192.168.1.1-路由器设置 | 192.168.0.1-无线路由器设置

Cisco路由器的DMVPN技术介绍和配置手段

发布时间:2012-05-03 14:26

思科路由器的应用中有很多的VPN技术,对应不同的应用场合:当总部和一个比较大的分支机构要通讯时,大多使用L2L的VPN技术,这样两个网段好似直接相连了一样,各自使用各自的私有IP,没有经过nat之类的转换,IP是实实在在的地址。注意这个时候可能会出现IP地址冲突的情况,要提前会话好IP网段。在L2L的技术中又有GRE over IPSec和IPSec over GRE的两种实现方法,一般在工程中使用的是GRE over IPSec的方式,安全而且配置简单。在具体的cisco路由器配置过程中又存在crypto map和crypto ipsec profile的替代,以及crypto isakmp profile的使用,建议使用新的配置方法,可以有效的减少全局命令,对于一个路由器要配置多个vpn的时候很有好处。
当总部和一些比较小的分支要通讯的时候可以使用,分支机构不会有固定的IP地址,这个时候可以使用cisco的动态map的方式来建立VPN,配置和传统的几乎一样,就是在map上有点小改动,先配置一个动态的map,然后再配置一个静态的map,调用这个动态的map。相比较配置算是有点烦,主要应用在cisco和其他厂商的VPN互联上。
当总部和一些比较小的分支要联系,而且分支没有固定IP,分支使用的也是Cisco的产品时,可以使用Cisco自己的一个私有技术叫做EZVPN的,这个技术可以极大的简化客户端那边的配置量,可以实现自动的拨号,自动的管理。连接之后总部也可以对分支进行管理。具体技术分成了客户模式和网络扩展模式两种,根据实际的需求去配置。这个也是比较推荐的配置方法了。


当几个孤立的员工要访问总部的网络时,可以使用cisco的remote vpn技术,这个技术要在客户端的PC上安装一个cisco的vpn client产品,这个产品会和总部的VPN服务器连接,得到一个总部VPN服务器分发下来的pool,就好像这个员工直接接了一根网线在总部局域网中一样的效果。
如果总部和多个分支机构建立连接,可以使用多个L2L的VPN,但是存在一个问题,如果两个分支机构之间要建立VPN呢?http://www.luyouqiwang.com/13783/ 传统的方式是通过总部来建立的,所有的数据都要通过总部来中转一下,这样对总部的资源消耗和带宽消耗非常的打,为啥不能让他们自己建立连接呢?所以Cisco推出了一个DMVPN的技术,使用了这个技术之后,两个分支要通讯,可以在总部得到一个关联后,他俩就自己通去了,和总部没有啥关系了就。配置上有四个步骤:①做MGRE技术,也叫做多点GRE,②做NHRP技术,也就是对多点GRE做地址解析工作,③配置路由协议,这个是为打通路由做准备了,④路由都有了,接下来就是简单的配置一个L2L VPN的普通技术了。

关于我们 - RSS地图 - 最近更新 - 友情链接 - 网站地图 - 版权声明