收藏
下载资源 加入VIP免费专享

CISCO DMVPN原理与配置[红头发版].docx

上传人:牧羊曲112 文档编号:1749553 上传时间:2022-12-17 格式:DOCX 页数:8 大小:131.47KB
返回 下载 相关 举报
CISCO DMVPN原理与配置[红头发版].docx_第1页
第1页 / 共8页
CISCO DMVPN原理与配置[红头发版].docx_第2页
第2页 / 共8页
CISCO DMVPN原理与配置[红头发版].docx_第3页
第3页 / 共8页
CISCO DMVPN原理与配置[红头发版].docx_第4页
第4页 / 共8页
CISCO DMVPN原理与配置[红头发版].docx_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《CISCO DMVPN原理与配置[红头发版].docx》由会员分享,可在线阅读,更多相关《CISCO DMVPN原理与配置[红头发版].docx(8页珍藏版)》请在三一办公上搜索。

1、CISCO DMVPN原理与配置转载请保留此信息:* |7 l4 I* - E$ G( s* z4 I- : W作者:红头发(aka CCIE#15101)- : D. y6 I7 b a7 o: q$ ; SA出处:! v/ I6 q* ?& K2 Y& m; |, q) d4 4 l1 J9 F一.CISCO DMVPN概览% Q+ u+ T i, N H/ e/ h- b7 PCISCO 动态多点VPN(DMVPN)用于构建可扩展性的企业VPN网络,用于支持分布式的应用程序,比如视频和语音.具备如下优势:纽爱科网络实验室社区: a 5 K4 yG9 |9 T1.采用星型(hub-and-

2、spoke)结构与按需全互联相结合的拓扑结构.1 j. T% _1 ?9 e( _0 hM2.自动应用IPSec.U4 j$ F0 t# A v+ 3.当增加远程站点时无需做额外部署.$ k+ N y2 bY_) B! / V+ m4.减小延迟与节约带宽.$ e: B4 S/ f- C# N# i纽爱科网络实验室社区如下图:* V+ B7 X- c p. i! Z/ yC1.jpg (14.98 KB)2008-10-11 21:42) P* + f8 t9 I( w9 | M4 7 j纽爱科网络实验室社区CISCO的DMVPN可以和IOS防火墙,IOS IPS,QoS,IP组播,隧道分离,与

3、路由协议热备份技术结合使用.$ j! o2 f( # d/ i6 : s4 w/ e7 k7 H x/ f通常情况下,DMVPN适用于以下场合:/ ?5 mg- K9 D. f3 W1.中型与大型企业.2 x4 + d$ F x( N4 y4 o/ i9 i2.SOHO4 U6 W I% a2 6 ?8 L/ a1 L 2 h3.企业网外网.: y( r* B/ A G: Y$ 4.企业WAN备份连接.% ?6 |2 t% R: # Z5.SP VPN业务.* Y9 3 f$ b+ q. O* b纽爱科网络实验室社区: q* 0 B3 Q6 W二.CISCO DMVPN的部署与结构2 n9 R

4、+ . d6 CISCO DMVPN部署方案有两种方式:, X( z) k7 C R# A- x2 |1.星型(hub-and-spoke)结构: E3 V! 4 B- 2 t在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图:8 2 |# S+ : WqB+ D s3 K 2.jpg (9.26 KB)2008-10-11 21:55 v! T( f$ ( 5 D1 k4 C纽爱科网络实验室社区2.边缘(spoke-to-spoke)结构:y! L6 z+ X: N. sCISCO DMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边

5、缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图: B& / T0 i3 Y* J) b B3.jpg (9.7 KB)2008-10-11 21:553 Y# Z& K& # j E b, S$ D x) v E7 k/ L( Y至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:- U7 y& O7 y2 I( w* V D: A/ m9 d1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构. F9 m$ y7 O- L& |; a2 x% o! j: ?2.如果20%甚至更过

6、的流量是为边缘节点所服务,那么采用边缘结构.纽爱科网络实验室社区4 A; I) C; 7 K- v$ P# D* m- & i3 U& U+ x3 b+ T/ w) s& c7 U为了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对对的应用程序变得更为麻烦.& C9 Y& w3 e- f9 L! e6 p& |% L2 ; ACISCO DMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协

7、议,如下图:5 q/ a+ y4 D, y p8 U: T1.jpg (16.11 KB)2008-10-11 22:12& _5 T4 g4 N; J0 T$ ) 3 k9 B: t% I& V8 5 qCISCO DMVPN的关键组件如下:( Q7 8 * T5 Q/ z7 gP1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个IPsec隧道,简化配置.2 k2 d, v3 h/ d! NE2.IPsec末端节点的动态发现与加密模板:无需为每对对等体手动指定crypto map,简化部署.4 ?9 m; I9 v- 2 |3 s3.NHRP:允许边缘节点采用动态IP地址,

8、中心节点用于维护每个边缘节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时,它向中心节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址.3 r4 l5 X3 t3 D) y1 l0 ?- z9 # Z. u3 e三.CISCO DMVPN的实施3 m0 c7 d- K( % S( Y纽爱科网络实验室社区可以通过CISCO SDM采用向导化的配置:& V K9 _5 S& C ! i; l未命名.jpg (26.85 KB)2008-10-11 22:22- S% V1 W9 m8 H8 C/ Y9 C1 |6 & a6

9、 o- D5 y4 F+ O5 |9 通过IOS来配置CISCO DMVPN.拓扑如下图:# Z6 Q5 p4 c6 j9 o1 H n 1.jpg (64.59 KB)2008-10-11 22:42, L. F; O$ L- # x0 a0 x7 i% T6 s, E5 r3 F$ eR1配置如下:& q- b8 U9 w8 y 8 & P!+ Y; o6 N* R0 Z I1 _crypto isakmp policy , b, L& C3 y9 $ |- |! N1 Bencr aes9 j3 l( ) T) I4 G( authentication pre-share, 5 I( p

10、* J, r9 Kgroup 27 h# : p a2 Y9 T; e6 v) O!) W) OJ0 H6 h: y- ( xcrypto isakmp key cisco address 0.0.0.0 0.0.0.03 e* . d4 D3 W3 R !0 m, o6 M$ _% Iz. l+ 9 g3 L纽爱科网络实验室社区!1 v0 j# % O7 C4 Rcrypto ipsec transform-set ccsp esp-aes esp-sha-hmac 8 q% R6 v0 V: V- U! c1 o. M. hmode transport9 k & X! e- o, A!(

11、f( E# y3 o) P8 O& J* & s* bcrypto ipsec profile 91lab6 o7 8 n. n5 Bv纽爱科网络实验室社区 set transform-set ccsp : A( X5 j$ b9 c- Z* D!g$ r- e+ N, I , eT!7 L( J) U( p* m, Linterface Tunnel0: q) Y0 t- Z% |0 W/ t6 Mip address 192.168.1.1 255.255.255.0# S- f; v, & w, g# I7 R: r5 Z ip nhrp authentication cisco /-配

12、置NHRP的认证-/7 6 c3 0 d6 t9 X7 Vb; A ip nhrp map multicast dynamic /-允许NHRP自动增加路由器到组播NHRP映射-/纽爱科网络实验室社区, j0 e$ t* T: ?; J/ o: H3 m4 U. wip nhrp network-id 1 /-在接口上启用NHRP-/2 j* 9 s9 N: a; Q( , ip ospf network broadcast纽爱科网络实验室社区, X- G8 F1 m! a) x1 _, hip ospf priority 4 N4 P ) Z2 |5 g! - xtunnel source

13、Serial0/0o2 l5 1 2 c3 S* t9 _ tunnel mode gre multipoint+ M7 J q2 U+ x2 r& w& tunnel key 11 b. 9 J s$ F) ; _; t% Btunnel protection ipsec profile 91lab, t5 x* W* m6 ?8 & C% x( z: W5 c+ r纽爱科网络实验室社区!% i+ E* x& I5 A8 _( i$ a, Sinterface Loopback0% y5 u3 I& k S& T! C) | ip address 11.1.1.1 & B% t( 8 y)

14、c!3 2 L1 g) z6 yinterface Serial0/0. f6 : c4 J1 b0 W% g; n9 T$ E, ip address 125.71.1.1 255.255.255.2482 S% l; - hSV encapsulation frame-relay7 b( 3 J# X# r1 N* + v1 sno frame-relay inverse-arp2 N. R! a: b% D. T; Z$ m4 b7 x frame-relay map ip 125.71.1.2 102 broadcast5 g% y# T* L$ H. V2 |) a0 s8 d fr

15、ame-relay map ip 125.71.1.3 103 broadcastT. N4 m8 O; 2 Z f: a!$ eW5 o6 e: o* H. C( E2 7 S4 brouter ospf 13 x * 9 Ir log-adjacency-changes% o% Z9 r2 O G% Jnetwork 11.1.1.1 0.0.0.0 area 2 W% o+ F, X- t: Z1 network 125.71.1.1 0.0.0.0 area 0% h1 # F* d0 m7 b7 g W$ Z network 192.168.1.1 0.0.0.0 area 0/ p

16、3 U5 i- D3 b+ f$ u( U- x!1 ?) b/ 7 A+ H, X$ d8 e; G- Y: d+ A) ?8 L3 x_纽爱科网络实验室社区R2配置如下:0 L7 L6 w2 e& h6 ( b/ ?!; / Y2 r. & K5 N* D. q+ E, i( G3 b纽爱科网络实验室社区crypto isakmp policy 107 r$ Y/ V/ g1 + x3 Q encr aes$ e9 W- nB; cauthentication pre-share2 g; s- K! r& 7 k1 f) W+ C9 K group 25 a% l, c9 W7 |* F5

17、 I!8 + b( G# v1 jcrypto isakmp key cisco address 0.0.0.0 0.0.0.00 K0 S: Rc- u6 n3 S9 ! B2 I! u6 T! 8 R) b6 G! h!8 A% K8 n/ 8 |) t) l1 qcrypto ipsec transform-set ccsp esp-aes esp-sha-hmac 纽爱科网络实验室社区( A4 U+ _1 w6 Umode transport纽爱科网络实验室社区7 2 l/ o8 I% Y. s U! r!纽爱科网络实验室社区# L4 # v/ U- Y9 y% y$ y& j& ac

18、rypto ipsec profile 91lab& & Z/ g- S$ x* b0 x2 ) bset transform-set ccsp 8 R/ R7 O4 S/ ?5 A!7 T2 M6 I0 g. m, n0 p!/ q$ o+ E1 i纽爱科网络实验室社区interface Tunnel0+ e7 l* h2 z! m5 q: H ip address 192.168.1.2 255.255.255.0 g, Oo9 o. F5 r4 cip nhrp authentication cisco6 N% i7 o D. p# |( D. H+ L) O ip nhrp map m

19、ulticast 192.168.1.1 /-将NBMA地址做为通过隧道网络发送广播或组播的目标地址-/ n e% U& ip nhrp network-id 1 |8 |; o e- l$ F0 ( R ip nhrp nhs 125.71.1.1 /-定义NHRP服务器地址-/; ! C( d8 v$ F( P0 R3 o Z ip ospf network broadcast9 l0 e6 f/ 7 n# / Px qtunnel source Serial0/02 8 |7 |7 r m f( C! tunnel mode gre multipoint+ v- l5 F& ( Q, m

20、8 rtunnel key 19 C$ 4 l7 x: P/ 2 x& 1 N tunnel protection ipsec profile 6 U; u# n6 l5 s: u J!, 9 K7 x$ i% X9 ointerface Loopback03 w8 Y; |3 1 ?$ ?) B7 Y4 i# - t; L ip address 22.1.1.1 255.255.255.0+ p+ q4 y( o5 Z1 L( H!% p0 S3 l% Z+ |Qinterface Serial0/3 Z! wK1 f0 1 ) X( 9 J7 ! ip address 125.71.1.2

21、 255.255.255.248: Y& y9 t& f& 7 H9 c9 S* # | encapsulation frame-: O, R y( D# F. 9 j, d- uno frame-relay inverse-arp: 3 ! m n3 b v1 Fframe-relay map ip 125.71.1.1 201 & Y- x# h! x8 Q& ?) S+ M- f/ 3 uframe-relay map ip 125.71.1.3 201 broadcast纽爱科网络实验室社区0 1 C+ q) R- t. o/ o+ % H!9 i, n9 n, |9 G. L- _r

22、outer ospf 18 % l; J8 n7 d1 v8 F: log-adjacency-changes纽爱科网络实验室社区* c5 O) t t/ E( rnetwork 22.1.1.1 0.0.0.0 area 05 _0 x2 _# u8 & $ M& Snetwork 125.71.1.2 0.0.0.0 area 0* K1 _6 g q5 I I e network 192.168.1.2 0.0.0.0 area 05 0 0 z: N, m7 H A6 R j!纽爱科网络实验室社区7 z8 Y3 h7 k d( B, Sz7 K# e% W U, E2 F mR3配置如

23、下:5 / h7 F- y4 * t!$ J) S# r. 9 b4 ?# J* K/ Tcrypto isakmp policy 10) # j1 B9 # ?7 encr aes1 U( c O& b l% authentication pre-share: , e3 r* X6 v5 A! v% 2 ggroup 2+ ?8 L; r& S+ y 6 N!$ q. X q- x3 h; crypto isakmp key cisco address 0.0.0.0 & y) t) |1 M9 u0 i C: ( G! m$ ! JW# h. i/ I!4 h0 S7 N# E7 w. P

24、crypto ipsec transform-set ccsp esp-aes esp-sha-hmac 8 V: s B7 ! H 9 |8 _ U mode transport& B1 P : , z; M8 i8 dh, S!6 n) j- j+ c1 F* w! $ P. t( Dcrypto ipsec profile 91lab, U% t- fh% i9 |set transform-set ccsp 纽爱科网络实验室社区: b2 H+ g ! $ u: ! b+ t8 d* V- E; |5 L!2 _! n% 4 ; N8 ainterface Tunnel0& c8 Q P

25、- F$ l( ip address 192.168.1.3 255.255.255.0 J- C/ B! o8 D2 S# DXJ ip nhrp authentication cisco* L _- m9 U9 d) b& t4 W9 Q ip nhrp map multicast 9 1 h6 w8 i9 wip nhrp network-id 10 CZ/ j, r6 L6 b ip nhrp nhs , J4 $ IB! ( l3 s! H( O2 sip ospf network broadcast, Z1 * u3 o6 0 gtunnel source Serial0/0- 6

26、 b8 n! Y. H0 Ptunnel mode gre w( b2 P% + 6 Vtunnel key 1. l1 o9 Z7 M+ X4 s; S tunnel protection ipsec profile 91lab# b/ s9 X( m8 . q!3 w1 - G; _/ p2 b9 pinterface L0 G0 r& f. / R# x1 , X( C0 pip address 33.1.1.1 255.255.255.07 Y6 L* x( p3 a9 L& |纽爱科网络实验室社区!f4 l0 l4 N S# W# D+ f3 Q6 Hinterface Serial

27、0/0$ G5 H3 N7 ?) 5 T ip address 125.71.1.3 255.255.255.2488 v8 K# * E) G& K$ d8 x encapsulation frame-relay2 t7 t/ l$ c1 c/ F no frame-relay inverse-arp( 7 Y7 5 r2 b% x) j纽爱科网络实验室社区 frame-relay map ip 125.71.1.1 301 broadcast& k8 Z$ p+ / ( S! 6 % T4 L% Qframe-relay map ip 125.71.1.2 301 broadcast1 M; p; ) D) 0 r6 $ z!6 c, l, G8 L5 B+ o7 V; N6 X) grouter ospf 19 G6 n) u: O; 8 X log-adjacency-changes) j& A I( / L6 U0 H* WD( Snetwork 33.1.1.1 0.0.0.0 area 0& t3 d* U, AB4 p, y4 network 125.71.1.3 0.0.0.0 area 0y/ L# - c) T9 L* s% e network 192.168.1.3 0.0.0.0 area 0

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号