技术沙龙 | 4月21日多位区块链专家进行区块链技术应用场景解读！

13.2.3  DMVPN实验步骤（4）

5．配置DMVPN的第三阶段

第三阶段支持汇总路由以及大型的树状架构的拓扑，同时支持CEF。

Hub：  
interface Tunnel0  
ip next-hop-self eigrp 90——重新开启eigrp的下一跳  
ip nhrp redirect——开启NHRP的重定向，NHRP重定向报文意味着去往目标的路径是不会被优化  
的，那么接收报文的设备应该找到一个更好的去往目标的路径  
ip summary-address eigrp 90 192.168.0.0 255.255.0.0——把路由汇总到16位  

Spoke设备：

interface Tunnel0  
ip nhrp shortcut——这是分支设备的必需配置，使其可以具备更好的扩展性，在有多Hub的情况下  
提供优化的报文转发，具备更好的树状逻辑结构以及支持CEF转发  
Spoke1#show ip route eigrp   
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP  
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area   
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
       E1 - OSPF external type 1, E2 - OSPF external type 2  
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2  
       ia - IS-IS inter area, * - candidate default, U - per-user static route  
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP  
       + - replicated route, % - next hop override  
 
Gateway of last resort is 202.100.1.254 to network 0.0.0.0  
 
D     192.168.0.0/16 [90/27008000] via 172.16.1.100, 01:17:10, Tunnel0  
Spoke2#show ip route eigrp   
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP  
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area   
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2  
       E1 - OSPF external type 1, E2 - OSPF external type 2  
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2  
       ia - IS-IS inter area, * - candidate default, U - per-user static route  
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP  
       a - application route  
       + - replicated route, % - next hop override  
 
Gateway of last resort is 202.100.1.254 to network 0.0.0.0  
 
D     192.168.0.0/16 [90/27008000] via 172.16.1.100, 01:17:22, Tunnel0  

在我们的环境中，因为没有树形构造，所以是没有太多优势的，更多时候是用于复杂的树形环境中。

Spoke2#traceroute 192.168.1.1 source lo0  
Type escape sequence to abort.  
Tracing the route to 192.168.1.1  
VRF info: (vrf in name/id, vrf out name/id)  
  1 172.16.1.100 8 msec 5 msec 7 msec  
  2 172.16.1.1 6 msec 7 msec *  

后续的报文是优化的转发路径：

Spoke2#traceroute 192.168.1.1 source lo0  
Type escape sequence to abort.  
Tracing the route to 192.168.1.1  
VRF info: (vrf in name/id, vrf out name/id)  
  1 172.16.1.1 8 msec 5 msec  

如图13-7所示，说明了阶段3的DMVPN工作过程。

步骤1：阶段3的DMVPN支持中心站点向分支站点发送汇总路由，所以分支站点间流量总是会先被发送到中心站点，并由中心站点转发到目的分支站点。

步骤2：中心站点收到分支站点数据后，回送NHRP重定向（redirect）信息，这个重定向信息的主要目的是告诉分支站点一，中心站点不是最优的下一跳（虽然路由学习到的下一跳是中心站点），最优的下一跳是分支站点二的虚拟隧道地址。

注意：由于NHRP重定向能够动态优化路由，所以阶段3的DMVPN支持中心站点的路由汇总。

步骤3：当分支站点一收到NHRP重定向信息，并得知最优的下一跳不是中心站点而是分支站点二，此时分支站点马上发送NHRP解析请求给NHRP服务器（中心站点）。在阶段3的DMVPN，中心站点不会直接回送NHRP解析回应，而是把这个NHRP解析请求直接发给目的分支站点。

步骤4：分支站点二收到分支站点一所发的NHRP解析请求后，分支站点二会主动和分支站点一建立IPSec隧道。

步骤5：分支站点间IPSec隧道建立后，分支站点二会在隧道内回送NHRP解析回应给分支站点一。

步骤6：后续分支站点间流量就会直接在步骤4建立的IPSec隧道内转发。

验证NHRP：

Spoke2#show ip nhrp   
172.16.1.1/32 via 172.16.1.1  
   Tunnel0 created 00:13:06, expire 01:46:53  
   Type: dynamic, Flags: router used nhop rib   
   NBMA address: 202.100.1.1   
172.16.1.100/32 via 172.16.1.100  
   Tunnel0 created 02:15:13, never expire   
   Type: static, Flags: used   
   NBMA address: 61.128.1.100   
192.168.1.0/24 via 172.16.1.1  
   Tunnel0 created 00:13:06, expire 01:46:53  
   Type: dynamic, Flags: router rib   
   NBMA address: 202.100.1.1——按需建立的新的NHRP表项  
192.168.2.0/24 via 172.16.1.2  
   Tunnel0 created 01:35:58, expire 01:46:53  
   Type: dynamic, Flags: router unique local   
   NBMA address: 202.100.1.2   
(no-socket)  

最后，为了防止分片攻击要调整Tunnel接口的MTU（默认MTU为1476）如下：

R2-Spoke1 (config)#interface tunnel 0  
R2-Spoke1 (config-if)# ip mtu 1400  
R2-Spoke1 (config-if)#ip tcp adjust-mss 1360——请自行调整其他设备  

注解：对RIP而言也存在水平分割问题，所以需要在Hub站点设备上关掉水平分割（no IP split-horizon），但它不存在下一跳为Hub设备的问题，对OSPF来讲，点到点的网络类型是不可取的，因为涉及多台设备，可以选择为广播的网络类型，但要确保Hub设备为DR，去往其他Spoke的下一跳为优化的Spoke设备的地址，也可以选择点到多点模式。

实验完成。

喜欢的朋友可以添加我们的微信账号：

51CTO读书频道二维码

51CTO读书频道活动讨论群：342347198