DMVPN网络中动态隧道建立的方法有哪些

DMVPN网络中动态隧道建立的方法与DMVPN网络的配置有许多相似之处。下面主要介绍DMVPN网络中动态隧道建立的方法。其实也能看出一些DMVPN网络的端倪。融会贯通之后，一切都简单了。

NHRP:下一跳解析协议。由IETF在RFC 2332中定义。它用于解决非广播多址(NBMA)网络上的源节点(主机或路由器)如何获得到目标节点的“下一跳”的互联网层地址和NBMA子网地址。我们来看看NHRP是如何解决静态IP地址问题，让VPN“动”起来的:

分支到中心(辐条& # 8722；到& # 8722；Hub)动态隧道建立

在DMVPN网络中，中心路由器上没有关于分支机构的GRE或IPSec配置信息，但是必须根据中心路由器的公共IP地址和NHRP协议在分支路由器上配置GRE隧道。当分支路由器上电启动后，ISP通过DHCP获取IP地址，自动建立IPSec加密的GRE隧道，并通过NHRP向中心路由器注册其外网端口的IP地址(看似反弹连接)。

原因有三:1。因为分公司外网端口的IP地址是自动获取的，每次上线的IP地址可能都不一样，所以不能根据这个地址信息配置中心路由器。2.中心路由器不需要为所有分支配置GRE或IPSec信息，这将大大简化中心路由器的配置。

所有相关信息都可以通过NHRP自动获得。(即分支机构向中心报告各自的特点)3。当DMVPN网络扩展时，不需要改变中心路由器和其它分支路由器的配置。通过动态路由协议，新添加的分支路由器将自动向中心路由器注册。这样，所有其它分支路由器都可以学习到这条新路由，新添加的分支路由器也可以学习到所有其它路由器的路由信息，直到它们收敛。(中央路由器就像OSPF的DR)

分支到分支(辐条& # 8722；到& # 8722；辐条)动态隧道建立

在DMVPN网络中，分支到中心(辐条& # 8722；到& # 8722；Hub)隧道一旦建立将继续存在，但不需要直接配置分支之间的连续隧道。当一个分支需要将数据包传送到另一个分支时，它会使用NHRP来动态获取目的分支的IP地址。

在此过程中，中心路由器充当NHRP服务器，响应NHRP请求，并将目标分支的公有网络地址提供给源分支。因此，两个分支之间通过mGRE端口动态建立IPSec隧道进行数据传输。隧道将在预定时间后自动拆除。

在DMVPN网络中，分支到中心(辐条& # 8722；到& # 8722；Hub)隧道一旦建立就会持续存在，但是分支机构之间没有持续存在的隧道。这样，路由器初始化后，中心路由器将通过永久隧道向分支路由器通告其他分支子网的可达路由。至此，似乎解决了“多点”和“动态”问题，DMVPN可以正常工作了吧？

不要！目前，分支路由器到其他分支子网的路由表中的“下一跳”地址仍然是中心路由器的隧道端口地址，而不是其他分支路由器的隧道端口地址。这样分支机构之间的数据传输还是会经过中心路由器。

要解决这个问题，必须在中心路由器上设置，在mGRE隧道端口上通告分支子网的可达路由时，“下一跳”地址是分支路由器的隧道端口地址，而不是中心路由器的地址。在RIP或EIGRP等距离矢量路由协议中，水平分割功能通常用于防止路由信息被发送回其源端口，以避免在相邻路由器上产生路由环路。

如果RIP或EIGRP协议在DMVPN网络上运行，则必须关闭水平分割功能。否则，分支路由器将无法获知通往其它分支子网的路由。对于RIP来说，没有水平分割就是成功的，因为当RIP将这条路由发送到路由信息的源端口时，它的“下一跳”地址不变，仍然是原始地址(即目的地址)。

但是，当EIGRP将路由发送到路由信息来源的端口时，其“下一跳”地址将更改为该端口的地址。因此，必须关闭该功能。(EIGRP是CISCO的私有协议，关闭该功能的IOS命令是no ip next & # 8722霍普& # 8722；self eigrp).

OSPF是一种链路状态路由协议，本身不存在水平分割问题。但是，在配置OSPF网络类型时，应该是广播类型，而不是点对多点类型，否则，仍然会导致上述问题。另外需要注意的是，DMVPN的中心路由器(Hub)必须配置为OSPF的指定路由器(DR)，可以通过指定中心路由器(Hub)具有更高的OSPF优先级来实现。

最后总结了DMVPN的整体解决方案:DMVPN是将多点GRE(mGRE)和下一跳解析协议(NHRP)与IPSec结合起来实现的。在DMVPN的解决方案中，使用IPSec实现加密，使用GRE GRE(mGRE)建立隧道，使用NHRP解决分支节点的动态地址问题。

DMVPN只要求中心节点申请一个静态公共IP地址。(如果使用DNS，中心节点不也可以是动态的吗？)GRE隧道支持隧道中组播/广播)IP包的传输。因此，DMVPN网络支持在IPSec和mGRE隧道上运行动态路由协议。

需要指出的是，nhrp必须配置为动态组播映射，以便当分支路由器在NHRP服务器(中心路由器)上注册单播映射地址时，NHRP同时为该分支路由器建立组播/广播映射。简单来说，dmvpn的核心是NHRP，类似于arp，arp协议的作用是将ip地址解析为mac地址。dmvpn中的Nhrp是内部vpn的地址到nbma地址(外部地址)的解析。具体的分析过程是:

◆ nhrp协议中存在nhrp服务器和nhrp客户端。

◆服务器必须是静态地址，客户端可以是动态地址。

◆通电后，客户端从isp处获得一个公共网络地址。

◆客户端向服务器注册地址。

◆客户端和客户端需要通信时，客户端向服务器发送分析请求。

◆服务器收到解析请求后，转发给相应的客户端。

◆客户端向客户端发送分析响应。

◆整个过程中，数据包都是通过vpn进行处理的，因为客户端首先要通过vpn与服务器连接。

◆dmvpn在第一阶段、第二阶段、第三阶段有不同的流程和功能。