در شبکه های با مقیاس بزرگ از نسخه Hierarchical DMVPN به جای DMVPN برای ایجاد ارتباط استفاده کنید. همانطور که می دانید در سه روش اصلی DMVPN یکی از روترها نقش NHRP Server و بقیه نقش NHRP Client را دارند. متمرکز بودن NHRP Server در مقیاس های بزرگ می تواند...

ریسک بالایی هم از نظر مقیاس پذیری و هم از نظر افزونگی ایجاد نماید. لذا توصیه می شود در مقیاس های بزرگ از نسخه Hierarchical برای پیاده سازی DMVPN استفاده شود. در این روش شبکه را به بخش های کوچکتر تقسیم نموده و در هر بخش DMVPN مجزایی اجرا می نماییم. سپس روترهای مرکزی هر بخش نیز با یکدیگر و با کمک یک روتر مرکزی اصلی تشکیل DMVPN مرکزی خواهند داد.

 در DMVPN Phase 1 پیاده سازی نسخه Hierarchical هیچ محدودیتی ندارد. به عنوان مثال می توان در هر استان DMVPN مجزایی اجرا کرد و مراکز استان ها نیز با استان تهران تشکیل DMVPN مرکزی بدهند. در این روش اگر سایت یکی از استان ها (بخش ها) بخواهد با سایتی در استان متفاوتی (بخش متفاوتی) ارتباط برقرار نماید، در این صورت ترافیک ابتدا وارد روتر مرکزی استان مبدا، سپس وارد روتر مرکزی اصلی و نهایتا از طریق روتر مرکزی استان مقصد به سایت مقصد هدایت می شود.

شکل زیر ساختار Hierarchical DMVPN Phase 1 و همچنین جریان ترافیکی آن را نشان می دهد. از آنجایی که در DMVPN Phase 1 انتظار می رود تا ترافیک بین سایت ها از نقاط مرکزی عبور نمایند، بنابراین این روش بدون هیچ مشکلی قابل استفاده می باشد.

Hierarchical DMVPN Phase 1

ساختار کنترلی و ساختار انتقال داده در Hierarchical DMVPN Phase 1

اما متاسفانه در DMVPN Phase 2 نسخه Hierarchical نیازمندی های ما را برآورده نمی کند زیرا در DMVPN Phase 2 انتظار می رود تا ترافیک بین سایت ها مستقیم با هم ارتباط داشته باشند اما همانطور که در شکل زیر نشان داده شده است، ترافیک بین دو سایت از روترهای مرکزی استان (بخش) مبدا و مقصد عبور می کند و جابجایی مستقیم ترافیک امکان پذیر نخواهد بود. لذا می توان گفت که DMVPN phase 2 نسخه Hierarchical را پشتیبانی نمی کند.

بعد از شکل زیر، شکل دیگری نیز از DMVPN Phase 2 نشان داده شده است که در آن خطوط ضخیم جریان ترافیک داده را نشان می دهد. این دو شکل مفهوم یکسانی را منتقل می کنند. زیبایی شکل دوم نسبت به شکل اول که به صورت دستی کشیده شده است باعث شده تا هر دو شکل در این کتاب آورده شود.

Hierarchical DMVPN Phase 2

ساختار کنترلی و ساختار انتقال داده در Hierarchical DMVPN Phase 2

Hierarchical DMVPN Phase 2 2

ساختار کنترلی و ساختار انتقال داده در Hierarchical DMVPN Phase 2

در DMVPN Phase 3 نسخه Hierarchical از دو جهت با دو نسخه DMVPN Phase 1 و DMVPN Phase 2 متفاوت است اول آنکه در DMVPN Phase 3 بر خلاف دو فاز قبلی از چند DMVPN مجزا استفاده نمی شود بلکه در کل شبکه فقط یک DMVPN اجرا می گردد. ممکن است این ابهام برای شما پیش بیاید که در اسن صورت این روش Hierarchical نیست. در پاسخ باید گفت که اتفاقا Hierarchical هست زیرا در DMVPN Phase 3 پروتکل NHRP به صورت سلسه مراتبی پیاده سازی شده است. بدین معنی که سایت های هر استان از NHRP Server همان استان استفاده می کنند و روترهای NHRP Server در هر استان نیز به عنوان NHRP Client برای یک NHRP Server مرکزی نقش بازی می کنند. فراموش نکنید که هدف اصلی Hierarchical کردن DMVPN پروتکل NHRP بوده است و این پروتکل در این نسخه از DMVPN همچنان Hierarchical است. اما همانطور که خواهیم داد در Hierarchical DMVPN Phase 3 همه روترها در یک DMVPN مشترک قرار دارند و نیازی به اجرای چندین DMVPN مجزا نیست. تفاوت دوم Hierarchical DMVPN Phase 3 با دو نسخه قبلی در این است که ترافیک بین دو سایت از دو استان مختلف به طور مستقیم و بدون عبور از هر روتر دیگری جابجا می شود. اگر به خاطر داشته باشید در DMVPN Phase 3 همانند DMVPN Phase 2 باید ترافیک بین سایت ها مستقیم جابجا شوند. بنابراین می توان گفت که این نسخه از DMVPN یعنی DMVPN phase 3 از نسخه Hierarchical پشتیبانی می کند

دو شکل زیر ساختار NHRP، ساختار DMVPN و همچنین چگونگی انتقال داده در Hierarchical DMVPN phase 3 را نشان می دهند.

Hierarchical DMVPN Phase 3

ساختار کنترلی و ساختار انتقال داده در Hierarchical DMVPN Phase 3

Hierarchical DMVPN Phase 3 2

ساختار کنترلی و ساختار انتقال داده در Hierarchical DMVPN Phase 3

برای درک بهتر مفاهیم فوق در ادامه چگونگی پیاده سازی Hierarchical DMVPN Phase 2 در این بخش و همچنین چگونگی پیاده سازی Hierarchical DMVPN Phase 3 در بخش بعدی نشان داده شده است.

Hierarchical DMVPN Phase 2 3

پیاده سازی Hierarchical DMVPN Phase 2

با توجه به شکل فوق در HUB مرکزی فقط یک تونل ایجاد شده است که تشکیل DMVPN مشترک با HUB1 و HUB2 را می دهد و محدوده آدرس آن 172.16.0.0/24 است. در HUB1 و HUB2 هر کدام دو تونل ایجاد شده است که یکی از آنها در DMVPN مشترک با HUB مرکزی است و دیگری در DMVPN مشترک با Spoke است. محدوده آدرس های دیگر DMVPN ها 172.16.1.0/24 و 172.16.2.0/24 است.

از دید روترهای Spoke روترهای HUB محلی نقش NHRP Server را دارند. اما از دید روترهای HUB محلی، روتر HUB مرکزی نقش NHRP Server را دارد.

پروتکل مسیریابی EIGRP پروتکلی است که روی نسخه Hierarchical پیاده سازی شده است. بنا بر دلایلی که در بخش های قبلی آن را توصیف کرده ایم، دو ویژگی split-horizon و next-hop-self در تونل HUB مرکزی غیر فعال شده است. همچنین در HUB1 و HUB2 نیز روی تونل های پایینی، که با Spoke ایجاد شده است، این دو ویژگی غیر فعال می گردد.

!!! HUB

interface Tunnel0

 ip address 172.16.0.10 255.255.255.0

 no ip redirects

 no ip next-hop-self eigrp 1

 no ip split-horizon eigrp 1

 ip nhrp authentication rayka

 ip nhrp map multicast dynamic

 ip nhrp network-id 123

 tunnel source Ethernet0/0

 tunnel mode gre multipoint

 tunnel key 123

!

router eigrp 1

 network 10.0.0.0

 network 172.16.0.0

!

!!! HUB1

!

interface Tunnel0

 ip address 172.16.0.1 255.255.255.0

 no ip redirects

 ip nhrp authentication rayka

 ip nhrp map 172.16.0.10 12.1.0.2

 ip nhrp map multicast 12.1.0.2

 ip nhrp network-id 123

 ip nhrp nhs 172.16.0.10

 tunnel source Ethernet0/0

 tunnel mode gre multipoint

 tunnel key 123

!

interface Tunnel1

 ip address 172.16.1.10 255.255.255.0

 no ip redirects

 no ip next-hop-self eigrp 1

 no ip split-horizon eigrp 1

 ip nhrp authentication rayka1

 ip nhrp map multicast dynamic

 ip nhrp network-id 1234

 tunnel source Ethernet0/0

 tunnel mode gre multipoint

 tunnel key 1234

!

router eigrp 1

 network 10.0.0.0

 network 172.16.0.0

!

!!! HUB2

!

interface Tunnel0

 ip address 172.16.0.2 255.255.255.0

 no ip redirects

 ip nhrp authentication rayka

 ip nhrp map 172.16.0.10 12.1.0.2

 ip nhrp map multicast 12.1.0.2

 ip nhrp network-id 123

 ip nhrp nhs 172.16.0.10

 tunnel source Ethernet0/0

 tunnel mode gre multipoint

 tunnel key 123

!

interface Tunnel1

 ip address 172.16.2.10 255.255.255.0

 no ip redirects

 no ip next-hop-self eigrp 1

 no ip split-horizon eigrp 1

 ip nhrp authentication rayka2

 ip nhrp map multicast dynamic

 ip nhrp network-id 12345

 tunnel source Ethernet0/0

 tunnel mode gre multipoint

 tunnel key 12345

!

router eigrp 1

 network 10.0.0.0

 network 172.16.0.0

!

!!! Spoke1

interface Tunnel1

 ip address 172.16.1.1 255.255.255.0

 no ip redirects

 ip nhrp authentication rayka1

 ip nhrp map 172.16.1.10 12.1.1.2

 ip nhrp map multicast 12.1.1.2

 ip nhrp network-id 1234

 ip nhrp nhs 172.16.1.10

 tunnel source Ethernet0/0

 tunnel mode gre multipoint

 tunnel key 1234

!

router eigrp 1

 network 10.0.0.0

 network 172.16.0.0

!

!!! Spoke2

interface Tunnel1

 ip address 172.16.2.1 255.255.255.0

 no ip redirects

 ip nhrp authentication rayka2

 ip nhrp map 172.16.2.10 12.1.2.2

 ip nhrp map multicast 12.1.2.2

 ip nhrp network-id 12345

 ip nhrp nhs 172.16.2.10

 tunnel source Ethernet0/0

 tunnel mode gre multipoint

 tunnel key 12345

!

router eigrp 1

 network 10.0.0.0

 network 172.16.0.0

پیاده سازی Hierarchical DMVPN Phase 2

با توجه به خروجی ذیل، در اولین ترافیک ارسالی از Spoke1-1 به Spoke2-1 ترافیک از HUB های محلی و HUB مرکزی عبور می کند اما در ترافیک های بعدی ترافیک صرفا از HUB های محلی عبور می کند. ترافیک بین دو Spoke از دو استان مختلف هیچگاه به طور مستقیم جابجا نمی گردد و همواره از HUB های محلی عبور می کند.

Spoke1-1#traceroute 10.10.21.1 source 10.10.11.1

Type escape sequence to abort.

Tracing the route to 10.10.21.1

VRF info: (vrf in name/id, vrf out name/id)

  1 172.16.1.10 14 msec 14 msec 13 msec

  2 172.16.0.10 32 msec

    172.16.0.2 17 msec 19 msec

  3 172.16.2.1 23 msec 21 msec 23 msec

!

Spoke1-1#traceroute 10.10.21.1 source 10.10.11.1

Type escape sequence to abort.

Tracing the route to 10.10.21.1

VRF info: (vrf in name/id, vrf out name/id)

  1 172.16.1.10 12 msec 24 msec 16 msec

  2 172.16.0.2 14 msec 17 msec 15 msec

  3 172.16.2.1 33 msec 35 msec 22 msec

!

Spoke1-1#traceroute 10.10.21.1 source 10.10.11.1

Type escape sequence to abort.

Tracing the route to 10.10.21.1

VRF info: (vrf in name/id, vrf out name/id)

  1 172.16.1.10 12 msec 16 msec 16 msec

  2 172.16.0.2 18 msec 28 msec 16 msec

  3 172.16.2.1 21 msec 36 msec 25 msec

در Hierarchical DMVPN Phase 2 ترافیک بین دو Spoke از دو بخش مختلف از HUB های محلی عبور می کند

نوشتن دیدگاه


تصویر امنیتی
تصویر امنیتی جدید