DMVPN

DMVPN (Dynamic Multipoint VPN)
  - 본사 ↔ 지사(다수)   환경에서 사용. (NBMA)
  - 본사 ↔ 지사 간의 Permaent IPSec Tunnel을 유지
  - 지사 ↔ 지사 간의 통신도 가능.  (ip cef 기능을 disable 해야함)
  - NHRP와 GRE를 사용

NHRP(Next Hop Resolution Protocol) - RFC 2332

  - 목적지로 가기위한 Next Hop Tunnel IP로 가기 위해서, 실제 해당 Tunnel IP를 가기 위한 공인 IP를 Mapping한 Table
     ( Routing Table : 목적지IP  Tunnel_IP     /  NHRP Table : Tunnel_IP  공인 IP )
  - 중앙에서는 NHRP DB(각 지사의 IP)를 관리
  - 지사에서는 자신의 IP주소를 중앙에 등록
  - L2 resolution protocol.
  - NHRP Cache를 생성하는 방법은 다음의 3가지 방법이 있음.
        1. Static : 수동으로 추가
        2. HUB(본사)가 registration request(지사의 등록요청)을 통해서 추가
        3. Spokes(지사)가 resolution request을 통해서 추가. (Spoke to Spoke : 지사와 지사간의 통신을 위함)
  - Registration Process
        1. 지사에서 Registration-requests를 본사로 보낸다.
        2. Request에는 지사의 Tunnel IP와 NBMA IP를 포함
        3. 본사에서는 지사에서 보내온 Registration-request 정보를 가지고 NHRP Cache를 만든다.
        4. Entry는 설정된 Registration-request에 정의된  Hold Time동안 유지된다.
        5. NHS(Next Hop Server)는 Registration에 대해서 응답한다.
  - 모든 지사에 본사 자신을 등록하기 위해서 본사에서도 Multicast를 보내야 하며, 이 때는 반드시 Dynamically 설정이다.
     이 설정은 default 옵션이 아니다. (IOS 12.2(13)T 부터 사용 가능)
 
NHRP Packet Forwarding
  - Resolution of VPN to NBMA mapping
  - Destination IP Addres ─(Routing)→ Tunnel IP next-hop ─(NHRP)→ NBMA Address
                           
Routing Protocol
  - 지사는 자신의 Private Network를 Routing Protocol을 이용하여 광고해야 한다.
  
Multipoint GRE Tunnel Interface
  - GRE 인터페이스 1개로 다수의 IPSec Tunnel을 지원
  

본사 설정

interface Tunnel1

 description MY_DMVPN

 bandwidth 1000
               :  EIGRP는 Interface Bandwidth Maximum의 1/2만 취하며, 이것은 너무 낮은 값이 때문에 bandwidth 조정함.
                 GRE Tunnel Interface의 default의 Bandwidth는 9Kbps 임.

 ip address 10.0.0.1 255.255.255.0   

 no ip redirects

 ip mtu 1400

 ip nhrp authentication DMVPN_Au
               : NHRP 인증 암호 

 ip nhrp map multicast dynamic
               : 지사는 본사로 Tunnel IP로 Mapping될 하나의 Static entry(실제 IP)를 가지게 된다. 
                    ex) ip nhrp map 10.0.0.1 172.17.0.1
                 Multicast 트래픽은 반드시 허브로 설정되어야 한다. / Multicast 패킷은 지정된 Peer주소에만 전달
                    ex) ip nhrp map multicast 172.17.0.1  [지사용 - 본사쪽으로 IP 설정]
                          ip nhrp map multicast dynamic   [본사용]
                  

 ip nhrp network-id 100000                        
               : 본사와 지사간의 ID. 본사와 모든 지사간의 동일해야함.
                 NHRP 도메인을 정의하며, 동일 라우터에 다수의 NHRP 도메인 설정 가능. (라우팅 프로토콜의 AS넘버와 유사)

 ip nhrp holdtime 360
                : NHRP의 유지 시간 

 ip tcp adjust-mss 1360

 no ip split-horizon eigrp 1
              : 지사가 다른 지사에게 보이게 하기 위함. 

 ip policy route-map Internet
              : route-map Internet에 대한 정책을 적용함. (route-map은 들어오는 트래픽에 대해서만 적용)

 delay 1000

 tunnel source Loopback1

 tunnel mode gre multipoint
               :    mGRE Tunnel 옵션(gre multipoint로 구성하기 위함) 

 tunnel key 160000                    
            :   동일 라우터에 다수의 mGRE 인터페이스가 있을 경우 구분

 tunnel protection ipsec profile SDM_Profile1

interface Loopback1

 description MYVPN

 ip address  172,17.0.0.1 255.255.255.255

지사 설정

 interface Tunnel0

 description $FW_INSIDE$

 bandwidth 1000

 ip address 10.91.22.59 255.255.255.0

 ip access-group 103 in

 ip mtu 1400

 ip nat outside

 ip nhrp authentication DMVPN_Au

 ip nhrp map 10.0.0.1 172.17.0.1
         : 본사로 Static 으로 설정. 

 ip nhrp network-id 100000  

 ip nhrp holdtime 360

 ip nhrp nhs 10.0.0.1
         : 지사가 본사로 가기 위한 NHS(Next Hop Server) 설정. 센터쪽 Tunnel IP로 설정

 ip nhrp registration no-unique

 ip virtual-reassembly

 rate-limit output access-group 160 3016000 566062 1132120 conform-action transmit exceed-action drop

 ip tcp adjust-mss 1360

 delay 1000

 tunnel source FastEthernet0/0

 tunnel destination 121.170.178.134

 tunnel key 150000

 tunnel protection ipsec profile SDM_Profile1

interface Loopback0

 description $FW_INSIDE$

 ip address 10.91.8.73 255.255.255.248 
 









==================
http://blog.naver.com/PostView.nhn?blogId=zersum&logNo=100089374748&categoryNo=45&viewDate=&currentPage=1&listtype=0