DMVPN理论详解与完全配置.pdf

1、DMVPN(DMVPN(DMVPN(DMVPN(动态多点动态多点 VPN)VPN)VPN)VPN)详解详解制作人：张红军制作人：张红军2010-8-162010-8-162010-8-162010-8-16 日于北京日于北京一一:理论理论:利用 IPSec 隧道在 Internet 上进行安全的数据传输，是目前公司总部与分支通讯的主要解决方案。它的商业价值，这里就不提了，随便找个文档也会侃半天的。IPSec 网络的拓扑可以是星形结构（hubandspoke）也可以是网状结构（fullmesh）。实际应用中，数据流量主要分布在分支与中心之间，分支与分支之间的流量分布较少，所以星形结构（huban

2、dspoke）通常是最常用的，并且它更经济。因为星形结构（hubandspoke）比网状结构（full mesh）使用更少的点到点链路，可以减少线路费用。在星形拓扑中，分支机构到分支机构（spoke tospoke）的连通不需要额外的通讯费用。但在星形结构中，分支到分支的通信必须跨越中心，这会耗费中心的资源并引入延时。尤其在用 IPSec 加密时，中心需要在发送数据分支的隧道上解密，而在接收数据的分支隧道上重新加密。还有一种情况是：通讯的两个分支在同一个城市，而中心在另一个城市，这便引入了不必要的延时。当星形 IPSec 网络（hubandspoke）规模不断扩展时，传统 VPN 的配置则愈加

3、繁琐，且不便于维护和排错。因此 IP 数据包的动态路由将非常有意义。但 IPSec 隧道和动态路由协议之间存在一个基础问题，动态路由协议依赖于多播或广播包进行路由更新，而IPSec 隧道不支持多播或广播包的加密。这里便引入了动态多点 VPN(DMVPN）的概念。这里将引入两个协议：GRE 和 NHRPGRE：通用路由封装。由 IETF 在 RFC 2784 中定义。它是一个可在任意一种网络层协议上封装任意一个其它网络层协议的协议。GRE 将有效载荷封装在一个 GRE 包中，然后再将此 GRE 包封装基于实际应用的传输协议上进行转发。（我觉得：GRE 类似木马的壳。_）IPSec 不支持广播和组

4、播传输，可是 GRE 能很好的支持运载广播和组播包到对端，并且 GRE 隧道的数据包是单播的。这就意味着 GRE 隧道的数据包是可被 IPSec 加密的，也即 GRE Over IPSec。通过 GRE 隧道与 IPSec 加密相结合，利用动态路由协议在加密隧道两端的路由器上更新路由表。从隧道对端学到的子网在路由表条目里将会包含隧道对端的 IP 地址作为到达对端子网的下一跳地址。这样，隧道任何一端的网络发生变化，另外一端都会动态地学习到这个变化，并保持网络的连通性而无需改变路由器的配置。IPSec 利用访问控制列表（ACL）来匹配感兴趣数据流。当有数据包匹配所定义的ACL 时，IPSec 加密

5、隧道便会建立。当利用 GRE Over IPSec 时，GRE 隧道的配置已经包括了 GRE 隧道对端的地址，这个地址同时也是 IPSec 隧道的对端地址。所以，没有必要再单独为 IPSec 定义匹配 ACL。通过将 GRE 隧道与 IPSec 绑定，GRE 隧道一旦建立，将立刻触发 IPSec 加密。在用 IPSec 对 GRE 包进行加密时，可以将 IPSec 配置为传输模式，因为 GRE 已经将原始数据包封装为单播的 IP 包，没必要让 IPSec 再封装一个包头。GRE 的特点使得 IPSec 也能时髦的运行动态协议了。至此，IPSec 不支持动态路由的历史改变了，DMVPN 中的“多

6、点”被摆平。GRP 头AH原始报头+有效数据ESP接下来，让我们看看“动态”的特性是怎样被引入的？GRE 建立了隧道，IPSec 完成了 VPN 网络的加密部分。想要建立 GRE 隧道，隧道的一端必须知道另一端的 IP 地址，并且必须能够在 Internet 上路由。这就要求中心和所有分支路由器必须具有静态的公共 IP 地址。可是向 ISP 申请静态 IP 地址的费用是非常昂贵的。通常，为节约地址资源并提高有效利用率，无论是 ADSL 还是直接线缆接入，ISP 会通过 DHCP 服务来提供动态 IP 地址。（注：IPv4 的瓶颈引发的地址匮乏。IPv6 不会存在该问题，号称可以给地球上的每一粒

7、沙子都分个 IP，口气很大的说）显然，GRE+IPSec 需要明确知道隧道两端的 IP 地址，而分支路由器外网接口的IP 地址由其本地 ISP 动态分配，每次拨入网络的 IP 地址是不同的。GRE 隧道没办法建立，那么 VPN 还是无法工作。这样，NHRP 在钓足大家胃口之时，应市场需求，在万众期盼的目光中闪亮登场了，给它些掌声乐乐。噼里啪啦。NHRP：下一跳解析协议。由 IETF 在 RFC 2332 中定义。用于解决非广播多路访问（NBMA）网络上的源节点（主机或路由器）如何获取到达目标节点的“下一跳”的互联网络层地址和 NBMA 子网地址。下面咱们一起看看 NHRP 是如何解决静态 IP

8、 地址问题，而让 VPN“动”起来的：1、分支到中心（SpoketoHub）的动态隧道建立DMVPN 网络中，中心路由器上没有关于分支的 GRE 或 IPSec 配置信息，而在分支路由器上则必须依据中心路由器的公网 IP 地址和 NHRP 协议来配置 GRE 隧道。当分支路由器加电启动时，由 ISP 处通过 DHCP 获取 IP 地址，并自动建立 IPSec 加密的 GRE 隧道，通过 NHRP 向中心路由器注册自己的外网端口 IP 地址（貌似反弹连接）。这样做有三方面的原因：1、由于分支路由器外网端口的 IP 地址是自动获取的，每次上线时的 IP 地址可能不同，所以中心路由器无法根据该地址信

9、息进行配置。2、中心路由器不必针对所有分支分别配置 GRE 或 IPSec 信息，将大大简化中心路由器的配置。所有相关信息可通过 NHRP 自动获取。（即：分支向中心汇报各自特征）3、当 DMVPN 网络扩展时，不必改动中心路由器和其它分支路由器的配置。通过动态路由协议，新加入的分支路由器将自动注册到中心路由器。这样，所有其它分支路由器可以学到这条新的路由，新加入的分支路由器也可以学到到达其它所有路由器的路由信息，直至收敛。（中心路由器犹如 OSPF 的DR）2、分支到分支（SpoketoSpoke）的动态隧道建立在 DMVPN 网络中，分支到中心（SpoketoHub）的隧道一旦建立便持续存

10、在，但是各分支之间并不需要直接配置持续的隧道。当一个分支需要向另一个分支传递数据包时，它利用 NHRP 来动态获取目的分支的 IP 地址。该过程中，中心路由器充当 NHRP 服务器的角色，响应 NHRP 请求，向源分支提供目标分支的公网地址。于是，两个分支之间通过 mGRE 端口动态建立 IPSec 隧道，进行数据传输。该隧道在预定义的周期之后将自动拆除。DMVPN 网络中，分支到中心（SpoketoHub）的隧道一旦建立便持续存在，而各分支之间并没有持续存在的隧道。这样，在路由器初始化后，中心路由器会通过持续存在的隧道向分支路由器宣告其它分支子网的可达路由。到这里，似乎”多点”动态”的问题都

11、解决了，DMVPN 可以正常工作了是吧？！非也！目前，分支路由器的路由表中到达其它分支子网的“下一跳”地址仍是中心路由器的隧道端口地址，而不是其它分支路由器的隧道端口地址。如此一来，分支与分支之间的数据传输还是会通过中心路由器。要解决这一问题，必须在中心路由器上设置为在 mGRE 隧道端口上宣告某一分支子网的可达路由时“下一跳”地址是该分支路由器的隧道端口地址，而非中心路由器的地址。在 RIP 或 EIGRP 等距离向量型路由协议中，通常都实现了水平分割（split horizon）功能，阻止将路由信息发回到其来源端口，以避免相邻路由器上路由环路的产生。如果在DMVPN 网络上运行 RIP 或

12、 EIGRP 协议，则必须关闭水平分割（split horizon）功能。否则，分支路由器将无法学习到通往其它分支子网的路由。对 RIP 而言，no split horizon 就大功告成了，因为 RIP 向路由信息来源端口发送该路由时，其“下一跳”地址不被改变，仍然是原来的地址（即:目标地址）。但 EIGRP 在向路由信息来源端口发送该路由时，其“下一跳”地址将改变为该端口的地址。所以，必须关闭这一特性。(EIGRP 是 RUIJIE 公司的私有协议，关闭这一特性的 IOS命令为 no ip nexthopself eigrp)。OSPF 是链路状态型路由协议，其本身就不存在水平分割（spl

13、it horizon）问题。但在配置 OSPF 网络类型时，应配置为广播型而不要使用点到多点型，否则，仍然会导致上述的问题。另外需要注意的是，必须把 DMVPN 的中心路由器（Hub）配置为 OSPF 的指定路由器（DR），可以通过指定中心路由器（Hub）有更高的 OSPF 优先权来实现。最后，总结下 DMVPN 的整体解决方案DMVPN 是通过多点 GRE（mGRE）和下一跳解析协议（NHRP）与 IPSec 相结合实现的。在 DMVPN 解决方案中，利用 IPSec 实现加密功能，利用 GRE 或多点 GRE（mGRE）建立隧道，利用 NHRP 解决分支节点的动态地址问题。DMVPN 只要

14、求中心节点必须申请静态的公共 IP 地址。（如果用 DNS 的话，中心节点不是也可以动态了吗？）GRE 隧道支持多播或广播（multicast/broadcast）IP 包在隧道内传输。因此，DMVPN 网络支持在 IPSec 和 mGRE 隧道之上运行动态路由协议。需要指出的是，NHRP必须被配置为动态多播映射，这样，当分支路由器在 NHRP 服务器（中心路由器）上注册单播映射地址时，NHRP 会同时为这个分支路由器建立一个多播/广播（multicast/broadcast）映射。二二:实验：实验：一：实验拓扑：二：实验配置1:基础配置：Hub(config)#int s0/0Hub(con

15、fig-if)#ip add 20.1.1.1 255.255.255.252Hub(config-if)#no shHub(config-if)#int lo 0Hub(config-if)#ip add 192.168.10.1 255.255.255.0Hub(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.2SpokeA(config)#int s0/0SpokeA(config-if)#ip ad 20.2.2.1 255.255.255.252SpokeA(config-if)#no shSpokeA(config-if)#int lo 0Spoke

16、A(config-if)#ip add 192.168.20.1 255.255.255.0SpokeA(config)#ip route 0.0.0.0 0.0.0.0 20.2.2.2SpokeB(config)#int s0/0SpokeB(config-if)#ip add 20.3.3.1 255.255.255.252SpokeB(config-if)#no shSpokeB(config-if)#int lo 0SpokeB(config-if)#ip add 192.168.30.1 255.255.255.0SpokeB(config)#ip route 0.0.0.0 0.0.0.0 20.3.3.2ISP(config)#int s0/0ISP(config-if)#ip add 20.1.1.2 255.255.255.252ISP(config-if)#no shISP(config-if)#int s0/1ISP(config-if)#ip add 20.2.2.2 255.255.255.252ISP(config-if)#no shISP(config-