March 4, 2026

Cisco-Router-Konfiguration für DMVPN: Hub-and-Spoke-Lösung in großem Maßstab

DMVPN (Dynamic Multipoint VPN) ist eine bewährte Cisco-Hub-and-Spoke-Lösung, um sehr viele Standorte skalierbar über das Internet anzubinden. Statt für jede Filiale einen separaten statischen Tunnel zu pflegen, nutzt DMVPN mGRE (Multipoint GRE), NHRP (Next Hop Resolution Protocol) und IPsec, um dynamische Tunnelbeziehungen aufzubauen und Routing effizient zu verteilen. Das macht Rollouts, Erweiterungen und Betrieb deutlich einfacher – vorausgesetzt, Templates, Standardparameter und ein klares Design (Phase, Routing, MTU/MSS, Monitoring) sind sauber umgesetzt.

Was DMVPN im großen Maßstab leistet

DMVPN skaliert, weil es Konfiguration und Betrieb zentralisiert: Spokes brauchen nur den Hub als Ankerpunkt, neue Standorte werden über Standardtemplates hinzugefügt, und Spoke-to-Spoke-Verkehr kann – je nach DMVPN-Phase – dynamisch optimiert werden.

  • Skalierung: hunderte bis tausende Spokes mit einheitlichem Template
  • Weniger Konfigaufwand: keine statischen Tunnel-Paare pro Standort
  • Optional: Spoke-to-Spoke dynamisch (Traffic-Optimierung)
  • Routing über Tunnel: OSPF/EIGRP (typisch) oder statisch nach Design
  • Betrieb: klare Runbooks (NHRP-Status, IPsec SAs, Routing-Nachbarn)

DMVPN-Bausteine: mGRE, NHRP und IPsec

DMVPN besteht aus drei Komponenten, die zusammenarbeiten. Für Troubleshooting und Design ist wichtig, jede Schicht getrennt prüfen zu können.

  • mGRE: ein Tunnelinterface am Hub für viele Spokes (multipoint)
  • NHRP: Zuordnung „Tunnel-IP ↔ öffentliche NBMA-IP“ (dynamische Auflösung)
  • IPsec: Verschlüsselung/Integrität für den Tunnelverkehr

Designentscheidung: DMVPN-Phase und gewünschtes Traffic-Verhalten

Die DMVPN-Phase bestimmt, ob und wie Spokes direkt miteinander kommunizieren. Für große Umgebungen wird häufig ein stabiles Hub-and-Spoke-Verhalten bevorzugt, bevor man Spoke-to-Spoke optimiert.

  • Phase 1: reines Hub-and-Spoke (stabil, einfach, kein dynamisches Spoke-to-Spoke)
  • Phase 2: dynamisches Spoke-to-Spoke, aber Routing-Design anspruchsvoller
  • Phase 3: skalierbarer für große Netze, weil Summarization/Redirect/Shortcut genutzt wird

Praxisregel: Erst Stabilität, dann Optimierung

Starten Sie in großen Umgebungen mit einem stabilen Verhalten (häufig Phase 1 oder ein konservatives Phase-3-Design) und definieren Sie Abnahmekriterien, bevor Sie Spoke-to-Spoke breit aktivieren.

Adressierung und Skalierung: Tunnel-IP-Plan als Fundament

DMVPN skaliert am besten mit einem klaren Tunnel-IP-Schema. Üblich ist ein gemeinsames Tunnelnetz (z. B. /16 oder /24 je Design) und pro Standort eine eindeutige Tunnel-IP, die als Router-ID oder Routing-Identität dienen kann.

Subnetting-Orientierung: genügend Platz für viele Spokes

Wenn Sie z. B. 1000 Spokes planen, benötigen Sie ein Tunnelnetz mit mindestens 1000 Hostadressen. Ein /22 bietet 1024 Adressen (1022 nutzbar) und kann als kleiner Skalierungsblock dienen.

210 = 1024

Template-Strategie: Golden Config + Standortvariablen

DMVPN im großen Maßstab ist ohne Standardisierung nicht betreibbar. Trennen Sie Baseline (Crypto, NHRP-Parameter, Monitoring) von Standortvariablen (Tunnel-IP, WAN-IP, Schlüsselmaterial).

  • Golden Config: Tunnel-/NHRP-Standards, IPsec-Profile, Logging/NTP, Runbook-Checks
  • Variablen: Hostname/SiteID, Tunnel-IP, NBMA/WAN-IP, Hub-NBMA-IP, PSK/Zertifikat
  • Versionierung: Konfigs im Repo, Ticket-ID, Peer-Review
  • Drift-Control: Soll/Ist-Abgleich für Spokes

Konzeptmuster: Hub-Konfiguration (mGRE + NHRP)

Der Hub stellt das mGRE-Interface bereit und agiert als NHRP-Server. Im Betrieb müssen Tunnelstatus, NHRP-Registrierungen und IPsec SAs sauber überprüfbar sein.

Beispiel: Hub mGRE/NHRP (Auszug, Platzhalterwerte)

interface Tunnel0
 description DMVPN-HUB
 ip address 172.16.0.1 255.255.0.0
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 ip nhrp network-id 10
 ip nhrp map multicast dynamic
 no shutdown

Konzeptmuster: Spoke-Konfiguration (NHRP zum Hub)

Der Spoke nutzt ein Tunnelinterface mit NHRP-Mapping zum Hub. Dadurch kann er sich registrieren und über den Hub Routen austauschen. In Templates sind vor allem Tunnel-IP und WAN-Interface variabel.

Beispiel: Spoke NHRP-Mapping (Auszug, Platzhalterwerte)

interface Tunnel0
 description DMVPN-SPOKE-SITE12
 ip address 172.16.12.1 255.255.0.0
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 ip nhrp network-id 10
 ip nhrp nhs 172.16.0.1
 ip nhrp map 172.16.0.1 203.0.113.10
 ip nhrp map multicast 203.0.113.10
 no shutdown

Routing über DMVPN: EIGRP/OSPF stabil betreiben

Für große DMVPN-Umgebungen wird häufig EIGRP oder OSPF genutzt. Wichtig sind passive-interfaces, stabile Router-IDs und – je nach Phase – Summarization/Stub-Designs, damit Routing-Updates beherrschbar bleiben.

  • EIGRP: sehr beliebt in Cisco-DMVPN, schnelle Konvergenz
  • OSPF: herstellerneutral, Area-Design und Summarization wichtig
  • Stabilität: passive-interface default, nur Tunnel aktiv

Beispiel: EIGRP über Tunnel (Spoke-Muster)

router eigrp 100
 passive-interface default
 no passive-interface Tunnel0
 network 172.16.0.0 0.0.255.255
 network 10.12.0.0 0.0.255.255

MTU/MSS: Pflichtbaustein für große DMVPN-Umgebungen

DMVPN nutzt GRE und IPsec und erzeugt Overhead. Ohne MTU/MSS-Strategie entstehen Fragmentierung und sporadische Timeouts, die im großen Maßstab schwer zu debuggen sind. MSS-Clamping ist ein pragmatischer Standard.

Beispiel: MSS-Clamping (Startwert, anpassen nach Provider/Design)

interface GigabitEthernet0/1
 ip tcp adjust-mss 1360

Monitoring und Betrieb: Standard-Checks für Hub und Spokes

DMVPN ist nur dann operativ beherrschbar, wenn Sie NHRP, Tunnelstatus, Routing und IPsec systematisch überwachen. Im Incident trennen Sie die Schichten: Tunnel up? NHRP registriert? IPsec zählt Pakete? Routing-Nachbar ok?

Runbook-Checks (Pflicht)

show ip interface brief | include Tunnel
show interface Tunnel0
show ip nhrp
show crypto ikev2 sa
show crypto ipsec sa
show crypto session detail
show ip route
show logging | last 50

Erwartete Ergebnisse

  • Hub sieht alle registrierten Spokes in NHRP
  • Spoke hat NHRP-Resolution zum Hub
  • IPsec SAs sind aktiv und Paketzähler steigen bei Traffic
  • Routing über Tunnel ist stabil (keine Flaps)

Rollout im großen Maßstab: Pilot, Wellen und Drift-Kontrolle

DMVPN-Rollouts sollten in Wellen erfolgen. Beginnen Sie mit einem Pilot (wenige Spokes), stabilisieren Sie Parameter und Monitoring und skalieren Sie dann. Drift-Kontrolle ist wichtig, damit Standorte nicht „auseinanderlaufen“.

  • Pilot: 3–5 Spokes, vollständige Abnahme inkl. MTU/MSS, Routing, Failover
  • Wellen-Rollout: definierte Batchgrößen je Teamkapazität
  • Standardisierte Abnahme: gleiche Checks, gleiche Dokumentation
  • Drift-Control: regelmäßiger Soll/Ist-Abgleich der Templates

Typische Fehlerbilder in DMVPN (und schnelle Ursachen)

DMVPN-Probleme sind meist falsch gesetzte NHRP-Maps, NAT/No-NAT-Themen, MTU/MSS oder Routing-Designfehler. Mit standardisierten Checks lassen sich die Ursachen schnell eingrenzen.

  • Tunnel up, kein Routing: Routing nicht auf Tunnel aktiv, passive-interface falsch
  • NHRP leer am Hub: Spoke registriert nicht (NBMA-IP, NHS, Network-ID)
  • IPsec SA up, aber keine Pakete: NAT/Firewall blockt, selektoren/Profil falsch
  • Nur manche Apps: MTU/MSS/PMTUD-Probleme
  • Routing instabil: fehlende Summarization/Stub, zu viele Updates/LSAs

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

  • Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

  • Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

  • Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

  • Optional Security: Basic ACLs und SSH-Hardening

  • Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

  • Packet Tracer .pkt Datei

  • ✅ Saubere Konfigurations-Notizen pro Gerät

  • ✅ Verifikations-Checkliste + erwartete Outputs

  • ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.

Related Articles

Netzwerkarchitektur-Checkliste mit Cisco-Routern: Von Requirements zu Design

Standardisierung der Management-Plane-Sicherheit für Cisco-Router: Richtlinien und Umsetzung

Professionelle FAQ zu Cisco-Router-Konfigurationsservices: Scope, SLA und Security

AAA-Konfiguration auf Cisco-Routern mit TACACS+/RADIUS: Design und Betrieb

Leitfaden zur Erstellung von BoQ & Projektkalkulation für Cisco-Router (für IT-Manager)

Segmentierung des Admin-Zugriffs auf Cisco-Routern: Management-ACLs, VRF Mgmt und Jump Host

Cisco Router Professional Services: Delivery-Modelle für kritische Projekte

Zentrales Logging für Cisco-Router: Syslog-Architektur und Best Practices

Cisco Router Implementation Playbook: Projektstandard für konsistente Ergebnisse in Production

Cisco Router Network Time (NTP) für Audits: Warum Pflicht und wie implementieren

Backup-Strategie für Cisco-Router: Frequenz, Verschlüsselung und Retention

Cisco-Router-Change-Automation: Von Templates bis Validierung (praktisches Konzept)