DM VPN:动态多点vpn
MGRE+NHRP+IP SEC
优点:isp不需要配置任何东西,只需要给用户一个合法的ip地址。
缺点:因为要穿越公网,所以稳定性较专线较低。
可以解决分支到分支的互通问题。
将R1设为总公司(中心)节点,R3 R4代表分公司(分支)节点。当我们的R3私网访问R4的私网时,正常的MGRE情况下流量需要绕行R1来到达R4。但是通过DM VPN的NHRP三个阶段就可以解决R3的私网流量去R4的私网流量不用经过中心节点而直接到达R4。
NHRP第一阶段:
因为分支分内外网,所以首先其他公司节点的网关需要知道去某个私网所对应的公网ip。
而在中心节点上手写公私网对应情况的话非常麻烦也不利于节点的增加。
HRP第一阶段,各个分支节点通过定义nhrp server所在位置和对应的公网ip。将自己 的公私网对应信息传至nhs。在nhs上完成注册,使得中心节点可以收到所有分支的映 射。
NHHRP第二阶段:
通过在vpn口上运行动态路由协议,可以将不同的私网路由收集完全,但是协议大部分都通过组播建邻。所以可以通过开启伪广播,将组播流量发往中心节点,由中心节点来发往不同的分支,来做到组播建邻。当然,eigrp和ospf也可以单播建邻。
下一跳问题:
Ospf:在vpn口网络类型为nbma时,因为ospf的1类lsa拓扑信息,所以对于R3来说,去R4内网的下一跳可以直接到R4。
开启伪广播后,网络类型为bma时,下一跳也可以直接到R4
点到多点广播时:下一跳还是R1,中心节点
点到多点非广播时:下一跳是R1,中心节点
EIGRP:必须关闭水平分割,默认情况下,下一跳为R1,但可以关闭修改下一跳为本地。即可下一跳为R4。
NHRP第三阶段:
多级分支:
NHRP第三阶段解决了多级分支问题和ospf的点到多点不能直接到达分支的问题。
二级分支内网访问其他一级分支下的二级分支内网不能通过一级分支获得映射表。
所以NHRP第三阶段设计出了特殊查询和重定向功能来解决这两个问题。
红色表示查询 蓝色表示回应 绿色表示查询到后的流量走向。
首先2级分支向1级分支发送映射查询,1级分支查询不到时会向将查询重定向到总部, 总 部查不到时重定向到另一个分支,直至查到二级分支时才知道内网所对应的公网地 址。之后回复回去。然后下一次二级分支内网访问这个二级分支内网时就可以不绕 行1级分支而直接通过公网到达。
这时如果协议为EIGRP,则路由变为H的路由
Ospf的话 会打%号
Ospf P-MP问题:
同样的NHRP会重定向后将映射情况发送回来,之后ospf路由就打上了%,通过 ip cef就可以发现实际的下一跳已经变为了目的分支的公网ip。
实验:
R1:
R5:
R3:
R4:
测试:
