? 動態多點×××(Dynamic Multipoint ×××)是MGRE、NHRP、IPSec結合產生的一種技術，簡寫為DM×××。它為具有點多面廣分支機構特點的企業和公司，提供了一種以INTERNET為基礎的低成本安全互聯方案。其骨干網采用星形拓撲結構(Hub and Spoke)。結構示意圖見圖1，其中HUB為中心，SPOKE為分支。

圖1：動態多點×××結構示意

一、MGRE、IPSec、NHRP 的概念及相互關系

? ?GRE是一個在任意一種網絡層協議上封裝任意一個其它網絡層協議的協議，DM×××中是將IP包封裝進另一個IP包并加上新的IP頭。它有兩種形式：Point-to-point(GRE)，Point-to-multipoint(MGRE)。

? ?IPSec是一種安全隧道技術，但不支持組播和廣播的加密。在DM×××中，要用到動態路由協議，動態路由協議用組播和廣播宣告路由信息，所以不能直接使用IPSec加密。GRE隧道支持組播和廣播，所以DM×××中采用GRE隧道，但是GRE隧道的數據是沒有加密的，在因特網上傳送不安全。因為GRE隧道的數據包是單播的，所以GRE隧道的數據包采用IPSec加密，即GRE Over IPSec。GRE隧道的配置已經包括了GRE隧道對端的地址，這個地址同時也是IPSec隧道的對端地址，通過將GRE隧道與IPSec綁定，GRE隧道一旦建立，立刻觸發IPSec加密。

? ?MGRE是將GRE點對點隧道擴展成一點與多點建立隧道。一個MGRE接口包括一個IP地址、一個隧道源、一個隧道密鑰，與GRE隧道不同，它沒有隧道目的。因為MGRE隧道不定義隧道目的地，所以它依賴NHRP，NHRP告訴MGRE向哪里發送數據包。NHRP協議的作用是將隧道的IP地址映射到NBMA地址，可以是靜態映射和動態映射。

? ?MGRE怎樣使用NHRP呢？當轉發一個IP數據包時，總是沿著下一跳地址將數據包傳給MGRE接口，下一跳地址就是對端的隧道IP地址。MGRE在NHRP表中查找下一跳地址映射的對端NBMA地址。然后MGRE將數據包封裝為另一個IP包的凈負荷，新的IP包目的地址就是對端的NBMA地址。組播包的地址由NHRP配置中指定。MGRE/NHRP路由通道示意如下頁圖2。

圖2：MGRE/NHRP路由通道示意

? ?圖2可以這樣理解，在192.168.0.0/24網絡有一個IP包需要發送到192.168.1.0/24 網絡中， 其源地址為192.168.0.1，目的地址為192.168.1.1。通過查路由表,到192.168.1.0/24，走隧道0，下一跳是隧道對端IP地址10.0.0.2。通過查NHRP表，下一跳10.0.0.2對應的目的NBMA地址是172.16.0.2。再對IP包做GRE封裝，加上新IP頭，源地址為172.16.0.1，目的地址為172.16.0.2，然后IP包就能發向對端。

二、NHRP 地址映射表的生成過程

? ?NHRP地址映射表生成有三種方法：手動配置靜態映射、中心(Hub)通過登記請求(Registration Request)學習、分支(Spoke)用解析請求(Resolution Request)學習。NHRP映射表的初始化。開始時，中心的映射表是空表，分支的映射表有一個靜態配置的映射項，即中心的隧道IP地址與其NBMA地址的映射，例如IP NHRP MAP10.0.0.1、172.17.0.1，還配置有一個組播映射項，例如IP NHRP MAPmulticast 172.17.0.1。分支必須向中心登記，中心的NHRP表實際上由分支在控制，為了讓分支能向中心登記，中心必須宣告自己為下一跳服務器(Next-Hop-Server，NHS)，分支發送登記請求給中心，其中包括分支的隧道IP地址和NBMA地址，以及保存時長。中心在NHRP表中對應生成一個表項，表項只在保存時長內有效。然后中心向分支回送登記確認信息。NHRP登記請求過程示意見圖3。

圖3：NHRP登記請求過程示意

?NHRP登記確認過程示意如圖4。

圖4：NHRP登記確認過程示意

? ?NHRP注冊功能至少解決了三個問題：

? ?① 由于分支的NBMA地址是通過ISP的DHCP自動獲取的，每次上線時的IP地址可能不同，所以中心通過注冊過程可以自動學習該地址；

? ② 中心不必針對所有分支分別配置GRE或IPSec信息，大大簡化中心的配置；所有相關信息可通過NHRP自動獲取；

③ 當DM×××網絡擴展時，無須改動中心和其它分支的配置。新加入的分支將自動注冊到中心，通過動態路由協議，所有其它分支可以學到這條新的路由，新加入的分支也可以學到到達其它所有分支的路由信息。

? ?NHRP的作用可以概括為兩點，一是地址的映射和解析，二是轉發數據。通過靜態配置、NHRP登記、NHRP解析實現地址映射，由路由表獲得到目的IP地址的隧道下一跳IP地址，通過解析隧道下一跳IP地址與NBMA地址的映射，獲得隧道下一跳IP地址對應的NBMA地址，實現數據轉發。

三、分支之間的動態隧道

? ?在動態多點×××中，分支與分支之間除了經過中心轉發數據外，分支還可以向另一分支直接發送數據。分支到中心的隧道一旦建立便持續存在，但是各分支之間并不配置持續的隧道。當一個分支需要向另一個分支發送數據包時，兩個分支之間通過MGRE端口動態建立IPSec隧道，進行數據傳輸。兩個分支間路由和NHRP過程見圖5。

圖5：兩個分支間路由和NHRP過程

? ?為了生成分支到分支的隧道，分支必須學到目的網絡路由、下一跳必須是遠端分支的隧道IP地址、分支必須學到了下一跳的NBMA地址。

? ?分支采用動態路由協議學習到目的網絡的路由。路由協議只在中心和分支之間用到，為了使分支與分支間能路由，首先分支要向中心宣告自己的私網路由信息，再由中心向各分支宣告，中心對分支宣告的私網路由必須保留下一跳的私網地址，看起來就象是分支自己宣告的一樣。分支用NHRP解析請求學習到下一跳分支的NBMA地址。分支的NHRP解析與NHRP登記過程是有差別的，登記是分支在中心上登記自己，解析是分支通過中心尋址其他分支。分支首先向中心發送解析請求，請求下一跳隧道IP地址映射的NBMA地址，中心解析出映射的NBMA地址后回復給請求分支，回復中還包括解析結果在中心的有效時長。然后，分支生成一個NHRP表項，在沒插入NHRP表之前，IPSec隧道就開始初始化，在隧道建立后，NHRP表項才被插入表中并能使用。一旦對應的NHRP表項超時，分支與分支間隧道隨之消失。建立動態分支隧道的過程圖示見圖6。

圖6：建立動態分支隧道的過程

四、結語

? ?分析DM×××的特點，在應用上它具有如下優勢：分支之間可動態建立隧道傳輸數據，當兩個分支在同一城市，而中心在另一城市時，分支之間直接發送數據可以減小延時，降低對中心路由器資源消耗，并且更經濟；增加分支不用改變中心和其他分支的配置，維護工作量成倍降低；分支節點可使用動態IP地址，節約了公網IP地址資源；動態隧道的特點使它的網絡規模可以很大。它的這些優勢使它特別適合于分支機構點多面廣的企業和公司做安全互聯。

轉載于:https://blog.51cto.com/ciscomao/1197272

總結

以上是生活随笔為你收集整理的cisco 动态多点***原理的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。