DMVPN(Dynamic Multipoint VPN)是通過多點GRE（MGRE）和下一跳解析協議（NHRP）與IPSec相結合實現的解決方案。

（1） DMVPN的特點，包括：

A、Dynamic Multipoint VPN,高擴展性VPN解決方案

B、簡單的Hub和Spoke配置提供了Full meshed連通性

C、支持Spoke動态地址

D、增加新的Spoke無須更改Hub配置

E、Spoke到Spoke動态産生隧道觸發IPsec加密

（2）DMVPN有4個組成部分，即

A、MGRE

B 、NHRP

C、Dynamic Routing Protocol

D、IPSec VPN

DMVPN組網拓撲：

DMVPN使用傳輸模式

初始化配置如下：

R1-Hub(config)#interface e0/1

R1-Hub(config-if)#no sh

R1-Hub(config-if)#ip address 61.128.1.100 255.255.255.0

R1-Hub(config)#ip route 0.0.0.0 0.0.0.0 ethernet 0/1 61.128.1.254

R2-Spoke1(config)#int e 0/2

R2-Spoke1(config-if)#ip address 202.100.1.1 255.255.255.0

R2-Spoke1(config-if)#no sh

R2-Spoke1(config)#ip route 0.0.0.0 0.0.0.0 ethernet 0/2 202.100.1.254

R3-Spoke2(config)#int e 0/3

R3-Spoke2(config-if)#no sh

R3-Spoke2(config-if)#ip address 202.100.1.3 255.255.255.0

SW的E0/1屬于VLAN20， E0/2和E0/3屬于VLAN10

Switch#sho run int vlan 10

interface Vlan10

ip address 202.100.1.254 255.255.255.0

Switch#sho run int vlan 20

interface Vlan20

ip address 61.128.1.254 255.255.255.0

====================================================

MGRE：

前提是NBMA地址路由可達，通過默認路由加密點相互可達，剛才已完成

R1-Hub(config-if)#do sho run int tu0

interface Tunnel0

ip address 172.16.1.100 255.255.255.0

Tunnel source Ethernet0/1

tunnel mode gre multipoint ----配置MGRE， R2和R3配置和R1MGRE一樣，此處省略

以上配置完成後缺少Mapping--->NHRP，重點NHRP地址解析 R2和R3 NHRP配置一樣：

R1-Hub(config)#interface tunnel 0

R1-Hub(config-if)#ip nhrp network-id 10---所有的設備需要配置相同的ID

R1-Hub(config-if)#ip nhrp authentication cisco --啟用NHRP認證，可選配置

R1-Hub(config-if)#ip nhrp map multicast dynamic ---動态接收組播映射

R2-Spoke1(config)#interface tunnel 0

R2-Spoke1(config-if)#ip nhrp network-id 10

R2-Spoke1(config-if)#ip nhrp authentication cisco

R2-Spoke1(config-if)#ip nhrp nhs 172.16.1.100--Spoke啟動後會到這個服務器注冊自己的虛拟隧道地址到公網地址

R2-Spoke1(config-if)#ip nhrp map 172.16.1.100 61.128.1.100--所有Spoke需要靜态配置Hub映射，隧道虛拟地址映射到公網地址

R2-Spoke1(config-if)#ip nhrp map multicast 61.128.1.100---所有Spoke需要手動映射組播到Hub的公網地址，便于Spoke和Hub建立動态路由

R2-Spoke1#ping 172.16.1.100

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.100, timeout is 2 seconds:

!!!!!

R1、R2、R3配置EIGRP并發布路由：

R1-Hub(config)#router eigrp 90

R1-Hub(config-router)#network 172.16.1.0 0.0.0.255

R1-Hub(config-router)#network 192.168.100.0 0.0.0.255

R1-Hub(config)#int lo 0

R1-Hub(config-if)#ip address 192.168.100.1 255.255.255.0

R2-Spoke1(config)#router eigrp 90

R2-Spoke1(config-router)#network 172.16.1.0 0.0.0.255

R2-Spoke1(config-router)#network 192.168.1.0 0.0.0.255

R2-Spoke1(config-router)#int lo 0

R2-Spoke1(config-if)#ip address 192.168.1.1 255.255.255.0

R3-Spoke2(config)#router eigrp 90

R3-Spoke2(config-router)#network 172.16.1.0 0.0.0.255

R3-Spoke2(config-router)#network 192.168.2.0 0.0.0.255

R3-Spoke2(config-router)#int lo 0

R3-Spoke2(config-if)#ip address 192.168.2.1 255.255.255.0

由于水平分割，R2和R3之間默認隻能學到R1的路由

R1-Hub(config)#int tun 0

R1-Hub(config-if)#no ip split-horizon eigrp 90 ---關掉EIGRP的水平分割後R2和R3可以相互學到路由：

以上完成的是DMVPN第一階段，屬于星型拓撲設計，中心站點為MGRE隧道，所有分支站點均為普通的點對點GRE隧道，分支站點的流量都必須經過中心站點轉發！

DMVPN第二階段：虛拟網狀拓撲設計，所有站點都配置MGRE隧道，中心站點與分支站點維護一個永恒隧道，分支站點與分支站點間則按需建立隧道，形成虛拟網狀拓撲！

我們解決下一跳問題： Tunnel對EIGRP的優化

R1-Hub(config-if)#no ip next-hop-self eigrp 90 ---下一跳不是自己

然後我們R2查看下路由：

IPSec VPN配置： （R1 R2 R3配置一樣）

R1-Hub(config)#crypto isakmp policy 10

R1-Hub(config-isakmp)#encryption aes

R1-Hub(config-isakmp)#authentication pre-share

R1-Hub(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0 --多點VPN地址配置0

R1-Hub(config)#crypto ipsec transform-set cisco esp-des esp-md5-hmac --轉換集

R1-Hub(cfg-crypto-trans)#mode transport ---模式為傳輸模式

R1-Hub(config)#crypto ipsec profile cisco

R1-Hub(ipsec-profile)#set transform-set cisco

R1-Hub(config)#interface tunnel 0

R1-Hub(config-if)#tunnel protection ipsec profile cisco--調用模闆

DMVPN第三階段：層次化（樹狀）設計

DMVPN第二階段和第三階段基本一緻，所有站點都使用MGRE，第三階段對大規模的DMVPN實施進行了優化和調整，中心和分支維持一條VPN即可，Spoke之間按需建立隧道，Spoke之間的流量無需通過中心站點轉發。

歡迎關注和轉發，更多精彩内容下期繼續分享！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!