1、傳統IPSEC ***的星形拓撲:
缺點:
1)中心站點配置量大
1)中心站點配置量大
2)分支站點間流量延時較大
3)分支站點間流量佔用中心帶狂
2、傳統IPSEC ***的網狀拓撲
缺點:
1) 中心與分支站點配置量大
2) 分支站點需要維護過多的IPSEC SA
3) 每一個分支站點都需要固定的IP地址
3、DM***的優點:
1)簡單的星形拓撲配置,提供了虛擬網狀連通性
2)分支站點支持動態IP地址
3)增加新的分支站點,無需更改中心站點配置
4)分支站點之間的流量,通過動態產生站點間隧道進行封裝
DM***由四大協議組成:
1) mGRE(多點GRE):
它是一種特殊的GRE技術,這種技術與多點幀中繼技術很相似,也是典型的NBMA網絡。所有站點的mGRE隧道接口都處於同一網段,進入mGRE網絡的任何一個分支站點不僅能和中心站點進行通信,而且還能直接和其他分支站點進行通信,這顯示了DM***的第一個有點“虛擬網狀連通性“。
2) NHRP(下一跳地址解析協議):
它和以太網中的ARP協議非常相似,NHRP是實現mGRE隧道虛擬地址(即邏輯地址)到每一站固定配置或動態獲取的公網IP地址(即物理地址)之間的映射。
分支站點通過NHRP協議向中心站點註冊分支站點的隧道虛擬IP到動態獲取的公網IP,因爲註冊是動態的,所以分支站點支持動態獲取IP地址。
3) 動態路由協議:
動態路由協議的主要目的是宣告隧道網絡和 站點身後的私有網絡,讓每一個站點都能學習到其他站點身後的網絡的路由。
4) IPSEC技術:
IPSEC對mGRE的流量進行加密保護。其實可以理解爲DM***就是mGRE OVER IPSEC,IPSEC ***的配置和GRE OVER IPSEC中的IPSEC ***配置一樣。DM***也使用傳輸模式。
配置DM***的步驟:
1) 配置mGRE和NHRP
2) 配置動態路由協議
3) 配置IPSEC ***