DMVPN

DMVPN 动态多点VPNGETVPNEZVPN ---用户（不用懂原理）装个客户端，拨号能建立VPN1、DMVPN--高扩展性顺丰-广州总-分支机构非常多中心的配置管理复杂、流量延迟比较大、中心站点带宽问题。

中心和分支机构配置量复杂、分支站点需要维护过多的VPN，每个分支站点都需要固定IP 不太现实。

二、DMVPN的组成协议1、动态多点GRE 类似帧中继技术是一个典型NBMA 非广播多路（在OSPF中讲四种点到点、点到多点、广播、非广播多路）点到点GRE第一章学习2、下一跳解析协议（next hop resolution protocol）NHRP ARP---IP地址获取MAC。

帧中继网络InARP --地址对应DLCI3、动态路由协议--组播或者广播MGRE典型的NBMA 非广播多路网络RIP、OSPF、EIGRP、BGP4、IPsec技术DM可以理解成MGRE over IPsec实验R1(config)#interface loopback 0R1(config-if)#ip add 192.168.100.1 255.255.255.0R1(config-if)#exitR1(config)#interface f0/0R1(config-if)#ip add 200.1.1.100 255.255.255.0R1(config-if)#no shutdownR1(config-if)#R2#conf tR2(config)#interface loopback 0R2(config-if)#ip add 192.168.1.1 255.255.255.0R2(config-if)#no shutdownR2(config-if)#exitR2(config)#interface f0/0R2(config-if)#ip add 200.1.1.2 255.255.255.0R2(config-if)#no shutdownR3#conf tEnter configuration commands, one per line. End with CNTL/Z.R3(config)#inR3(config)#interface loR3(config)#interface loopback 0R3(config-if)#ip add 192.168.2.1 255.255.255.0R3(config-if)#exitR3(config)#interface f0/0R3(config-if)#ip add 200.1.1.3 255.255.255.0R3(config-if)#no shR3(config-if)#no shutdownR3(config-if)#R3(config-if)#第二步配置mGRE NHRPR1(config)#R1(config)#intR1(config)#interface tunnel 0R1(config-if)#ip add 172.16.1.100 255.255.255.0R1(config-if)#tunnel mode gre multipoint 配置隧道模式多点GRER1(config-if)#tunnel source f0/0R1(config-if)#tunnel key 12345 隧道协商口令配置NHRPR1(config-if)#ip nhrp network-id 10 激活NHRPR1(config-if)#ip nhrp authentication cisco 使用NHRP认证，认证密码为CiscoR1(config-if)#ip nhrp map multicast dynamic 动态接收NHRP的组播映射R2(config)#interface tR2(config)#interface tunnel 0R2(config-if)#ip add 172.16.1.2 255.255.255.0R2(config-if)#tunnel mode gre multipointR2(config-if)#tunnel source f0/0R2(config-if)#tunnel key 12345R2(config-if)#ip nhrp network-id 10R2(config-if)#ip nhrp authentication ciscoR2(config-if)#ip nhrp map 172.16.1.100 200.1.1.100 手工配置NHRP映射，中心站点的隧道地址和中心站点的公网IP做映射，分支才能访问中心站点。

DMVPN (动态多点VPN)是一种具有高扩展性的VPN解决方案,用以处理具有大量分支站点的VPN连通问题特点1.采用Hub和Spoke连接模型2.提供了full mesh连通性（虚拟）3.Hub和Spoke配置简单4.支持Spoke动态地址5.增加新Spoke无需更改Hub配置6.Spoke到Spoke动态产生触发IPSec隧道加密采用技术1.MGRE类似于点到多点帧中继，每条GRE隧道有一个逻辑地址也就是隧道地址，通过与globe IP即外接口IP的映射实现2.NHRP●用于映射隧道地址到一个物理地址。

类似于ARP和RARP，支持静态映射和动态映射。

Hub路由器会维护一个所有Spoke的逻辑地址和物理地址的映射数据库3.IPSec VPNDMVPN也是一种GRE over IPSec VPN技术，可采用SVTI或GRE over IPSec VPN(实际应用时多采用SVTI)4.动态路由协议●GRE隧道支持动态路由协议●IP路由更新和组播数据只能在Hub和Spoke之间的隧道中传输，或者说只有Hub和Spoke才有邻接关系而Spoke之间没有邻接关系●单播数据包既能穿越Hub和Spoke隧道，也能穿越Spoke-to-Spoke动态隧道●Spoke-to-Spoke路由逻辑由NHRP执行，路由协议不监控Spoke之间的隧道状态第一步配置MGRE中心路由器interface Tunnel0ip address 172.16.1.100 255.255.255.0tunnel source FastEthernet0/0tunnel mode gre multipointtunnel key 123456分支路由器interface Tunnel0ip address 172.16.1.1 255.255.255.0tunnel source FastEthernet1/0tunnel mode gre multipointtunnel key 123456第二步配置NHRP所有路由器上启用NHRPinterace Tunnel 0ip nhrp network-id 1中心路由器interace Tunnel 0ip nhrp map multicast dynamicip nhrp authentication cisco分支路由器interace Tunnel 0ip nhrp map 172.16.1.100 202.100.100.10ip nhrp map multicast 202.100.100.10ip nhrp nhs 172.16.1.100ip nhrp authentication ciscoNHRP配置完毕后，可在中心检查center#sh ip nhrp172.16.1.1/32 via 172.16.1.1, Tunnel0 created 00:19:33, expire 01:40:27 Type: dynamic, Flags: unique registeredNBMA address: 202.100.1.10172.16.1.2/32 via 172.16.1.2, Tunnel0 created 00:19:41, expire 01:41:20 Type: dynamic, Flags: unique registeredNBMA address: 202.100.2.10172.16.1.3/32 via 172.16.1.3, Tunnel0 created 00:17:50, expire 01:42:09 Type: dynamic, Flags: unique registeredNBMA address: 202.100.3.10第三步动态路由配置（DMVPN是CISCO专有技术，当让用EIGRP是最好）很简单，中心和分支都分别宣告互联GRE隧道网络和身后网络router eigrp 1network 172.16.0.0network 192.168.100.0no auto-summary中心路由器动态路由优化interface Tunnel0no ip split-horizon eigrp 1no ip next-hop-self eigrp 1第四步IPSec VPN配置简单的SVTI配置，中心和分支配置一样crypto isakmp policy 10authentication pre-sharecrypto isakmp key 123456 address 0.0.0.0 0.0.0.0!!crypto ipsec transform-set dmvpn esp-3des esp-md5-hmacmode transport!crypto ipsec profile dvmpnset transform-set dmvpn!interface Tunnel0tunnel protection ipsec profile dvmpn其他优化技术由于是GRE封装，需要增加IP头部，建议所有路由器隧道接口的MTU设置为小于默认的1500以防止IP分片增加路由负担interface Tunnel0MTU 1440所有配置完成后，可以看到，由于有动态路由更新的存在，分支与中心之间的VPN隧道是自动触发建立的。

dmvpn原理DMVPN（Dynamic Multipoint Virtual Private Network）是一种基于IP网络的虚拟专用网络技术，它能够在广域网中建立安全、灵活和高效的连接。

DMVPN的原理是通过动态建立和管理多点到多点的VPN连接，实现了网络的快速部署和扩展。

DMVPN的核心思想是使用动态路由协议来建立和维护VPN连接。

在传统的VPN技术中，需要为每个站点建立点对点的连接，这样会导致网络拓扑复杂，管理困难。

而DMVPN通过使用动态路由协议，可以自动发现和建立VPN连接，大大简化了网络的配置和管理。

DMVPN的工作原理如下：首先，每个站点都需要配置一个DMVPN路由器，该路由器负责建立和管理VPN连接。

每个DMVPN路由器都有一个唯一的标识符，称为NHRP（Next Hop Resolution Protocol）标识符。

当一个站点需要与其他站点通信时，它会向自己的DMVPN路由器发送一个NHRP请求，请求与目标站点建立VPN连接。

当DMVPN路由器收到NHRP请求后，它会查询自己的路由表，查找到达目标站点的最佳路径。

如果找到了最佳路径，它会向目标站点发送一个NHRP响应，告知目标站点如何建立VPN连接。

如果没有找到最佳路径，它会向其他DMVPN路由器发送一个NHRP查询，以获取到达目标站点的路径信息。

当目标站点收到NHRP响应后，它会根据响应中的信息建立VPN连接。

这个连接可以是点对点的，也可以是点到多点的。

一旦VPN连接建立成功，站点之间就可以通过该连接进行安全的数据传输。

DMVPN的优势在于它的灵活性和可扩展性。

由于DMVPN使用动态路由协议，它可以根据网络的变化自动调整VPN连接，无需手动配置。

这使得网络的部署和扩展变得非常简单和快速。

此外，DMVPN还支持多种加密和认证方式，可以保证数据的安全性。

总之，DMVPN是一种基于IP网络的虚拟专用网络技术，通过动态建立和管理多点到多点的VPN连接，实现了网络的快速部署和扩展。

DMVPN原理什么是DMVPNDMVPN（Dynamic Multipoint Virtual Private Network）是一种网络技术，可以实现在广域网（WAN）中建立安全的虚拟专用网络（VPN）。

DMVPN具有动态路由、灵活性和可扩展性等特点，适用于大规模网络中的分支机构和远程办公场景。

DMVPN的工作原理DMVPN的工作原理涉及到几个关键组件和协议，包括NHRP（Next Hop Resolution Protocol）、GRE（Generic Routing Encapsulation）、IPsec（Internet Protocol Security）和动态路由协议。

1. NHRPNHRP是DMVPN的核心协议之一，负责建立和维护动态多点隧道。

它允许DMVPN网络中的路由器动态地解析其他路由器的IP地址和公共密钥，从而实现路由器之间的直接通信。

2. GREGRE是一种隧道协议，用于在公共网络上封装和传输数据包。

在DMVPN中，GRE用于在不可信的WAN上建立安全的虚拟专用网络。

3. IPsecIPsec是一种网络安全协议，用于对数据进行加密和身份验证。

在DMVPN中，IPsec用于保护GRE隧道中传输的数据，确保数据的机密性和完整性。

4. 动态路由协议DMVPN支持各种动态路由协议，如OSPF、EIGRP和BGP等。

这些协议负责在DMVPN 网络中交换路由信息，实现动态路由的功能。

DMVPN的优势DMVPN相比传统的VPN技术具有以下优势：1.灵活性：DMVPN可以适应不同规模和拓扑的网络，可以轻松地添加、删除或修改分支机构，而无需对整个网络进行重新配置。

2.可扩展性：DMVPN支持动态多点隧道，可以在网络中添加新的分支机构，而无需手动配置每个分支机构的隧道。

3.简化管理：DMVPN使用动态路由协议，可以自动学习和传播路由信息，减少了管理员的配置工作。

4.减少网络延迟：DMVPN使用GRE隧道和IPsec加密，可以在公共网络上建立安全的虚拟专用网络，减少了数据传输的延迟。

CISCODMVPN原理与配置红头发完整版CISCO DMVPN (Dynamic Multipoint Virtual Private Network)是一种基于动态多点虚拟私有网络的技术，它能够为分布式网络环境下的多个站点提供高效、灵活和安全的连接。

下面我将详细介绍CISCO DMVPN的原理与配置。

DMVPN原理：DMVPN基于IPsec和GRE协议实现，主要包含三个核心组件：Hub、Spoke和NHRP。

1. Hub（中心站点）：Hub是DMVPN网络的中心节点，它负责管理整个网络的连接。

Hub通常具有一个公共的全局IP地址，并且可以直接与所有的Spoke站点通信。

2. Spoke（边缘站点）：Spoke是DMVPN网络中的边缘节点，它们可能位于不同的地理位置。

Spoke站点需要通过Internet连接到Hub站点进行通信。

3. NHRP（Next Hop Resolution Protocol）：NHRP是DMVPN中的路由解析协议，它负责在Spoke和Hub之间建立动态的GRE隧道。

NHRP能够将Hub站点的公共IP地址解析为实际的Spoke站点的内部IP地址，从而实现Spoke之间的直接通信。

NHRP同时还支持动态路由协议，如OSPF 和EIGRP，以实现动态路由的更新和转发。

DMVPN配置：以下是配置DMVPN的基本步骤：1. 配置Hub站点：a. 配置GRE隧道：为Hub站点创建一个与一些Spoke站点相连的GRE隧道，指定Hub站点的公共IP地址和Spoke站点的内部IP地址。

b. 配置IPsec：为GRE隧道配置IPsec加密，用于保护数据的传输安全。

c.配置NHRP：启用NHRP后，配置本地注册和NHRP缓存以实现动态路由解析。

2. 配置Spoke站点：a. 配置GRE隧道：为Spoke站点创建连接到Hub站点的GRE隧道，指定Spoke站点的内部IP地址和Hub站点的公共IP地址。

dmvpn原理【原创版】目录1.Dmvpn 概述2.Dmvpn 的工作原理3.Dmvpn 的优点和应用场景正文1.Dmvpn 概述Dmvpn，全称“分布式多虚拟专用网络”，是一种基于虚拟专用网络（VPN）技术的网络架构。

它利用分布式的方式，在现有的公共网络上构建多个虚拟专用网络，实现对网络资源的安全、高效共享和访问。

与传统的 VPN 相比，Dmvpn 具有更高的扩展性和灵活性，可以满足大规模网络环境中的数据通信需求。

2.Dmvpn 的工作原理Dmvpn 的工作原理主要基于以下几个方面：（1）虚拟专用网络（VPN）技术：Dmvpn 利用 VPN 技术在公共网络上构建多个逻辑上相互隔离的虚拟专用网络。

每个 VPN 都拥有独立的地址空间和路由策略，保证数据通信的安全性和隔离性。

（2）分布式网络架构：Dmvpn 采用分布式的网络架构，将 VPN 的控制平面和数据平面分离。

控制平面负责 VPN 的创建、删除和策略管理，数据平面负责 VPN 之间的数据转发。

这种架构有利于提高系统的可扩展性和可维护性。

（3）协议扩展：Dmvpn 在传统的 VPN 协议基础上，引入了多种扩展协议，如 BGP、OSPF、ISIS 等。

这些协议可以实现 VPN 之间的路由信息交换，提高网络资源的利用率。

（4）路由技术：Dmvpn 采用分布式路由技术，将 VPN 路由信息分布在各个网络节点上。

当数据包需要从一个 VPN 转发到另一个 VPN 时，路由器可以根据分布式路由信息进行最优路径选择，实现快速、高效的数据转发。

3.Dmvpn 的优点和应用场景Dmvpn 具有以下优点：（1）高可扩展性：Dmvpn 采用分布式网络架构，可以支持大规模的VPN 部署，满足不断增长的网络需求。

（2）高灵活性：Dmvpn 支持多种协议和路由技术，可以根据不同应用场景灵活配置网络资源，提高网络利用率。

（3）安全性：Dmvpn 利用 VPN 技术对网络资源进行隔离，保证数据通信的安全性和保密性。

DMVPN技术原理
DMVPN（Dynamic Multipoint Virtual Private Network）是一种可
扩展的IPsec VPN技术，它使用动态性和自适应性来简化和改善规模性IPsec VPN网络。

DMVPN是一个演进技术，其最初被设计为多点连接VPN，它的动态性和灵活性能够方便用户快速建立临时网络连接。

这种技术有很多优点，例如，使用DMVPN可以最大限度地减少管理和
配置项，而不会改变功能或安全级别。

此外，在VPN网络中有很多性能瓶颈，例如配置管理，性能分析和路由转发，而采用DMVPN可以大大减少这
些障碍，并允许网络工程师在网络中快速部署新的站点。

DMVPN的核心协议是Next Hop Resolution Protocol（NHRP），它是
一种面向IP数据链路的点对点协议，用于将节点抽象为具有给定IP地址
的点，网络中的节点可以通过NHRP把自己注册为IP网络中的一部分。

它还可以被用来映射网络中的节点，从而使用单一的一站式管理，这
样网络中的节点之间就能够建立快速的连接而无需进行手动配置。

DMVPN
是基于NHRP的，它提供了可扩展的VPN架构，可以支持规模大的网络，
该架构使用了虚拟专用网络（VPN）的安全性，在配置阶段使用IPsec和NHRP，在多点VPN中运行这些协议。

DMVPN技术原理DMVPN（Dynamic Multipoint Virtual Private Network）是一种使用IPsec（Internet Protocol Security）协议和动态路由协议的远程访问技术，它允许在广域网上建立高度可扩展和高效的虚拟专用网络。

DMVPN通过动态GRE（Generic Routing Encapsulation）隧道和NHRP （Next-Hop Resolution Protocol）协议实现了多点之间的直接通信。

本文将详细介绍DMVPN的技术原理。

DMVPN使用IPsec协议来提供虚拟专用网络的安全和加密。

在IPsec 中，使用了不同的安全协议和算法，如ESP（Encapsulating Security Payload）和AH（Authentication Header）来加密和验证数据包的完整性。

DMVPN使用IPsec提供分支节点之间的安全连接。

DMVPN通过动态GRE隧道来在中心节点和分支节点之间建立直接的点对点通信。

GRE隧道用于将IP数据包封装在IP头中，以在不同网络之间进行传输。

DMVPN中的GRE隧道可以在需要时动态地建立和拆除，这使得DMVPN具有高度可扩展性和灵活性。

动态GRE隧道由网络设备自动创建和管理，无需手动配置。

NHRP协议用于管理DMVPN网络中的寻址和路由信息。

NHRP允许分支节点发现其他分支节点的存在，并建立动态的直接访问路径。

当一个分支节点需要与另一个分支节点通信时，它将通过NHRP协议查询中心节点以获取目标分支节点的IP地址和路由信息。

中心节点将收到的查询信息转发给目标分支节点，建立一条直接的虚拟专用网络连接。

这些直接连接可以通过动态GRE隧道实现，从而实现相同网络中分支节点之间的直接通信。

1.分支节点启动并获取公共IP地址。

2.分支节点通过动态路由协议（如EIGRP、OSPF或BGP）与中心节点建立动态邻居关系。

CISCO VPN技术DMvpn详解（一）利用IPSec隧道在Internet上进行安全的数据传输，是目前公司总部与分支通讯的主要解决方案。

它的商业价值，这里就不提了，随便找个文档也会侃半天的。

IPSec网络的拓扑可以是星形结构（hub−and−spoke）也可以是网状结构（full mesh）。

实际应用中，数据流量主要分布在分支与中心之间，分支与分支之间的流量分布较少，所以星形结构（hub−and−spoke）通常是最常用的，并且它更经济。

因为星形结构（hub−and−spoke）比网状结构（full mesh）使用更少的点到点链路，可以减少线路费用。

在星形拓扑中，分支机构到分支机构（spoke −to−spoke）的连通不需要额外的通讯费用。

但在星形结构中，分支到分支的通信必须跨越中心，这会耗费中心的资源并引入延时。

尤其在用IPSec加密时，中心需要在发送数据分支的隧道上解密，而在接收数据的分支隧道上重新加密。

还有一种情况是：通讯的两个分支在同一个城市，而中心在另一个城市，这便引入了不必要的延时。

当星形IPSec网络（hub−and−spoke）规模不断扩展时，传统VPN的配置则愈加繁琐，且不便于维护和排错。

因此IP数据包的动态路由将非常有意义。

但IPSec隧道和动态路由协议之间存在一个基础问题，动态路由协议依赖于多播或广播包进行路由更新，而IPSec隧道不支持多播或广播包的加密。

这里便引入了动态多点VPN （DMVPN）的概念。

这里将引入两个协议：GRE 和NHRPGRE：通用路由封装。

由IETF在RFC 2784中定义。

它是一个可在任意一种网络层协议上封装任意一个其它网络层协议的协议。

GRE将有效载荷封装在一个GRE包中，然后再将此GRE包封装基于实际应用的传输协议上进行转发。

（我觉得：GRE类似木马的壳。

^_^）IPSec不支持广播和组播传输，可是GRE能很好的支持运载广播和组播包到对端，并且GRE 隧道的数据包是单播的。