DM***

DM*** 案例分析：

今天做了下DM***的實驗，拓撲如下圖。

DM***在具有多個分支站點的應用中非常有必要，傳統的L2L ***模式如果有很多站點的話，就存在兩種問題，如果分支只和中心建立***連接那麼分支之間的訪問需要流量先經過中心然後到達另一個分支，如果採用全互聯的方式那麼每臺路由器將要維護多個ipsec sa 非常浪費設備的資源。最重要的一點是對於一些小的分支站點採用pppoe動態獲得的ip將不能夠建立***。爲此cisco引入了DM***技術DM***採用MGRE技術，結合nhrp協議（嚇一跳解析協議），使得各個站點之間可以運用動態路由協議，數據在分支之間傳輸時可以不經過中心站點，節省了帶寬，而且中心站點配置完成以後，添加任何分支站點，中心都不需要變動。
下面看一下DM***的配置步驟：
一：中心站點：

1、接口配置
interface Loopback0
 ip address 172.31.1.1 255.255.255.0

interface FastEthernet0/0
 ip address 202.100.1.1 255.255.255.0

2、在各個分支上起一個Tunnel,並在Tunnel接口上運用nhrp協議

interface Tunnel0                                                                                                                                                                       ip mtu 1400
 ip address 10.1.1.1 255.255.255.0                 \\Tunnel啓個地址
 no ip redirects 
 no ip next-hop-self eigrp 100                      \\這條命令將會使分支之間的路由不經過中心                                               ip nhrp authentication amy
 ip nhrp map multicast dynamic                   \\nhrp 動態映射
 ip nhrp network-id 10000                         \\network id 必須配置一樣
 no ip split-horizon eigrp 100                    \\禁止水平分割，使得分支之間可以互相學習路由
 tunnel source FastEthernet0/0                    \\Tunnel源
 tunnel mode gre multipoint                       \\Tunnel模式爲多點
 tunnel key 12345                                 \\Tunnel key必須的
 tunnel protection ipsec profile cisco            \\Tunnel 接口掛載ipsec profile

2、配置ipsec ***（這一部分所有運行DM***的設備都相同）
crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0

crypto ipsec transform-set myset esp-des esp-md5-hmac
 mode transport

crypto ipsec profile cisco
 set transform-set myset

3、動態路由協議
router eigrp 100
 network 10.0.0.0
 network 172.31.0.0
 no auto-summary

 

二、分支站點：

crypto isakmp policy 1
 hash md5
 authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac
 mode transport
!
crypto ipsec profile cisco
 set transform-set myset
!
!
!
!
!
interface Loopback0
 ip address 172.31.2.1 255.255.255.0
!
interface Tunnel0                                                                                                                                                                      ip mtu 1400
ip nhrp authentication amy
 ip address 10.1.1.2 255.255.255.0
 ip nhrp map 10.1.1.1 202.100.1.1
 ip nhrp map multicast 202.100.1.1
 ip nhrp network-id 10000
 ip nhrp nhs 10.1.1.1
 tunnel source FastEthernet0/0
 tunnel destination 202.100.1.1
 tunnel key 12345
 tunnel protection ipsec profile cisco
!        
interface FastEthernet0/0
 ip address 202.100.1.2 255.255.255.0
 duplex auto
 speed auto
!
router eigrp 100
 network 10.0.0.0
 network 172.31.0.0
 no auto-summary