CISCO DM×××

    GRE ×××會創建虛擬的Tunnel接口建立GRE隧道，可是實際的數據是沒有進行加密和認證。處理流程包括：隧道起點的路由查找-封裝-承載協議路由轉發-轉發-解封裝-隧道終點的路由查找。

    IPSEC ×××則能提供：數據加密，內容完整性驗證和發送者身份驗證功能，可是IPSEC不支持組播，沒法承載動態路由協議。

    在實際生產網絡中，分支機構會和總部，分支和分支之間都會造成互聯和互訪。傳統的ipsec ***實現方式，新增SPOKE就須要在HUB上添加配置，HUB會進行新的加密，SPOKE之間的數據也是穿越HUB，並且不一樣的數據中心之間不支持OSPF等動態路由協議。使用DM×××則能夠解決這些問題。

    DM×××包括了四個部件:

MGRE:動態創建站點間的tunnel

NHRP:HUB會儲存多個SPOKE信息，做爲SPOKE物理地址和隧道地址的存貯和轉發中心,從而使SPOKE之間能夠直接創建***通訊

DYNAMIC ROUTING PROTOCOL:內網路由學習（須要注意水平分割和次優路由）

IPSEC:加密認證

JUNOS上會有AUTO ×××和GROUP ×××來拓展其IPSEC ×××框架。

實驗拓撲：

HUB模擬總部，CD和SH分別爲分支機構。三地互聯，後續還會擴展分支接入。

實驗步驟：

就是按照DM×××的四個部件逐步來。

實驗配置：

MGRE配置：

HUB:

interface Tunnel100

 ip address 10.1.123.1 255.255.255.0   HUB地址

 tunnel source Ethernet0/0   源地址/接口

 tunnel mode gre multipoint   GRE是配置SPOKE的目的地址，既然支持動態可擴展，選擇模式爲multipoint

SPOKE (同理):

interface Tunnel100

 ip address 10.1.123.2 255.255.255.0

 tunnel source Ethernet0/0

 tunnel mode gre multipoint

NHRP配置：

HUB：

interface Tunnel100

 ip nhrp network-id 123 全部設備都配置相同

 ip nhrp map multicast dynamic   動態地接受組播映射

IPSEC配置：

crypto isakmp policy 10

 authentication pre-share   域分享密碼

crypto isakmp key cisco address 0.0.0.0 0.0.0.0   

crypto ipsec transform-set dm*** esp-des esp-md5-hmac 

 mode transport

crypto ipsec profile dm***

 set transform-set dm***

在tunnel接口調用***，優化mtu

interface Tunnel100

 ip mtu 1400

 tunnel protection ipsec profile dm***

動態路由協議：

關閉EIGRP水平分割：

interface Tunnel100

 no ip next-hop-self eigrp 100

 no ip split-horizon eigrp 100

TUNNUL接口調用IPSEC PROFILE:

interface Tunnel100

 tunnel protection ipsec profile dm***

×××創建完成之後。首先查看兩個階段的SA建立

查看IPSEC的加密：

接口刪除掉PROFILE：

能夠看到系統顯示ISAKMP is OFF：

清理下cry進程，SA消失，數據不加密，至關於變成了GRE ×××。

還有就是路由的問題。我用的版本是12.4 配置一開始沒生效：

CD到SH的依舊走了HUB。tul接口sh；no sh一下：

SPOKE之間直接創建了IPSEC ***隧道。而不在經過HUB。