DMv*n的组件
• 1.MGRE(Multipoint GRE),多点GRE。便于在v*n隧道中能够传送组播报文(如动态路由协议报文)
• 2.NHRP协议(Next Hop Resolution Protocol ),下一跳地址解析协议。动态收集、维护和发布分支节点的公网地址信息,解决了分支节点动态公网IP地址问题。
• 3.路由协议
• 4.可选的IPSec封装,实现数据的安全传输。
• DMv*n网络中多种路由协议:RIP、EIGRP、OSPF、BGP
MGRE(多点GRE)
MGRE (Multipoint Generic Routing Encapsulation )点到多点的GRE 隧道,对传统点到点GRE隧道的一种扩展,报文封装过程和原理与GRE隧道完全相同
• 静态隧道(建立在Spoke与Hub之间,无论Spoke与Hub间是否有流量经过,该隧道一直存在)
• 动态隧道
建立在Spoke与Spoke之间,当Spoke与Spoke间有流量通过时,隧道被自动创建;当一定周期后没有流量经过,隧道将自动拆除
NHRP协议原理及作用
• NHRP(Next Hop Resolution Protocol)即下一跳地址解析协议。
• 基本原理:
• 源Spoke(隧道发起方)以到目的Spoke(隧道响应方)路由的下一跳地址为索引,向目的Spoke发送NHRP地址解析请求,目的Spoke收到该地址请求后将向源Spoke返回其公网地址。源Spoke获取到目的Spoke的公网地址后,两者之间将建立动态的MGRE隧道。
• 主要功能:
• 解决非点到点直连网络跨互联网映射问题。
在DMv*n中网络中,源Spoke利用NHRP协议获取对端Spoke的公网地址,类似于IP—MAC或IP—DHCI号的对应关系。
NHRP协议用对方的公网地址来封装其tunnel的IP地址,实质就是源分支如何获取目的分支的NBMA地址的过程。通过主动注册和查询来解决动态IP问题。
• 解决动态IP问题。
NHRP协议映射表
• NHRP映射表是有关Tunnel地址和公网地址的映射关系表。
• NHRP映射表中的表项按照生成方式的不同,分为静态表项和动态表项两种:
• 静态表项:由网络管理员手工配置生成。
Spoke需要与Hub建立MGRE隧道,管理员就需要在Spoke上手工配置Hub的Tunnel地址和公网地址。
• 动态表项:通过主动注册或动态查询生成。
源Spoke根据NHRP协议解析到目的Spoke的公网地址,然后自动更新到NHRP映射表的表项中。
思科DMv*n3个阶段比较
• Spoke与Spoke之间建立MGRE隧道的方式按照路由部署方案的不同,分为如下两种方式:
• Normal方式(思科的阶段2):当DMv*n采用分支节点相互学习路由方案时,源Spoke可以学习到目的Spoke的Tunnel地址(在该路由部署方案下,目的Spoke的Tunnel地址等同于源Spoke到目的Spoke路由的下一跳地址),因此源Spoke将以目的Spoke的Tunnel地址为索引,查找其公网地址。
• Shortcut方式(思科的阶段3):当DMv*n采用分支节点路由汇聚到总部时,所有Spoke的路由下一跳全部都是Hub的Tunnel地址。源Spoke无法学习到目的Spoke的Tunnel地址,因此,源Spoke只能以目的Spoke的私网网段查找其公网地址。
IPSec安全封装
• 当企业需要对总部和分支机构以及分支机构间传输的数据进行加密保护的时候,可以在部署DMv*n的同时绑定IPSec安全框架,实现分支间同时动态建立起MGRE隧道和IPSec隧道。
DMv*n应用场景分析
• 基本场景
• 适于中小型企业网络,配置简单,易于管理,但存在单点故障的隐患。
• Hub主备备份场景
• DMv*n支持部署多台Hub设备,用以提高总部的可靠性。
• Hub负载分担场景
• 单台Hub设备受性能制约,其下所能连接的Spoke数量有限,当网络中Spoke节点较多时,总部需要部署多台Hub来提高总部的处理能力。
• 级联场景
• 适于Spoke节点较多且分布较分散的大型企业网络,Hub(总部)设备处理性能要求较高,但也存在一定的单点故障隐患。
思科实施动态路由协议建议配置tunnel口 hub和spoke一样,注意IP地址和源接口
HUB(config)#interface tunnel 0
HUB(config-if)#ip add 172.16.1.1 255.255.255.0
HUB(config-if)#tunnel source e0/1
HUB(config-if)#tunnel mode gre multipoint
Spoke1(config)#int t0
Spoke1(config-if)#ip add 172.16.1.2 255.255.255.0
Spoke1(config-if)#tunnel source e0/2
Spoke1(config-if)#tunnel mode gre multipoint
Spoke2(config)#int t0
Spoke2(config-if)#ip add 172.16.1.3 255.255.255.0
Spoke2(config-if)#tunnel source e0/3
Spoke2(config-if)#tunnel mode gre multipoint
配置NHRP
HUB(config)#interface t0 //hub点
HUB(config-if)#ip nhrp network-id 1 NHRP的ID,相同站点的ID全部相同
HUB(config-if)#ip nhrp map multicast dynamic 接受动态组播映射
HUB(config-if)#ip nhrp redirect 重定向 (阶段三)
HUB(config-if)#ip nhrp authentication CISCO 认证
HUB(config-if)#tunnel key 1 隧道认证
所有Spoke的配置相同
Spoke1(config)#int t0 /spoke点
Spoke1(config-if)#ip nhrp network-id 1
Spoke1(config-if)#ip nhrp nhs 172.16.1.1 去往HUB进行地址解析
Spoke1(config-if)#ip nhrp map multicast 61.128.1.1 组播映射的地址(HUB的公网地址)
Spoke1(config-if)#ip nhrp map 172.16.1.1 61.128.1.1 去往组播映射地址的隧道地址(HUB的隧道地址)
Spoke1(config-if)#ip nhrp shortcut 接受重定向(阶段三)
Spoke1(config-if)#ip nhrp authentication CISCO
Spoke1(config-if)#tunnel key 1