HCIP-DSVPN

DSVPN---动态智能隧道技术（华为）  

DSVPN专门为了Hub-Spoke架构诞生服务。

通过总部中转流量会导致下述问题

1、总部在中转分支之间的数据流量时，会消耗总部hub设备的cpu和内存资源，造成资源紧张。

2、总部需要对分支之间的数据流量进行封装和解封装，造成额外的网络延时。

3、IPSec协议不支持广播报文和组播报文。

 

       DSVPN通过NHRP协议动态收集、维护和发布各节点的公网地址等信息，解决了源分支无法获取目的分支的公网IP地址的问题，从而可以在分支和分支之间直接建立一条动态的VPN隧道，实现分支和分支之间的直接通讯，减轻总部的设备负担。

       DSVPN借助MGRE技术，使VPN隧道能够传输组播报文和广播报文，并且一个tunnel接口可以跟多个对端建立VPN隧道，减少网络管理员的配置量。并且，在新增分支或者分支地址变化的情况下，能够自动维护总部和分支之间的隧道关系，而不需要调整任何配置。

 

DSVPN概念

当源spoke需要向目的spoke发送数据报文时，源spoke通过与hub节点的静态mgre隧道交互NHRP协议报文获取目的spoke节点的公网地址，并且与目的Spoke节点建立动态mgre隧道。

 

mgre隧道

• 静态mgre----建立在hub到spoke，并且永久存在
• 动态mgre---建立在spoke到spoke，在一定周期内没有流量转发时将自动拆除

 

NHRP映射表

• 静态表项
• 动态表项
• 老化时间---7200s

 

NHRP映射表建立过程

①. 建立spoke和hub之间的MGRE隧道

②. 分支学习路由

1. shortcut方式----快捷方式

• 分支路由全部汇聚到总部

• spoke节点只需要存放到达hub节点的路由即可

• 一般应用在网络规模较大、分支节点较多的场景。

          2. 非shortcut方式----非快捷方式

• 分支间相互学习路由

• 每一个分支节点都需要学习到所有对端的控制层面的数据。

• 一般应用在网络规模较小，路由信息量少的网络中。

③. 建立spoke和spoke之间的MGRE隧道

• shortcut方式

• 非shortcut方式

 

配置

[r1-Tunnel0/0/0]nhrp redirect //在hub设备上配置----使能nhrp重定向报文
[r4-Tunnel0/0/0]nhrp shortcut //在spoke设备上配置---开启spoke设备的nhrp重定向请求报文

动态路由协议下的MGRE环境---RIP
[r1-Tunnel0/0/0]nhrp entry multicast dynamic             //在hub配置，开启伪广播功能（给所有人都单播发送一次报文）
[r1-Tunnel0/0/0]undo rip split-horizon                   //关闭rip水平分割---非shortcut
[r1-Tunnel0/0/0]rip summary-address 192.168.0.0 255.255.248.0 //shortcut

（配图见上文）