动态多点虚拟专用网络原理及部署

动态多点虚拟专用网络

概述

GRE over IPsec 将通用隧道和加密隧道结合，实现了安全的单播、组播、广播流传输，但是由于其实现必须指定固定的 ip，所以在动态 ip 和多分支情况下无法实现或实现困难。动态多点虚拟专用网络技术，将 Dynamic-map 和 GRE over IPsec 相结合，实现了全网只要有一个固定地址就可以建立加密安全的通信隧道。

L2L 虚拟专用网络：静态IP、单播
L2L 虚拟专用网络 + Dynamic-map：动态 IP、单播
GRE OVER IPsec： 静态IP、单播/组播/广播
动态多点虚拟专用网络：动态 IP、单播/组播/广播、资源消耗小

原理

动态多点虚拟专用网络包括三中技术：
MGRE：多点 GRE，实现单播、组播、广播；
NHRP：下一跳解析协议，实现动态 ip 到静态ip 再到动态 ip 之间的相互通信；
IPsec：实现加密。

MGRE

MGRE，Multipoint GRE，多点 GRE（tunnel）。
之前部署虚拟专用网络是点对点之间建立，且要求每个点都是固定 ip，引入 MGRE 后，无论节点是动态还是固定 ip，多个节点之间只需要建立一条 tunnel 就可以实现相互通信。

1、多点 Tunnel 具备多路访问的功能，一个 Tunnel 可以同时满足与各个分支通信；
2、多点 Tunnel 能够极大的节省网络资源，节省网络配置；
3、多点 Tunnel 能够支持所有类型的数据包，包括单播、组播、广播；
4、多点 Tunnel 只需要定义源地址，不需要定义目的地，需要借助 NHRP 协议来寻找其他分支和总部。

NHRP

NHRP，Next Hop Resolution Protocol，下一跳地址解析，基于公有 ip 寻找私有 ip。是一种 CS 架构，将固定地址节点作为 NHRP server，动态地址节点作为 NHRP client，所有的客户端需要将本地公有和私有地址告知服务端，并请求其他节点地址。

1、NHRP 原理类似 DDNS，核心点是找寻固定的 IP 点，然后将动态信息注册到固定点上，之后固定点将注册信息返回给其他动态分支；
2、NHRP 采用注册请求和注册回复分组，包含公网 IP 和 Tunnel IP。

动态多点虚拟专用网络部署

MGRE：
interface tunnel 0
ip address 172.16.1.2 255.255.255.0 //逻辑地址
ip mtu 1436 //多点 GRE 同样需要占用头部
tunnel source 100.1.23.2
tunnel mode gre multipoint
tunnel key 12345

NHRP：
1、NHRP Server
interface tunnel 0
ip nhrp network-id 100 //定义 NHRP 域 ID
ip nhrp map multicast dynamic //开启 NHRP 组播支持

2、NHRP Client
interface tunnel 0
ip nhrp network-id 100 //定义 NHRP 域 ID
ip nhrp nhs 172.16.1.4 //定义 NHRP 服务器 IP
ip nhrp map 172.16.1.4 100.1.34.4 //定义本地 IP 映射
ip nhrp map multicast 100.1.34.4 //开启组播支持

show ip nhrp

OSPF：
1、SPOKE
router ospf 100
router-id 2.2.2.2
network 172.16.1.0 0.0.0.255 area 0
network 192.168.12.0 0.0.0.255 area 0
interface tunnel 0
ip ospf network broadcast //修改网络类型为广播类型，支持多点通信
ip ospf priority 0 //退出 DR 选举，让拥有静态 ip 的总部一直为 DR
2、HUB
router ospf 100
router-id 4.4.4.4
network 172.16.1.0 0.0.0.255 area 0
network 192.168.45.0 0.0.0.255 area 0
interface tunnel 0
ip ospf network broadcast

IPsec：
R2/4/6：
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0
crypto ipsec transform-set dmtrans esp-3des esp-sha-hmac
mode transport //采用传输模式，减少 ip 外部头部封装

crypto ipsec profile dmpro
set transform-set dmtrans

interface tunnel 0
tunnel protection ipsec profile dmpro