cisco dmvpn原理与配置红头发版Word文档格式.docx
《cisco dmvpn原理与配置红头发版Word文档格式.docx》由会员分享,可在线阅读,更多相关《cisco dmvpn原理与配置红头发版Word文档格式.docx(9页珍藏版)》请在冰豆网上搜索。
1.星型(hub-and-spoke)结构:
在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图:
2.边缘(spoke-to-spoke)结构:
CISCODMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图:
至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:
1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构.
2.如果20%甚至更过的流量是为边缘节点所服务,那么采用边缘结构.
为了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对对的应用程序变得更为麻烦.
CISCODMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图:
CISCODMVPN的关键组件如下:
1.多点GRE隧道(mGRE)接口:
使得单一的GRE接口可以支持多个IPsec隧道,简化配置.
2.IPsec末端节点的动态发现与加密模板:
无需为每对对等体手动指定cryptomap,简化部署.
3.NHRP:
允许边缘节点采用动态IP地址,中心节点用于维护每个边缘节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时,它向中心节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址.
三.CISCODMVPN的实施
可以通过CISCOSDM采用向导化的配置:
通过IOS来配置CISCODMVPN.拓扑如下图:
R1配置如下:
!
cryptoisakmppolicy10
encraes
authenticationpre-share
group2
cryptoisakmpkeyciscoaddress0.0.0
0m,o6M$_%I
z.l+]9g3L纽爱科网络实验室社区!
cryptoipsectransform-setccspesp-aesesp-sha-hmac
modetransport
9k"
[&
X!
e-o,A!
cryptoipsecprofile91lab
6o7`8n.n5B
v纽爱科网络实验室社区settransform-setccsp
7L(J)U(p*m,LinterfaceTunnel0#S-f;
v,{&
w,g#I7R:
r5Zipnhrpauthenticationcisco
/---配置NHRP的认证---/
7@6c3\0d6t9X7V
b;
Aipnhrpmapmulticastdynamic
/---允许NHRP自动增加路由器到组播NHRP映射---/
ipnhrpnetwork-id1
/---在接口上启用NHRP---/
ipospfnetworkbroadcast
ipospfpriority255
tunnelsourceSerial0/0
o2l5]1\2c3S*t9_tunnelmodegremultipoint
+M7J"
q2U+x2r&
w&
@tunnelkey1
tunnelprotectionipsecprofile91lab
t5x*W*m6?
8[&
C%x(z:
W5c+r纽爱科网络实验室社区!
%i+E*x&
I5A8_(i$a,SinterfaceLoopback0
%y5u3I&
k'
S&
T!
C)|
interfaceSerial0/0
.f6]:
c4J1b0W%g;
n9T$E,@2S%l;
@-h
S
Vencapsulationframe-relay
noframe-relayinverse-arp
2N.R!
a:
b%D.T;
Z$m4b7x5g%y#T*L$H.V2|)a0s8d
$e
W5o6e:
o*H.C(E2~7S4brouterospf1
3x"
}*^9I
rlog-adjacency-changes/p3U5i-D3b+f$u(U-x!
1?
)b/^7A+H,X$d8e;
G-Y
:
\'
d+A)?
8L3x
_纽爱科网络实验室社区R2配置如下:
;
`/Y2r.~'
`&
K5N*D.q+E,i(G3b纽爱科网络实验室社区cryptoisakmppolicy10
7r$Y/@
V/g1]+x3Qencraes
authenticationpre-share
2g;
s-K!
r&
`7k1f)W+C9Kgroup2
5a%l,c9W7|*F5I!
0K0S:
R
c-u6n3S9@!
"
B2I!
u6T!
]8R)b6G!
h!
settransform-setccsp
8R/R7O4S/?
5A
^!
/q$o+["
E1i纽爱科网络实验室社区interfaceTunnel0
+e7l*h2z!
m5q:
H
ipnhrpauthenticationcisco
6N%i7o'
D.p#|(D.H+L)O"
n'
e%U&
`"
@ipnhrpnetwork-id1
|8|;
o"
e-l$F0@(R
[;
^!
C(d8v$F(P0R3o'
Zipospfnetworkbroadcast
tunnelmodegremultipoint
tunnelkey1
9C$[4l7x:
P/`2x&
{1Ntunnelprotectionipsecprofile91lab
}9K7x$i%X9ointerfaceLoopback0
3w8Y;
|3[1]
?
$?
)B7Y4i#\-t;
L!
interfaceSerial0/0:
Y&
y9t&
f&
^7H9c9S*{#|encapsulationframe-relay
routerospf1
8[%l;
J8n7d1v8F
`:
@log-adjacency-changes*K1_6g"
q5]"
I'
I"
e
#e%W'
U,E2F'
mR3配置如下:
5@/h7F-y4~*t!
$J)S#r.{9b4?
#J*K/Tcryptoisakmppolicy10
encraes
+?
8L;
S+y'
`6N!
$q.X"
q-x3]
h;
]
m${
]!
J
W#h.i/I!
4h0S7N#E7w.Pcryptoipsectransform-setccspesp-aesesp-sha-hmac
modetransport
6n)j-j+c1F*w!
@$P.t(Dcryptoipsecprofile91lab
'
b+t8d*V-E;
|5L!
interfaceTunnel0'
J-C/B!
o8D2S#D
X
Jipnhrpauthenticationcisco
*L'
_-m9U9d)b&
t4W9Q
ipnhrpnetwork-id1
0C
Z/j,r6L6b
ipospfnetworkbroadcast
tunnelmodegremultipoint
tunnelprotectionipsecprofile91lab
#b/s9X(m8`.q!
interfaceLoopback07Y6L*x(p3a9L&
|纽爱科网络实验室社区!
$G5H3N7?
)\5T8v8K#`*E)G&
K$d8xencapsulationframe-relay
2t7t/l$c1c/Fnoframe-relayinverse-arp
([7Y7~5r2b%['
x)j纽爱科网络实验室社区1M;
p;
@)D
^)}0r6]$z!
9G6n)u:
O;
~8Xlog-adjacency-changes
y/L#]-c)T9L*s%e
升级会员 