DMVPN

在大型VPN网络里,企业经常遇到以下问题:

  1. 分支机构之间的流量,都要到总部绕一圈,浪费大量总部带宽
  2. 总部VPN设备配置复杂,特别是在店面常常更动的零售行业
  3. 分支机构使用便宜的ADSL线路,IP不固定而且不一定是public IP

DMVPN (Dynamic Multipoint VPN, 动态多点 VPN) 能够解决以上问题,并带来以下好处:

  1. 分支机构仅对总部进行注册,相互之间的流量不需经过总部
  2. 总部使用mGRE,增减分支机构时,总部配置不需改动。
  3. 总部配置简单,且配置与分支机构数量无关
  4. 分支机构支持动态IP、NAT、private IP等场景
  5. 支持Per Tunnel QoS,可防止少数分支机构抢占总部带宽
  6. 大部份的 ASR1000 都可支持 4000 个 DMVPN 节点

DMVPN 包含 NHRP 与 mGRE 两大主要技术,并可配合动态路由、IPSec加密、QoS、WAAS优化等技术,以免对各种不同的应用场景。

  • Next Hop Resolution Protocol (NHRP) 协议用于建立 Tunnel 与 实体端口的数据库。
  • Multipoint GRE Tunnel Interface (mGRE) 协议让一个 GRE 端口能对应多个 GRE 与 IPSec Tunnel,以简化管理与配置。

支持 DMVPN 的设备:

  • ASR1000:需要AIS或AES版的 IOS XE 软件
  • ISR19/29/39/43/44:需要SEC License,如果大于 225 个 Tunnel 或 80Mbps 加密带宽 (例如总部用ISR 4451-X),需要HSEC License
  • ISR800:860系列不支持DMVPN,880系列需要升级IOS到AIS版,890系列可以直接支持DMVPN,因为缺省就是用AIS版的IOS
除非特别注明,本页内容采用以下授权方式: Creative Commons Attribution-ShareAlike 3.0 License