一.CISCODMVPN概览%T9`a.H{.s&UCISCO动态多点VPN(DMVPN)用于构建可扩展性的企业VPN网络,用于支持分布式的应用程序,比如视频和语音.具备如下优势::N-M-n-x"b7S4B,O-v0p1.采用星型(hub-and-spoke)结构与按需全互联相结合的拓扑结构.!T7r0b1k$t'F9N3B"E;jwww.91lab.com2.自动应用IPSec.4I6h9])`;@%u"x$Z纽爱科网络实验室社区3.当增加远程站点时无需做额外部署.&Y&q-[8q'I'b/N!g4.减小延迟与节约带宽.+I:Q&[:T:_6a如下图:;p3Z,r9q7CHYPERLINK"http://www.91lab.com/forum/attachment.php?aid=309&nothumb=yes"\t"_blank"1.jpg(14.98KB)2008-10-1121:42,_(F[2x1s7S:R/x(a8|纽爱科网络实验室社区CISCO的DMVPN可以和IOS防火墙,IOSIPS,QoS,IP组播,隧道分离,与路由协议热备份技术结合使用.'J_+e0M&}(@www.91lab.com2N/Hf1tI)k*Mb*s通常情况下,DMVPN适用于以下场合:#h3Y-}9k/X(a&@1.中型与大型企业.www.91lab.com!q$d)[(n'q(V&`'c9h2.SOHO.'[;h:l3x:j5P2g#U8x纽爱科网络实验室社区3.企业网外网.#U*\+g*b9Z0W)_.|;Y)O%V4.企业WAN备份连接.:Z(n9}3N(T.p纽爱科网络实验室社区5.SPVPN业务.'S6U;m8Z4`6n1a7a3J"r0K&A*U([3m'{'H二.CISCODMVPN的部署与结构.B'z:U)F3z9p1X%aCISCODMVPN部署方案有两种方式:纽爱科网络实验室社区(W:w:g*G5]2D+n8C1.星型(hub-and-spoke)结构:"w.B+z9g5H4f!qPN/o,q在这种传统的拓扑结构里,远程站点做为边缘节点,边缘节点流量的传输需经过中心节点.如下图:6M.v(J#K(o#a4wHYPERLINK"http://www.91lab.com/forum/attachment.php?aid=310&nothumb=yes"\t"_blank"2.jpg(9.26KB)2008-10-1121:55纽爱科网络实验室社区&G*~+u-b1q^2.边缘(spoke-to-spoke)结构:,A8w.p&y5{%T'X4bCISCODMVPN也允许我们采用全互联结构,通过在传统的星型拓扑上,在边缘设备与边缘设备之间增加一条基于IPsec的连接,这样一来,边缘节点之间的流量传输无需经过中心节点,减小了延迟并节约了带宽占用.如下图:/y4R$\6t2{0P5lHYPERLINK"http://www.91lab.com/forum/attachment.php?aid=311&nothumb=yes"\t"_blank"3.jpg(9.7KB)2008-10-1121:55$V5R$r:e"Z2\._3R1c5_,}*e至于在实施的时候采用何种拓扑结构,可以根据80/20原则来判定:纽爱科网络实验室社区6C9^/R:{${1.如果80%甚至更多的流量是从边缘传输给中心节点本身,那么可以采用星型结构.(E4C&^6M6r;?0C2.如果20%甚至更过的流量是为边缘节点所服务,那么采用边缘结构.'|V:^7g(]-D9Q&E2T'j!P$_1v!e!_为了能够支持高级IP服务(如组播,动态路由协议与QoS),传统的方式是采用类似GRE一类的隧道技术.这样就导致了网络的叠加,增加了维护和管理的难度,扩展性较低.传统的IPsec只支持IP单播,使得部署一对多或多对多的应用程序变得更为麻烦.5^%B(H)K5y7|&D1Dwww.91lab.com.a/{+~8^-~8GCISCODMVPN结合了GRE隧道与IPsec,并引入了下一跳解析协议(NHRP),一种用于减轻管理负担的协议,如下图:4K9V#n9w;Y-vVHYPERLINK"http://www.91lab.com/forum/attachment.php?aid=312&nothumb=yes"\t"_blank"1.jpg(16.11KB)2008-10-1122:12.Z:w%z.O,f,N&m:?!twww.91lab.com*M0s#s6|1d4bwww.91lab.comCISCODMVPN的关键组件如下:%Y'X6U$I8\1.多点GRE隧道(mGRE)接口:使得单一的GRE接口可以支持多个