DMVPN Grundlagen: Hub-and-Spoke skalierbar bauen

DMVPN (Dynamic Multipoint VPN) ist ein Cisco-Overlay-Design, mit dem du Hub-and-Spoke-Netze deutlich skalierbarer aufbauen kannst als mit vielen statischen Site-to-Site-Tunneln. Technisch kombiniert DMVPN mGRE (Multipoint GRE) für flexible Tunnel, NHRP (Next Hop Resolution Protocol) für dynamische Peer-Auflösung und IPsec für Verschlüsselung. Das Ergebnis: Spokes bauen zunächst einen sicheren Tunnel zum Hub auf und können – je nach DMVPN-Phase – sogar dynamisch direkte Spoke-to-Spoke-Tunnel für Datenverkehr aufbauen.

Warum klassisches Hub-and-Spoke nicht skaliert

Mit klassischen Punkt-zu-Punkt-IPsec-Tunneln musst du pro Spoke meist einen eigenen Tunnel und eigene Crypto-Parameter pflegen. Das wird mit vielen Standorten schnell unübersichtlich und fehleranfällig.

• Viele Spokes → viele statische Tunnel/Peers
• Hoher Betriebsaufwand (Keys, ACLs, Crypto Maps)
• Spoke-to-Spoke-Traffic läuft oft unnötig über den Hub (Tromboning)

Was DMVPN ausmacht: mGRE + NHRP + IPsec

DMVPN ist kein einzelnes Protokoll, sondern eine Architektur. mGRE erlaubt einen Tunnel mit vielen Peers, NHRP „mappt“ Tunnel-IPs auf öffentliche NBMA-IPs, und IPsec schützt den Verkehr.

• mGRE: ein Tunnel-Interface, viele dynamische Peers
• NHRP: dynamische Zuordnung von Overlay-IP ↔ Underlay-IP
• IPsec: Verschlüsselung/Integrität (typisch via IPsec Profile)

Merker

$\text{DMVPN}=\text{mGRE}+\text{NHRP}+\text{IPsec}$

Die Rollen: Hub und Spokes

Der Hub ist der zentrale NHRP-Server und initialer Ankerpunkt. Spokes registrieren sich beim Hub, bekommen Informationen über andere Spokes (je nach Phase) und können darüber dynamisch direkte Pfade aufbauen.

• Hub: NHRP-Server, stabil erreichbar, zentrale Policy
• Spoke: NHRP-Client, baut Tunnel zum Hub, optional zu anderen Spokes
• Overlay: Tunnel-Netz (z. B. 10.0.0.0/24)
• NBMA: öffentliche/Underlay-IP (WAN/Internet)

DMVPN Phasen: 1, 2, 3 kurz eingeordnet

Die Phasen unterscheiden sich vor allem darin, wie Spoke-to-Spoke-Traffic geroutet wird und wie viel der Hub „mitlenkt“. Für Einsteiger reicht die Orientierung: Phase 1 ist rein Hub-and-Spoke, Phase 2/3 ermöglichen dynamische Spoke-to-Spoke-Pfade.

• Phase 1: Spokes sprechen nur mit Hub (kein direkter Spoke-to-Spoke)
• Phase 2: Spokes können direkt sprechen, benötigen meist spezifischere Routen
• Phase 3: skalierbarer, Hub kann Redirects geben, Spokes nutzen Shortcuts

Beispiel-Adressplan (praxisnah)

Ein konsistenter Plan erleichtert Betrieb und Troubleshooting. Das Overlay ist ein gemeinsames Tunnel-Netz, das Underlay sind die WAN-Public-IPs.

• Hub NBMA (Public): 203.0.113.2
• Spoke1 NBMA (Public): 198.51.100.2
• Spoke2 NBMA (Public): 192.0.2.2
• Overlay (Tunnel): 10.0.0.0/24 (Hub: 10.0.0.1)
• NHRP Network-ID: 10

Konzept-Konfiguration: Hub (mGRE + NHRP + IPsec Profile)

Auf dem Hub wird das Tunnel-Interface als multipoint konfiguriert. Der Hub ist NHRP-Server und akzeptiert Registrierungen von Spokes. Für Security wird IPsec meist als tunnel protection ipsec profile angebunden (statt Crypto Map am WAN).

Hub Tunnel Interface (Prinzip)

Hub# configure terminal
Hub(config)# interface tunnel0
Hub(config-if)# description DMVPN-HUB
Hub(config-if)# ip address 10.0.0.1 255.255.255.0
Hub(config-if)# tunnel source 203.0.113.2
Hub(config-if)# tunnel mode gre multipoint
Hub(config-if)# ip nhrp network-id 10
Hub(config-if)# ip nhrp authentication DMVPNKEY
Hub(config-if)# ip nhrp map multicast dynamic
Hub(config-if)# end

IPsec Profile (Prinzip)

Hub(config)# crypto ipsec profile DMVPN-PROFILE
Hub(ipsec-profile)# set transform-set TS_AES256_SHA
Hub(ipsec-profile)# end
Hub(config)# interface tunnel0

Hub(config-if)# tunnel protection ipsec profile DMVPN-PROFILE

Hub(config-if)# end

Konzept-Konfiguration: Spoke (mGRE/NHRP Client + Hub Mapping)

Der Spoke definiert den Hub als NHRP-NHS (Next Hop Server) und mappt die Hub-Overlay-IP auf die Hub-NBMA-IP. Multicast wird auf den Hub gemappt, damit Routing-Protokolle funktionieren.

Spoke Tunnel Interface (Prinzip)

Spoke1# configure terminal
Spoke1(config)# interface tunnel0
Spoke1(config-if)# description DMVPN-SPOKE1
Spoke1(config-if)# ip address 10.0.0.11 255.255.255.0
Spoke1(config-if)# tunnel source 198.51.100.2
Spoke1(config-if)# tunnel mode gre multipoint
Spoke1(config-if)# ip nhrp network-id 10
Spoke1(config-if)# ip nhrp authentication DMVPNKEY
Spoke1(config-if)# ip nhrp nhs 10.0.0.1
Spoke1(config-if)# ip nhrp map 10.0.0.1 203.0.113.2
Spoke1(config-if)# ip nhrp map multicast 203.0.113.2
Spoke1(config-if)# end

IPsec Profile am Spoke (Prinzip)

Spoke1(config)# crypto ipsec profile DMVPN-PROFILE
Spoke1(ipsec-profile)# set transform-set TS_AES256_SHA
Spoke1(ipsec-profile)# end
Spoke1(config)# interface tunnel0

Spoke1(config-if)# tunnel protection ipsec profile DMVPN-PROFILE

Spoke1(config-if)# end

Routing über DMVPN: dynamisch oder statisch

DMVPN ist am stärksten mit dynamischem Routing (z. B. EIGRP/OSPF/BGP), weil neue Spokes dann automatisch erreichbar werden. Wichtig ist, dass Multicast/NHRP korrekt ist, damit IGP-Hellos und Updates funktionieren.

• Dynamisch (empfohlen): EIGRP/OSPF über Tunnel0
• Statisch: möglich, aber weniger flexibel bei vielen Spokes
• Bei Phase 3: häufig Default/summary Richtung Hub

EIGRP über Tunnel (Beispielprinzip)

router eigrp 100
 network 10.0.0.0 0.0.0.255
 passive-interface default
 no passive-interface tunnel0

Skalierung und Betrieb: Warum DMVPN „hub-and-spoke“ besser macht

Die Skalierung entsteht durch die Trennung von Overlay/Underlay und durch dynamische Registrierung. Du musst nicht für jeden neuen Spoke statische Punkt-zu-Punkt-Tunnel bauen, sondern bringst ihn mit wenigen, standardisierten Parametern online.

• Standardisierte Spoke-Templates
• Nur ein Hub-Tunnel für viele Spokes
• Optionale Spoke-to-Spoke-Optimierung (Phase 2/3)

Typische Stolperfallen in DMVPN-Setups

DMVPN-Probleme sind oft keine „IPsec-Probleme“, sondern NHRP/Multicast/Routing-Themen. Die häufigsten Fehler sind falsche NHRP-IDs, fehlendes Multicast-Mapping oder Underlay-Erreichbarkeit.

• Underlay nicht erreichbar (Default Route, ACLs, NAT)
• NHRP Network-ID/Authentication mismatch
• Multicast nicht korrekt gemappt → Routing-Protokoll kommt nicht hoch
• IPsec Profile/Transform mismatch → Tunnel up, aber kein Traffic
• MTU/MSS-Probleme bei Overhead

MSS-Clamping als Praxisfix (häufig bei DMVPN/IPsec)

interface tunnel0
 ip tcp adjust-mss 1360

Verifikation: Die wichtigsten Show-Befehle

DMVPN musst du auf drei Ebenen prüfen: (1) Tunnel-Interface, (2) NHRP-Registrierung/Maps, (3) IPsec-SAs/Counters. So erkennst du schnell, wo es klemmt.

Tunnel und Routing prüfen

show ip interface brief | include Tunnel0
show interfaces tunnel0
show ip route 10.0.0.0

NHRP prüfen

show ip nhrp
show ip nhrp detail

IPsec prüfen

show crypto isakmp sa
show crypto ipsec sa

Konfiguration speichern

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.