 8-2 QOS 9-1 RSTP 9-2 RSTP 9-3 MSTP 10-1 VRRP 10-2 VRRP at SW 10-3 mirror
DM*PN 的三个发展阶段概述
weixin_39997345的博客
09-26 1256
DMVPN 三个发展阶段,ip nhrp redirect , ip nhrp shortcut
DMVPM配置
凯歌响起的博客
08-23 722
案例配置拓扑 ##案例配置需求 设备之间互联的IP如图所示; 根据拓扑,配置DMVPN; 隧道地址采用172.16.1.0/24 R3为Center,R1,R2为Branch2 案例配置思路 接口配置 R3 Router#conf ter Router(config)#hostname R3 R3(config)#int fa0/0 R3(config-if)#ip add 101.1.1.3 255.255.255.0 R3(config-if)#no sh R3(config-if)#int lo
DMVPN
xb_anquan的博客
06-14 608
VPN原理与实践-DMVPN ①根据拓扑配置ip地址 ②R1/2/3配置默认路由到R4,配置环回接口模拟内网主机 ③R1/2/3上建立多点GRE tunnel<通过MGRE实现> ④通过GRE tunnel实现逻辑通信<通过NHRP实现> ⑤配置使分支与总部之间的的LAN可以相互通信<通过动态路由协议实现> ⑥配置使分支与总部之间的通信数据加密<通过ipsec实现> ...
DMVPN 动态多点隧道技术
Alex的博客
08-07 3025
DMVPN,动态多点VPN
DMvpm
weixin_45138093的博客
06-20 420
DMVPN优点 由于传统 lpse 。 vpN 星形和网状拓扑存在高扩展性问题。思科提出的 oMvpN 相比于传统的 lpse 。 vpN 技术有以下 4 个优点: 1 、简单的星型拓扑配置,提供了虚拟网状连通性。 2 、分支站点支持动态 lP 地址。 3 、增加新的分支站点,无需更新中心站点配置。 4 、分支站点间流量,通过动态产生的站点间隧道进行封装通信。 动态多点GRE(multipoint gre ,mgre)协议 对于点对点 GRE 而言, MGRE是一种特殊的 GRE 技术,这种技术与多点帧中继
DMVPN---理论篇-1
qq_43331152的博客
10-08 3438
DMVPN的组成部分: 1、MGRE (multipoint GRE) 2、NHRP (Next Hop Resolution Protocol) 3、Dynamic Routing Protocol 4、IPSec VPN NHRP: 一个二层的客户-服务器解析协议,用于映射隧道地址(虚拟)到一个NBMA地址(物理)。NHRP的功能非常类似于ARP(映射IP(逻辑)到MAC(物理)和...
简单分析DMVPN技术
热门推荐
Lee's site
10-25 2万+
**定义:**动态多点VPN **技术组成:**MGRE+NHRP+IPSEC MGRE——解决隧道的封装技术 NHRP——解决多点网络的通信技术 IPSEC——解决专线的加密技术 技术特点:由客户自行配置维护,不需要ISP来管理 技术缺点:由于用封装技术穿越公共网络,所以稳定性不高 作用:解决在公共网络上多站点(私有网络)的互通问题 实验模型:(模拟现实环境) 1、实际的路由拓扑图示: 拓...
DMVPN冗余负载
weixin_45138093的博客
06-20 412
DMVPN冗余负载 继上一篇DMVPN的部署配置,此次要做的是两台DMVPN中心节点的热备冗余。 拓扑图如下所示: 在两中心节点R1R2做备份冗余,R3R4模拟分节点,R6模拟Internet设备,R5为总公司内部服务设备 R1R2的组播地址分别指向对方,R1R2互相映射对方的隧道地址和公网地址 R3的nhs和组播地址都指向R1R2,并配置R1R2的隧道地址和公网地址的映射 在R1R2的ospf上通告公司网络和隧道网络 在这里插入图片描述 R3这里也通过gre和R1R2互通ospf路由信息 查
massdm:MassDM v2,一种将大量DM发送到Discord服务器成员的机器人
05-25
MassDM v2,这是一种将大量DM发送到Discord服务器成员的机器人。 要使用MassDM v2,您需要了解一些知识。 首先,我不保证您的Discord帐户不会被禁止,也不保证该机器人可以正常工作。 在任何情况下,请勿在您的主...
华为HCIP-RS培训视频教程【共18集】.rar
10-04
2019-02-24 组播- PIM-DM 原理 PM 2019-02-24 组播- PIM-SM 实验 PM 2019-03-2 eth-trunk-mux-vlan-security AM 2019-03-2 STP PM 2019-03-3 MPLS AM 2019-03-3 MPLS VPN PM 2019.1.5 上午 OSPF基础介绍 2019...
华为HCIP-RS培训视频教程【共86集】.rar
10-10
1.mpls vpn-2 1.mpls基础 1.qos-拥塞管理 1.stp基础 1.vpn基础及Gre基础 1.信息安全综述 1.匹配工具 1.组播 2.1ospf-5 2.2ospf-6 2.3ospf-7 2.4ospf-8 2.bgp network及原 2.eth-trunk补充 2.igmp-1 2...
华为HCIP-RS V2.5培训视频教程【共42天242集】.rar
11-05
第二十天-组播-PIM DM的嫁接、刷新和断言 第二十八天-组播-PIM SM简介、RPT树、SPT树、切换 第二十九天-交换机高级特性-Eth-trunk、Mux vlan 第三十天-交换机高级特性-端口隔离、端口安全 第三十一天-STP-BPDU、...
动态多点虚拟专用网络
命运的旋律的博客
10-25 855
DMVPN 实验 DMVPN实验拓扑 DMVPN 实验配置
[每周一更]-(第97期):认识Podman,并对比Docker
hmx224_2014的专栏
05-19 742
Podman 和 Docker 都是流行的容器引擎,用于创建、运行和管理容器。此外,Podman 还支持 SELinux 和 AppArmor 等安全功能,可以进一步增强容器的安全性。在使用 Docker 之前,您需要先启动 Docker 守护进程,守护进程在后台运行,并负责容器的生命周期管理。例如,您可以使用 Buildah 构建自定义容器镜像,然后使用 Podman 运行这些镜像。Podman 的使用与 Docker 非常相似。例如,在内存不足的设备上运行容器时,Podman 可以提供更好的性能。
mysql事务(原理)
m0_74347016的博客
05-19 519
mysql事务原理
使用grafana beyla作为ebpf无侵入式trace收集工具
神棍之路
05-17 860
Beyla 使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改。它使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改.
尝试使用官方jailhouse-images仓库运行jailhouse
ScilogyHunter的博客
05-15 1008
通过jailhouse 的官方 demo 演示仓库,可以直接编译出带有部署有jailhouse程序的Linux镜像,有多个目标平台的Linux镜像可选,也有在qemu下的镜像。参考文档:https://bbs.csdn.net/topics/615164494。
下一代Docker会让部署更丝滑吗
最新发布
csdn565973850的博客
05-20 607
简述什么是Docker,优缺点以及一些遐想
uboot dm-eth
10-02
U-Boot DM-eth是U-Boot(一种开源的引导加载程序)中的一个模块,它用于管理和配置以太网设备。 U-Boot是一个广泛用于嵌入式系统中的开源引导加载程序,它负责在启动过程中初始化硬件、加载操作系统并启动它。U-Boot可以在多种架构和嵌入式平台上工作,几乎支持所有以太网控制器。 DM-eth是U-Boot中专门用于管理以太网设备的设备模型,它为以太网控制器提供了统一的配置和管理接口。通过DM-eth,开发者可以轻松地对以太网设备进行初始化、配置网络设置和管理网络连接。 DM-eth提供了一组命令和函数,使开发者可以在U-Boot环境中进行以太网设备的配置和管理。开发者可以使用这些命令和函数来设置网络接口、配置IP地址、管理ARP表、发送和接收网络数据包等等。通过DM-eth,开发者可以更方便地进行网络调试和网络配置。 总之,U-Boot DM-eth是U-Boot中一个非常重要的模块,用于管理和配置以太网设备。它提供了统一的接口,使得开发者可以在U-Boot环境中轻松地进行以太网设备的初始化、配置和管理。这对于嵌入式系统的网络调试和配置非常有帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

辽胜于无

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值