Dynamic Multipoint Virtual Private Network

Das Dynamic Multipoint Virtual Private Network (DMVPN) wird in Hub-and-Spoke-Netzwerken angewandt um den Hub-Router zu entlasten, falls mehrere Spoke-Router untereinander Verbindungen aufbauen wollen. DMVPN ist Cisco-proprietär und gehört, trotz "dynamic" in seinem Namen, zu Site-to-Site-VPN.

Jeder Spoke-Router hat einen permanenten IPsec Tunnel zu Hub-Router (rote Linien), und die temporären IPsec Tunnels zwischen einzelnen Spoke-Routern werden dynamisch, nach Bedarf, aufgebaut (gestrichelte Linien).

Verwendung

Die Konfiguration der traditionellen VPN-Verbindungen in Hub-and-Spoke Umgebung kann ziemlich groß und kompliziert ausfallen, abhängig von Anzahl der Spoke-Router. Jeder Hub-Router braucht eigene ISAKMP peer statements, GRE-Tunnels, crypto-ACLs und crypto maps.

DMVPN löst viele Probleme durch Verwendung schon vorhandener Techniken, wie IPsec, GRE-Tunnels und NHRP (Next Hop Resolution Protocol). Bei Hub-Router wird nur ein mGRE Interface und ein IPsec Profil für alle Verbindungen verwendet. Sogar wenn ein neuer Spoke-Router hinzugefügt wird, müssen keine weitere Einstellungen an Hub-Router vorgenommen werden.

Verbindungsaufbau

Spoke-Router erfahren voneinander mit Hilfe eines dynamischen Routingprotokolls. (Meistens OSPF oder EIGRP, aber auch andere Protokolle werden unterstützt). Dazu unterstützt DMVPN mehrere Hub-Router, sodass die Verbindungen redundant ausgelegt werden können. DMVPN ist vollvermascht, dadurch ist auch Loadbalancing möglich.^[1]

Verbreitung

DMVPN wird unter anderem bei Geldautomaten und anderen POS-Terminals eingesetzt um eine möglichst hohe Ausfallsicherheit zu garantieren.^[2][3]

Weblink

• cisco.com/... – DMVPN-Überblick (englisch; PDF-Datei)