Dynamic Multipoint VPN (DMVPN)动态多点VPN

宜家博客
宜家博客
宜家博客
47403
文章
0
评论
2020年6月30日19:40:18 评论 2 2335字阅读7分47秒

如果一个大公司他们公司在中国有几十家子公司,而这些子公司的局域网需要和总公司的内网通信,现在让你帮他们设计子公司与总公司的VPN 网络,并且希望总公司和分公司之间能够使用动态路由。由此,引出了Dynamic Multipoint VPN (DMVPN).

完成DMVPN 的功能,需要以下两个技术来实现:

1.multipoint GRE (mGRE)

2.Next Hop Resolution Protocol (NHRP)

在mGRE中,核心路由器称为Hub,而分支路由器称为spoke,在配置时,Hub上必须将GRE 接口类型指定为multipoint GRE (mGRE),在Hub上配置mGRE接口,则不需要为每个peer单独建立一条GRE接口。

无论mGRE 中Hub 要和多少个spoke 连接,所有Hub 和所有spoke  的IP 地址必须在同网段 。在mGRE 中,Hub 的物理IP 必须固定,Spoke 的物理IP 可随意。

Next Hop Resolution Protocol (NHRP)

对于mGRE,它利用了一个单独的协议去解决Hub 获得spoke 真实IP 地址的问题,这个协议就是Next Hop  Resolution Protocol (NHRP),因为只要动态IP 地址方先向静态IP 地址方发送数据,静态IP 地址方就能够知道动态IP 地址方的地址是什么,所以mGRE 的Hub 就可以在spoke 发给自己的数据包中得知spoke 的真实IP 地址,根据这个原因,NHRP 就强制规定spoke必须主动向Hub 告知自己的真实IP 地址,这样就能使HUB 轻松获得所有spoke的真实IP 地址,从而正常建立mGRE 中的所有GRE,最终实现DMVPN。

如下图实验:我们以三地测试DMVPM,上海是Hub,武汉和惠州是spoke

Dynamic Multipoint VPN (DMVPN)动态多点VPN

en
conf t
line con 0
no exec-t
exit
host r1
int f0/0
no sh
ip add 192.168.1.1 255.255.255.0
exit
ip route 0.0.0.0 0.0.0.0 192.168.1.2

===============================R2==================================
R2>en
R2#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R2(config)#line con 0
R2(config-line)#no exec-t
R2(config-line)#exit
R2(config)#host r2
r2(config)#int f0/0
r2(config-if)#no sh
r2(config-if)#ip add 192.168.1.2 255.255.255.0
r2(config-if)#int f1/0
r2(config-if)#no sh
r2(config-if)#ip add 23.23.23.2 255.255.255.0
r2(config-if)#exit
r2(config)#ip route 0.0.0.0 0.0.0.0 23.23.23.3
r2(config)#
r2(config)#end
 
r2(config)#
r2(config)#crypto
r2(config)#crypto isa
r2(config)#crypto isakmp pol
r2(config)#crypto isakmp policy 10
r2(config-isakmp)#encryption 3de
r2(config-isakmp)#encryption 3des
r2(config-isakmp)#hash sha
r2(config-isakmp)#au
r2(config-isakmp)#authentication pre
r2(config-isakmp)#authentication pre-share
r2(config-isakmp)#grou
r2(config-isakmp)#group 2
r2(config-isakmp)#exit
r2(config)#crypto isakmp key 6 dmvpn  address 0.0.0.0
r2(config)#crypto ipsec transform-set myset esp-3
r2(config)#crypto ipsec transform-set myset esp-3des esp-sha
r2(config)#crypto ipsec transform-set myset esp-3des esp-sha-hmac
r2(cfg-crypto-trans)#exit
r2(config)#crypto ipsec profile cisco
r2(ipsec-profile)#set transform-set myset
r2(ipsec-profile)#exit
r2(config)#int tunne
r2(config)#int tunnel 2
r2(config-if)#no sh
r2(config-if)#band
r2(config-if)#bandwidth 1000
r2(config-if)#ip add 10.1.1.1.2 255.255.255.0
r2(config-if)#ip mtu 1400
r2(config-if)#ip nh
r2(config-if)#ip nhrp authentication vpn --设置认证密码,同一个mGRE 中所有点(包括所有 

                                        Hub和所有spoke)的密码必须一致
r2(config-if)#ip nhrp map multicast dynamic -- 自动将spoke 的地址加入组播映射中,否则 

继续阅读
weinxin
欢迎加入中国站长博客之家
本站的所有资源都会上传分享到博客之家,希望大家互相学习交流进步。
宜家博客
手动实现高可用LVS的资源转移 linux服务器应用

手动实现高可用LVS的资源转移

在高可用集群中在主节点当即后如果资源不能成功转移到该高可用集群的其他节点上那么这个集群的高可用性就无从谈起,所以在高可用集群中资源成功转移才是王道! 在《一步步教你为LVS中的Director实现高可...
匿名

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: