DMVPN網絡中動態隧道建立的方法，DMVPN網絡配置有很多相似的地方，下面主要介紹DMVPN網絡中動態隧道建立的方法。其實也能看出DMVPN網絡方面的一些端倪，融會貫通之后，一切都很簡單。

NHRP：下一跳解析協議。由IETF在RFC 2332中定義。用于解決非廣播多路訪問（NBMA）網絡上的源節點（主機或路由器）如何獲取到達目標節點的“下一跳”的互聯網絡層地址和NBMA子網地址。下面咱們一起看看 NHRP 是如何解決靜態IP地址問題，而讓 VPN “動”起來的：

分支到中心（Spoke−to−Hub）的動態隧道建立

DMVPN網絡中，中心路由器上沒有關于分支的GRE或IPSec配置信息，而在分支路由器上則必須依據中心路由器的公網IP地址和NHRP協議來配置GRE隧道。當分支路由器加電啟動時，由ISP處通過DHCP獲取IP地址，并自動建立IPSec加密的GRE隧道，通過NHRP向中心路由器注冊自己的外網端口IP地址（貌似反彈連接）。

這樣做有三方面的原因：1、由于分支路由器外網端口的IP地址是自動獲取的，每次上線時的IP地址可能不同，所以中心路由器無法根據該地址信息進行配置。2、中心路由器不必針對所有分支分別配置GRE或IPSec信息，將大大簡化中心路由器的配置。

所有相關信息可通過NHRP自動獲取。（即：分支向中心匯報各自特征）3、當DMVPN網絡擴展時，不必改動中心路由器和其它分支路由器的配置。通過動態路由協議，新加入的分支路由器將自動注冊到中心路由器。這樣，所有其它分支路由器可以學到這條新的路由，新加入的分支路由器也可以學到到達其它所有路由器的路由信息，直至收斂。（中心路由器猶如OSPF的DR）

分支到分支（Spoke−to−Spoke）的動態隧道建立

在DMVPN網絡中，分支到中心（Spoke−to−Hub）的隧道一旦建立便持續存在，但是各分支之間并不需要直接配置持續的隧道。當一個分支需要向另一個分支傳遞數據包時，它利用NHRP來動態獲取目的分支的IP地址。

該過程中，中心路由器充當NHRP服務器的角色，響應NHRP請求，向源分支提供目標分支的公網地址。于是，兩個分支之間通過mGRE端口動態建立IPSec隧道，進行數據傳輸。該隧道在預定義的周期之后將自動拆除。

DMVPN網絡中，分支到中心（Spoke−to−Hub）的隧道一旦建立便持續存在，而各分支之間并沒有持續存在的隧道。這樣，在路由器初始化后，中心路由器會通過持續存在的隧道向分支路由器宣告其它分支子網的可達路由。到這里，似乎”多點””動態”的問題都解決了，DMVPN可以正常工作了是吧？

非也！目前，分支路由器的路由表中到達其它分支子網的“下一跳”地址仍是中心路由器的隧道端口地址，而不是其它分支路由器的隧道端口地址。如此一來，分支與分支之間的數據傳輸還是會通過中心路由器。

要解決這一問題，必須在中心路由器上設置為在mGRE隧道端口上宣告某一分支子網的可達路由時“下一跳”地址是該分支路由器的隧道端口地址，而非中心路由器的地址。在RIP或EIGRP等距離向量型路由協議中，通常都實現了水平分割（split horizon）功能，阻止將路由信息發回到其來源端口，以避免相鄰路由器上路由環路的產生。

如果在DMVPN網絡上運行RIP或EIGRP協議，則必須關閉水平分割（split horizon）功能。否則，分支路由器將無法學習到通往其它分支子網的路由。對RIP而言，no split horizon 就大功告成了，因為RIP向路由信息來源端口發送該路由時，其“下一跳”地址不被改變，仍然是原來的地址（即:目標地址）。

但EIGRP在向路由信息來源端口發送該路由時，其“下一跳”地址將改變為該端口的地址。所以，必須關閉這一特性。(EIGRP是CISCO公司的私有協議，關閉這一特性的IOS命令為no ip next−hop−self eigrp )。

OSPF是鏈路狀態型路由協議，其本身就不存在水平分割（split horizon）問題。但在配置OSPF網絡類型時，應配置為廣播型而不要使用點到多點型，否則，仍然會導致上述的問題。另外需要注意的是，必須把DMVPN的中心路由器（Hub）配置為OSPF的指定路由器（DR），可以通過指定中心路由器（Hub）有更高的OSPF優先權來實現。

最后，總結下DMVPN的整體解決方案:DMVPN是通過多點GRE（mGRE）和下一跳解析協議（NHRP）與IPSec相結合實現的。在DMVPN解決方案中，利用IPSec實現加密功能，利用GRE或多點GRE（mGRE）建立隧道，利用NHRP解決分支節點的動態地址問題。

DMVPN只要求中心節點必須申請靜態的公共IP地址。（如果用 DNS 的話，中心節點不是也可以動態了嗎？）GRE隧道支持多播或廣播（multicast/broadcast）IP包在隧道內傳輸。因此，DMVPN網絡支持在IPSec和mGRE隧道之上運行動態路由協議。

需要指出的是，NHRP必須被配置為動態多播映射，這樣，當分支路由器在NHRP服務器（中心路由器）上注冊單播映射地址時，NHRP會同時為這個分支路由器建立一個多播/廣播（multicast/broadcast）映射簡單的說dmvpn 的核心是nhrp，nhrp類似arp，arp協議的作用是ip地址到mac地址的解析。nhrp在dmvpn中是把內部vpn的地址到nbma地址（外部地址）的解析。具體解析過程是：
◆在ｎｈｒｐ協議中存在nhrp server和nhrp　client
◆server必須是靜態地址，client可以是動態地址。
◆client加電后從isp獲得一個公網地址
◆client向server進行地址注冊。
◆當client和client需要通信的時候，client向server方向發送解析請求。
◆server收到解析請求后轉發到對應的client上。
◆client向client發送解析應答。
◆在整個過程中數據包是經過vpn處理的，因為client必須先和server進行vpn連接。
◆dmvpn在第一階段，第二階段、第三階段的處理流程和功能不同。