允許 線路 無法 ipsec eth -s 網絡類型 決定 水平分割

回答以下問題，你就可以透徹理解DMVPN 大法的精髓 ？ 1.什麽要使用DMVPN？ 一句話：傳統星型和網狀都不行 傳統IPsec VPN 星形部署 網狀部署的大規模網絡部署存在嚴重的問題 1.星形 所有分支站點通信 都需要走Hub ，Hub路由器資源利(硬件和帶寬 )用率高, 中心站點配置量高，分支到分支的延時高。 2.網狀 所有分支之間相互建立連接， 配置數量龐大 2.DMVPN有哪些組件組成? 每一項都是必不可少的嗎? 可以刪去幾項嗎? DMVPN =mGRE+NHRP+動態路由協議+IPsec 3.階段一 階段二 階段三 DMVPN區別？ 階段三DMVPN 支持路由匯總 因此不需要關閉水平分割啦！也不需要關閉ip next-hop-self了！！ 階段三DMVPN 絕招 : 主動出擊 左右開弓 左 : 主動給 數據傳輸發起方 發重定向 右: 主動給 數據接收方 發送數據接收方 的信息。 可以短路，主動發起連接。 4.可以使用那些動態路由協議? RIP /EIGRP/OSPF ? RIP/EIGRP等 距離矢量路由協議 需要關閉水平分割 DMVPN之 動態路由協議問題 1). DMVPN EIGRP只有分支和HUB建立鄰居關系, 而分支和分支卻沒有鄰居關系 為什麽? 因為只有Hub接口接受組播流量, EIGRP等路由協議需要組播的支持 2). DMVPN跑EIGRP ,為什麽要關閉水平分割？ 關閉EIGRP的next-hop-slef 特性? 該特性是做什麽？ 因為分支只於Hub建立鄰居關系,所以Hub有所有分支的路由, 但是都是從Hub的一個接口學習到的，EIGRP默認開啟水平分割，不允許從一個接口學習到路由，又從同一個接口發送出去。 EIGRP 默認開啟Next-hop-self, 因為路由是從Hub學習到的,所以Hub會告訴分支next-hop-self。 但是DMVPN 階段二,階段三 會直接建立連接關系,所以不能只指向Hub,而應該修改為實際的Hub地址。 3). DMVPN跑OSPF , 接口用什麽類型? Hub和Spoken接口類型可以不一樣嗎？ 因為DMVPN 是NBMA網絡類型，不支持組播, 為了支持組播，需要更改接口類型為廣播 或 者點到多點。 點到點不行 Hub和Spoken接口類型必須一致，即使鄰居可以建立起來，但是路由無法傳遞過來。 4). 為什麽OSPF有各種接口類型? EIGRP有沒有像OSPF的一樣的接口類型? 不是由OSPF決定了，而是有客觀的物理線路決定的。 5).DMVPN為什麽IPsec可以用什麽模式(隧道 還是傳輸)? 那個更好? 為什麽? 推薦使用傳輸模式，因為DMVPN有mGRE，可以使通信點之間的路由貫通。 ----------------------------------------------------------------------------------------- DMVPN配置 Hub基本網絡配置 mGRE配置 ----------- interface tunnel 0 ip address 172.16.1.100 255.255.255.0 tunnel mode gre-mutipoint tunnel source fastethernet 0/0 tunnel key 12345 NHRP配置 ----------- ip nhrp network-id 10 ip nhrp athentication cisco ip nhrp map muticast dynamic 動態接受NHRP的組播映射 Spoke1基本網絡配置 mGRE配置 ----------- interface tunnel 0 ip address 172.16.1.100 255.255.255.0 tunnel mode gre-mutipoint tunnel source fastethernet 0/0 tunnel key 12345 NHRP配置 ----------- ip nhrp network-id 10 ip nhrp athentication cisco ip nhrp map 172.16.1.100 202.100.1.100 ip nhrp map muticast 202.100.1.100 ip nhrp nhs 172.16.100 NHRP 排錯命令 debug nhrp sh dmvpn sh ip nhrp sh ip nhs 動態路由協議配置 router eigrp 100 no auto-summary network 172.16.1.0 0.0.0.255 network 192.168.100.0 0.0.0.255 router eigrp 100 no auto-summary network 172.16.1.0 0.0.0.255 network 192.168.1.0.0 0.0.0.255 router eigrp 100 no auto-summary network 172.16.1.0 0.0.0.255 network 192.168.2.0.0 0.0.0.255 Hub隧道接口關閉水平分割 interface tunnel 0 no ip split-horizon eigrp 100 中心站點優化路由 interface tunnel 0 no ip next-hop-self eigrp 100 配置IPSec VPN crypto isakmp policy 10 authentication pre-share crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 crypto ipsec transform-set cisco esp-des esp-md5-hmac mode transport crypto ipsec profile dmvpn-profile set transform-set cisco interface tunnel 0 ip mtu 1400 tunnel protection ipsec profile dmvpn-profile 階段二和階段三 DMVPN最大的不同是 nhrp 操作不同 階段三 當數據本默認送向中心站點時, 中心站點 會發 重定向， 目的站點會主動發起，解決PAT穿越問題 中心站點 開啟nhrp重定向 ip nhrp redirect 分支站點 啟動nhrp短路 分支站點間直接建立隧道 ip nhrp shortcut 階段三 不需要關閉水平分割 和路由優化,只需要中心站點給分支發送一條匯總路由 ip summary-address eigrp 100 192.168.0.0 255.255.0.0 DMVPN 資料參考 現任明教教主DMVPN 第一部分 現任明教教主DMVPN 第二部分 現任明教教主DMVPN 第三部分 有VRF的GRE隧道的配置示例

DMVPN Summary