简单分析DMVPN技术

最新推荐文章于 2023-11-30 17:53:35 发布
最新推荐文章于 2023-11-30 17:53:35 发布
阅读量2.2w 收藏 58
点赞数 12
分类专栏: 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tomatolee221/article/details/83594234
版权

定义: 动态多点VPN
技术组成: MGRE+NHRP+IPSEC

  • MGRE——解决隧道的封装技术
  • NHRP——解决多点网络的通信技术
  • IPSEC——解决专线的加密技术

技术特点:由客户自行配置维护,不需要ISP来管理
技术缺点:由于用封装技术穿越公共网络,所以稳定性不高
作用:解决在公共网络上多站点(私有网络)的互通问题

实验模型:(模拟现实环境)
1、实际的路由拓扑图示:
在这里插入图片描述

拓扑说明:
我们用R1代表总公司的网络部分,背后连接着很多的内部私有网络;我们用R3与R4代表分公司的网络部分,背后也有很多的私有网络,R2为ISP。我们现在就要用DMVPN来解决各个公司站点的私有网络穿越公有网络部分来通信问题。

我们用这种模拟图来标识远距离的一家公司,R1为总公司,SP为在不同地区的俩个分公司。起先这些公司都可以连接到公共网络访问互联网,我们所需要解决的是如何让公司内部的人员互相通信——也就是说hub到站点和站点到站点。
我们部署DMVPN后的网络拓扑图在逻辑的被划分为这样的拓扑图:
在这里插入图片描述

注意:其实从R1接出来的看作是一根线,相当于是一根接口连接俩个终端。

图中虚线是用MGRE技术与分公司建立虚拟的专线,先阶段的网络状况有很多问题需要解决:

  • 总公司与分公司的私有网络并不能通信
  • 分公司到分公司的网络问题

VPN技术是一种封装技术,我们借助MGRE来解决DMVPN的隧道封装技术;
然后用NHRP来解决站点之间的通信问题。

一、解决DMVPN隧道封装技术——MGRE
在这里插入图片描述

二、用nhrp解决各个公司网络之间的通信问题:
nhrp工作原理:
nhrp技术被部署到各站点的虚拟通道中,各个站点之间形成隧道
地址与公网地址的映射关系,分支站点通过触发产生注册报文向总站点提供自身隧道与公网映射表,最后中心收集到整个网络的映射表。此阶段之后中心有所有的映射关系,所以可以访问任意的分公司,分公司也可以任意访问中心站点;然而分公司之间的互相通信则需要开启nhrp流量触发才会发出注册报文向中心copy映射表达到通信问题,然后将虚拟的报头解封装还原公网报文,达到交互信息的作用。

nhrp技术分为三个阶段处理站点之间的网络通信问题:
*第一阶段:*通过nhrp技术把目的站点公网与虚拟隧道地址做成映射关系,让每个站点有去其它站点的映射关系;
第二阶段:通过nhrp技术完成分支到分支之间直接通信的问题;
此阶段可以通过动态路由协议运行在MGRE网络中来解决,但是MGRE链路默认是不支持组播的信息数据包,然而大部分的路由协议都是通过
组播来建立邻居关系的,那么问题就产生了:

(无组播状态)

1.如何处理这些建邻组播包?

第一种方式:(用协议本身解决问题)用单播与中心建立邻居关系;现在分支到中心的问题解决了,但是会发现分支到分支问题却没有解决;

应用eigrp协议:(eigrp默认开启水平分割我们要关闭它)
eigrp也支持单播建邻居,那么分支与中心建立单播eigrp关系,分支到中心没有问题,但是分支到分支的时候发现我要去另外一个分支然而下一跳目标还是中心站点,所以分支还是有问题;那么现在我们关闭掉中心的自动改变下一跳问题就可以解决了。

应用rip:类似于eigrp

应用ospf协议:(网络类型问题默认为点到点)
用ospf的NBMA网络类型来解决分支到分支的问题,相对于eigrp比较简单,ospf通过LSA直接解决分支到分支的问题,会直接被看做是点到点链路。但是NBMA网络有致命的问题,因为DMVPN不是那么稳定,所以加上NBMA网络建立邻居相应时间比较慢所以ospf的NBMA不是最佳的处理方式。

当然我们在比较简单的单层次的拓扑中我们不考虑体验效果,就将就的解决了分支到分支的通信问题。

(组播状态)
然而如果拓扑图为多层次的架构,那么问题会更多:
在这里插入图片描述

以上拓扑是已经用MGRE处理后的逻辑拓扑图。

现在解决各个站点直接通信问题,假设用第一种方式,那么一级分支之间
是可以建立关系,并直接通信,二级分支在自己的网络结构中也是可以通
信的,但是我们让不同网络结构中的二级分支之间通信的时候就会发现,
网络结构根本不在同一区域,所以根本不可能用第一种方式去解决这个问
题。这就是现在的问题。

2、如何处理组播状态下的站点通信问题?

第二种方式:(用nhrp技术解决)
现在之所以二级的不同区域无法通信是因为在不同区域内没有映射表而造成的,那么现在要解决二级分支到另外二级分支站点的通信,我们可以让二级分支递归的去查找映射关系,从二级分支到自己的一级分支,然后一级分支到总站点递归到要去的二级分支站点,这样就映射关系问题就解决了。
如图所示工作原理:
在这里插入图片描述
现阶段的映射关系有深层次的关系就是分支站点的背后的私有网络与分支公有网络的映射关系,我们现在要开启这个功能。以上实施在总站点开启重定向,在请求端开启深层次的映射关系就可以了。

接下来解决路由问题:

1、eigrp协议:(默认水平分割开启)

  • 直接在总站点处使用汇总路由(这样就可以避免大量的关闭水平分割,和路由环路问题)
  • 总站点开启重定向
  • 分支站点(请求端)开启深层次的映射关系——需要触发发出注册报文(nhrp利用汇总路由会 直接把映射关系发布到路由表中并显示为H标记的路由条目)

2、ospf协议:

  • 总部开启重定向
  • 分部开启NHRP的查询 (Spoke上ip nhrp shortcut 可以发映射请求了)

请求回来的路由会出来一个特殊的标识%,因为NHRP修改了OSPF的下一跳,我们需要操作的是参考OSPF中的FA地址,让OSPF选择NHRP给他的路由而不相信他自己根据拓扑算出来的路由,路由加入路由表并打上%标记。

好雨知时节呀
关注
  • 12
    点赞
  • 58
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
DMVPN
xb_anquan的博客
06-14 633
VPN原理与实践-DMVPN ①根据拓扑配置ip地址 ②R1/2/3配置默认路由到R4,配置环回接口模拟内网主机 ③R1/2/3上建立多点GRE tunnel<通过MGRE实现> ④通过GRE tunnel实现逻辑通信<通过NHRP实现> ⑤配置使分支与总部之间的的LAN可以相互通信<通过动态路由协议实现> ⑥配置使分支与总部之间的通信数据加密<通过ipsec实现> ...
CCIE-DMVPN阶段二
fa_nei_kuang_tu的博客
09-06 446
2021.9.6 我们的故事要开始了吗? NHRP 一种二层协议, 用于在NHC (Client, Spoke) 和NHS(Server, Hub) 之间完成实际公网地址与Tunnel 虚拟地址的映射解析 映射可以动态解析完成, 也可以静态绑定 NHS 负责维护数据库, 记录所有Spoke 的映射关系. 每一个NHC 都必须要有NHS 的映射关系, 因此NHS 必须有固定的IP地址 NHRP 工作过程 1.Spoke (NHC) 静态完成NHS 的地址映射关系 2.
七、DM-VPN
liyao1569的博客
09-12 1440
本文介绍了DM VPN的具体过程以及配置中需要注意的一些要点
DM*PN 的三个发展阶段概述
weixin_39997345的博客
09-26 1401
DMVPN 三个发展阶段,ip nhrp redirect , ip nhrp shortcut
DMVPN 动态多点隧道技术
Alex的博客
08-07 3122
DMVPN,动态多点VPN
DMVPN(大学生易读版)
最新发布
qq_74338624的博客
11-30 1194
DMVPN 是一个高扩展性的 IPSec VPN 解决方案,可以理解为GRE OVER IPSEC 升级版 MUTI GRE OVER IPSEC。
DMVPN---理论篇-1
qq_43331152的博客
10-08 3453
DMVPN的组成部分: 1、MGRE (multipoint GRE) 2、NHRP (Next Hop Resolution Protocol) 3、Dynamic Routing Protocol 4、IPSec VPN NHRP: 一个二层的客户-服务器解析协议,用于映射隧道地址(虚拟)到一个NBMA地址(物理)。NHRP的功能非常类似于ARP(映射IP(逻辑)到MAC(物理)和...
双中心站点双Dmvpn.docx
11-28
双中心站点双Dmvpn.docx
双中心站点双Dmvpn.pdf
11-26
双中心站点双Dmvpn.pdf
双中心站点双Dmvpn汇编.pdf
11-22
双中心站点双Dmvpn汇编.pdf
基于计算机网络技术的汽车局域网.pdf
10-13
在配置和管理汽车网络时,需要注意网络的安全性和稳定性,例如在配置DMVPN时,必须确保ISAKMP(Internet Security Association and Key Management Protocol)的预共享密钥配置正确,避免出现错误的认证设置,影响...
 基于私有云计算的信息交互模型研究
01-30
分析目前校园网络存在的问题,以某高校的校园网建设为研究对象,通过整合校园网络资源,提出一种基于私有云计算的信息交互模型,该模型包含用户层、服务层和资源层,采用该模型可以满足用户随时随地通过Internet进行...
OSPF综合实验
fiao666的博客
07-12 511
实验要求 1. R4为ISP ,其上只能配置IP地址; R4与其他所有直连设备间使用公有IP 2. R3---R5/6/7为MGRE环墙. R3为中心站点 3.整个OSPF环境IP地址为172.16.0.0/16 4.所有设备均可访问R4的环回; . 5.减少LSA的更新量,加快收敛,保障更新安全 6.全网可达 首先搭建拓扑,搭建完成后分配ip地址,注意一定要细心 如图,本实验中有12个私有环回,6个骨干链路,骨干链路为一个网段,共划分13个子网,故需要借4位主机位掩码为20 下面...
DM实验
mizong的博客
09-20 685
1.R1、R2、R3、R4是一个公网环境,先使它们互通 【R1】 int s0/0 ip add 200.1.1.1 255.255.255.0 no shutdown 【R2】 int s0/0 ip add 200.1.1.2 255.255.255.0 no shutdown int s0/1 ip add 200.1.3.2 255.255.255.0 no sh...
Cicsoc独有DM虚拟连接
凯歌响起的博客
04-21 917
四个技术组件 MGRE 想要了解MGRE,必须知道GRE(通用路由封装)----点到点网络类型 一种点到点的简单VPN隧道。 VPN–虚拟专用网络(在逻辑上虚拟的实现专线的技术) r1(config)#interface tunnel 0 创建隧道接口 r1(config-if)#ip address 10.1.1.1 255.255.255.0 配置接口ip地址 定义新加装的IPV4报头,源目ip地址 r1(config-if)#tunnel source 12.1.1.1 r1(config-if)#t
DMVPN冗余负载
weixin_45138093的博客
06-20 428
DMVPN冗余负载 继上一篇DMVPN的部署配置,此次要做的是两台DMVPN中心节点的热备冗余。 拓扑图如下所示: 在两中心节点R1R2做备份冗余,R3R4模拟分节点,R6模拟Internet设备,R5为总公司内部服务设备 R1R2的组播地址分别指向对方,R1R2互相映射对方的隧道地址和公网地址 R3的nhs和组播地址都指向R1R2,并配置R1R2的隧道地址和公网地址的映射 在R1R2的ospf上通告公司网络和隧道网络 在这里插入图片描述 R3这里也通过gre和R1R2互通ospf路由信息 查
动态多点虚拟专用网络
命运的旋律的博客
10-25 866
DMVPN 实验 DMVPN实验拓扑 DMVPN 实验配置
动态多点虚拟专有网络在虚拟路由转发环境搭建
yueyadao的博客
11-23 827
实验拓扑网络地址规划:私网1为:192.168.1.0/24 私网2为:192.168.2.0/24 私网3为:192.168.3.0/24 R7的S1/1接口所在网段为:201.1.1.0/24 R7的S1/2接口所在网段为:202.1.1.0/24 R7的S1/3接口所在网段为:203.1.1.0/24 路由器Rx的环回地址为x.x.x.x 255.255.255.0 DMVPN 动态多点VP...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值