DMvpm

最新推荐文章于 2023-11-30 17:53:35 发布
最新推荐文章于 2023-11-30 17:53:35 发布
阅读量461 收藏 3
点赞数 1
分类专栏: GRE 文章标签: ipsec
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45138093/article/details/106854154
版权

DMVPm优点

由于传统 lpsec 。 vpm 星形和网状拓扑存在高扩展性问题。思科提出的 dmvpm 相比于传统的 lpse 。 vpm 技术有以下 4 个优点:

1 、简单的星型拓扑配置,提供了虚拟网状连通性。
2 、分支站点支持动态 lP 地址。
3 、增加新的分支站点,无需更新中心站点配置。
4 、分支站点间流量,通过动态产生的站点间隧道进行封装通信。

动态多点GRE(multipoint gre ,mgre)协议

对于点对点 GRE 而言, MGRE是一种特殊的 GRE 技术,这种技术与多点帧中继非常类似,是一个典型的 NBMA 网络,所有站点的MGRE 隧道接口都处于同一个网段。进入这个 mGRE网络的任何一个分支站点不仅仅能够和中心站点进行通信,而且还能够直接和其他分支站点进行通。显示出虚拟网状连通性。

下一跳解析协议(next hop resolution protocol)

配置完 mGRE 之后所有站点并不能够通信。如以太网,FR 。网络中,管理员也需要手动映射映射逻辑地址到物理地址现这个映射而设计的。

拓扑图如下所示:

在这里插入图片描述
R1模拟中心站点。R2.R3模拟分支站点。R1.R2.R3身后都有自己的身后网络,使用环回口模拟。动态路由协
议使用EIGRP。使得每个站点间身后的网络都可以相互通信并加密。
基本网络配置:
R1:
R1(config)#interface f0/0
R1(config-if)#ip add 202.100.1.100 255.255.255.0
R1(config-if)#no shutdown
R1(config)#interface loopback 0
R1(config-if)#ip add 1.1.1.1 255.255.255.0
R1(config-if)#no sh
R1(config)#ip route 0.0.0.0 0.0.0.0 202.100.1.254
R2:
R2(config)#interface f0/0
R2(config-if)#ip add 202.100.2.1 255.255.255.0
R2(config-if)#no sh
R2(config)#interface loopback 0
R2(config-if)#ip add 2.2.2.2 255.255.255.0
R2(config-if)#no sh
R2(config)#ip route 0.0.0.0 0.0.0.0 202.100.2.254
R3:
R3(config)#interface f0/0
R3(config-if)#ip add 202.100.3.1 255.255.255.0
R3(config-if)#no sh
R3(config)#interface loopback 0
R3(config-if)#ip add 3.3.3.3 255.255.255.0
R3(config-if)#no sh
R3(config)#ip route 0.0.0.0 0.0.0.0 202.100.3.254
R4:
R4(config)#interface f0/0
R4(config-if)#ip add 202.100.1.254 255.255.255.0
R4(config-if)#no sh
R4(config)#interface f0/1
R4(config-if)#ip add 202.100.2.254 255.255.255.0
R4(config)#interface f1/0
R4(config-if)#ip add 202.100.3.254 255.255.255.0
R4(config-if)#no sh
测试网络连通性:
R1#ping 202.100.2.1
R1#ping 202.100.3.1
mGRE与NHRP配置:
R1:中心站点
R1(config)#interface tunnel 0
R1(config-if)#ip add 172.16.1.100 255.255.255.0 //配置tunnel地址
R1(config-if)#tunnel mode gre multipoint //配置tunnel模式为多点隧道
R1(config-if)#tunnel source f0/0 //配置 tunnel源
R1(config-if)#tunnel key 12345 //配置隧道key为12345,用于标识隧道。
R1(config-if)#ip nhrp network-id 10 //激活nhrp,所有站点的网络ID建议相同
R1(config-if)#ip nhrp authentication cisco //可选配置,激活nhrp认证,认证密码为cisco
R1(config-if)#ip nhrp map multicast dynamic //中心站点动态的接收组播认证
R2:分支站点
R2(config)#interface tunnel 0
R2(config-if)#ip add 172.16.1.1 255.255.255.0
R2(config-if)#tunnel source f0/0
R2(config-if)#tunnel mode gre multipoint
R2(config-if)#tunnel key 12345
R2(config-if)#ip nhrp network-id 10
R2(config-if)#ip nhrp authentication cisco
R2(config-if)#ip nhrp map 172.16.1.100 202.100.1.100 //手动nhrp映射。把中心站点隧道地址映射到公
网地址
R2(config-if)#ip nhrp map multicast 202.100.1.100 //分支站点与中心站点建立动态路由协议的邻居关
系,就必须在分支站点映射组播到中心站点的公共网IP。
R2(config-if)#ip nhrp nhs 172.16.1.100 //指定nhrp服务器。为虚拟隧道接口IP
R3:分支站点
R2(config)#interface tunnel 0
R2(config-if)#ip add 172.16.1.2 255.255.255.0
R2(config-if)#tunnel source f0/0
R2(config-if)#tunnel mode gre multipoint
R2(config-if)#tunnel key 12345
R2(config-if)#ip nhrp network-id 10
R2(config-if)#ip nhrp authentication cisco
R2(config-if)#ip nhrp map 172.16.1.100 202.100.1.100
R2(config-if)#ip nhrp map multicast 202.100.1.100
R2(config-if)#ip nhrp nhs 172.16.1.100
此时隧道之间应该能ping通
R1#show ip nhrp //查看nhrp注册信息
动态路由协议与调整:
R1:
R1(config)#router eigrp 10
R1(config-router)#no auto-summary
R1(config-router)#network 172.16.1.0
R1(config-router)#network 1.1.1.0
R1(config)#interface tunnel 0
R1(config-if)#no ip split-horizon eigrp 10
关闭水平分割,使spoke互相学习到路由
R1(config-if)#no ip next-hop-self eigrp 10
关闭下一跳本地,使spoke间直接通信,不必在hub中转
R2:
R2(config)#router eigrp 10
R2(config-router)#no auto-summary
R2(config-router)#network 172.16.1.0
R2(config-router)#network 2.2.2.0
R3:
R3(config)#router eigrp 10
R3(config-router)#no auto-summary
R3(config-router)#network 172.16.1.0
R3(config-router)#network 3.3.3.0
IPSec 配置:
R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share
R1(config)#crypto isakmp key 0 cisco add 0.0.0.0 0.0.0.0
R1(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
R1(cfg-crypto-trans)#mode transport
(可以不用配置感兴趣流和加密图配置,直接在tunnel 0 调用profile)
R1(config)#crypto ipsec profile lsj
R1(ipsec-profile)#set transform-set myset
R1(config)#interface tunnel 0
R1(config-if)#tunnel protection ipsec profile lsj
R2:同上
R3:同上
查看第一阶段SA
在这里插入图片描述
查看第二阶段SA
在这里插入图片描述
end…

DMVPM发展阶段

阶段一:星型拓扑设计
在这里插入图片描述
阶段二:虚拟网状拓扑设计

阶段二:所以站点都配置mgre隧道,
前期分支站点间通信先经由中心站点转发信息,
接着中心站点下发nhrp映射信息给分支站点,
分支间按需建立隧道,不再经由中心站点转发下一跳在这里插入图片描述

阶段三:层次化设计

在这里插入图片描述
第三阶段支持中心站点的汇总路由(汇总后的分支站点路由下发)
分支站点请求分支站点nhrp信息,中心站点接受后直接发给目的地,
目的地主动和其建立隧道发送ngrp映射信息给他 (除了第一次在ngrp请求的超时前,icmp包经由中心转发)
(可以不需要关闭水平分割)因为有了汇总路由,不需要明细路由
(可以不用关闭下一跳本地)因为在分支站点配置shortcut直接找目的不需要中心站点作为下一跳
完成以上步骤后,分支站点多了一条通过ngrp学习到的到达另一分支站点的路由!!!在这里插入图片描述
DMVPM第三阶段NHRP工作流程介绍:

第一步:第三阶段DMVPN支持中心站点向分支站点发送汇总路由,所以站点间流量总是会先送到中心站点,并由中心站点代转。

第二步:中心站点收到分支站点间数据后,回送NHRP重定向,这个重定向的主要目的是告诉分支站点一:
中心站点不是最优的下一跳(虽然路由学习的下一跳是中心站点),最优的下一跳是分支站点二的虚拟隧道地址。
注意:由于NHRP重定向能够动态优化路由,所以第三阶段的DMVPM支持中心站点的路由汇总。

第三步:当分支站点一收到NHRP重定向信息,并且学习到最优的下一跳是分支站点二,就会马上发送NHRP解析请求给NHRP服务器(中心站点)。
在DMVPM第三阶段,中心站点不会直接回送NHRP解析回应,而是把这个NHRP解析请求直接发给目的站点。

第四步:分支站点二收到分支站点一所发的NHRP解析请求后,站点二会主动和站点一建立IPSec隧道。

第五步:站点间IPSec隧道建立后,站点二会在隧道内直接回送NHRP解析回应给站点一。
注意:DMVPM第三阶段采取由目的站点触发IPSec,并且在IPSec隧道内回送NHRP回应信息。这样做的好处在于,
如果分支站点二正在一个PAT设备内部,使用第三阶段的DMVPM就能够由站点二由内向外主动发起了,但是使用传统的第二阶段DMVPM技术,
就很难穿越PAT设备,建立分支站点间隧道。

第六步:后续站点间流量就会直接在第四步建立的IPSec隧道内转发。

010526
关注
专栏目录
DMVPN
xb_anquan的博客
06-14 668
VPN原理与实践-DMVPN ①根据拓扑配置ip地址 ②R1/2/3配置默认路由到R4,配置环回接口模拟内网主机 ③R1/2/3上建立多点GRE tunnel<通过MGRE实现> ④通过GRE tunnel实现逻辑通信<通过NHRP实现> ⑤配置使分支与总部之间的的LAN可以相互通信<通过动态路由协议实现> ⑥配置使分支与总部之间的通信数据加密<通过ipsec实现> ...
简单分析DMVPN技术
热门推荐
Lee's site
10-25 2万+
**定义:**动态多点VPN **技术组成:**MGRE+NHRP+IPSEC MGRE——解决隧道的封装技术 NHRP——解决多点网络的通信技术 IPSEC——解决专线的加密技术 技术特点:由客户自行配置维护,不需要ISP来管理 技术缺点:由于用封装技术穿越公共网络,所以稳定性不高 作用:解决在公共网络上多站点(私有网络)的互通问题 实验模型:(模拟现实环境) 1、实际的路由拓扑图示: 拓...
DMVPM配置
凯歌响起的博客
08-23 761
案例配置拓扑 ##案例配置需求 设备之间互联的IP如图所示; 根据拓扑,配置DMVPN; 隧道地址采用172.16.1.0/24 R3为Center,R1,R2为Branch2 案例配置思路 接口配置 R3 Router#conf ter Router(config)#hostname R3 R3(config)#int fa0/0 R3(config-if)#ip add 101.1.1.3 255.255.255.0 R3(config-if)#no sh R3(config-if)#int lo
七、DM-VPN
liyao1569的博客
09-12 1620
本文介绍了DM VPN的具体过程以及配置中需要注意的一些要点
DMVPN(大学生易读版)
最新发布
qq_74338624的博客
11-30 1273
DMVPN 是一个高扩展性的 IPSec VPN 解决方案,可以理解为GRE OVER IPSEC 升级版 MUTI GRE OVER IPSEC
DMVPN 动态多点隧道技术
Alex的博客
08-07 3189
DMVPN,动态多点VPN
DMVPN---理论篇-1
qq_43331152的博客
10-08 3490
DMVPN的组成部分: 1、MGRE (multipoint GRE) 2、NHRP (Next Hop Resolution Protocol) 3、Dynamic Routing Protocol 4、IPSec VPN NHRP: 一个二层的客户-服务器解析协议,用于映射隧道地址(虚拟)到一个NBMA地址(物理)。NHRP的功能非常类似于ARP(映射IP(逻辑)到MAC(物理)和...
动态多点虚拟专用网络
命运的旋律的博客
10-25 1012
DMVPN 实验 DMVPN实验拓扑 DMVPN 实验配置
DMVPN冗余负载
weixin_45138093的博客
06-20 457
DMVPN冗余负载 继上一篇DMVPN的部署配置,此次要做的是两台DMVPN中心节点的热备冗余。 拓扑图如下所示: 在两中心节点R1R2做备份冗余,R3R4模拟分节点,R6模拟Internet设备,R5为总公司内部服务设备 R1R2的组播地址分别指向对方,R1R2互相映射对方的隧道地址和公网地址 R3的nhs和组播地址都指向R1R2,并配置R1R2的隧道地址和公网地址的映射 在R1R2的ospf上通告公司网络和隧道网络 在这里插入图片描述 R3这里也通过gre和R1R2互通ospf路由信息 查
网络❀HCIE、MGRE详解
hyf_strive的博客
08-08 981
一、GRE协议概述 1、GRE是Tunnel(隧道)技术的一种,属于第三层隧道协议。GRE隧道是一个虚拟的点到点的连接,为封装的数据 报文提供了一条传输通路。 2、GRE隧道的两端是Tunnel接口,分别对数据报文进行封装及解封装。负责发送封装后的报文的物理接口叫做隧 道源接口,对端接收此报文的物理接口叫做隧道目的接口。 上图中报文的封装过程: 1、NGFW_A连接分部的接口收到IP数据报文后,首先交由IP协议处理。 2、IP协议检查报文头中目的地址来确定如何转发此报文。若报文的目的地址要
DM*PN 的三个发展阶段概述
weixin_39997345的博客
09-26 1509
DMVPN 三个发展阶段,ip nhrp redirect , ip nhrp shortcut
思科动态私有网络解决方案
DREW德鲁
07-30 573
DMVPN的组件 • 1.MGRE(Multipoint GRE),多点GRE。便于在VPN隧道中能够传送组播报文(如动态路由协议报文) • 2.NHRP协议(Next Hop Resolution Protocol ),下一跳地址解析协议。动态收集、维护和发布分支节点的公网地址信息,解决了分支节点动态公网IP地址问题。 • 3.路由协议 • 4.可选的IPSec封装,实现数据的安全传输。 • DMVPN网络中多种路由协议:RIP、EIGRP、OSPF、BGP MGRE(多点GRE) MGRE (Multi
DM XXX理论
openlab网工之路
01-29 1413
传统XXX高扩展性问题: 图1:两次加解密,两次占用中心带宽 图2:ipsec XXX配置过多,每一个客户端需要维护过多的ipsec SA,每一个客户需要固定的IP地址 另外,链路down掉,无法自动切换,造成冗余性问题 DMXXX:dynamic multipoint XXX,动态多点XXX DMXXX是建设的ipsec+GRE解决方案,是一个简单的,动态的,可扩展的方式 1.简单的hub-s...
BGP路由选择-Next Hop(学习笔记+实验验证)
weixin_42213219的博客
05-26 1万+
BGP路由选择-Next Hop一.原理概述二.实验(一)实验目的(二)实验内容(三)实验拓扑(四)实验步骤1,基本配置2,IGP和BGP路由协议配置3,Next Hop属性在路由传递过程中的变化情况4,Next Hop属性对BGP路由协议选路的影响 一.原理概述 当一台BGP路由器中存在多条去往同一目标网络的BGP路由时,会进行比较得出最优BGP路由,然后再与其他协议路由比较,从而决定是否将BGP路由放到IP路由表中。 BGP路由属性比较顺序为Preferred Value属性,local Prefer
DMVPN中心站点动态域名解析
风云刀的CSDN博客
10-08 746
一般情况下Cisco的DMVPN中心站点使用固定IP地址,但是有些情况下无法获取固定的IP地址,在这种情况下Spoke端将无法和Hub端进行通信。 其实可以在Hub端使用动态域名,然后Spoke端使用动态域名解析进行通讯。Hub无需做其他配置,只需要配置DDNS即可。 Spoke端原有配置: interface Tunnel0 ip address 192.168.1.2 255.255.25...
Cicsoc独有DM虚拟连接
凯歌响起的博客
04-21 930
四个技术组件 MGRE 想要了解MGRE,必须知道GRE(通用路由封装)----点到点网络类型 一种点到点的简单VPN隧道。 VPN–虚拟专用网络(在逻辑上虚拟的实现专线的技术) r1(config)#interface tunnel 0 创建隧道接口 r1(config-if)#ip address 10.1.1.1 255.255.255.0 配置接口ip地址 定义新加装的IPV4报头,源目ip地址 r1(config-if)#tunnel source 12.1.1.1 r1(config-if)#t
使用eve-ng中的cisco路由器实现DMVPN
cx的博客
01-17 6337
eve-ng 做DMVPN实验
动态多点虚拟专有网络在虚拟路由转发环境搭建
yueyadao的博客
11-23 835
实验拓扑网络地址规划:私网1为:192.168.1.0/24 私网2为:192.168.2.0/24 私网3为:192.168.3.0/24 R7的S1/1接口所在网段为:201.1.1.0/24 R7的S1/2接口所在网段为:202.1.1.0/24 R7的S1/3接口所在网段为:203.1.1.0/24 路由器Rx的环回地址为x.x.x.x 255.255.255.0 DMVPN 动态多点VP...
DSVNP基础原理
曹世宏的博客
09-16 1万+
GRE over IPSec的缺陷 GRE over IPSec的缺陷: 图:企业典型的Hub-Spoke组网(配置DSVNP之前) 如上图,如果一个公司又很多分支站点,采用GRE over IPSec的话会存在如下缺点: IPSec隧道集中在Hub点,所有流量都穿越Hub点。 所有流量通过总部封装和解封装时,会引入额外的网络延时。 每增加一个新的Sopke点,Hub点都必须被配置。 若Spo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值