Dynamic Multipoint Virtual Private Network (DMVPN) ist eine Cisco-proprietäre Netzwerktechnologie, die es ermöglicht, sichere Verbindungen zwischen verschiedenen Standorten in einem Wide Area Network (WAN) herzustellen. DMVPN nutzt das Protokoll „Internet Key Exchange Version 2“ (IKEv2) für die Authentifizierung und den Schlüsselaustausch, sowie das Next Hop Resolution Protocol (NHRP) zur dynamischen Zuordnung von Netzwerkadressen.
Die Router an allen Branches und dem HQ sind zusammen in einem Layer 2 Segment.
- Hub: Der Hub ist der zentrale Punkt im DMVPN-Netzwerk, zu dem sich alle Standorte verbinden. Er spielt eine wichtige Rolle bei der Vermittlung von Datenverkehr zwischen den verschiedenen Spokes (Niederlassungen).
- Spoke: Spokes sind die entfernten Standorte, die sich mit dem Hub verbinden. Sie können miteinander kommunizieren, indem der Datenverkehr über den Hub geroutet wird.
- NHRP: Das Next Hop Resolution Protocol ermöglicht es den Spokes, dynamisch die öffentliche IP-Adresse des Hubs zu ermitteln, um Datenverkehr direkt miteinander auszutauschen, wenn es möglich ist.
- IKEv2: Dieses Protokoll wird für die sichere Authentifizierung und den Schlüsselaustausch zwischen den Standorten verwendet.
Lab
Das Netz 10.0.0.0/24 ist nicht korrekt und soll in diesem Fall eine public IP zum ISP darstellen! 50.0.0.0/24 sowie 60.0.0.0/24 sollten private Netze sein.
!ISP int fa0/0 ip addr 10.1.1.1 255.255.255.0 no shut int fa1/0 ip addr 20.1.1.1 255.255.255.0 no shut int fa1/1 ip addr 30.1.1.1 255.255.255.0 no shut int fa2/0 ip addr 40.1.1.1 255.255.255.0 no shut
!HQ int fa0/0 ip addr 10.1.1.2 255.255.255.0 no shut router eigrp 1 !network 10.1.1.0 0.0.0.255 network 172.16.10.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 10.1.1.1 int tun0 tunnel source fa0/0 tunnel mode gre multipoint ip address 172.16.10.1 255.255.255.0 no shut ip nhrp network-id 1 tunnel key 123 ip nhrp authentication cisco ip nhrp map multicast dynamic no ip next-hop-self eigrp 1 no ip split-horizon eigrp 1 ! ip mtu 1400 ! ip tcp adjust-mss 1360
!Branch-A int fa0/0 ip addr 20.1.1.2 255.255.255.0 no shut int fa1/0 ip addr 50.1.1.1 255.255.255.0 no shut router eigrp 1 !network 20.1.1.0 0.0.0.255 network 50.1.1.0 0.0.0.255 network 172.16.10.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 20.1.1.1 int tun0 tunnel source fa0/0 tunnel mode gre multipoint ip addr 172.16.10.2 255.255.255.0 no shut ip nhrp network-id 1 tunnel key 123 ip nhrp authentication cisco ip nhrp map multicast 10.1.1.2 ip nhrp map 172.16.10.1 10.1.1.2 ip nhrp nhs 172.16.10.1 ! ip mtu 1400 ! ip tcp adjust-mss 1360
!Branch-B int fa0/0 ip addr 30.1.1.2 255.255.255.0 no shut router eigrp 1 !network 30.1.1.0 0.0.0.255 network 172.16.10.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 30.1.1.1 int tun0 tunnel source fa0/0 tunnel mode gre multipoint ip addr 172.16.10.3 255.255.255.0 no shut ip nhrp network-id 1 tunnel key 123 ip nhrp authentication cisco ip nhrp map multicast 10.1.1.2 ip nhrp map 172.16.10.1 10.1.1.2 ip nhrp nhs 172.16.10.1 ! ip mtu 1400 ! ip tcp adjust-mss 1360
!Branch-C int fa0/0 ip addr 40.1.1.2 255.255.255.0 no shut int fa1/0 ip addr 60.1.1.1 255.255.255.0 no shut router eigrp 1 !network 40.1.1.0 0.0.0.255 network 60.1.1.0 0.0.0.255 network 172.16.10.0 0.0.0.255 ip route 0.0.0.0 0.0.0.0 40.1.1.1 int tun0 tunnel source fa0/0 tunnel mode gre multipoint ip addr 172.16.10.4 255.255.255.0 no shut ip nhrp network-id 1 tunnel key 123 ip nhrp authentication cisco ip nhrp map multicast 10.1.1.2 ip nhrp map 172.16.10.1 10.1.1.2 ip nhrp nhs 172.16.10.1 ! ip mtu 1400 ! ip tcp adjust-mss 1360
! info show dmvpn show ip nhrp