DM×××

DM××× 案例分析：

今天作了下DM×××的實驗，拓撲以下圖。

DM×××在具備多個分支站點的應用中很是有必要，傳統的L2L ×××模式若是有不少站點的話，就存在兩種問題，若是分支只和中心創建×××鏈接那麼分支之間的訪問須要流量先通過中心而後到達另外一個分支，若是採用全互聯的方式那麼每臺路由器將要維護多個ipsec sa 很是浪費設備的資源。最重要的一點是對於一些小的分支站點採用pppoe動態得到的ip將不可以創建×××。爲此cisco引入了DM×××技術DM×××採用MGRE技術，結合nhrp協議（嚇一跳解析協議），使得各個站點之間能夠運用動態路由協議，數據在分支之間傳輸時能夠不通過中心站點，節省了帶寬，並且中心站點配置完成之後，添加任何分支站點，中心都不須要變更。
下面看一下DM×××的配置步驟：
一：中心站點：

一、接口配置
interface Loopback0
 ip address 172.31.1.1 255.255.255.0

interface FastEthernet0/0
 ip address 202.100.1.1 255.255.255.0

二、在各個分支上起一個Tunnel,並在Tunnel接口上運用nhrp協議

interface Tunnel0                                                                                                                                                                       ip mtu 1400
 ip address 10.1.1.1 255.255.255.0                 \\Tunnel啓個地址
 no ip redirects 
 no ip next-hop-self eigrp 100                      \\這條命令將會使分支之間的路由不通過中心                                               ip nhrp authentication amy
 ip nhrp map multicast dynamic                   \\nhrp 動態映射
 ip nhrp network-id 10000                         \\network id 必須配置同樣
 no ip split-horizon eigrp 100                    \\禁止水平分割，使得分支之間能夠互相學習路由
 tunnel source FastEthernet0/0                    \\Tunnel源
 tunnel mode gre multipoint                       \\Tunnel模式爲多點
 tunnel key 12345                                 \\Tunnel key必須的
 tunnel protection ipsec profile cisco            \\Tunnel 接口掛載ipsec profile

二、配置ipsec ×××（這一部分全部運行DM×××的設備都相同）
crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0

crypto ipsec transform-set myset esp-des esp-md5-hmac
 mode transport

crypto ipsec profile cisco
 set transform-set myset

三、動態路由協議
router eigrp 100
 network 10.0.0.0
 network 172.31.0.0
 no auto-summary

 

2、分支站點：

crypto isakmp policy 1  hash md5  authentication pre-share crypto isakmp key cisco address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac  mode transport ! crypto ipsec profile cisco  set transform-set myset ! ! ! ! ! interface Loopback0  ip address 172.31.2.1 255.255.255.0 ! interface Tunnel0                                                                                                                                                                      ip mtu 1400 ip nhrp authentication amy  ip address 10.1.1.2 255.255.255.0  ip nhrp map 10.1.1.1 202.100.1.1  ip nhrp map multicast 202.100.1.1  ip nhrp network-id 10000  ip nhrp nhs 10.1.1.1  tunnel source FastEthernet0/0  tunnel destination 202.100.1.1  tunnel key 12345  tunnel protection ipsec profile cisco !         interface FastEthernet0/0  ip address 202.100.1.2 255.255.255.0  duplex auto  speed auto ! router eigrp 100  network 10.0.0.0  network 172.31.0.0  no auto-summary