Skip to Content

DMVPN Phase 비교 및 요약

핵심 요약

  • Phase 1: 모든 트래픽이 허브를 경유한다. 보안 감사(audit)가 필요한 경우에 사용한다.
  • Phase 2: spoke-to-spoke 직접 통신이 가능하지만, 요약 라우트를 사용할 수 없어 확장성이 낮다.
  • Phase 3: NHRP shortcut/redirect로 요약 라우트 사용과 spoke-to-spoke 직접 통신을 모두 지원한다. 대부분의 환경에서 권장.

1. Phase 비교 표

항목Phase 1Phase 2Phase 3
Hub 터널 모드mGREmGREmGRE
Spoke 터널 모드P2P GREmGREmGRE
Spoke에서 tunnel destination필요불필요불필요
Spoke-to-Spoke 직접 통신불가가능가능
허브에서 요약 라우트가능불가 (구체적 라우트 필요)가능
추가 NHRP 명령없음없음redirect + shortcut
라우팅 테이블 크기작음작음
확장성보통낮음최고
권장 사용 사례보안상 모든 트래픽 허브 경유 필요 시거의 사용 안 함대부분의 환경에서 권장

2. Spoke 터널 설정 비교

Phase 1 (P2P GRE)

Spoke1(config)#interface Tunnel0
Spoke1(config-if)#tunnel mode gre point-to-point    ← P2P 모드 (기본값)
Spoke1(config-if)#tunnel destination 192.168.123.1   ← 허브 NBMA 주소 지정

Phase 2 (mGRE, NHRP만)

Spoke1(config)#interface Tunnel0
Spoke1(config-if)#tunnel mode gre multipoint         ← mGRE로 변경
! tunnel destination 없음                              ← 제거

Phase 3 (mGRE, NHRP + shortcut)

Spoke1(config)#interface Tunnel0
Spoke1(config-if)#tunnel mode gre multipoint         ← Phase 2와 동일
Spoke1(config-if)#ip nhrp shortcut                   ← Phase 3 추가
! tunnel destination 없음

3. Spoke-to-Spoke 통신 방식 비교

Phase 1: 허브 경유

[Spoke1] → [Hub] → [Spoke2]
           ↑ 모든 트래픽 허브 경유
  • Spoke는 P2P GRE로 허브만 바라보므로 직접 통신 불가.

Phase 2: NHRP Resolution

[Spoke1] → NHRP Resolution Request → [Hub]
[Hub]    → NHRP Resolution Reply   → [Spoke1]  (Spoke2 NBMA 주소)
[Spoke1] → 직접 GRE 터널            → [Spoke2]
  • 라우팅 테이블에 구체적 경로가 있어야 NHRP resolution이 트리거됨.
  • 허브에서 요약 라우트 사용 시 next-hop 정보 손실로 직접 통신 불가.

Phase 3: NHRP Redirect + Shortcut

[Spoke1] → 트래픽 → [Hub] → [Spoke2]           (초기: 허브 경유)
[Hub]    → NHRP Redirect → [Spoke1]             (허브가 직접 통신 가능 알림)
[Spoke1] → NHRP Resolution → [Hub] → Reply     (NBMA 주소 학습)
[Spoke1] → Shortcut 경로 설치 → 직접 통신       (이후: 직접 통신)
  • 요약 라우트를 사용해도 NHRP redirect가 직접 통신을 트리거함.
  • NHRP shortcut이 라우팅 테이블에 구체적 경로를 자동 설치.

4. 라우팅 프로토콜별 DMVPN 주의사항

프로토콜Phase 1Phase 2Phase 3
EIGRPno ip split-horizonno ip next-hop-self eigrpip summary-address eigrp 사용 가능
OSPFnetwork type point-to-multipoint 권장network type broadcast 가능point-to-multipoint 또는 broadcast
BGPhub = route-reflectornext-hop-unchanged 필요aggregate-address summary-only 가능
RIPno ip split-horizon사용 어려움ip summary-address rip 사용 가능

프로토콜별 핵심 설정

EIGRP

PhaseHub 터널 필수 명령
1no ip split-horizon eigrp
2no ip split-horizon eigrp + no ip next-hop-self eigrp
3no ip split-horizon eigrp + ip summary-address eigrp

OSPF

Network TypeDR/BDRPhase 1Phase 2Phase 3
point-to-multipoint없음권장가능권장
broadcast있음가능 (허브=DR)가능가능
point-to-point없음불가불가불가

BGP

PhaseHub 설정
1route-reflector-client
2route-reflector-client + next-hop-unchanged
3route-reflector-client + aggregate-address summary-only

5. 실무 권장사항

Phase 선택 기준

상황권장 Phase이유
보안상 모든 트래픽 허브 경유 필요Phase 1IPS/IDS, 방화벽, 컨텐츠 필터링을 허브에서 수행
소규모 네트워크, spoke-to-spoke 필요Phase 3Phase 2보다 설정 간단하고 확장성 우수
대규모 네트워크, 수백 개 spokePhase 3요약 라우트로 라우팅 테이블 최소화
레거시 환경 유지Phase 2기존 Phase 2 환경을 유지해야 하는 경우 (Phase 3 마이그레이션 권장)

일반 권장사항

  • Phase 3을 기본으로 사용 — 확장성과 유연성이 가장 뛰어나다.
  • Phase 1은 보안상 트래픽 감사(audit)가 필수인 경우에만 사용한다.
  • Phase 2는 거의 사용하지 않는다 (Phase 3이 상위 호환).
  • IPsec 암호화 추가 — 인터넷 위에서 DMVPN을 운영할 때는 반드시 IPsec(tunnel protection ipsec profile)을 적용하여 데이터를 보호한다.
  • NHRP 인증ip nhrp authentication 명령으로 NHRP 메시지를 인증하여 비인가 스포크의 참여를 방지한다.
  • 라우팅 프로토콜 선택 — 대규모 환경에서는 EIGRP 또는 BGP, OSPF는 단일 영역(single area) 설계를 권장한다.

6. Phase 간 마이그레이션 경로

Phase 1 → Phase 2
  ① Spoke: tunnel mode gre multipoint (P2P → mGRE)
  ② Spoke: tunnel destination 제거
  ③ Hub: no ip next-hop-self eigrp (EIGRP 사용 시)

Phase 2 → Phase 3
  ① Hub: ip nhrp redirect
  ② Spoke: ip nhrp shortcut

Phase 1 → Phase 3 (직접 마이그레이션)
  ① Spoke: tunnel mode gre multipoint
  ② Spoke: tunnel destination 제거
  ③ Hub: ip nhrp redirect
  ④ Spoke: ip nhrp shortcut

참고: Phase 마이그레이션 시 NHRP 캐시를 초기화(clear ip nhrp)하고 터널 인터페이스를 shutdown/no shutdown 하는 것을 권장한다. 운영 중인 환경에서는 유지보수 윈도우를 확보한 후 수행한다.

관련 문서

  • [[03_DMVPN 소개 및 Phase 1]] - DMVPN 개요 및 Phase 1 설정
  • [[04_DMVPN Phase 2]] - Phase 2 설정 및 제약사항
  • [[05_DMVPN Phase 3]] - Phase 3 설정 및 라우팅
  • 원본: 04_VPN/원본/07_Introduction to DMVPN.pdf ~ 19_DMVPN Phase 3 BGP Routing.pdf
VLAN 소개 및 설정