1. 程式人生 > >詳述—動態多點VPN

詳述—動態多點VPN

1、標準的DMVPN是由MGRE(封裝)+NHRP(處理多點問題)+IPSEC(加密)
2、解決了在公共網路上多站點互通問題,與MPLS-vpn比較只需要運營商分配一個公網地址就可以,MPLS-vpn則需要運營商負責搭建。由於現在的通訊速度較快所以使用DMvpn也較多,但是DMvpn沒有MPLS-vpn穩定。
3、GRE:最初是解決站點到站點的問題,但是由於站點過多則需要大量的操作和配置。
4、GRE的升級款MGRE,站點到中心的中轉訪問方式;如圖當R3訪問R4時會先去往R1在由R1做中轉給R4(降低了穩定性也浪費了時間佔用了流量通道)解決了一個站點到多個站點的問題。
在這裡插入圖片描述
5、普通的靜態MGRE無法實現臨時加入的站點和去掉的站點完美接入問題;所以此時就需要將NHRP協議引入。

①關於NHRP:無論MGRE怎麼改變,類似於總部的路由都有類似於分別的對映關係,首先分部主動給總部發送自己的對映資訊(公網地址和私網地址);這樣總部去往分部的問題解決;而分部想要精確的到達某個分部只要獲得總部的對映就可以實現;

②第一階段(解決了通過NHRP獲得了公網和隧道口的地址對映關係):當分部開啟NHRP協議時分部將釋出自己的公網地址和隧道口地址到總部,而分部去往分部只需要向總部請求即可,此時只能解決隧道口地址的互通,不能解決內網互通。

③第二階段(通過靜態(較麻煩)路由和動態路由):NHRP支援動態協議,但是RIP、EIGRP、OSPF、ISIS等建立鄰居都需要組播;NHRP預設是不支援組播,但是動態路由單播也可以建立鄰居,但是單播無法像組播承載一樣的資訊。

(無組播情況下)
EIGRP:由於EIGRP是距離向量型協議自帶水平分割,所以需要手動在R1上關閉水平分割,並且過一個路由器會修改一次路由方向R3—》R4每次都需要經過中心R1(可以將EIGRP的next-hop關掉也可實現R3-》R4)。
OSPF:由於OSPF是鏈路狀態型協議域內專遞拓撲域間傳遞路由,所以可以讓R3直接去往R4,但前提是OSPF主要有P2P、P2M、P2M非廣播、NBMA、BMA等網路型別,而OSPF的一類LSA有四種網路狀態:(P2P、transiate、STUB、虛鏈路)顯然現在不是STUB和虛鏈路,無論是P2P和P2M在一類LSA都是P2P(自身連線其他),NBMA則對應的是transiate(對應SPF的有向圖):
在這裡插入圖片描述


所以OSPF的NBMA網路型別就直接可以解決R3-》R4。
BGP:如果是BGP都與總公司建立鄰居,總公司時路由反射器,因為它們處於同一個AS屬於IBGP所以下一跳是不會改變的,所以R3直接可以到達R4。(NBMA網路需要選舉DR則將spoke端的優先順序調為0即可)
有組播:寫nhrp組播靜態對映;
④第三階段:當出現多分層結構時無法進行直接互通,此時需要利用NHRP;
在這裡插入圖片描述
NHRP原理:spoke端首先對hub端傳送地址解析請求,hub端就會查詢自己所對應的介面,然後重定向給另一個spoke,收到的spoke就會給hub傳送nhrp對映,hub再將收到的nhrp映射回復過去,這樣就實現了spoke與spoke直接通訊。
解決思路:直接將對方公網地址封裝到內網之上,但是本地需要發請求對映,讓每一個hub轉發就可以了,直到請求到所需的公網地址。
EIGRP:在最高hub端下放一條預設預設,觸發nhrp請求,當本地接收到目的網段對應的公網地址對映表後會自動生成一條路由載入到路由表上。
OSPF:若發現NHRP請求回來目的的下一跳與自己的不一致,則就會將自己原來的下一跳用NHRP覆蓋;(與LSA5中的FA地址原理相同);