DMVPN动态多点GRE实战

一. DMVPN 技术背景

VPN 的建立模型通常有两种: Hub-Spoke 和Full-Mesh

以上两种模式均存在较大的弊端

HUB-spoke 分支与总部相连

Full-Mesh（全互联）

名词；HUB(总公司），Spoke（分支）

1.1 HUB-Spoke（星型拓扑）

缺陷；

1.中心站点(Hub) 配置量大, 资源消耗大, 因为它需要同每一个远端分支站点建立IPSec VPN,

可能同时维护多套SA.

2.中心站点扩展性不好, 因为每当一个新的远端分支站点加入时, 中心站点都需要为新加入的

远端分支站点提供对应配置来建立IPSec VPN.

3.IPSec VPN 建立成功后, 从远端分支站点访问另一个远端分支站点时, 数据包都必须要经过

中心站点, 因此存在加密解密>加密>解密的过程, 导致延时增加.

4.分支与分支之间的数据通信会严重占用中心站点的带宽.

1.2 Full Mesh（网状结构）

所有分支站点都建立ipsec vpn，这样的拓扑好处就是流量不需要在经过总部中转了

缺陷；

1.所有站点的配置量, 资源消耗都很大, 每两个站点直接就需存在一套对应的SA.

2.扩展性很差, 因为每当增加一个新的站点, 则全网所有站点都需要进行调整.

3.在建立过程中, 要求每个站点都公网地必须要提供固定的址.

针对以上两种模型的弊端, Cisco 提出了私有的高扩展性的VPN 解决方案: DMVPN

二.DMVPN (Dynamic Multipoint VPN) 动态多点VPN

支持Spoke 端动态IP公网地址(但是Hub 端必须是固定IP 地址)

具有较好的扩展性, 当新的Spoke 站点加入时, 不会额外增加中心站点的配置.

分支站点之间能够自动触发式建立IPSec 通道. (有流量才会建立)

2.1 DM vpn架构

1.NHRP (Next Hop Resolution Protocol) ；下一跳地址解析协议

2.GRE Tunnel

3.Dynamic Routing Protocol （动态路由）

4.IPSec

2.2 DM vpn发展的三个阶段

阶段1

1.HUB to spoke的模式

2.Spoke到Spoke的流量必须经过总部中转****

3.HUB端的GRE tunnel为mulipoint （点对多点）模式

4.Spoke 端GRE Tunnel 为P2P 模式.

5.Hub 端可以进行路由汇总，HUB把路由汇总发给SPoke

阶段2

1.Spoke to Spoke 模式

2.Spoke 到Spoke 流量初始要经过Hub, 后续可以直接在两个Spoke 之间直接转发

3.Hub, Spoke 端GRE Tunnel 均为Multipoint模式

4.Spoke 端学到的对端Spoke 路由下一跳必须指向Spoke.

5.Hub 端不可以进行路由汇总

阶段3

1.相对阶段2支持多云层次化模型(Hierarchical)

2.支持相同DMvpn域或者不同DMvpn域之间的通信

3.Spoke 端学到的对端Spoke 路由下一跳必须指向HUB

4.Hub 端可以进行路由汇总

三.DMvpn配置逻辑

1.保证公网互通

2.阶段3HUB/Spkeak，tunnel接口使用Multipoint点到多点模式，

3.使用NHRP保证HUB和Spoke的Tunnel接口互通

4.启用动态路由--OSPF，EIGRP，BGP协议

5.加密--ipsec

4.1 问题一，Tunnel接口的通信问题

由于HUB的tunnel接口为点对多点模式，没发指定隧道目的

正常情况下Tunnel接口只能有一个目的地址

导致HUB的tunnel口和spoke的tunnel口没法封装

解决方法

使用NHRP（下一跳解析协议）

名词；NHS就是HUB，NHC就是Spoke

spoke的配置；

int tunnel 1

ip nhrp nhs 1.1.1.1  ；指定HUB的地址，这里指的是HUB的tunnel接口ip的地址

ip nhrp map 1.1.1.1 14.1.1.1；静态绑定，HUB的tunnel地址和公网地址关系,分支找hub注册

ip nhrp netwrk-id 123 ；NHRP 的开关, ID 只在本地有效*

一旦敲完开关spoke就会发送NHRP注册消息

其中包含，自己的tunnel接口地址，和自己tunnel的源地址，HUB的tunnel接口地址，

HUB的配置；

ip nhrp network-id 1  ；在HUB上打开开关

注册过程

HUB收到了sopoke的注册消息，打开一看是给自己的，对应的hub地址也是自己的

说明是有新的分公司了，回复一个reply证明自己，已经收到了

然后立马建立一个映射关系，去往Spoke的tunnel地址1.1.1.2，隧道的目的为103.1.1.1

此时HUB和spoke的tunnel接口互通问题已经解决

4.3 问题二，总部和分部起动态路由

分别在HUB，spoke的tunnel接口启用EIGRP协议

此时遇到的问题是，HUB和SPeak并不知道，224.0.0.10对应的Tunnel的目的是多少

4.4 解决方式

在HUB和SPeak上配置组播映射

int tu1  

ip nhrp map multicast dynamic   ；配置组播映射

SPeak#

interface Tunnel1

ip nhrp map multicast 101.1.1.1  ；配置组播映射，地址为HUB的公网地址

此时在R1上查看已经形成了组播映射，

一旦形成了组播映射，R1就可以将组播映射的公网地址作为，Tunnel的目的地址

4.7 问题五使用OSPF时会遇到的问题

4.7.1 在tunnel接口使用ospf后，会出现邻居跳动的问题

这是因为，tunnel接口默认的网络类型为p2p，但是在这个环境中

HUB通过一个接口建立了两个ospf邻居，p2p只能建立一个邻居

所以会出现一会和这个spoke建立邻居，一会有跟另一个spoke建立邻居的问题

解决这个问题只需tunnel接口的网络类型改成广播或者点对多点即可

int tunnel 1

ip ospf network broadcast  

三.阶段3实现过程

3.1第一个数据包是正常经过HUB，到达spoke的

3.2，HUB会告诉spoke，去往目标网段最优路径不是我

3.3.此时spoke会发送查询报文，询问hub去往 10.1.1.1的最优路径是谁

hub经过查询路由表，把这个查询消息发给R3

3.4.此时R3会回复R1告诉我自己的tunnel接口和对应的公网地址

并且记录R2的公网地址和对应的tunnel口地址

R1会告诉R2，你去往 10.1.1.1直接就用 34.1.1.3作为tunnel的目的

3.5.此时R2和R3都已经有了对方公网地址和内网网段的映射关系了

直接就可以通信了

配置要点：

HUB interface Tunnel1 ip nhrp redirect     #重定向

Speak interface Tunnel1 ip nhrp shortcut   #走捷径