|
|
51CTO旗下网站
|
|
移动端

13.2.1 DMVPN理论基础

《思科CCIE路由交换v5实验指南》本书面向广大的网络工程师及对网络感兴趣的读者,旨在帮助读者成为一名优秀的思科网络工程师,进一步成为IT界认可度最高的顶级思科CCIE工程师。思科公司推出CCIE认证已有20年,考试大纲一直在更新换代,2014年6月思科把路由交换CCIE大纲升级到版本5.0(Version 5.0)。本节为大家介绍DMVPN理论基础。

作者:周亚军来源:电子工业出版社|2016-04-28 17:42

【51CTO技术沙龙】10月27日,让我们共同探索AI场景化应用实现之道

13.2  DMVPN动态多点VPN

13.2.1  DMVPN理论基础

DMVPN(Dynamic Multipoint VPN)是通过多点GRE(MGRE)和下一跳解析协议(NHRP)与IPSec相结合实现的解决方案。

(1)DMVPN的特点,包括:

① Dynamic Multipoint VPN(高扩展性VPN解决方案);

② 简单的Hub和Spoke配置提供了Full meshed连通性;

③ 支持Spoke动态地址;

④ 增加新的Spoke无须更改Hub配置;

⑤ Spoke到Spoke动态产生隧道触发IPSec加密。

(2)DMVPN有4个组成部分,即

① MGRE(Multipoint GRE);

② NHRP(Next Hop Resolution Protocol);

③ Dynamic Routing Protocol;

④ IPSec VPN。

NHRP协议,一个二层的客户-服务器解析协议,用于映射隧道地址(虚拟)到一个NBMA地址(物理)。NHRP的功能非常类似于ARP(映射IP(逻辑)到MAC(物理))和Reverse ARP (映射IP(逻辑)到DLCI(物理))。就像ARP一样,NHRP支持静态映射和动态映射。Hub路由器维护一个所有Spoke隧道地址(虚拟)到公网地址(物理)的数据库。当Spoke启动以后,它注册自己的公网地址到Hub,并且询问其他目的Spoke的公网地址,这样Spoke之间就能直接建立隧道。

DMVPN依然是一种GRE over IPSec技术,也是典型的传输模式。

本实验演示中心节点(R1)和分支节点(R2和R4)为hub-spoke结构时的配置方案。

涉及的概念有GRE封装,这个协议我们已经知道为IP over IP的一个协议,那么现在引入多点GRE封装,即支持多个站点之间(并非只有2个)的MGRE。

另外一个概念是下一跳解析协议(NHRP),由IETF在RFC 2332中定义,用于非广播多路访问(NBMA)网络上的源节点(主机或路由器)如何获取到达目标节点的"下一跳"的互联网络层地址和NBMA子网地址。

最后的IPSec,DMVPN以GRE隧道为基础,而GRE隧道支持多播或广播(multicast/broadcast)IP包在隧道内传输。所以,DMVPN网络支持在IPSec和MGRE隧道之上运行动态路由协议。需要指出的是,NHRP必须被配置为动态组播映射,这样,当分支路由器在NHRP服务器(中心路由器)上注册单播映射地址时,NHRP会同时为这个分支路由器建立一个组播/广播(multicast/broadcast)映射。

我们在前面提到IPSec隧道不支持多播/广播(multicast/broadcast)包的封装,而GRE隧道可以将多播/广播(multicast/broadcast)包封装到GRE包中,并且GRE包是单播包,可以被IPSec加密。

(3)DMVPN有3个发展阶段。

阶段1:星形拓扑设计(Hub-to-Spoke Design)。

DMVPN第一阶段的星形拓扑设计是DMVPN技术的最原始阶段,除了中心站点为MGRE隧道,所有分支站点均为普通的点对点GRE隧道。分支站点间的流量都必须经过中心站点进行转发。第一阶段星形拓扑DMVPN的优势在于,增加分支站点并不会增加中心站点的配置量,并且分支站点支持动态获取IP地址。

阶段2:虚拟网状拓扑设计(Spoke-to-Spoke Design)。

在DMVPN第二阶段的虚拟网状拓扑设计中,所有站点都配置MGRE隧道。中心站点与分支站点间维护一个永恒隧道,分支站点与分支站点间则按需建立隧道,形成虚拟网状拓扑,真正实现DMVPN的高扩展性。

阶段3:层次化(树状)设计(Hierarchical (Tree-Based)Design)。

DMVPN第三阶段和第二阶段基本一致,所有站点都使用MGRE。第三阶段主要对于大规模的DMVPN实施进行了优化和调整,整体呈现树状拓扑。中心站点和分支站点之间只需要维持一条VPN隧道即可,Spoke和Spoke之间通信是按需建立隧道,可以实现虚拟全互联的效果,真正地实现了DMVPN的高扩展性。Spoke-to-Spoke的流量无须通过中心站点进行转发,通过动态建立的隧道,可以使通信双方直接通信,相对于第一阶段的DMVPN的优势在于减少了中心性能的消耗,保证了中心的带宽。

喜欢的朋友可以添加我们的微信账号:

51CTO读书频道二维码


51CTO读书频道活动讨论群:342347198

【责任编辑:book TEL:(010)68476606】

回书目   上一节   下一节
点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

Reversing:逆向工程揭密

本书描述的是在逆向与反逆向之间展开的一场旷日持久的拉锯战。作者Eldad Eilam以一个解说人的身份为我们详尽地评述了双方使用的每一招每一...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊