DS-VPN: 原理、应用与配置要点

这个VPN叫做DS-VPN。每个VPN都是为了解决当前网络中的问题所出现的，比如通用路由封装协议GRE VPN，还有为了安全传输的IPsec VPN，我们要讲的DS-VPN是做什么的呢？

 思科认证 | 华为认证 | IT技术 | 网络工程师 

 3000人技术交流QQ群 备注【官网】更快通过 

比如说我们现在有一个总部，多个分支，而且分支都是动态的IP地址，同学们一般想到的就是IPsec VPN的点到多点，但是点对多点配置完之后。但是IPsec VPN是分支和总部之间建立IPsec PVN。

如果我想让分支之间直接建立VPN呢？这时候，同学们肯定在想，分支都是动态的IP地址，不可能建立VPN，我今天就要告诉你们的是，即使两个分支是动态的IP地址，依然可以建立VPN，这个VPN就是DS-VPN。

今日文章阅读福利：《网工入门指南》

私信发送暗号“IE”，即可获取此份优质指南，提升你的技术水平。

一、定义

DS-VPN（Dynamic Smart VPN）是一种基于动态路由和地址解析技术的 VPN 解决方案。它通过使用 NHRP（Next Hop Resolution Protocol）技术，实现了自动化的隧道建立和路由分配，减少了传统 VPN 手动配置的复杂性。

核心特点：

• 动态隧道建立：分支节点可以根据需要动态创建到其他节点的 IPsec 隧道，无需预定义所有可能的连接。

• 集中路由管理：通过使用动态路由协议（如 BGP 或 OSPF），实现对分支节点路由的集中管理。

• 资源高效利用：消除了静态 VPN 配置的冗余，大大降低了配置和维护成本。

二、工作原理

DS-VPN 的核心在于结合 NHRP 和 mGRE 技术，通过动态解析和安全通信，实现高效的网络连接。

1. NHRP 地址解析： NHRP 是一种分布式的地址解析协议，用于动态解析分支节点的公网 IP 地址。在 DS-VPN 中，分支节点将自身的公网 IP 地址注册到中心节点。当需要与其他分支节点通信时，中心节点会提供目标分支的公网地址，从而建立直接的隧道连接。

2. mGRE： 这个GRE的隧道就不是点对点的，而是点对多点的。

3. 动态路由分配： 配合动态路由协议（如 BGP 或 OSPF），DS-VPN 可以自动更新路由表，确保流量以最优路径传输。

工作流程图：

比如：我举例一个非shorcut的路由学习，一开始左边Spoke1 去访问 右边Spoke2的网络，如果你配置了mGRE接口和NHRP，那么Spoke1 会向Hub发送NHRP解析解析请求，请求解析Spoke的Tunnel的接口对应的公网IP地址。

然后Hub会转发给Spoke2，Spoke2收到之后，会建立Spoke1的Tunnel接口地址和公网地址的映射关系，然后将自己的Tunnel接口的IP地址和公网地址的映射关系发给Spoke1，这个时候Spoke1收到之后，它会记录下来。

至此，Spoke1有了Spoke2的公网地址，Spoke2有了Spoke1的公网地址，两个分支之间就能直接建立VPN了。

三、应用场景

1. 分布式企业网络 在拥有多个分支机构的大型企业中，DS-VPN 可实现分支与分支之间的直接通信，无需所有流量经过中心节点，从而降低延迟并节省带宽成本。

2. 多云互联 在混合云或多云环境中，DS-VPN 可以动态建立云服务提供商之间的隧道，支持灵活的资源调度和数据迁移。

3. 灾备和业务连续性 通过动态调整路由和隧道，DS-VPN 能够快速响应网络故障，确保关键业务的连续性。

4. 移动办公 DS-VPN 支持远程办公场景，动态为移动用户分配安全隧道，实现与企业内网的高效连接。

四、配置要点

1. 配置 NHRP 地址解析：

– 在中心节点上启用 NHRP，并配置分支节点的注册和解析。

– 确保所有节点的 NHRP 配置一致，以实现地址的动态解析。

 interface Tunnel0
 ip address 10.1.1.2 255.255.255.0
 tunnel-protocol gre p2mp
 source GigabitEthernet1/0/0
 ospf network-type p2mp
 ospf dr-priority 0
 nhrp shortcut
 nhrp entry 10.1.1.3 1.1.1.1 register

2. 配置 IPsec 隧道：如果需要DS-VPN的话，还需要配置IPsec的一些命令

– 定义 IPsec 策略和协议参数。

 ike proposal 1 # 创建Ike 安全提议
ike peer Hub # 创建IKE 对等体
 pre-shared-key Huawei@123
 ike-proposal 1
ipsec profile profile1 # 创建IPsec安全框架
 ike-peer Hub
 proposal pro1

– Tunnel接口应用IPSec

 interface Tunnel0
ipsec profile profile1

3. 动态路由协议：

– 配置 BGP 或 OSPF，确保路由信息在所有节点间同步。

 ospf 1 router-id 10.1.1.3
 area 0.0.0.0
  network 10.1.1.0 0.0.0.255
  network 192.168.1.0 0.0.0.255

这样我们就配置完一个DS-VPN了。