DM×××简单实验-程序员宅基地

一、DM×××介绍

Dynamic Multipoint ×××(DM×××)是一种动态建立××× Tunnel的技术，目的是在Hub-And-Spoke网络环境下，使用Next Hop Resolution Protocol(NHRP)技术解析需要建立×××隧道的对端地址，并使用multipoint GRE tunnel端口建立多点的GRE over IPSec ×××隧道。由于IPSec ×××技术是目前使用最广的×××技术，而Hub-and-Spoke又是使用最多的网络拓扑，因此DM×××技术具有一定的应用价值。

DM×××具有以下特点：一，配置简单化，减少Hub端的配置过程，日后添加新的Spoke端也不需要再次进行配置修改；二，支持动态路由协议，基于GRE隧道技术的×××技术，可以跨网传递路由协议信息；三、支持隧道两端动态地址协商(Hub端地址必须固定)，这在对端IP地址无法确定，例如使用虚拟拨号的site to site ×××而言重要性不言而喻；四、Spoke之间可以动态建立×××隧道。

NHRP协议介绍，NHRP是一种C/S架构的协议。其中服务端成为NHS，需要固定的地址为客户端提供注册服务。NHRP客户端必须将自己注册到NHS的映射表上。当其它NHRP客户端需要获得该客户端的地址时，通过向NHS发送请求即可获得。但建立了隧道后，NHRP之间的unicast流量通过隧道转发，而multicast或者控制流量仍旧通过Hub转发。

从下图可知，NHRP Mapping表与CEF Adjacence表基本上是一致的。

二、工作原理

DM×××工作原理如下：首先，各Spoke端与Hub端建立GRE over IPSec隧道，并向其注册作为NHRP客户端。当spoke之间需要建立×××隧道时，即向Hub端发送动态地址解析请求，获取对端地址。最后，×××两端利用已经解析到的地址，通过mGRE端口建立隧道。

三、拓扑介绍：

R1------(E0/1)------R5------(E0/3)------R3

其中R1内网1.0.0.0/24需要和R3内网3.0.0.0/24通信。

四、关键配置：

关于IPSec

首先，这不是GRE over IPSec模型，感觉应该是一个直接加密的GRE模型。所有使用GRE的数据流都是用IPSec保护的。而不再需要ACL作为判断依据。其次，调用IPSec的语句在Tunnel里面。tunnel protect ipsec profile DM×××_PF，这就是为何之前要配IPSec profile的原因。

关于Tunnel

首先，所有的DM×××设备，tunnel mode必须为gre multipoint，另外，IP地址必须在同一子网内。这样才能触发NHRP进行下一跳解析。

关于Tunnel Source的选择

R5作为NHRP Server，由于涉及到多个外连口，因此tunnel source使用loopback 0的IP(注意这里不能直接使用loopback 0，否则设置封装模式时会报错)。相对应的，当ISP使用动态IP分配给外连口时，R1、R3的tunnel source设置为物理接口更好一些。实际上，由于实验里运行了OSPF 100通告各路由器的loopback 0 IP地址，tunnel source可使用各自的Loopback 0地址。真实情况下，可能使用域名+DNS的情况会多一些。

关于NHRP

NHRP Server：R5的配置里，主要是ip nhrp map multicast dynamic，要求其接收到组播后根据NHRP列表转发；

NHRP Client：这是困扰本人最多的问题，因为NHRP必须配置在Tunnel上，因此配置NHRP map相当有技巧，必须配置两条map，一条是静态映射NHRP Server IP到其Tunnel Source IP的，一条是映射multicast到NHRP Server的Tunnel Source IP的。另外还必须配置一条指明NHRP Server IP的语句。

关于DM×××之间的路由协议

可能有人会奇怪，路由协议有何需要介绍的呢？这里我解释一下，本实验最难的地方，个人认为是R1、R3之间原本是没有IPSec隧道的。在路由器发送初始化信息的时候，首先只能先通过本身的IPSec隧道转发到R5，然后R5通过另一条IPSec隧道转发到另一台路由器。路由表收敛后，两者都会认为通过R5的隧道才能到达对方，进而就不再建立相互间隧道了。因此，一开始我是用OSPF时，一直没有办法是的R1、R3获得对方的内网路由。最后只能通过把Tunnel的network type改为OSPF NBMA，并指定邻居才能够获得，而且得到的路由也是要通过R5中转的。这从show crypto isakmp sa里可以看出。

后来，在翻阅资料时，我看到基本上所有的DM×××之间配置介绍都是用DV(距离矢量)路由协议，而且需要在Tunnel内配有一条no ip next-hop-self eigrp ASN。我才明白，原来必须要这样“欺骗”路由器，让其认为不能通过R5到达对端×××，才可使其主动建立新的IPSec 隧道。因此我在R5内加了两条语句：

no ip next-hop-self eigrp 100

no ip split-horizon eigrp 100

五、配置：

R1#show run

crypto isakmp policy 10

authentication pre-share

!注意，address为0/0，意味着所有的IPSec ×××域共享密钥都一样。理论上应该可以使用证书验证的。

crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

crypto ipsec transform-set DM×××_TFS esp-des esp-md5-hmac

mode transport

!以下为mGRE Tunnel所需要的profile

crypto ipsec profile DM×××_PF

set transform-set DM×××_TFS

interface Loopback0

ip address 1.1.1.1 255.255.255.255

!受保护内网地址

interface Loopback1

ip address 1.0.0.1 255.255.255.0

interface Tunnel0

ip address 135.0.0.1 255.255.255.0

no ip redirects

!NHRP Client配置，注意两个map，同时指向NHS mGRE的Source

!认证和网络ID个人认为可有可无，但实验好像必须配了才可开始NHRP查询，望指点

ip nhrp authentication 123456

ip nhrp map 135.0.0.5 5.5.5.5

ip nhrp map multicast 5.5.5.5

ip nhrp network-id 100

ip nhrp nhs 135.0.0.5

!mGRE。直接调用ipsec的profile，不需要ACL哦

tunnel source Ethernet0/1

tunnel mode gre multipoint

t unnel protection ipsec profile DM×××_PF

interface Ethernet0/1

ip address 15.0.0.1 255.255.255.0

router eigrp 100

network 1.0.0.1 0.0.0.0

network 135.0.0.1 0.0.0.0

no auto-summary

passive-interface Loopback1

eigrp router-id 1.1.1.1

router ospf 100

router-id 1.1.1.1

log-adjacency-changes

passive-interface Loopback0

network 1.1.1.1 0.0.0.0 area 0

network 15.0.0.1 0.0.0.0 area 0

End

R3#show run

crypto isakmp policy 10

authentication pre-share

crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

crypto ipsec transform-set DM×××_TFS esp-des esp-md5-hmac

mode transport

crypto ipsec profile DM×××_PF

set transform-set DM×××_TFS

interface Loopback0

ip address 3.3.3.3 255.255.255.255

interface Loopback1

ip address 3.0.0.1 255.255.255.0

interface Tunnel0

ip address 135.0.0.3 255.255.255.0

no ip redirects

ip nhrp authentication 123456

ip nhrp map 135.0.0.5 5.5.5.5

ip nhrp map multicast 5.5.5.5

ip nhrp network-id 100

ip nhrp nhs 135.0.0.5

tunnel source Ethernet0/3

tunnel mode gre multipoint

tunnel protection ipsec profile DM×××_PF

interface Ethernet0/3

ip address 35.0.0.3 255.255.255.0

router eigrp 100

network 3.0.0.1 0.0.0.0

network 135.0.0.3 0.0.0.0

no auto-summary

passive-interface Loopback1

eigrp router-id 3.3.3.3

router ospf 100

router-id 3.3.3.3

log-adjacency-changes

passive-interface Loopback0

network 3.3.3.3 0.0.0.0 area 0

network 35.0.0.3 0.0.0.0 area 0

End

R5#show run

crypto isakmp policy 10

authentication pre-share

crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0

crypto ipsec transform-set DM×××_TFS esp-des esp-md5-hmac

mode transport

crypto ipsec profile DM×××_PF

set transform-set DM×××_TFS

interface Loopback0

ip address 5.5.5.5 255.255.255.255

interface Loopback1

ip address 5.0.0.1 255.255.255.0

interface Tunnel0

ip address 135.0.0.5 255.255.255.0

no ip redirects

!NHS和NHRP Client最大的不同，就是对路由协议的限制，以及组播包的处理。由此可以看出， nhs没有明确的定义，任何运行nhrp的端口均可作为nhs；另外我在此使用LS路由(OSPF)无法正常，使用eigrp+以下两条语句方可正常。望指教

no ip next-hop-self eigrp 100

ip nhrp authentication 123456

ip nhrp map multicast dynamic

ip nhrp network-id 100

no ip split-horizon eigrp 100

tunnel source 5.5.5.5

tunnel mode gre multipoint

tunnel protection ipsec profile DM×××_PF

interface Ethernet0/1

ip address 15.0.0.5 255.255.255.0

interface Ethernet0/3

ip address 35.0.0.5 255.255.255.0

router eigrp 100

network 5.0.0.1 0.0.0.0

network 135.0.0.5 0.0.0.0

no auto-summary

passive-interface Loopback1

eigrp router-id 5.5.5.5

router ospf 100

router-id 5.5.5.5

log-adjacency-changes

passive-interface Loopback0

network 5.5.5.5 0.0.0.0 area 0

network 15.0.0.5 0.0.0.0 area 0

network 35.0.0.5 0.0.0.0 area 0

End

六、实验结果：

R1#ping 3.0.0.1 so 1.0.0.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 3.0.0.1, timeout is 2 seconds:

Packet sent with a source address of 1.0.0.1

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 4/5/8 ms

R1#show cryp isa sa

IPv4 Crypto ISAKMP SA

dst src state conn-id status

15.0.0.1 35.0.0.3 QM_IDLE 1002 ACTIVE

5.5.5.5 15.0.0.1 QM_IDLE 1001 ACTIVE

35.0.0.3 15.0.0.1 QM_IDLE 1003 ACTIVE

上述红字为R1、R3之间动态协商生成的IPSec隧道。

DM×××简单实验-程序员宅基地

智能推荐

基于内核4.19版本的XFRM框架_linux的xfrm框架-程序员宅基地

织梦常用标签整理_织梦中什么页面用什么标签教学-程序员宅基地

工作中如何编译开源工具（gdb）_gdb编译-程序员宅基地

python简易爬虫v1.0-程序员宅基地

安装flask后vim出现：error detected while processing /home/zww/.vim/ftplugin/python/pyflakes.vim:line 28_freetorn.vim-程序员宅基地

HIT CSAPP大作业：程序人生—Hello‘s P2P-程序员宅基地

随便推点

挑战安卓和iOS！刚刚，华为官宣鸿蒙手机版，P40搭载演示曝光！高管现场表态：我们准备好了...-程序员宅基地

精选了20个Python实战项目(附源码)，拿走就用！-程序员宅基地

android在线图标生成工具,图标在线生成工具Android Asset Studio的使用-程序员宅基地

android 无限轮播的广告位_轮播广告位-程序员宅基地

echart省会流向图（物流运输、地图）_java+echart地图+物流跟踪-程序员宅基地

Ceph源码解析：读写流程_ceph 发送数据到其他副本的源码-程序员宅基地

推荐文章

热门文章

相关标签