1、传统IPSEC ×××的星形拓扑:
缺点:
1)中心站点配置量大
1)中心站点配置量大
2)分支站点间流量延时较大
3)分支站点间流量占用中心带狂
2、传统IPSEC ×××的网状拓扑
缺点:
1) 中心与分支站点配置量大
2) 分支站点需要维护过多的IPSEC SA
3) 每一个分支站点都需要固定的IP地址
3、DM×××的优点:
1)简单的星形拓扑配置,提供了虚拟网状连通性
2)分支站点支持动态IP地址
3)增加新的分支站点,无需更改中心站点配置
4)分支站点之间的流量,通过动态产生站点间隧道进行封装
DM×××由四大协议组成:
1) mGRE(多点GRE):
它是一种特殊的GRE技术,这种技术与多点帧中继技术很相似,也是典型的NBMA网络。所有站点的mGRE隧道接口都处于同一网段,进入mGRE网络的任何一个分支站点不仅能和中心站点进行通信,而且还能直接和其他分支站点进行通信,这显示了DM×××的第一个有点“虚拟网状连通性“。
2) NHRP(下一跳地址解析协议):
它和以太网中的ARP协议非常相似,NHRP是实现mGRE隧道虚拟地址(即逻辑地址)到每一站固定配置或动态获取的公网IP地址(即物理地址)之间的映射。
分支站点通过NHRP协议向中心站点注册分支站点的隧道虚拟IP到动态获取的公网IP,因为注册是动态的,所以分支站点支持动态获取IP地址。
3) 动态路由协议:
动态路由协议的主要目的是宣告隧道网络和 站点身后的私有网络,让每一个站点都能学习到其他站点身后的网络的路由。
4) IPSEC技术:
IPSEC对mGRE的流量进行加密保护。其实可以理解为DM×××就是mGRE OVER IPSEC,IPSEC ×××的配置和GRE OVER IPSEC中的IPSEC ×××配置一样。DM×××也使用传输模式。
配置DM×××的步骤:
1) 配置mGRE和NHRP
2) 配置动态路由协议
3) 配置IPSEC ×××
