问DMVPN + OSPF防止流量通过辐

EN

简单的回答是:不，你不能(用OSPF)，至少不能用一种好的方式。

在OSPF中，DMVPN云中的整个DMVPN网络(也就是说，隧道接口至少需要在同一个区域(在您的例子中是区域0)，仅仅因为您在集线器路由器上的mGRE接口不能位于不同的区域。这就是为什么存根区域(在OSPF中没有存根路由器)不会帮助你的原因。根据设计，您不能在一个区域内过滤LSA。此外，你需要了解两个主要办公室在辐条下的路线。

从技术上讲，您可以在集线器的隧道接口上放置ACL出站，从而拒绝远程主办公室的流量。至少在这种情况下，流量不会通过集线器发送，可能会破坏它们的Internet连接。

我的建议是:不要在DMVPN之上运行OSPF，除非你真的必须这样做。任何距离矢量协议，如EIGRP (是的，甚至RIP)都会更好。您还可以考虑运行BGP (将集线器作为路由反射器运行)，使您具有极大的灵活性。

我非常同意罗恩和扎克对你问题的评论。理想情况下，您应该在两个总部之间添加一个冗余连接。

按需使用DMVPN (如动态多点VPN)动态创建辐式连接。两个DMVPN集线器之间的1 1Gbps链路不影响此功能。

每个辐式路由器的动态多点VPN的优点集线器路由器配置减少，集线器路由器上有一个单独的配置线块，用于定义密码映射特征、密码访问列表和GRE隧道接口。此特性允许用户配置单个mGRE隧道接口、单个IPsec配置文件，并且在集线器路由器上没有加密访问列表来处理所有辐状路由器。因此，即使将辐式路由器添加到网络中，集线器路由器上的配置的大小仍保持不变。DMVPN体系结构可以将多个辐条分组到一个多点GRE接口中，从而消除了本机IPsec安装中每个辐条都需要一个不同的物理或逻辑接口的需要。自动IPsec加密初始化GRE具有用NHRP配置或解析的对等源和目标地址。因此，该特性允许在点对点GRE隧道或当GRE对等地址通过NHRP解析多点GRE隧道时立即触发GRE。当使用点对点GRE和IPsec轮毂和轮辐VPN网络时，必须在配置集线器路由器时知道轮辐路由器的物理接口IP地址，因为IP地址必须配置为GRE隧道目的地地址。此功能允许轮辐路由器具有动态物理接口IP地址(电缆和DSL连接常见)。当辐式路由器联机时，它将向集线器路由器发送注册包:在这些注册包中是当前的物理接口IP地址。动态创建轮辐隧道，这一特性消除了直接隧道的轮辐配置的需要。当一个辐射路由器想要将一个包传送到另一个辐射路由器时，它现在可以使用NHRP来动态地确定目标辐射路由器所需的目的地地址。(集线器路由器充当NHRP服务器，处理对源辐路由器的请求。)这两个轮辐路由器动态地在它们之间创建一个IPsec隧道，这样就可以直接传输数据。