1、1.星型(hub-and-spoke)结构:在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图:2.边缘(spoke-to-spoke)结构:CISCO DMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图:至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构.2.如果20%甚至更过的流量是为边缘节点所服务,那么采用边缘结构.为
2、了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对对的应用程序变得更为麻烦.CISCO DMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图:CISCO DMVPN的关键组件如下:1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个IPsec隧道,简化配置.2.IPsec末端节点的动态发现与加密模板:无需为每对对等体手动指定crypto map,简化部署.3.NH
3、RP:允许边缘节点采用动态IP地址,中心节点用于维护每个边缘节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时,它向中心节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址.三.CISCO DMVPN的实施可以通过CISCO SDM采用向导化的配置:通过IOS来配置CISCO DMVPN.拓扑如下图:R1配置如下:!crypto isakmp policy 10encr aes authentication pre-sharegroup 2crypto isakmp key cisco address 0.0.00 m,
4、 o6 M$ _% Iz. l+ 9 g3 L纽爱科网络实验室社区!crypto ipsec transform-set ccsp esp-aes esp-sha-hmac mode transport9 k & X! e- o, A!crypto ipsec profile 91lab6 o7 8 n. n5 Bv纽爱科网络实验室社区 set transform-set ccsp 7 L( J) U( p* m, Linterface Tunnel0# S- f; v, & w, g# I7 R: r5 Z ip nhrp authentication cisco /-配置NHRP的认证-/
5、7 6 c3 0 d6 t9 X7 Vb; A ip nhrp map multicast dynamic/-允许NHRP自动增加路由器到组播NHRP映射-/ip nhrp network-id 1/-在接口上启用NHRP-/ ip ospf network broadcastip ospf priority 255tunnel source Serial0/0o2 l5 1 2 c3 S* t9 _ tunnel mode gre multipoint+ M7 J q2 U+ x2 r& w& tunnel key 1tunnel protection ipsec profile 91lab
6、, t5 x* W* m6 ?8 & C% x( z: W5 c+ r纽爱科网络实验室社区!% i+ E* x& I5 A8 _( i$ a, Sinterface Loopback0% y5 u3 I& k S& T! C) |interface Serial0/0. f6 : c4 J1 b0 W% g; n9 T$ E, 2 S% l; - hSV encapsulation frame-relayno frame-relay inverse-arp2 N. R! a: b% D. T; Z$ m4 b7 x5 g% y# T* L$ H. V2 |) a0 s8 d$ eW5 o6 e
7、: o* H. C( E2 7 S4 brouter ospf 13 x * 9 Ir log-adjacency-changes/ p3 U5 i- D3 b+ f$ u( U- x!1 ?) b/ 7 A+ H, X$ d8 e; G- Y: d+ A) ?8 L3 x_纽爱科网络实验室社区R2配置如下:; / Y2 r. & K5 N* D. q+ E, i( G3 b纽爱科网络实验室社区crypto isakmp policy 107 r$ Y/ V/ g1 + x3 Q encr aesauthentication pre-share2 g; s- K! r& 7 k1 f) W+
8、C9 K group 25 a% l, c9 W7 |* F5 I!0 K0 S: Rc- u6 n3 S9 ! B2 I! u6 T! 8 R) b6 G! h!set transform-set ccsp 8 R/ R7 O4 S/ ?5 A!/ q$ o+ E1 i纽爱科网络实验室社区interface Tunnel0+ e7 l* h2 z! m5 q: Hip nhrp authentication cisco6 N% i7 o D. p# |( D. H+ L) O n e% U& ip nhrp network-id 1 |8 |; o e- l$ F0 ( R; ! C( d8
9、 v$ F( P0 R3 o Z ip ospf network broadcast tunnel mode gre multipointtunnel key 19 C$ 4 l7 x: P/ 2 x& 1 N tunnel protection ipsec profile 91lab, 9 K7 x$ i% X9 ointerface Loopback03 w8 Y; |3 1 ?$ ?) B7 Y4 i# - t; L!interface Serial0/0: Y& y9 t& f& 7 H9 c9 S* # | encapsulation frame-relayrouter ospf 1
10、8 % l; J8 n7 d1 v8 F: log-adjacency-changes* K1 _6 g q5 I I e# e% W U, E2 F mR3配置如下:5 / h7 F- y4 * t!$ J) S# r. 9 b4 ?# J* K/ Tcrypto isakmp policy 10 encr aes+ ?8 L; S+ y 6 N!$ q. X q- x3 h; m$ ! JW# h. i/ I!4 h0 S7 N# E7 w. Pcrypto ipsec transform-set ccsp esp-aes esp-sha-hmac mode transport6 n) j
11、- j+ c1 F* w! $ P. t( Dcrypto ipsec profile 91lab b+ t8 d* V- E; |5 L!interface Tunnel0 J- C/ B! o8 D2 S# DXJ ip nhrp authentication cisco* L _- m9 U9 d) b& t4 W9 Qip nhrp network-id 10 CZ/ j, r6 L6 bip ospf network broadcasttunnel mode gre multipoint tunnel protection ipsec profile 91lab# b/ s9 X( m8 . q!interface Loopback07 Y6 L* x( p3 a9 L& |纽爱科网络实验室社区!$ G5 H3 N7 ?) 5 T8 v8 K# * E) G& K$ d8 x encapsulation frame-relay2 t7 t/ l$ c1 c/ F no frame-relay inverse-arp( 7 Y7 5 r2 b% x) j纽爱科网络实验室社区1 M; p; ) D) 0 r6 $ z!9 G6 n) u: O; 8 X log-adjacency-changesy/ L# - c) T9 L* s% e
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 