资料下载

比较DMVPN单层和双层头端架构-IPSec 虚拟专用网& mGRE Termination

由管理员撰写。发表于 思科服务& Technologies

4.2 1 1 1 1 1 评分4.20(10投票)
压住他

本文通过回答有关以下内容之间的区别的常见问题,扩展了我们的DMVPN文章系列 单层头端双层头 建筑。

听到DMVPN条款时 单层 要么 双层 可能很难准确地理解其含义。 虽然在使用单层或双层头端设置的DMVPN中看似两者之间的区别似乎很明显,但是直到现在,通常不会真正深入地揭示或分析发生了什么……

虽然网上有很多图表说明 层级 双层头 在体系结构方面,我们发现没有一种可以分析数据包/协议级别的差异。这通常是许多工程师真正了解每种模型如何工作所需的分析级别。

我们始终假定使用IPSecurity协议保护DMVPN网络(mGRE隧道)。

 

单层头端

单层头端 涉及一个DMVPN设置,其中一个集线器路由器负责所有DMVPN服务。实际上,这意味着 加密IPSecmGRE隧道 在同一路由器上终止 枢纽.

在下面的详细图表中对此进行了说明:

 思科DMVPN单层前端IP Sec隧道模式

单层头端 IPSec在隧道模型中运行,对整个GRE隧道和其中携带的数据进行加密。这确保了我们GRE隧道的真正机密性,并在VPN网络设计方面提供了极大的灵活性。

想要了解有关使用IPSec保护GRE(隧道和传输模式)的更多信息的工程师和管理员,可以阅读我们的热门文章  GRE over IPSec-选择和配置GRE IPSec隧道或传输模式 文章.

我们强烈推荐上述文章,因为其中包含非常有用的信息,通常不常见。

如预期的那样,单层前端设置意味着所有处理都由一个CPU执行。加密,解密,封装,解封装和维护NHRP数据库的负担落在单个Hub上。根据经验,集线器路由器上的Internet连接速度越快,其CPU负担就越大,因为它需要以更快的速度处理VPN数据。 DMVPN可伸缩性问题是Firewall.cx上将讨论的主题。

DMVPN部署基于 单层头端 该体系结构还支持分支到分支的VPN隧道,允许远程办公室在彼此之间动态建立VPN隧道。远程办公室(分支)还配置了mGRE隧道(如集线器),从而使它们可以创建动态的辐条到分支隧道。


双层头

双层头端是DMVPN的一种更流行的方法,尤其是在VPN冗余方面。 思科公司在分析DMVPN网络时通常使用此方法,但这并不意味着Single 层级不是可接受的解决方案。

双层头 加密IPSec在位于以下位置的路由器上终止 在前枢纽,而mGRE隧道终止 枢纽。在下面的详细图表中对此进行了说明:

 思科DMVPN双层头端IP安全隧道模式

双层头 IPSec在隧道模型中运行,对整个GRE隧道和其中携带的数据进行加密。 IPSec解密在R2,前端路由器上进行,并将mGRE隧道传递到 枢纽 它终止的位置。

DMVPN部署基于 双层头 架构不支持分支到分支的VPN隧道。如果计划此类DMVPN部署,则应认真考虑此限制。这也解释了为什么在此部署方法中的分支路由器配置了单个GRE隧道(而非mGRE)。

 

链接到相似兴趣的文章

Firewall.cx上有许多受欢迎的文章,这些文章针对那些需要有关DMVPN网络和IPSec 虚拟专用网的其他信息的人。以下是一些我们认为肯定会有用的文章链接:

  1. 在Cisco IOS路由器上配置Cisco SSL 虚拟专用网 AnyConnect(WebVPN)
  2. 了解VPN IPSec隧道模式和IPSec传输模式-有何区别?

返回思科服务& Technlogies Section

压住他

文章 阅读下一篇:

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置