Cisco. DMVPN — различия между версиями
Root (обсуждение | вклад) (Новая страница: «Файл:dmvpn_1.jpg») |
Root (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
+ | Немного теории.<br\> | ||
+ | DMVPN (Dymamic Multipoint VPN). Динамическая многоточечная виртуальная частная сеть — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP. Клиент(Spoke) связывается с DMVPN сервером(Hub) и получает от того данные желаемoй цели. Потом создаёт виртуальный туннель напрямую к другому клиенту. При этом:<br\> | ||
+ | # Данные будут зашифрованы IPSec | ||
+ | # Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла. | ||
+ | # Только на центральном узле необходим статический публичный IP-адрес. Удалённые узлы могут иметь динамический адрес и находиться за NATом, используя адреса из частных диапазонов (NAT Traversal). | ||
+ | |||
+ | Идея заключается в том, что на центральном узле будет один единственный динамический туннель, который мы настроим в самом начале, а при добавлении новых удалённых точек, здесь не нужны изменения – ни добавлять новые туннельные интерфейсы, ни перенастраивать уже существующий. Фактически при добавлении новых узлов настраивать нужно только их. Везде запускается протокол NHRP – NBMA Next Hop resolution Protocol. Он позволяет динамически изучать адреса удалённых точек, который желают подключиться к основной. На нём и основана возможность реализации multipoint VPN. Hub(центральный узел) здесь выступает как сервер (NHS – Next-Hop Server), а все удалённые узлы будут клиентами (NHC – Next-Hop Client). | ||
+ | |||
+ | |||
+ | Первоначальная схема такова:<br\> | ||
[[Файл:dmvpn_1.jpg]] | [[Файл:dmvpn_1.jpg]] |
Версия 17:55, 1 августа 2014
Немного теории.<br\> DMVPN (Dymamic Multipoint VPN). Динамическая многоточечная виртуальная частная сеть — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP. Клиент(Spoke) связывается с DMVPN сервером(Hub) и получает от того данные желаемoй цели. Потом создаёт виртуальный туннель напрямую к другому клиенту. При этом:<br\>
- Данные будут зашифрованы IPSec
- Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла.
- Только на центральном узле необходим статический публичный IP-адрес. Удалённые узлы могут иметь динамический адрес и находиться за NATом, используя адреса из частных диапазонов (NAT Traversal).
Идея заключается в том, что на центральном узле будет один единственный динамический туннель, который мы настроим в самом начале, а при добавлении новых удалённых точек, здесь не нужны изменения – ни добавлять новые туннельные интерфейсы, ни перенастраивать уже существующий. Фактически при добавлении новых узлов настраивать нужно только их. Везде запускается протокол NHRP – NBMA Next Hop resolution Protocol. Он позволяет динамически изучать адреса удалённых точек, который желают подключиться к основной. На нём и основана возможность реализации multipoint VPN. Hub(центральный узел) здесь выступает как сервер (NHS – Next-Hop Server), а все удалённые узлы будут клиентами (NHC – Next-Hop Client).