DMVPN網(wǎng)絡(luò)中動(dòng)態(tài)隧道建立的方法，DMVPN網(wǎng)絡(luò)配置有很多相似的地方，下面主要介紹DMVPN網(wǎng)絡(luò)中動(dòng)態(tài)隧道建立的方法。其實(shí)也能看出DMVPN網(wǎng)絡(luò)方面的一些端倪，融會(huì)貫通之后，一切都很簡(jiǎn)單。

NHRP：下一跳解析協(xié)議。由IETF在RFC 2332中定義。用于解決非廣播多路訪問(wèn)（NBMA）網(wǎng)絡(luò)上的源節(jié)點(diǎn)（主機(jī)或路由器）如何獲取到達(dá)目標(biāo)節(jié)點(diǎn)的“下一跳”的互聯(lián)網(wǎng)絡(luò)層地址和NBMA子網(wǎng)地址。下面咱們一起看看 NHRP 是如何解決靜態(tài)IP地址問(wèn)題，而讓 VPN “動(dòng)”起來(lái)的：

分支到中心（Spoke−to−Hub）的動(dòng)態(tài)隧道建立

DMVPN網(wǎng)絡(luò)中，中心路由器上沒(méi)有關(guān)于分支的GRE或IPSec配置信息，而在分支路由器上則必須依據(jù)中心路由器的公網(wǎng)IP地址和NHRP協(xié)議來(lái)配置GRE隧道。當(dāng)分支路由器加電啟動(dòng)時(shí)，由ISP處通過(guò)DHCP獲取IP地址，并自動(dòng)建立IPSec加密的GRE隧道，通過(guò)NHRP向中心路由器注冊(cè)自己的外網(wǎng)端口IP地址（貌似反彈連接）。

這樣做有三方面的原因：1、由于分支路由器外網(wǎng)端口的IP地址是自動(dòng)獲取的，每次上線時(shí)的IP地址可能不同，所以中心路由器無(wú)法根據(jù)該地址信息進(jìn)行配置。2、中心路由器不必針對(duì)所有分支分別配置GRE或IPSec信息，將大大簡(jiǎn)化中心路由器的配置。

所有相關(guān)信息可通過(guò)NHRP自動(dòng)獲取。（即：分支向中心匯報(bào)各自特征）3、當(dāng)DMVPN網(wǎng)絡(luò)擴(kuò)展時(shí)，不必改動(dòng)中心路由器和其它分支路由器的配置。通過(guò)動(dòng)態(tài)路由協(xié)議，新加入的分支路由器將自動(dòng)注冊(cè)到中心路由器。這樣，所有其它分支路由器可以學(xué)到這條新的路由，新加入的分支路由器也可以學(xué)到到達(dá)其它所有路由器的路由信息，直至收斂。（中心路由器猶如OSPF的DR）

分支到分支（Spoke−to−Spoke）的動(dòng)態(tài)隧道建立

在DMVPN網(wǎng)絡(luò)中，分支到中心（Spoke−to−Hub）的隧道一旦建立便持續(xù)存在，但是各分支之間并不需要直接配置持續(xù)的隧道。當(dāng)一個(gè)分支需要向另一個(gè)分支傳遞數(shù)據(jù)包時(shí)，它利用NHRP來(lái)動(dòng)態(tài)獲取目的分支的IP地址。

該過(guò)程中，中心路由器充當(dāng)NHRP服務(wù)器的角色，響應(yīng)NHRP請(qǐng)求，向源分支提供目標(biāo)分支的公網(wǎng)地址。于是，兩個(gè)分支之間通過(guò)mGRE端口動(dòng)態(tài)建立IPSec隧道，進(jìn)行數(shù)據(jù)傳輸。該隧道在預(yù)定義的周期之后將自動(dòng)拆除。

DMVPN網(wǎng)絡(luò)中，分支到中心（Spoke−to−Hub）的隧道一旦建立便持續(xù)存在，而各分支之間并沒(méi)有持續(xù)存在的隧道。這樣，在路由器初始化后，中心路由器會(huì)通過(guò)持續(xù)存在的隧道向分支路由器宣告其它分支子網(wǎng)的可達(dá)路由。到這里，似乎”多點(diǎn)””動(dòng)態(tài)”的問(wèn)題都解決了，DMVPN可以正常工作了是吧？

非也！目前，分支路由器的路由表中到達(dá)其它分支子網(wǎng)的“下一跳”地址仍是中心路由器的隧道端口地址，而不是其它分支路由器的隧道端口地址。如此一來(lái)，分支與分支之間的數(shù)據(jù)傳輸還是會(huì)通過(guò)中心路由器。

要解決這一問(wèn)題，必須在中心路由器上設(shè)置為在mGRE隧道端口上宣告某一分支子網(wǎng)的可達(dá)路由時(shí)“下一跳”地址是該分支路由器的隧道端口地址，而非中心路由器的地址。在RIP或EIGRP等距離向量型路由協(xié)議中，通常都實(shí)現(xiàn)了水平分割（split horizon）功能，阻止將路由信息發(fā)回到其來(lái)源端口，以避免相鄰路由器上路由環(huán)路的產(chǎn)生。

如果在DMVPN網(wǎng)絡(luò)上運(yùn)行RIP或EIGRP協(xié)議，則必須關(guān)閉水平分割（split horizon）功能。否則，分支路由器將無(wú)法學(xué)習(xí)到通往其它分支子網(wǎng)的路由。對(duì)RIP而言，no split horizon 就大功告成了，因?yàn)镽IP向路由信息來(lái)源端口發(fā)送該路由時(shí)，其“下一跳”地址不被改變，仍然是原來(lái)的地址（即:目標(biāo)地址）。

但EIGRP在向路由信息來(lái)源端口發(fā)送該路由時(shí)，其“下一跳”地址將改變?yōu)樵摱丝诘牡刂?。所以，必須關(guān)閉這一特性。(EIGRP是CISCO公司的私有協(xié)議，關(guān)閉這一特性的IOS命令為no ip next−hop−self eigrp )。

OSPF是鏈路狀態(tài)型路由協(xié)議，其本身就不存在水平分割（split horizon）問(wèn)題。但在配置OSPF網(wǎng)絡(luò)類型時(shí)，應(yīng)配置為廣播型而不要使用點(diǎn)到多點(diǎn)型，否則，仍然會(huì)導(dǎo)致上述的問(wèn)題。另外需要注意的是，必須把DMVPN的中心路由器（Hub）配置為OSPF的指定路由器（DR），可以通過(guò)指定中心路由器（Hub）有更高的OSPF優(yōu)先權(quán)來(lái)實(shí)現(xiàn)。

最后，總結(jié)下DMVPN的整體解決方案:DMVPN是通過(guò)多點(diǎn)GRE（mGRE）和下一跳解析協(xié)議（NHRP）與IPSec相結(jié)合實(shí)現(xiàn)的。在DMVPN解決方案中，利用IPSec實(shí)現(xiàn)加密功能，利用GRE或多點(diǎn)GRE（mGRE）建立隧道，利用NHRP解決分支節(jié)點(diǎn)的動(dòng)態(tài)地址問(wèn)題。

DMVPN只要求中心節(jié)點(diǎn)必須申請(qǐng)靜態(tài)的公共IP地址。（如果用 DNS 的話，中心節(jié)點(diǎn)不是也可以動(dòng)態(tài)了嗎？）GRE隧道支持多播或廣播（multicast/broadcast）IP包在隧道內(nèi)傳輸。因此，DMVPN網(wǎng)絡(luò)支持在IPSec和mGRE隧道之上運(yùn)行動(dòng)態(tài)路由協(xié)議。

需要指出的是，NHRP必須被配置為動(dòng)態(tài)多播映射，這樣，當(dāng)分支路由器在NHRP服務(wù)器（中心路由器）上注冊(cè)單播映射地址時(shí)，NHRP會(huì)同時(shí)為這個(gè)分支路由器建立一個(gè)多播/廣播（multicast/broadcast）映射簡(jiǎn)單的說(shuō)dmvpn 的核心是nhrp，nhrp類似arp，arp協(xié)議的作用是ip地址到mac地址的解析。nhrp在dmvpn中是把內(nèi)部vpn的地址到nbma地址（外部地址）的解析。具體解析過(guò)程是：
◆在ｎｈｒｐ協(xié)議中存在nhrp server和nhrp　client
◆server必須是靜態(tài)地址，client可以是動(dòng)態(tài)地址。
◆client加電后從isp獲得一個(gè)公網(wǎng)地址
◆client向server進(jìn)行地址注冊(cè)。
◆當(dāng)client和client需要通信的時(shí)候，client向server方向發(fā)送解析請(qǐng)求。
◆server收到解析請(qǐng)求后轉(zhuǎn)發(fā)到對(duì)應(yīng)的client上。
◆client向client發(fā)送解析應(yīng)答。
◆在整個(gè)過(guò)程中數(shù)據(jù)包是經(jīng)過(guò)vpn處理的，因?yàn)閏lient必須先和server進(jìn)行vpn連接。
◆dmvpn在第一階段，第二階段、第三階段的處理流程和功能不同。