YesLab-秦柯动态多点VPN(DMVPN)学习实验指南(1).doc

《YesLab-秦柯动态多点VPN(DMVPN)学习实验指南(1).doc》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、CCNP-学习QQ群：69721386第六章我们讨论了IPSecVPN的高可用性技术。从第七章开始，我们要学习Cisco安全最重要的四大VPN技术。这四大VPN分别是第七章的DMVPN，第八章的GETVPN，第九章的EZVPN和第十一章的SSLVPN。本章要介绍的DMVPN是一个高扩展性的IPSecVPN技术，什么叫做高扩展性呢？也就是适合企业级的大规模部署，例如:一个企业有几百个分支机构的场合，对于一个大型连锁企业而言，这种规模并不算夸张。那么DMVPN是高扩展性的IPSecVPN，那么传统技术的IPSecVPN又有什么高扩展性的问题呢

2、？我们就从传统IPSecVPN的两种连接拓扑谈起，说说它们有什么高扩展性的问题。图7-1传统IPSecVPN星形拓扑 星形拓扑IPSecVPN有如下问题:1.     中心站点配置量大:不管是经典配置还是GREOverIPSec或者SVI，多一个分支站点就要多一份配置，如果分支站点数量过多，配置就会变成沉重的负担，并且不容易管理。2.     分支站点间流量延时较大:CCNP-学习QQ群：69721386因为一个分支站点的数据要抵达另外一个分支站点，首先需要加密数据送往中心，数据在中心站点被第一次解密，查看路由判断出隧道，然后在中心站点被

3、第二次加密，并且送往目的站点。目的站点收到数据后，再进行第二次解密。由于数据被两次加解密，所以大大增加了延时。3.     分支站点间流量占用中心带宽星形拓扑分支站点间的所有流量，都需要经过中心站点进行转发。如果分支站点间流量过大，会大大消耗中心站点的带宽。综上所述，星形拓扑的传统IPSecVPN，很明显不是一个高扩展性的设计，不适合在有大量分支站点的网络中部署IPSecVPN。图7-2传统IPSecVPN网状模型网状拓扑IPSecVPN有如下问题:1.     中心与分支站点配置量大:CCNP-学习QQ群：69721386不管是经典配置

4、还是GREOverIPSec或者SVI，多一个分支站点，所有的站点都要多一份配置，如果在分支站点数量过多的网络，使用网状拓扑的IPSecVPN，配置将是一场噩梦。2.     分支站点需要维护过多IPSecSA:网状拓扑的IPSecVPN，分支站点要和每一个其它站点建立IPSecSA，如果站点过多，每一个分支站点就会维护很多的IPSecSA，一般分支站点都使用低端路由器产品，例如:18或者28系列路由器，维护过多的IPSecSA会让这些设备的内存和CPU不堪重负。3.     每一个分支站点需要固定IP地址网状拓扑的IPSecVPN，因为

5、两两站点之间需要建立IPSecVPN，所以每一个分支站点都需要有固定IP地址。很明显这在工程中很难实现，因为大多数分支机构可能都是通过ADSL这种廉价的接入技术，并且动态获取互联网地址。 由于传统IPSecVPN星形和网状拓扑存在高扩展性问题，Cisco提出了自己的高扩展性IPSecVPN技术，这个技术就叫做DynamicMultipointVPN（DMVPN）。DMVPN相比于传统的IPSecVPN技术有如下几个优点:1.     简单的星形拓扑配置，提供了虚拟网状连通性。2.     分支站点支持动态获取地址。3.     增加新的分

6、支站点，无需更改中心站点配置。4.     分支站点到分支站点动态产生隧道。   要了解DMVPN为什么能够提供上述的四大特点，我们首先需要了解组成DMVPN这个解决方案的四大协议。下面我们就对这四大协议进行详细的介绍。  协议一:MultipleGRE（MGRE）---动态多点GRE  我们在第二章学习过GRE技术，当时介绍的是点对点GRE。MGRE是一种特殊的GRE技术，非常类似于多点帧中继技术。是一个典型NBMA网络。我们可以通过图7-3的拓扑，来了解一下MGRE。  图7-3MGRE拓扑CCNP-学习QQ群：69721386可以看

7、到所有站点的MGRE隧道接口，都处于一个网段（172.16.1.0/24）。顾名思义多点GRE。也就是说任何一个分支站点不仅仅能够和中心站点进行通讯，而且还能够直接和其它分支站点进行通讯。这其实就说明了DMVPN的第一个优点，虚拟网状连通性。   协议二:NextHopResolutionProtocol（NHRP）---下一跳解析协议  CCNP-学习QQ群：69721386如果你认为配置了MGRE隧道，所有站点就能够直接进行通讯，那就大错而特错了。我给大家举两个例子来说明这个问题，第一个例子就是以太网，在以太网，IP地址为逻辑地址，M

8、AC地址才是物理地址。如果一台设备只知道对方的逻辑地址，是不能进行通讯的。一定需要知道对方的物理地址，才能够向网络发送数据包。大名鼎鼎的ARP技术就是完成在以太网内，动态的或者手动的映射逻辑地