CISCODMVPN原理与配置
转载请保留此信息:
作者:红头发(aka CCIE#15101) 出处:
一.CISCO DMVPN概览
CISCO 动态多点VPN(DMVPN)用于构建可扩展性的企业
VPN网络,用于
支持分布式的应用程序,比如视频和语音.具备如下优势: 1.采用星型(hub-and-spoke)结构与按需全互联相结合的拓扑结构2.自动应用IPSec.
3.当增加远程站点时无需做额外部署4.减小延迟与节约带宽. 如下图:
.
.
CISCO的DMVPN可以和IOS防火墙,IOS IPS,QoS,IP组播,隧道分离,与路由协议热备份技术结合使用
.
通常情况下,DMVPN适用于以下场合: 1.中型与大型企业. 2.SOHO. 3.企业网外网. 4.企业WAN备份连接. 5.SP VPN业务.
二.CISCO DMVPN的部署与结构CISCO DMVPN部署方案有两种方式: 1.星型(hub-and-spoke)结构: 在这种传统的拓扑结构里
,远程站点做为边缘节点
,边缘节点流量的
传输需经过中心节点.如下图:
2.边缘(spoke-to-spoke)结构:
CISCO DMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于边缘节点之间的流量传输无需经过中心节点宽占用.如下图:
IPsec的连接,这样一来,,减小了延迟并节约了带
至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:
,那么可以
1.如果80%甚至更多的流量是从边缘传输给中心节点本身采用星型结构.
2.如果20%甚至更过的流量是为边缘节点所服务
,那么采用边缘结构.
为了能够支持高级式是采用类似
IP服务(如组播,动态路由协议与QoS),传统的方
GRE一类的隧道技术.这样就导致了网络的叠加,增加
了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对对的应用程序变得更为麻烦
.
CISCO DMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图:
CISCO DMVPN的关键组件如下:
1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个IPsec隧道,简化配置.
2.IPsec末端节点的动态发现与加密模板定crypto map,简化部署. 3.NHRP:允许边缘节点采用动态
IP地址,中心节点用于维护每个边缘
:无需为每对对等体手动指
节点公网地址的NHRP数据库.当每个边缘节点启动后,向中心节点注册它的真实地址,当它要和其他边缘节点直接建立隧道时
,它向中心
.
节点的NHRP数据库里进行查询,用于确定对端边缘节点的真实地址
三.CISCO DMVPN的实施
可以通过CISCO SDM采用向导化的配置:
通过IOS来配置CISCO DMVPN.拓扑如下图:
R1配置如下: !
crypto isakmp policy 10
相关推荐:
loading