目录

一、背景

二、简介

2.1 厂商

2.2 优势

2.3 场景

三、组件

3.1 IPSec

3.2 路由协议

3.3 mGRE

  3.3.1 传统GRE

  3.3.2 简介

  ①多点GRE:

  ②作用:

  ③问题:

3.4 NHRP

 ①简介:

 ②作用:

 ③模式:

 ④工作原理:

四、配置

4.1 实验要求

4.2 配置思路

4.3 思科

4.4 华为

五、总结

一、背景

  企业要实现总部与处于异地的分部实现经公网完成私网间通信,可以通过使用VPN。对于传统VPN,特别是IPSec VPN都存在着一些不足。在IPSec VPN中对端的建立是点对点,端对端建立的,但当企业有多家处于异地的分部时,这些分部之间若使用固定IP地址要实现全站点直连,要建立多个IPSec VPN隧道不仅成本贵;若使用动态IP地址这些分部之间无法直接访问,分部站点之间的访问都需要经过总部站点进行转发,不但限制了网络的扩展性,同时占用总部带宽,引入额外的延迟。而DMVPN技术则可以提供高度可扩展和高效的虚拟专用网络技术的解决方案。

二、简介

2.1 厂商

  DMVPN技术是思科私有的,但是其技术或原理是公有的对于不同厂商名称不同,该技术在华为称为DSVPN技术

2.2 优势

  可以结合IPSec,使用IPSec加密数据;

  在多分支下,使用动态IP地址分支间可以直接访问,无需通过总部中转;

  可以结合隧道运行路由协议,分支间的隧道是动态建立的,有流量产生时会主动建立,没流量自动拆除。

2.3 场景

  适用于企业具有广泛分部的架构,特别是后续需要进行扩展、需要构建星形拓扑结构的场景

三、组件

3.1 IPSec

  提供安全服务,对数据进行加解密,提供数据安全性

3.2 路由协议

  不同站点间起路由协议,能够学到站点私网内的路由

3.3 mGRE

  3.3.1 传统GRE

  需要明确指定源目IP地址(点对点),tunnel口才能正常建立

  3.3.2 简介

  ①多点GRE:

   不需要指定目的IP地址,tunnel口也可以正常建立,可以跟动态的对等体建立隧道

  ②作用:

   可以在多分支下,建立连接不同站点的隧道;封装私网数据包

  ③问题:

   不同分部间的物理公网IP地址不断变化,目的IP地址不能指定,在对私网数据包进行封装时,封装的报文头的目的IP地址要封装谁的呢?   ————通过NHRP技术解决

3.4 NHRP

 ①简介:

   下一跳解析协议,对隧道封装报文头时需要封装的目的IP地址进行解析

 ②作用:

   解决了在使用动态公网IP地址的分支机构之间建立VPN隧道时的路由问题

 ③模式:

   C/S(客户端与服务器)

   Client多部署在分支站点,需要向服务器主动发送本地隧道IP与公网地址的绑定信息

   Server多部署在总部或中心站点,收集并维护所有站点的隧道IP与公网地址的绑定信息同时向Client回应其他站点的隧道IP与公网地址的绑定信息

 ④工作原理:

   注册-->地址解析请求-->地址解析回应-->隧道建立-->动态隧道维护

   注册:本地的隧道IP地址可以自行设定与公网无关,是固定的;当Client要连接到VPN时,会携带着其私有地址和获取到的公网地址向Server发送,进行注册信息,Server对私有地址和公网地址进行绑定

  地址解析请求:C1(代指Client 1)要与C2(代指其他Client)进行通信时,会先向Server发送请求,请求其物理公网IP地址(Server多部署在总部,总部的物理公网IP地址多为固定IP地址)

  地址解析回应:Server收到C1发来的地址解析请求后,会查看存放这些Client发送来的私有地址和公网地址的映射表,找到请求的C2对于的公网地址后,会携带着这个信息对C1进行应答

  隧道建立:C1收到Server发送来的信息后,使用这个公网地址建立起GRE隧道

  动态隧道维护:公网IP地址变化时更新映射信息,隧道没流量时拆除。

四、配置

4.1 实验要求

  企业有总部和两个分别处于不同地域的分部,分部采用动态地址接入公网。企业对网络要求启用OSPF路由协议且希望能够实现分部之间的VPN互联。

4.2 配置思路

1)由于多个站点且站点间要实现之间均能直接通信,通过建立mGER隧道建立连接不同站点的隧道。

2)由于分部采用动态地址接入公网的,分部之间互相不知道对方的公网地址,通过NHRP解决建立VPN隧道时的路由问题。

3)要求启用OSPF协议且处于多站点间启用,OSPF的网络类型修改为MA(以太网链路)或P2MP(点对多点)。

4)为确保数据间传输的安全性,使用IPSec对数据进行加解密。

4.3 思科

1)修改设备名称、配置接口IP地址,启用loopback模拟内网,配置静态路由实现公网可达

Router>ena
Router#conf t

Router(config)#ho R1  ---修改设备名称
R1(config)#int e0/0                     
R1(config-if)#ip add 1.1.1.10 255.255.255.0  ---配置接口IP地址
R1(config-if)#no shu   
R1(config-if)#exit                         
R1(config)#int lo1
R1(config-if)#ip add 192.168.0.1 255.255.255.0  ---配置loopback接口
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1   ---配置静态路由,下一跳指向ISP

R2(config)#int e0/0
R2(config-if)#ip add 1.1.2.10 255.255.255.0
R2(config-if)#no shu
R2(config)#int lo1
R2(config-if)#ip add 192.168.1.1 255.255.255.0
R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 1.1.2.1

R3(config)#int e0/0
R3(config-if)#ip add 1.1.3.10 255.255.255.0
R3(config-if)#no shu
R3(config-if)#int lo1
R3(config-if)#ip add 192.168.2.1 255.255.255.0
R3(config-if)#exit
R3(config)#ip route 0.0.0.0 0.0.0.0 1.1.3.1 

测试公网可达性

2)采用mGER建立隧道, 配置NHRP的客户端和服务端

R1(config)#int tunnel 1  ---配置虚拟隧道接口
R1(config-if)#ip add 172.16.1.1 255.255.255.0 ---配置隧道接口的本地端点地址,在GRE隧道网络中使用
R1(config-if)#ip nhrp network-id 123  ---配置NHRP工作组编号,将多个NHRP客户端分组到同一个NHRP组中,只有同编号的设备能够相互之间解析地址
R1(config-if)#tunnel source e0/0  ---指定了隧道数据包的源MAC地址(隧道封装时数据包的源)
R1(config-if)#tunnel mode gre multipoint ---将隧道模式设置为GRE多点(mGRE),允许一个隧道接口与多个远端隧道接口建立连接

mGRE无需指定隧道数据包目的MAC地址,tunnel接口可以直接UP

R2(config)#int tunnel 1
R2(config-if)#ip add 172.16.1.2 255.255.255.0
R2(config-if)#ip nhrp map 172.16.1.1 1.1.1.10   ---设置一个NHRP静态映射(将总部的隧道地址和公网地址绑定),将远程隧道地址映射到下一个跳转地址
R2(config-if)#ip nhrp network-id 123
R2(config-if)#ip nhrp nhs 172.16.1.1  ---指定NHRP下一个跳转服务器的地址(总部的隧道地址)
R2(config-if)#tunnel source e0/0
R2(config-if)#tunnel mode gre multipoint  

R2(config-if)#exit

R3(config)#int tunnel 1
R3(config-if)#ip add 172.16.1.3 255.255.255.0
R3(config-if)#ip nhrp map 172.16.1.1 1.1.1.10

R3(config-if)#ip nhrp network-id 123 
R3(config-if)#ip nhrp nhs 172.16.1.1
R3(config-if)#tunnel source e0/0
R3(config-if)#tunnel mode gre multipoint 

R3(config-if)#exit

查看NHRP映射表

R2、R3之间还未进行通信,没有向服务器去请求对方地址解析

 3)在各站点上启用OSPF路由协议

R1(config)#router ospf 1
R1(config-router)#router-id 1.1.1.1  ---修改RID
R1(config-router)#network 192.168.0.0 0.0.0.255 area 0
R1(config-router)#network 172.16.1.0 0.0.0.255 area 0
R1(config-router)#exit
R1(config)#int tunnel 1 
R1(config-if)#ip ospf network broadcast  ---修改网络类型为MA(以太网链路)

R1(config-if)#exit

R2(config)#router ospf 1
R2(config-router)#router-id 2.2.2.2

R2(config-router)#priority 0   ---修改优先级为0(默认为1),配置建议将DR设在NHRP的服务端上
R2(config-router)#network 192.168.1.0 0.0.0.255 area 0
R2(config-router)#network 172.16.1.0 0.0.0.255 area 0
R2(config-router)#exit
R2(config)#int tunnel 1 
R2(config-if)#ip ospf network broadcast 
R2(config-if)#exit

R3(config)#router ospf 1
R3(config-router)#router-id 3.3.3.3
R3(config-router)#priority 0
R3(config-router)#network 192.168.2.0 0.0.0.255 area 0
R3(config-router)#network 172.16.1.0 0.0.0.255 area 0
R3(config-router)#exit
R3(config)#int tunnel 1 
R3(config-if)#ip ospf network broadcast 
R3(config-if)#exit

 查看R1(总部)上的OSPF邻居、路由

测试隧道通信情况,实现企业各站点间可以直接通信

R2内网去访问R3内网时,第一次会经过R1,后续直接指向R3

4)配置IPSec对数据进行加密

R1(config)#crypto isakmp policy 10
R1(config-isakmp)#authentication pre-share 
R1(config-isakmp)#exit
R1(config)#crypto isakmp key 123 address 0.0.0.0
R1(config)#crypto ipsec transform-set ie esp-3des esp-sha-hmac 
R1(cfg-crypto-trans)#mode transport 
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec profile ie
R1(ipsec-profile)#set transform-set ie
R1(ipsec-profile)#exit
R1(config)#int tunnel 1
R1(config-if)#tunnel protection ipsec profile ie
R1(config-if)#exit

 R2(config)#crypto isakmp policy 10
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)#crypto isakmp key 123 address 0.0.0.0        
R2(config)#crypto ipsec transform-set ie esp-3des esp-sha-hmac 
R2(cfg-crypto-trans)# mode transport
R2(cfg-crypto-trans)#crypto ipsec profile ie
R2(ipsec-profile)# set transform-set ie 
R2(ipsec-profile)#exit
R2(config)#int tunnel 1
R2(config-if)#tunnel protection ipsec profile ie
R2(config-if)#exit

R3(config)#crypto isakmp policy 10
R3(config-isakmp)# authentication pre-share
R3(config-isakmp)#crypto isakmp key 123 address 0.0.0.0        
R3(config)#crypto ipsec transform-set ie esp-3des esp-sha-hmac 
R3(cfg-crypto-trans)# mode transport
R3(cfg-crypto-trans)#crypto ipsec profile ie
R3(ipsec-profile)# set transform-set ie 
R3(ipsec-profile)#exit    
R3(config)#int tunnel 1
R3(config-if)#tunnel protection ipsec profile ie
R3(config-if)#exi

对IPSec阶段一进行检测

阶段二检测命令

R2#show crypto ipsec sa

(由于阶段二信息较多可以自行检测查看)

4.4 华为

  该技术在华为称为DSVPN,技术原理大同小异,实验配置以华为产品文档为例

相关检测命令

display nhrp peer all  ---查看和验证NHRP映射表项

display ipsec sa  ---查看IPSec安全联盟信息,确保IPSec保护正常工作

ping  ---执行ping操作来测试不同分支节点间的连通性

五、总结

  DMVPN(动态多点虚拟专用网)是一种思科私有技术,华为称之为DSVPN。该技术结合IPSec,能够加密数据,在多分支环境下实现分支之间的直接通信,无需经过总部中转。DMVPN的核心优势在于其动态隧道建立功能,当有流量时隧道自动建立,无流量时自动拆除,适用于分布广泛、易扩展的企业网络。其主要组件包括IPSec、路由协议、mGRE(多点GRE)以及NHRP(下一跳解析协议)。mGRE允许隧道在动态对等体之间建立,NHRP则通过解析动态公网IP地址来解决路由问题,从而确保在分支机构之间顺利建立VPN隧道。 

  DMVPN的工作原理包括注册、地址解析请求、地址解析回应、隧道建立和动态隧道维护等步骤。每当一个分支站点需要与另一个分支通信时,首先会通过NHRP向总部请求目标站点的公网IP地址,获取后建立GRE隧道并通过IPSec加密通信。当公网IP地址变化或隧道无流量时,隧道信息会自动更新或拆除。

# 网络 # 安全 # 云计算 # 网络协议 # 服务器 # 运维
Logo
CSDN-OPC开发者社区

这里是“一人公司”的成长家园。我们提供从产品曝光、技术变现到法律财税的全栈内容,并连接云服务、办公空间等稀缺资源,助你专注创造,无忧运营。

更多推荐

cover

OpenClaw 完整安装教程(2026最新版,全平台通用)

avatar CSDN-OPC开发者社区
cover

openclaw新手入门指南:一文看懂环境搭建、模型配置与 WebUI 远程访问

avatar CSDN-OPC开发者社区
cover

国产GLM-5开源模型炸裂发布!编程能力超越Gemini逼近Claude!

avatar CSDN-OPC开发者社区