DMvpn

DMvpnD:动态M:多点与传统的IPSECVPN相比，传统的多点要做IPSECVPN扩展性比较小，传统的IPSECVPN中心站点要和分支站点都建立IPSECVPN，分支要去分支站点要先去中心站点，在中心站点解秘再加秘送到分支站点，增加了中心站点的路由器消耗。或者做fullmeshed结构的话，会造成大量的配置。DMVPN提高了扩展性能的问题。优点1：简单的配置中心点和分支点的fullmeshed结构（虚拟的fullmeshed）2：支持分支站点动态IP地址，（中心必须固定地址，也不可以用域名）3：如果新增加了分支站点，不需要更改中心点配置4：分支站点和分支站点通信会动态建立隧道触发IPSEC，是按需建立的。(相当与动态建立GRE隧道，可以跑路由协议)5：支持0丢包（协商的几个包是由中心站点代转的，不会丢弃）6：支持组播7：支持MPLS的VRF8：能够支持中心站点的备份，（相当一个分支与两个中心站点建立VPN，当一个中心站点会了可以马上进行切换）9：支持负载均衡技术组成：1，MGRE（multipointGRE）点对多点GRE2，NHRP(NextHopResolutionProtocol)下一跳解析协议作用在用在做多点GRE的时候，把物理地址和GRE的逻辑地址相互影射，中心站点相当与NHRP的服务器（NHS），当分支站点要与分支站点通信时候，会请求中心站点询问分支站点的物理地址和逻辑地址的影射，中心会去询问分支站点的NHRP，然后回应，那么两个分支站点就会有相互的物理地址和GRE逻辑地址的相互影射，就可以通信了。3，DynamicRoutingProtocol因为有GRE在，所以分支站点会和中心站点建立邻居。中心站点会和分支站点建立邻居，但是分支站点和分支站点是没有邻居关系的。在中心站点上会有分支站点的路由，而分支站点和分支站点间没有相互的路由，分支要从中心才能学习到分支路由。路由更新和组播只在分支点和中心点进行传播。*单播包可以穿越分支站点和分支站点动态建立的隧道，而路由更新包和组播包不能在分支站点上直接传输，必须通过中心站点传输*。4，IPSecVPNEthernetR1R3R2F0/0F0/0F0/0分支站点分支站点中心站点R1（分支站点）R2（分支站点）R3（分支站点）预配interfaceLoopback0ipaddress1.1.1.1255.255.255.255interfaceFastEthernet0/0ipaddress10.1.123.1255.255.255.0预配interfaceLoopback0ipaddress2.2.2.2255.255.255.255interfaceFastEthernet0/0ipaddress10.1.123.2255.255.255.0预配interfaceLoopback0ipaddress3.3.3.3255.255.255.255interfaceFastEthernet0/0ipaddress10.1.123.3255.255.255.0配置中心站点的MGRE+NHRP：步骤2interfaceTunnel0ipaddress100.1.123.1255.255.255.0ipnhrpauthenticationcisco（由于NHRP服务端使用认证，分支也必须使用）ipnhrpmap100.1.123.210.1.123.2（要到NHRP中心站点去注册，必须要有中心站点的手动影射，将GRE多点地址和中心站点的物理地址做影射）ipnhrpmapmulticast10.1.123.2（将组播流量转成单播，送到中心站点去，写中心站点的物理地址）ipnhrpnetwork-id123（必须和中心站点相同）配置中心站点的MGRE+NHRP：步骤1interfaceTunnel0(直接启动tunnel0的话，默认是点对点的tunnel)ipaddress100.1.123.2255.255.255.0ipnhrpauthenticationcisco（用于NHRP认证，可选）ipnhrpmapmulticastdynamic（比如动态路由协议大多用组播建立邻居，那么就需要把组播地址也进行影射，由于中心站点并不知道分支站点的物理地址，所以通过动态学习的方式学习，要在起NHRP注册前敲，如果出现问题要在中心点shutdown和noshutdown）ipnhrpnetwork-id123配置中心站点的MGRE+NHRP：步骤3这个分支站点的配置和R1一样interfaceTunnel0ipaddress100.1.123.3255.255.255.0ipnhrpauthenticationciscoipnhrpmap100.1.123.210.1.123.2ipnhrpmapmulticast10.1.123.2ipnhrpnetwork-id123ipnhrpnhs100.1.123.2tunnelsourceFastEthernet0/0tunnelmodegremultipointtunnelkey123ipnhrpnhs100.1.123.2（分支站点需要知道NHS的服务器的地址，要写GRE的地址）tunnelsourceFastEthernet0/0tunnelmodegremultipointtunnelkey123（由于中心点写了，分支也要写）（启动NHRP，这个ID相当与起了NHRP的进程，每个分支和中心点要起相同的ID）tunnelsourceFastEthernet0/0(多点GRE的特点是有源没有目的的)tunnelmodegremultipoint(将tunnel模式改成多点GRE)tunnelkey123（在12.3的老版本的时候不敲的话tunnel是不会up的，在12.4的时候是没有关系的，可以不敲。作用在于在一个设备上可以建立多个多点GRE，是用来区分使用，新版本可选）验证NHRP是否成功R1#showipnhrp100.1.123.2/32via100.1.123.2,Tunnel0created00:21:27,neverexpireType:static,Flags:natusedNBMAaddress:10.1.123.2验证NHRP是否成功R2#showipnhrp100.1.123.1/32via100.1.123.1,Tunnel0created00:17:04,expire01:42:55Type:dynamic,Flags:uniquenatregisteredNBMAaddress:10.1.123.1100.1.123.3/32via100.1.123.3,Tunnel0created00:06:14,expire01:53:45Type:dynamic,Flags:uniquenatregisteredNBMAaddress:10.1.123.3验证NHRP是否成功R3#showipnhrp100.1.123.2/32via100.1.123.2,Tunnel0created00:09:53,neverexpireType:static,Flags:natusedNBMAaddress:10.1.123.2测试多点GRE连通性R1#ping100.1.123.3Typeescapesequencetoabort.Sending5,100-byteICMPEchosto100.1.123.3,timeoutis2seconds:!.!!!（第一个包是由中转，第二个包因为要解析，所以会丢一个包）测试多点GRE连通性R3#ping100.1.123.1Typeescapesequencetoabort.Sending5,100-byteICMPEchosto100.1.123.1,timeoutis2seconds:!!!!!配置动态路由协议routereigrp100配置动态路由协议routereigrp100配置动态路由协议routereigrp100network1.1.1.10.0.0.0network100.1.123.00.0.0.255noauto-summary注意宣告多点GRE的地址，不宣告物理地址network2.2.2.20.0.0.0network100.1.123.00.0.0.255noauto-summary注意宣告多点GRE的地址，不宣告物理地址network3.3.3.30.0.0.0network100.1.123.00.0.0.255noauto-summary注意宣告多点GRE的地址，不宣告物理地址验证：showipeigrpneighbors学到中心的邻居Showiprotute学到中心点的路由验证：showipeigrpneighbors学到两个分支站点的邻居Showiprotute学到所有路由验证：showipeigrpneighbors学到中心的邻居Showiprotute学到中心点的路由由于在tunnel下有水平分割的问题，所以要在tunnel口下关闭eigrp的水平分割问题，让两个分支站点学到相互的路由interfaceTunnel0noipsplit-horizoneigrp100验证：R1#showiproute1.0.0.0/32issubnetted,1subnetsC1.1.1.1isdirectlyconnected,Loopback02.0.0.0/32issubnetted,1subnetsD2.2.2.2[90/297372416]via100.1.123.2,00:14:37,Tunnel0100.0.0.0/24issubnetted,1subnetsC100.1.123.0isdirectlyconnected,Tunnel03.0.0.0/32issubnetted,1subnetsD3.3.3.3[90/310172416]via100.1.123.2,00:02:10,Tunnel010.0.0.0/24issubnetted,验证：R3#showiproute1.0.0.0/32issubnetted,1subnetsD1.1.1.1[90/310172416]via100.1.123.2,00:03:23,Tunnel02.0.0.0/32issubnetted,1subnetsD2.2.2.2[90/297372416]via100.1.123.2,00:14:48,Tunnel0100.0.0.0/24issubnetted,1subnetsC100.1.123.0isdirectlyconnected,Tunnel03.0.0.0/32issubnetted,1subnetsC3.3.3.3isdirectlyconnected,Loopback010.0.0.0/24issubnetted,1subnetsC10.1.123.0isdirectlyconnected,FastEthernet0/01subnetsC10.1.123.0isdirectlyconnected,FastEthernet0/0在上步中发现，两个分支站点还是通过中心点转发路由，要解决这个问题interfaceTunnel0noipnext-hop-selfeigrp100验证：R1#showiproute1.0.0.0/32issubnetted,1subnetsC1.1.1.1isdirectlyconnected,Loopback02.0.0.0/32issubnetted,1subnetsD2.2.2.2[90/297372416]via100.1.123.2,00:01:49,Tunnel0100.0.0.0/24issubnetted,1subnetsC100.1.123.0isdirectlyconnected,Tunnel03.0.0.0/32issubnetted,1subnetsD3.3.3.3[90/310172416]