DMVPN(大学生易读版)

最新推荐文章于 2024-10-24 19:28:39 发布
最新推荐文章于 2024-10-24 19:28:39 发布
阅读量1.6k 收藏 27
点赞数 26
分类专栏: VPN 文章标签: 网络 信息与通信 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74338624/article/details/134702245
版权
本文介绍了传统组网的缺点,如配置复杂和网络资源占用大,然后重点阐述了DMVPN的出现,其通过建立隧道、减少配置、动态路由和IPSec封装等技术解决了这些问题。文章详细描述了DMVPN的四大组件和实现过程,包括mGRE、NHRP和动态路由协议的使用,以及如何优化路由和建立隧道。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一.引言

        传统的IPSCE组网有许多缺点

        网状网络拓扑缺点

                1.每多一个分支站点,所有的站点都要多一份配置

                2.站点过多,每一个分支站点就会维护很多的 IPSec SA

        星型拓扑里面也纯在缺点

                1.中心站点配置量大,多一个分支站点就要增加一份配置

                2.数据被两次加解密,大大增加了延时时间

        为了解决这一问题,提出了DMVPN,先简单说受DMVPN的优点和运行,在DMVPN里面重在建立隧道,总部只用一个隧道口和所有分布建立隧道,ipsec只是简单套在隧道口上的安全封装协议

       DMVPN 优点

        配置少:增加新的分支站点,无需更改中心站点配置

        分之间联系不经过总部:分支站点间用动态产生的站点间隧道进行封装

        网络资源占用少

二.概述

        DMVPN 是一个高扩展性的 IPSec VPN 解决方案,可以理解为GRE OVER IPSEC 升级版 MUTI GRE OVER IPSEC

三.四大组件

                动态多点 GRE,Multipoint GRE(mGRE)

                下一跳解析协议(Next Hop Resolution Protocol)

                动态路由协议(Dynamic Routing Protocol,EIGRP,OSPF,BGP)

                IPSec 技术

        逻辑解释

                由上可知,总部tunnel与多个分布tunnel建立GRE,怎么实现嘞?GRE的双up条件为ip地址,源地址,目的地址,在总部上配置时不会配之目的地址,采用动态多点 GRE,Multipoint GRE(mGRE)后,隧道会根据触发更新来通过下一跳解析协议(Next Hop Resolution Protocol)寻找目的地址为从而建立GRE,动态路由协议用来实现旗下终端的互联,ipsec技术通过封装提供安全保障。

        具体体现

                动态多点 GRE,Multipoint GRE(mGRE)

                命令:tunnel mode gre multipoint

                注意事项:所有 mGRE 隧道接口都在同一个网段

                下一跳解析协议(Next Hop Resolution Protocol)

                解释:总部缺乏目的地址让双方GRE始终不能建立,我们理解为tunnel为虚拟地址,物理接口为公网地址,NHRP 为了通过虚拟地址到公网地址的映射而设计的。

                1.首先每一个分支站点都需要手动映射中心站点的虚拟 IP 到公网 IP。

                2.分支站点有了这个手动映射就能够和中心站点取得联系,并且通过 NHRP 协议,注册这个分支站点的隧道虚拟 IP 到动态获取的公网 IP。

                3.因此中心站有所有分支站点的 NHRP 映射。这样中心站点也就能够访问所有注册后的分支站点。

                动态路由协议(Dynamic Routing Protocol,EIGRP,OSPF,BGP)

                解释:通告终端,子网的信息

                IPSec 技术

                解释:对 mGRE 流量进行加密,因为原理类似于gre over ipsec,gre协议会封装上公网头部,可以采用传输模式进行封装(mode transport)来节省包头长短,降低资源消耗。

四.拓扑展现        

        R5作为hub,R7,8作为speak,tunnel口用于建立隧道,回环口代表主机地址,接下来重在介绍隧道建立,ipsec只是套用在外的安全封装协议,不细讲

五.总部与分布建立

        R5

!         
interface Tunnel0
 ip nhrp network-id 1                  //nhrp服务名称
 ip nhrp authentication 123            //验证密码
 ip address 10.1.1.1 255.255.255.0     //地址
 tunnel source Ethernet0/0             //源地址
 tunnel mode gre multipoint            //修改模式
 tunnel key 123                        //隧道密码

!         
router eigrp 1
 network 10.1.0.0 0.0.255.255
 network 172.16.1.1 0.0.0.0            //通告子网和隧道信息,从而建立联系,有引流的作用
! 
 interface Tunnel0
!         
ip route 0.0.0.0 0.0.0.0 202.102.12.254   //保证tunnel建立
!

        R8

!         
interface Tunnel0
 ip nhrp network-id 1                 //找到nhrp 1
 ip nhrp authentication ccie          //认证
 ip nhrp nhs 10.1.1.1                 //找到10.1.1.1进行nhrp验证,让总部找到分布tunnel口映射的物理接口
 ip address 10.1.1.4 255.255.255.0    //地址
 tunnel source Ethernet0/0            //源地址
 tunnel destination 202.102.12.1      //目的地址
 tunnel key 123
!       
router eigrp 1
 network 10.1.0.0 0.0.255.255
 network 172.16.4.1 0.0.0.0
!
ip route 0.0.0.0 0.0.0.0 202.102.24.254
!

        注意事项,这个时候发现分布间没有互相的子网路由信息

        eigrp为防止环路的水平分割影响了互相学习路由条目,现在R5关闭

interface Tunnel0
 no ip split-horizon eigrp 1

         发现此时分布间流量传递还要流经总部,这是eigrp默认路由吓一跳为自己照成的,在R5上关闭

interface Tunnel0
no ip next-hop-self eigrp 1

        最终验证

六.分布与分布建立

        疑问

                上诉的分布与分布已经建立,为什么还要讲嘞,因为此建立非彼建立,他是通过eigrp就建立了(通过取消水平分割和下一跳问题)但是并不是真正的分布间建立(gre隧道)。DMVPN,也常被认为mgre over ipsec,ipsec是建立在隧道上面的,那么分布之间就要建立隧道,如何建立嘞

        引出三个新代码

                 tunnel mode gre multipoint                      修改为mgre模式与多个对端建立

                ip nhrp map 10.1.1.1 202.102.12.1           手动配置中心站点,tunnel口到公网地址的映射关系

                 ip nhrp map multicast 202.102.12.1         映射到中心站点公网地址

        具体如何实现

                1.分布会发起与另一分布建立隧道的请求到主端,并根据eigrp带有另一分布tunnel口的数据包去请求

                2.主端会将此包发送给另一分布

                3.另一分布接受到后,将自己的公网地址和tunnel地址一起直接发送给发起方

                4.从而俩俩间互相建立隧道。


        R8

interface Tunnel0
 ip nhrp network-id 1               
 ip nhrp authentication ccie         
 ip nhrp nhs 10.1.1.1                 
 ip address 10.1.1.4 255.255.255.0    
 tunnel source Ethernet0/0                
 tunnel key 123
 tunnel mode gre multipoint
 ip nhrp map 10.1.1.1 202.102.12.1
 ip nhrp map multicast 202.102.12.1

        R7

interface Tunnel0
 ip nhrp network-id 1               
 ip nhrp authentication ccie         
 ip nhrp nhs 10.1.1.1                 
 ip address 10.1.1.2 255.255.255.0    
 tunnel source Ethernet0/0                
 tunnel key 123
 tunnel mode gre multipoint
 ip nhrp map 10.1.1.1 202.102.12.1
 ip nhrp map multicast 202.102.12.1

        验证

        注意事项

                为什么双方建立了隧道还要通过eigrp来取消水平分割以及取消下一跳来建立连接了?俩分布间不可以直接通过eigrp连接吗?出现这个问题时在逻辑上出现错误,分布是先通过对端隧道地址触发公网地址获取来进行隧道建立,又或则说需要俩俩对端内网地址互发报文触发建立,这里就需要通过eigrp来完成第一步才能满足gre 的建立。

七.优化

        解释:

       1. 分布与分布间内网虽然能过传递建立隧道,还是通过eigrp取消下一跳为自己来建立直接联系,也是通过关闭水平分割来保障分部间能学到彼此路由,这也大大加强了环路不问稳定的安全问题

        2.这里引出第三点优化,按需建立为了保障路由能发出,关闭水平分割,虽然水平分割让分布间不能学习到,但可以通告下发路由汇总来让报文能在分布发出

R5    tunnel口上配置
 ip summary-address eigrp 1 172.16.0.0 255.255.0.0

        核心代码

                分布tunnel上配置ip nhrp shortcut(nhrp短缺)

                总部上tunnel配置   ip nhrp redirect(nhrp重定向)

        具体实现

                配置以后,报文第一次发送到总部,中部收到nhrp shortcut则会开启IP nhrp redirect,告诉给发出者此最优路径,并在发出则上生成最优路径路由条目

                报文第二次发送,会根据最优路径来发送

        验证

                配置后第一次去建立邻居( r7到r8)走俩跳,一到主端,再到分布

                查看路由表(获取了一个下发下来的nhrp最优路由,不经过主端直接指向分布)


                第二次建立邻居(r7到r8)只有一跳直接下发

八.尾言

        DMVPN牛逼支持在于他能在搭建大量gre over ipsec还能满足配置简单,配置轻便,网络资源占用少的优点,大家细细揣摩,定能有所收获。

        本人网络小白一枚,如有知识点或则逻辑不清楚的,望大佬指出,如果大伙有其他问题,留在评论区,我会尽快为大伙解决。

CCIE-LAB-第十一篇-DMVPN+IPSEC+BGP
weixin_48137911的博客
02-26 948
CCIE-LAB-第十一篇-DMVPN+IPSEC+BGP 实际中,思科只会给你5个小时去做下面的全部配置 这个是CCIE-LAB的拓扑图 问题 翻译: 根据以下要求纠正导致DC、Branch3和Branch4之间的DMVPN连接中断的配置问题:DMVPN必须在Ipsec保护的第3阶段模式2下运行。使用FVRF方法,保护DMVPN操作不受涉及隧道3的任何潜在递归路由问题的影响。不要创建任何新的VRFS4。不要更改隧道接口上的隧道源命令5。在辐条上,不添加新的BGP邻居,重用当前正在根据需要更改其VRF成
DMVPN
xb_anquan的博客
06-14 729
VPN原理实践-DMVPN ①根据拓扑配置ip地址 ②R1/2/3配置默认路由到R4,配置环回接口模拟内网主机 ③R1/2/3上建立多点GRE tunnel<通过MGRE实现> ④通过GRE tunnel实现逻辑通信<通过NHRP实现> ⑤配置使分支总部之间的的LAN可以相互通信<通过动态路由协议实现> ⑥配置使分支总部之间的通信数据加密<通过ipsec实现> ...
七、DM-VPN
liyao1569的博客
09-12 2461
本文介绍了DM VPN的具体过程以及配置中需要注意的一些要点
DMVPN 动态多点隧道技术
Alex的博客
08-07 3488
DMVPN,动态多点VPN
DMvpm
weixin_45138093的博客
06-20 502
DMVPN优点 由于传统 lpse 。 vpN 星形和网状拓扑存在高扩展性问题。思科提出的 oMvpN 相比于传统的 lpse 。 vpN 技术有以下 4 个优点: 1 、简单的星型拓扑配置,提供了虚拟网状连通性。 2 、分支站点支持动态 lP 地址。 3 、增加新的分支站点,无需更新中心站点配置。 4 、分支站点间流量,通过动态产生的站点间隧道进行封装通信。 动态多点GRE(multipoint gre ,mgre协议 对于点对点 GRE 而言, MGRE是一种特殊的 GRE 技术,这种技术多点帧中继
CCIE-DMVPN
fa_nei_kuang_tu的博客
09-06 584
2021.9.5 她向我跑来,怎么能如此美好 DMVPN 技术背景 VPN 的建立模型通常有两种: Hub-Spoke(星型结构)和Full-Mesh (网状结构) 以上两种模式均存在较大的弊端 星型结构 中心站点(Hub) 配置量大, 资源消耗大, 因为它需要同每一个远端分支站点建立IPSec VPN, 可能同时维护多套SA. 中心站点扩展性不好, 因为每当一个新的远端分支站点加入时, 中心站点都需要为新加入的远端分支站点提供对应配置来建立IPSec VPN. IPSe
CCIE-DMVPN阶段二
fa_nei_kuang_tu的博客
09-06 506
2021.9.6 我们的故事要开始了吗? NHRP 一种二层协议, 用于在NHC (Client, Spoke) 和NHS(Server, Hub) 之间完成实际公网地址Tunnel 虚拟地址的映射解析 映射可以动态解析完成, 也可以静态绑定 NHS 负责维护数据库, 记录所有Spoke 的映射关系. 每一个NHC 都必须要有NHS 的映射关系, 因此NHS 必须有固定的IP地址 NHRP 工作过程 1.Spoke (NHC) 静态完成NHS 的地址映射关系 2.
思科CCNP考试DMVPN(动态VPN)实验,实现各分支网络间运行eigrp按需对方连接,分支之间不需要通过总部Hub端中转(一)
weixin_43058570的博客
07-11 601
1. DMVPN所有节点(R1,R2,R3)都运行eigrp协议,但发现分支之间的内网无法互通(无对方的路由条目)但总部R3上却有所有分支的内网路由条目 2. DMVPN出现R1和R2互相到达需要总部R3中转的情况就需要在R3(Hub端)配置命令 no ip next-hop-self eigrp 100就OK了 3. 出错:%DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 192.168.1.2 (Tunnel0) is down: 请按文章最后提示点解决
DMVPN---理论篇-1
qq_43331152的博客
10-08 3607
DMVPN的组成部分: 1、MGRE (multipoint GRE) 2、NHRP (Next Hop Resolution Protocol) 3、Dynamic Routing Protocol 4、IPSec VPN NHRP: 一个二层的客户-服务器解析协议,用于映射隧道地址(虚拟)到一个NBMA地址(物理)。NHRP的功能非常类似于ARP(映射IP(逻辑)到MAC(物理)和...
简单分析DMVPN技术
热门推荐
Lee's site
10-25 2万+
**定义:**动态多点VPN **技术组成:**MGRE+NHRP+IPSEC MGRE——解决隧道的封装技术 NHRP——解决多点网络通信技术 IPSEC——解决专线的加密技术 技术特点:由客户自行配置维护,不需要ISP来管理 技术缺点:由于用封装技术穿越公共网络,所以稳定性不高 作用:解决在公共网络上多站点(私有网络)的互通问题 实验模型:(模拟现实环境) 1、实际的路由拓扑图示: 拓...
动态多点虚拟专用网络
命运的旋律的博客
10-25 1081
DMVPN 实验 DMVPN实验拓扑 DMVPN 实验配置
DMVPN冗余负载
weixin_45138093的博客
06-20 509
DMVPN冗余负载 继上一篇DMVPN的部署配置,此次要做的是两台DMVPN中心节点的热备冗余。 拓扑图如下所示: 在两中心节点R1R2做备份冗余,R3R4模拟分节点,R6模拟Internet设备,R5为总公司内部服务设备 R1R2的组播地址分别指向对方,R1R2互相映射对方的隧道地址和公网地址 R3的nhs和组播地址都指向R1R2,并配置R1R2的隧道地址和公网地址的映射 在R1R2的ospf上通告公司网络和隧道网络 在这里插入图片描述 R3这里也通过gre和R1R2互通ospf路由信息
DMVPM配置
凯歌响起的博客
08-23 836
案例配置拓扑 ##案例配置需求 设备之间互联的IP如图所示; 根据拓扑,配置DMVPN; 隧道地址采用172.16.1.0/24 R3为Center,R1,R2为Branch2 案例配置思路 接口配置 R3 Router#conf ter Router(config)#hostname R3 R3(config)#int fa0/0 R3(config-if)#ip add 101.1.1.3 255.255.255.0 R3(config-if)#no sh R3(config-if)#int lo
DM*PN 的三个发展阶段概述
weixin_39997345的博客
09-26 2007
DMVPN 三个发展阶段,ip nhrp redirect , ip nhrp shortcut
DMVPN协议
孑然的博客
10-24 793
对于分公司和分总公司内网实现通信环境下,分公司是很多的。我们不可能每个分公司和总公司都挨个建立ipsec隧道 ,而且如果是分公司和分公司建立隧道,就会很麻烦。此时我们需要在分公司和分公司之间建立按需链路(一旦只有数据传输的时候才会建立,没有数据传输的时候不建立隧道)注意:DMVPN是思科私有的协议技术。
GRE、MGRE、OSPF协议—超详
2201_75581284的博客
07-04 955
在启用OSPF协议进程后,设备会自动选举一个Router ID,这个Router ID为设备配置的接口IP地址,通常为设备的Loopback 接口地址,如果没有配置Loopback接口地址,则选择其他接口地址最大的IP地址作为Router ID。OSF Router-id:路由器的标识符具有唯OSPF Router-id选举生成方式:①手工指定最优先②选择最大的环回接口IP地址③选择最大的物理接口IP地址。区域划分的意义(提高OSPF在较大网络中的性能):1.减少LSA的数量 2.减少LSA的传播范围。
HCIP第五天(MGRE协议
WHearTBeat的博客
01-09 993
MGRE — 多点通用路由封装技术 NHRP协议 — 下一跳解析协议 ---- 自动学习隧道地址和物理地址的对 应关系的一种方法。 原理: 需要在私网中选出一个物理接口不会发生变化的作为NHRP的中 心(NHS — 下一跳服务器) 。剩下的分支都需要知道中心的隧道IP 和物理接口IP,他们需要将自己的物理接口IP和隧道IP发送给中心 (如果分支的物理接口的IP地址发生变化, 则需要立即将对应关系重 新发送) 。这样,NHS将会收集所有分支的地址映射关系。之后需要 通讯时, 查看对应关系, 封装对应的接
在CCIE Security v6认证中,如何从头配置一个支持EIGRP路由协议DMVPN Phase 1环境,并确保使用IPSec进行加密?
最新发布
10-27
在准备CCIE Security v6认证时,理解并实践DMVPN Phase 1的配置至关重要。EIGRP路由协议DMVPN Phase 1的集成是构建可扩展且高效网络的基础。IPSec的使用进一步增强了数据传输的安全性。以下是配置步骤: 参考资源...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值