CISCO_DMVPN原理与配置.doc

一.CISCO DMVPN概览% T9 a. H. s& UCISCO 动态多点VPN(DMVPN)用于构建可扩展性的企业VPN网络,用于支持分布式的应用程序,比如视频和语音.具备如下优势: N- M- n- x b7 S4 B, O- v0 p1.采用星型(hub-and-spoke)结构与按需全互联相结合的拓扑结构.! T7 r0 b1 k$ t F9 N3 B E; 2.自动应用IPSec.4 I6 h9 ) ; % u x$ Z纽爱科网络实验室社区3.当增加远程站点时无需做额外部署.& Y& q- 8 q I b/ N! g4.减小延迟与节约带宽.+ I: Q& : T: _6 a如下图:; p3 Z, r9 q7 C 1.jpg (14.98 KB)2008-10-11 21:42, _( F2 x1 s7 S: R/ x( a8 |纽爱科网络实验室社区CISCO的DMVPN可以和IOS防火墙,IOS IPS,QoS,IP组播,隧道分离,与路由协议热备份技术结合使用. J_+ e0 M& ( 2 N/ Hf1 tI) k* Mb* s通常情况下,DMVPN适用于以下场合:# h3 Y- 9 k/ X( a& 1.中型与大型企业.! q$ d) ( n q( V& c9 h2.SOHO. ; h: l3 x: j5 P2 g# U8 x纽爱科网络实验室社区3.企业网外网.# U* + g* b9 Z0 W) _. |; Y) O% V4.企业WAN备份连接.: Z( n9 3 N( T. p纽爱科网络实验室社区5.SP VPN业务. S6 U; m8 Z4 6 n1 a7 a3 J r0 K& A* U( 3 m H二.CISCO DMVPN的部署与结构. B z: U) F3 z9 p1 X% aCISCO DMVPN部署方案有两种方式:纽爱科网络实验室社区( W: w: g* G5 2 D+ n8 C1.星型(hub-and-spoke)结构: w. B+ z9 g5 H4 f! qPN/ o, q在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图:6 M. v( J# K( o# a4 w 2.jpg (9.26 KB)2008-10-11 21:55纽爱科网络实验室社区& G* + u- b1 q2.边缘(spoke-to-spoke)结构:, A8 w. p& y5 % T X4 bCISCO DMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图:/ y4 R$ 6 t2 0 P5 l3.jpg (9.7 KB)2008-10-11 21:55$ V5 R$ r: e Z2 . _3 R1 c5 _, * e至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:纽爱科网络实验室社区6 C9 / R: $ 1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构.( E4 C& 6 M6 r; ?0 C2.如果20%甚至更过的流量是为边缘节点所服务,那么采用边缘结构. |V: 7 g( - D9 Q& E2 T j! P$ _1 v! e! _为了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对多的应用程序变得更为麻烦.5 % B( H) K5 y7 |& D1 D. a/ + 8 - 8 GCISCO DMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图:4 K9 V# n9 w; Y- vV1.jpg (16.11 KB)2008-10-11 22:12. Z: w% z. O, f, N& m: ?! * M0 s# s6 |1 d4 CISCO DMVPN的关键组件如下:% Y X6 U$ I8 1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个IPsec隧道,简化配置.9 P6 U I1 u: + W! b: v2.IPsec末端节点的动态发现与加密模板:无需为每对对等体手动指定crypto map,简化部署.$ cB1 g( W, D( ( K3.NHRP:允许边缘节点采用动态IP地址,中心节点用于维护每个边缘节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时,它向中心节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址.8 ?. s1 # _3 H. Eq- O/ P c# s7 E, y . / c三.CISCO DMVPN的实施( T% # J; D& B$ B可以通过CISCO SDM采用向导化的配置:9 h% B) f9 n$ d# M未命名.jpg (26.85 KB)2008-10-11 22:227 k9 4 W& I7 W7 2 m* C; d# ; U) 5 w通过IOS来配置CISCO DMVPN.拓扑如下图:8 Q% f 7 k5 G1.jpg (64.59 KB)2008-10-11 22:423 j3 a4 j; Z* m- E7 H% p& U4 . s# & L1 y7 WR1配置如下:- X8 G) q, |# U/ I!, E$ # ; m, C! R* Fcrypto isakmp policy 10/ c& V$ g/ P 6 c+ 0 l encr aes4 G4 m2 c; m0 f2 e& s authentication pre-share( Y- T% G1 g5 / k group 2* i( |- C* h4 O) X# p- L: J. !3 Y4 i+ ? 5 w- crypto isakmp key cisco address 2 k1 K: Ts/ h!9 o; S/ E+ O% $ E+ M!5 v: s# ; C0 Scrypto ipsec transform-set ccsp esp-aes esp-sha-hmac v* y& E) R7 8 mode / y3 N2 . D3 y+ u d& !纽爱科网络实验室社区8 R- Lk9 s_) 5 U4 Fcrypto ipsec profile 91lab0 * q* h c2 u8 C# set transform-set ccsp ! P( a& 5 c, k+ d! b0 A u!8 i% k$ o3 G1 O) Q/ P( HM& ( N+ I纽爱科网络实验室社区!纽爱科网络实验室社区% |% V9 z( d& y* Jinterface Tunnel07 k% H7 N: w: R$ u ip address , j- E7 X, Q J ip nhrp authentication cisco /-配置NHRP的认证-/9 y/ R- x/ I5 W3 d9 x1 ip nhrp map multicast dynamic /-允许NHRP自动增加路由器到组播NHRP映射-/0 L Y L5 h: g x: ( fip nhrp network-id 1 /-在接口上启用NHRP-/0 jQ8 H! p: w$ O7 z) uip ospf network broadcast6 k& E$ w) Q% k3 n) H ip ospf priority 2555 f% n+ y0 Y I) Ytunnel source Serial0/0b7 b4 0 q2 e! ( c纽爱科网络实验室社区 tunnel mode gre multipoint) U9 - b1 y$ m tunnel key 1* T l# H. & B. O1 Xtunnel protection ipsec profile 91lab0 |# y8 2 / Q1 n* # B纽爱科网络实验室社区!2 . t2 z5 y9 K6 m: x4 winterface L n; / l0 Iip address ! ?$ % c; D+ M0 H5 K b6 M lN!8 t+ s* v( I% 1 Linterface Serial0/0( V # . L& L* E/ Q% ip address 48. A. X! X9 U* u0 F1 s0 W4 p% e encapsulation frame-relay/ O e N: z8 f no frame-relay inverse-arp- * Q: k5 C. u- Bframe-relay map ip 102 broadcast1 Q f W! S- |; _ t frame-relay map ip 103 broadcast( o+ 2 B* n8 X!; x8 4 U1 r% n_5 arouter ospf 1% * C0 i r- |% & b% K: u纽爱科网络实验室社区 log-adjacency-changes, S, D d. P! a/ c4 Inetwork area 0, J7 H7 l: G4 D+ M, z r network area 08 N ?. F9 E/ T/ X! B: Gnetwork area 03 # P$ h/ Y( O. u/ u; z- f!, n2 * d m7 r9 U9 C6 W9 D. ! W纽爱科网络实验室社区5 Z& u4 M% I) K9 _R2配置如下:8 o_3 K 8 8 ! p, F!9 B- ? E- |: K f5 q: ?; h6 V% I) ycrypto isakmp policy 102 z! S% f$ S5 s& T& cp/ kencr aes G4 H$ d3 S# y: yauthentication pre-share5 b; v2 o# p5 Z8 R5 i9 b% a纽爱科网络实验室社区 group 2) T P2 o; Y( F n; n纽爱科网络实验室社区!; e! R6 S# o4 B, Q9 V1 i9 Y7 ecrypto isakmp key cisco address , : P* 0 Z0 c2 f3 s, C9 h!8 r1 ) B* z1 y, j2 J/ % U( e!/ Y H5 W0 r8 Y纽爱科网络实验室社区crypto ipsec transform-set ccsp esp-aes esp-sha-hmac ! w/ w7 O0 F7 fd- cmode transport& p7 V9 M( H1 o+ p8 |: X7 C纽爱科网络实验室社区!纽爱科网络实验室社区1 - v+ CZ) O: B7 m& ycrypto ipsec profile 91lab4 r2 k A- d6 J4 T! T) t$ _ set transform-set ccsp l- M; |0 h2 !& Z$ ; c- Y9 s! G3 x!% r% b: h6 K3 e7 Kinterface Tunnel0Q$ r/ w! R& Iv1 ?4 ip address A9 q D5 o* o, W ip nhrp authentication cisco纽爱科网络实验室社区+ J$ A: _9 L- d1 |/ e) rxip nhrp map multicast /-将NBMA地址做为通过隧道网络发送广播或组播的目标地址-/$ _7 * P1 l, R) r! 5 J9 ip nhrp network-id 1) t. w0 N7 5 s* u( r; Lip nhrp nhs /-定义NHRP服务器地址-/f7 S% q. F( 4 p$ o5 |0 gip ospf network broadcast t- T8 F( c% ( v/ s2 d tunnel source Serial0/0! F C4 & C7 C) G% 6 a tunnel mode gre multipoint& Q, R: K/ - z M2 H7 m) _纽爱科网络实验室社区 tunnel key 1) _8 I/ W% K( S- D9 UN+ Ztunnel protection ipsec profile 91lab! t7 t$ D& |3 l7 + b!5 y% y8 M+ o: s9 q# x Iinterface Loopback0 l; l+ f8 J4 jip address 纽爱科网络实验室社区 u3 K& B7 G5 V) | l2 H!9 Q1 E0 p. b$ t) N5 interface Serial0/0* r& d/ _# c; Y7 M ip address 48纽爱科网络实验室社区! i: 4 m) O. M$ xencapsulation frame-relayH+ ) f0 X; & 2 u& I1 i( g7 b R no frame-relay inverse-arp8 f1 % o1 x1 A6 O frame-relay map ip 201 broadcast9 _$ kf V; ! T0 U5 V) U; z B frame-relay map ip 201 broadcast, E% J2 O8 J H& F8 w!1 k+ V, u6 k7 brouter ospf 10 G e, R; p, Zlog-adjacency-changes纽爱科网络实验室社区% ! c H2 t; 3 s( h8 a( Mnetwork area 0) 5 T1 i1 W7 Vnetwork area 04 ?7 6 C7 , Jnetwork area 0* W8 A0 E. v; c5 Z* F) B% b( !( V1 J9 y; t1 c; 9 QW, H, t! S7 C/ s9 j2 l纽爱科网络实验室社区R3配置如下:8 m( ? V. y9 C4 y( ! B j s* O6 w0 N+ Ycrypto isakmp policy 108 9 G1 p: e8 b- r7 t u6 u% O encr aes- G! K5 n e7 T( y1 u3 B; G/ cauthentication pre-share4 W) p o C6 v9 a; d纽爱科网络实验室社区 group 2% K0 D1 v( , R8 Z# D* O!纽爱科网络实验室社区5 k2 o6 # ?# F1 | Qcrypto isakmp key cisco address * - W7 / X1 / v* x7 |% N! e6 L n X- H z 5 G$ y!- o J$ e& J3 kcrypto ipsec transform-set ccsp esp-aes esp-sha-hmac . e I * l! . X mode transport! _1 L; x( h9 C p6 e4 k!8 I2 y) s; W; Q3 o1 ncrypto ipsec profile 91: e& 9 + b/ p) L( v* vset transform-set ccsp 2 $ C$ f1 F8 ( M6 G+ G!5 d% ?/ h f7 R4 X# r- Q!3 I8 _ v6 v, * l6 finterface Tunnel06 / K+ O9 f/ + V0 c* * EE+ Cip address * w) h, x/ a: B) r& aip nhrp authentication cisco* e2 G! C6 # Jg7 h! q) o9 Q& l/ y ip nhrp map multicast 8 T# K4 XD; 4 V+ |xip nhrp network-id 1# o. & T: z- K7 m& Q# _ip nhrp nhs 8 B, e& 0 k. p- H8 R8 y8 G) z ip ospf network broadcast纽爱科网络实验室社区! v5 I4 J/ H+ Htunnel source Serial0/05 G/ L9 D- G r; D _1 o tunnel mode gre multipoint纽爱科网络实验室社区* w3 E- _1 O7 n. e# Dtunnel key 18 i2 2 WS5 F* V1 0 |% htu