DMVPN Cisco : architecture hub-and-spoke et configuration Phase 3
·2 min de lecture·292 mots
DMVPN Phase 3 (Dynamic Multipoint VPN) Cisco pour hub-spoke avec spoke-to-spoke dynamique. Successeur de VPN site-à-site point-à-point classique. Scale à 500+ spokes. Guide config DMVPN Phase 3 avec NHRP + mGRE + IPsec.
Phases DMVPN
- Phase 1 : hub-spoke uniquement (trafic inter-spoke via hub)
- Phase 2 : spoke-to-spoke dynamique mais routing complex
- Phase 3 : spoke-to-spoke + routing simple (standard moderne)
- NHRP : Next Hop Resolution Protocol pour découverte spokes
Composants
- mGRE (multipoint GRE) : 1 tunnel logique multipoint
- NHRP : mapping tunnel IP → IP publique spoke
- IPsec : chiffrement du trafic GRE
- IGP : EIGRP / OSPF pour routes (pas BGP obligatoire)
Configuration hub
- interface Tunnel0
- ip address 10.0.0.1 255.255.255.0
- ip nhrp authentication NhrpPass
- ip nhrp network-id 1
- ip nhrp map multicast dynamic
- ip nhrp redirect (Phase 3)
- ip ospf network point-to-multipoint
- tunnel source GigabitEthernet0/0
- tunnel mode gre multipoint
- tunnel protection ipsec profile IPSEC-PROF
Configuration spoke
- interface Tunnel0
- ip address 10.0.0.2 255.255.255.0
- ip nhrp authentication NhrpPass
- ip nhrp network-id 1
- ip nhrp nhs 10.0.0.1 (IP hub tunnel)
- ip nhrp map 10.0.0.1 203.0.113.1 (IP publique hub)
- ip nhrp shortcut (Phase 3)
- tunnel source GigabitEthernet0/0
- tunnel mode gre multipoint
- tunnel protection ipsec profile IPSEC-PROF
Routing EIGRP
- router eigrp 100
- network 10.0.0.0 0.0.0.255
- no auto-summary
- Sur hub : no split-horizon (requis pour Phase 2)
- Phase 3 : désactive split-horizon différemment
Scale et limitations
- Hub : 500-1000 spokes max selon hardware
- Redundancy : 2 hubs pour HA
- NHRP cache : troubleshooting critique
- Alternative moderne : SD-WAN (Cisco Catalyst 8000 avec Viptela)
DMVPN vs SD-WAN
- DMVPN : bricolage solide, pas de controller
- SD-WAN : orchestration centralisée, meilleure UX, features modernes
- Trend 2026 : migration DMVPN → SD-WAN progressive
Commander chez OPTINOC
DMVPN Cisco ISR/ASR. Migration vers SD-WAN Catalyst 8000. Formation + POC. Devis sous 48h.