CISCO DMVPN原理与配置[红头发版].docx

CISCO DMVPN原理与配置转载请保留此信息:* |7 l4 I* - E$ G( s* z4 I- : W作者:红头发(aka CCIE#15101)- : D. y6 I7 b' a7 o: q$ ; S  A出处:! v/ I6   q* ?& K2 Y& m; |, q) d4 4 l1 J9 F一.CISCO DMVPN概览% Q+ u+ T" i, N" H/ e/ h- b7 PCISCO 动态多点VPN(DMVPN)用于构建可扩展性的企业VPN网络,用于支持分布式的应用程序,比如视频和语音.具备如下优势:纽爱科网络实验室社区: a" 5 K4 y  G9 |9 T1.采用星型(hub-and-spoke)结构与按需全互联相结合的拓扑结构.1 j. T% _1 ?9 e( _0 h  M2.自动应用IPSec.  U4 j$ F0 t# A" v+ 3.当增加远程站点时无需做额外部署.$ k+ N" y2 b  Y  _) B! / V+ m4.减小延迟与节约带宽.$ e: B4 S/ f- C# N# i纽爱科网络实验室社区如下图:* V+ B7 X- c' p. i! Z/ y  C1.jpg (14.98 KB)2008-10-11 21:42) P* + f8 t9 I( w9 |' M4 7 j纽爱科网络实验室社区CISCO的DMVPN可以和IOS防火墙,IOS IPS,QoS,IP组播,隧道分离,与路由协议热备份技术结合使用.$ j! o2 f( # d/ i6 : s4 w/ e7 k7 H' x/ f通常情况下,DMVPN适用于以下场合:/ ?5 m  g- K9 D. f3 W1.中型与大型企业.2 x4 + d$ F' x( N4 y4 o/ i9 i2.SOHO4 U6 W' I% a2 6 ?8 L/ a1 L" 2 h3.企业网外网.: y( r* B/ A' G: Y$ 4.企业WAN备份连接.% ?6 |2 t% R: # Z5.SP VPN业务.* Y9 3 ' f$ b+ q. O* b纽爱科网络实验室社区: q* 0 B3 Q6 W二.CISCO DMVPN的部署与结构2 n9 R+ . d  6 CISCO DMVPN部署方案有两种方式:, X( z) k7 C" R# A- x2 |1.星型(hub-and-spoke)结构:" E3 V! 4 B- 2 t在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图:8 2 |# S+ : W  q  B+ D" s3 K 2.jpg (9.26 KB)2008-10-11 21:55' v! T( f$ ( 5 D1 k4   C纽爱科网络实验室社区2.边缘(spoke-to-spoke)结构:  y! L6 z+ X: N. sCISCO DMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图: B& / T0 i3 Y* J) b" B3.jpg (9.7 KB)2008-10-11 21:553 Y# Z& K& # j" E" b, S$ D' x) v' E7 k/ L( Y至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:- U7 y& O7 y2 I( w* V" D: A/ m9 d1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构. F9 m$ y7 O- L& |; a2 x% o! j: ?2.如果20%甚至更过的流量是为边缘节点所服务,那么采用边缘结构.纽爱科网络实验室社区4 A; I) C; 7 K- v$ P# D* m- & i3 U& U+ x3 b+ T/ w) s& c7 U为了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对对的应用程序变得更为麻烦.& C9 Y& w3 e- f9 L! e6     p& |% L2 ; ACISCO DMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图:5 q/ a+ y4 D, y' p8 U: T1.jpg (16.11 KB)2008-10-11 22:12& _5 T4 g4 N; J0 T$ ) 3 k9 B: t% I& V8 5 qCISCO DMVPN的关键组件如下:( Q7 8 * T5 Q/ z7 g  P1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个IPsec隧道,简化配置.2 k2 d, v3 h/ d! N  E2.IPsec末端节点的动态发现与加密模板:无需为每对对等体手动指定crypto map,简化部署.4 ?9 m; I9 v- 2 |3 s3.NHRP:允许边缘节点采用动态IP地址,中心节点用于维护每个边缘节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时,它向中心节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址.3 r4 l5 X3 t3 D) y1 l0 ?- z9 # Z. u3 e三.CISCO DMVPN的实施3 m0 c7 d- K( % S( Y纽爱科网络实验室社区可以通过CISCO SDM采用向导化的配置:& V" K9 _5 S& C' ! i; l未命名.jpg (26.85 KB)2008-10-11 22:22- S% V1 W9 m8 H8 C/ Y9 C1 |6 & a6 o- D5 y4 F+ O5 |9 通过IOS来配置CISCO DMVPN.拓扑如下图:# Z6 Q5 p4 c6 j9 o1 H' n 1.jpg (64.59 KB)2008-10-11 22:42, L. F; O$ L- # x0 a0 x7 i% T6 s, E5 r3 F$ eR1配置如下:& q- b8 U9 w8 y' 8 ' & P!+ Y; o6 N* R0 Z" I1 _crypto isakmp policy , b, L& C3 y9 $ |- ' |! N1 Bencr aes9 j3 l( ) T) I4 G( authentication pre-share, 5 I( p* J, r9 Kgroup 2  7 h# : p" a2 Y9 T; e6 v) O!) W) O  J0 H6 h: y- ( xcrypto isakmp key cisco address 0.0.0.0 0.0.0.03 e* . d4 D3 W3 R' !0 m, o6 M$ _% I  z. l+ 9 g3 L纽爱科网络实验室社区!1 v0 j# % O7 C4 Rcrypto ipsec transform-set ccsp esp-aes esp-sha-hmac 8 q% R6 v0 V: V- U! c1 o. M. hmode transport9 k" & X! e- o, A!( f( E# y3 o) P8 O& J* & s* bcrypto ipsec profile 91lab6 o7 8 n. n5 B  v纽爱科网络实验室社区 set transform-set ccsp : A( X5 j$ b9 c- Z* D!  g$ r- e+ N, I' , e  T!7 L( J) U( p* m, Linterface Tunnel0: q) Y0 t- Z%   |0 W/ t6 Mip address 192.168.1.1 255.255.255.0# S- f; v, & w, g# I7 R: r5 Z ip nhrp authentication cisco          /-配置NHRP的认证-/7 6 c3 0 d6 t9 X7 V  b; A ip nhrp map multicast dynamic         /-允许NHRP自动增加路由器到组播NHRP映射-/纽爱科网络实验室社区, j0 e$ t* T: ?; J/ o: H3 m4 U. wip nhrp network-id 1                  /-在接口上启用NHRP-/2 j* 9 s9 N: ' a; Q( , ip ospf network broadcast纽爱科网络实验室社区, X- G8 F1 m! a) x1 _, hip ospf priority 4 N4 P' ) Z2 |5 g! - xtunnel source Serial0/0  o2 l5 1 2 c3 S* t9 _ tunnel mode gre multipoint+ M7 J" q2 U+ x2 r& w& tunnel key 11 b. 9 J" s$ F) ; _; t% Btunnel protection ipsec profile 91lab, t5 x* W* m6 ?8 & C% x( z: W5 c+ r纽爱科网络实验室社区!% i+ E* x& I5 A8 _( i$ a, Sinterface Loopback0% y5 u3 I& k' S& T! C) | ip address 11.1.1.1 & B% t( 8 y) c!3 2 L1 g) z6 yinterface Serial0/0. f6 : c4 J1 b0 W% g; n9 T$ E, ip address 125.71.1.1 255.255.255.2482 S% l; - h  S  V encapsulation frame-relay7 b( 3 J# X# r1 N* + v1 sno frame-relay inverse-arp2 N. R! a: b% D. T; Z$ m4 b7 x frame-relay map ip 125.71.1.2 102 broadcast5 g% y# T* L$ H. V2 |) a0 s8 d frame-relay map ip 125.71.1.3 103 broadcast  T. N4 m8 O; 2 Z' f: a!$ e  W5 o6 e: o* H. C( E2 7 S4 brouter ospf 13 x" * 9 I  r log-adjacency-changes% o% Z9 r2 O' G% Jnetwork 11.1.1.1 0.0.0.0 area 2 W% o+ F, X- t: Z1 network 125.71.1.1 0.0.0.0 area 0% h1 # F* d0 m7 b7 g" W$ Z network 192.168.1.1 0.0.0.0 area 0/ p3 U5 i- D3 b+ f$ u( U- x!1 ?) b/ 7 A+ H, X$ d8 e; G- Y: ' d+ A) ?8 L3 x  _纽爱科网络实验室社区R2配置如下:0 L7 L6 w2 e& h6 ( b/ ?!; / Y2 r. ' & K5 N* D. q+ E, i( G3 b纽爱科网络实验室社区crypto isakmp policy 107 r$ Y/   V/ g1 + x3 Q encr aes$ e9 W- n  B; cauthentication pre-share2 g; s- K! r& 7 k1 f) W+ C9 K group 2  5 a% l, c9 W7 |* F5 I!8 + b( G# v1 jcrypto isakmp key cisco address 0.0.0.0 0.0.0.00 K0 S: R  c- u6 n3 S9 !" B2 I! u6 T! 8 R) b6 G! h!8 A% K8 n/ 8 |) t) l1 qcrypto ipsec transform-set ccsp esp-aes esp-sha-hmac 纽爱科网络实验室社区( A4 U  + _1 w6 Umode transport纽爱科网络实验室社区7 2 l/ o8 I% Y. s" U! r!纽爱科网络实验室社区# L4 # v/ U- Y9 y% y$ y& j& acrypto ipsec profile 91lab& & Z/ g- S$ x* b0 x2 ) bset transform-set ccsp 8 R/ R7 O4 S/ ?5 A  !7 T2 M6 I0 g. m, n0 p!/ q$ o+ " E1 i纽爱科网络实验室社区interface Tunnel0+ e7 l* h2 z! m5 q: H ip address 192.168.1.2 255.255.255.0" g, O  o9 o. F5 r4 cip nhrp authentication cisco6 N% i7 o' D. p# |( D. H+ L) O ip nhrp map multicast 192.168.1.1             /-将NBMA地址做为通过隧道网络发送广播或组播的目标地址-/" n' e% U& " ip nhrp network-id 1" |8 |; o" e- l$ F0 ( R   ip nhrp nhs 125.71.1.1                        /-定义NHRP服务器地址-/; ! C( d8 v$ F( P0 R3 o' Z ip ospf network broadcast9 l0 e6 f/ 7 n# / P  x" qtunnel source Serial0/02 8 |7 |7 r" m' f( C! tunnel mode gre multipoint+ v- l5 F& ( Q, m8 rtunnel key 19 C$ 4 l7 x: P/ 2 x& 1 N tunnel protection ipsec profile 6 U; u# n6 " l5 s: u' J!, 9 K7 x$ i% X9 ointerface Loopback03 w8 Y; |3 1   ?$ ?) B7 Y4 i# - t; L ip address 22.1.1.1 255.255.255.0+ p+ q4 y( o5 Z1 L( H!% p0 S3 l% Z+ |  Qinterface Serial0/3 Z! w  K1 f0 1 ) X( 9 J7 ! ip address 125.71.1.2 255.255.255.248: Y& y9 t& f& 7 H9 c9 S* # | encapsulation frame-: O, R' y( D# F. 9 j, d- uno frame-relay inverse-arp: 3 ! m' n3 b" v1 Fframe-relay map ip 125.71.1.1 201 & Y- x# h! x8 Q& ?) S+ M- f/ 3 uframe-relay map ip 125.71.1.3 201 broadcast纽爱科网络实验室社区0 1 ' C+ q) R- t. o/ o+ % H!9 i, n9 n, |9 G. L- _  router ospf 18 % l; J8 n7 d1 v8 F  : log-adjacency-changes纽爱科网络实验室社区* c5 O) t' t/ E( rnetwork 22.1.1.1 0.0.0.0 area 05 _0 x2 _# u8 & $ M& Snetwork 125.71.1.2 0.0.0.0 area 0* K1 _6 g" q5 " I' I" e network 192.168.1.2 0.0.0.0 area 05 0 0 z: N, m7 H' A6 R" j!纽爱科网络实验室社区7 z8 Y3 h7 k' d( B, S  z7 K# e% W' U, E2 F' mR3配置如下:5 / h7 F- y4 * t!$ J) S# r. 9 b4 ?# J* K/ Tcrypto isakmp policy 10) # j1 B9 # ?7 encr aes1 U( c" O& b' l% authentication pre-share: , e3 r* X6 v5 A! v% 2 ggroup 2  + ?8 L; r& S+ y' 6 N!$ q. X" q- x3   h; crypto isakmp key cisco address 0.0.0.0 & y) t) |  1 M9 u0 i' C: ( G!" m$   ! J  W# h. i/ I!4 h0 S7 N# E7 w. Pcrypto ipsec transform-set ccsp esp-aes esp-sha-hmac 8 V: s' B7 ! H" 9 |8 _" U mode transport& B1 P' : , z; M8 i8 d  h, S!6 n) j- j+ c1 F* w! $ P. t( Dcrypto ipsec profile 91lab, U% t- f  h% i9 |set transform-set ccsp 纽爱科网络实验室社区: b2 H  + g" ! $ u: !' b+ t8 d* V- E; |5 L!2 _! n% 4 " ; N8 ainterface Tunnel0& c8 Q' P- F$ l( ip address 192.168.1.3 255.255.255.0' J- C/ B! o8 D2 S# D  X  J ip nhrp authentication cisco* L' _- m9 U9 d) b& t4 W9 Q ip nhrp map multicast 9 1 h6 w8 i9 wip nhrp network-id 10 C  Z/ j, r6 L6 b ip nhrp nhs , J4 $ I  B!   ( l3 s! H( O2 sip ospf network broadcast, Z1 * u3 o6 0 gtunnel source Serial0/0- 6 b8 n! Y. H0 Ptunnel mode gre " w( b2 P% + 6 Vtunnel key 1. l1 o9 Z7 M+ X4 s; S tunnel protection ipsec profile 91lab# b/ s9 X( m8 . q!3 w1 - G; _/ p2 b9 pinterface L0 G0 r& f. / R# x1 , X( C0 pip address 33.1.1.1 255.255.255.07 Y6 L* x( p3 a9 L& |纽爱科网络实验室社区!  f4 l0 l4 N" S# W# D+ f3 Q6 Hinterface Serial0/0$ G5 H3 N7 ?) 5 T ip address 125.71.1.3 255.255.255.2488 v8 K# * E) G& K$ d8 x encapsulation frame-relay2 t7 t/ l$ c1 c/ F no frame-relay inverse-arp( 7 Y7 5 r2 b% ' x) j纽爱科网络实验室社区 frame-relay map ip 125.71.1.1 301 broadcast& k8 Z$ p+ / ( S! 6 % T4 L% Qframe-relay map ip 125.71.1.2 301 broadcast1 M; p; ) D  ) 0 r6 $ z!6 c, l, G8 L5 B+ o7 V; N6 X) grouter ospf 19 G6 n) u: O; 8 X log-adjacency-changes) j& A' I( / L6 U0 H* W  D( Snetwork 33.1.1.1 0.0.0.0 area 0& t3 d* U, A  B4 p, y4 network 125.71.1.3 0.0.0.0 area 0  y/ L# - c) T9 L* s% e network 192.168.1.3 0.0.0.0 area 0