DM×××

DM××× 案例分析：

今天作了下DM×××的实验，拓扑以下图。

DM×××在具备多个分支站点的应用中很是有必要，传统的L2L ×××模式若是有不少站点的话，就存在两种问题，若是分支只和中心创建×××链接那么分支之间的访问须要流量先通过中心而后到达另外一个分支，若是采用全互联的方式那么每台路由器将要维护多个ipsec sa 很是浪费设备的资源。最重要的一点是对于一些小的分支站点采用pppoe动态得到的ip将不可以创建×××。为此cisco引入了DM×××技术DM×××采用MGRE技术，结合nhrp协议（吓一跳解析协议），使得各个站点之间能够运用动态路由协议，数据在分支之间传输时能够不通过中心站点，节省了带宽，并且中心站点配置完成之后，添加任何分支站点，中心都不须要变更。
下面看一下DM×××的配置步骤：
一：中心站点：

一、接口配置
interface Loopback0
 ip address 172.31.1.1 255.255.255.0

interface FastEthernet0/0
 ip address 202.100.1.1 255.255.255.0

二、在各个分支上起一个Tunnel,并在Tunnel接口上运用nhrp协议

interface Tunnel0                                                                                                                                                                       ip mtu 1400
 ip address 10.1.1.1 255.255.255.0                 \\Tunnel启个地址
 no ip redirects 
 no ip next-hop-self eigrp 100                      \\这条命令将会使分支之间的路由不通过中心                                               ip nhrp authentication amy
 ip nhrp map multicast dynamic                   \\nhrp 动态映射
 ip nhrp network-id 10000                         \\network id 必须配置同样
 no ip split-horizon eigrp 100                    \\禁止水平分割，使得分支之间能够互相学习路由
 tunnel source FastEthernet0/0                    \\Tunnel源
 tunnel mode gre multipoint                       \\Tunnel模式为多点
 tunnel key 12345                                 \\Tunnel key必须的
 tunnel protection ipsec profile cisco            \\Tunnel 接口挂载ipsec profile

二、配置ipsec ×××（这一部分全部运行DM×××的设备都相同）
crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0

crypto ipsec transform-set myset esp-des esp-md5-hmac
 mode transport

crypto ipsec profile cisco
 set transform-set myset

三、动态路由协议
router eigrp 100
 network 10.0.0.0
 network 172.31.0.0
 no auto-summary

 

2、分支站点：

crypto isakmp policy 1  hash md5  authentication pre-share crypto isakmp key cisco address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set myset esp-des esp-md5-hmac  mode transport ! crypto ipsec profile cisco  set transform-set myset ! ! ! ! ! interface Loopback0  ip address 172.31.2.1 255.255.255.0 ! interface Tunnel0                                                                                                                                                                      ip mtu 1400 ip nhrp authentication amy  ip address 10.1.1.2 255.255.255.0  ip nhrp map 10.1.1.1 202.100.1.1  ip nhrp map multicast 202.100.1.1  ip nhrp network-id 10000  ip nhrp nhs 10.1.1.1  tunnel source FastEthernet0/0  tunnel destination 202.100.1.1  tunnel key 12345  tunnel protection ipsec profile cisco !         interface FastEthernet0/0  ip address 202.100.1.2 255.255.255.0  duplex auto  speed auto ! router eigrp 100  network 10.0.0.0  network 172.31.0.0  no auto-summary