简短的回答是：不，你不能（使用 OSPF），至少不是以一种好的方式。

在 OSPF 中，DMVPN 云中的整个 DMVPN 网络（即至少隧道接口需要位于同一区域（在您的情况下为区域 0），只是因为您在集线器路由器上的 mGRE 接口不能位于不同的区域。这这就是为什么末节区域（OSPF 中没有末节路由器）无法帮助您的原因。根据设计，您不能在一个区域内过滤 LSA。此外，您需要了解两个主要办公室的路由。

从技术上讲，您可以在集线器的隧道接口上放置 ACL 出站，拒绝远程主办公室的流量。至少在这种情况下，流量不会通过集线器发送，可能会断开它们的 Internet 连接。

我的建议：除非你真的必须这样做，否则不要在 DMVPN 之上运行 OSPF 。任何距离矢量协议，例如 EIGRP（是的，甚至 RIP）都会更好。您还可以考虑运行 BGP（集线器作为路由反射器运行），为您提供极大的灵活性。

我非常同意 Ron 和 Zack 对您问题的评论。理想情况下，您会在两个总部之间添加冗余连接。

使用 DMVPN 按需动态创建 Spoke 到 Spoke 连接（如在动态多点 VPN 中）。两个 DMVPN 集线器之间的 1Gbps 链路不会影响此功能。

动态多点 VPN 的优势

集线器路由器配置减少

对于每个分支路由器，在集线器路由器上有一个单独的配置行块，用于定义加密映射特征、加密访问列表和 GRE 隧道接口。此功能允许用户在集线器路由器上配置单个 mGRE 隧道接口、单个 IPsec 配置文件和无加密访问列表来处理所有分支路由器。因此，即使将分支路由器添加到网络中，集线器路由器上的配置大小也保持不变。

DMVPN 架构可以将许多辐条组合成一个多点 GRE 接口，从而无需在本地 IPsec 安装中为每个辐条提供不同的物理或逻辑接口。

自动 IPsec 加密启动

GRE 使用 NHRP 配置或解析对等源和目标地址。因此，此功能允许为点对点 GRE 隧道或当通过 NHRP 为多点 GRE 隧道解析 GRE 对等地址时立即触发 IPsec。

支持动态寻址的分支路由器

在使用点对点 GRE 和 IPsec 中心辐射型 VPN 网络时，配置中心路由器时必须知道分支路由器的物理接口 IP 地址，因为该 IP 地址必须配置为 GRE 隧道目标地址。此功能允许分支路由器拥有动态物理接口 IP 地址（常见于电缆和 DSL 连接）。当分支路由器上线时，它会向中心路由器发送注册包：在这些注册包中是这个分支的当前物理接口IP地址。

Spoke-to-Spoke 隧道的动态创建

此功能消除了直接隧道的辐条到辐条配置的需要。当一个分支路由器想要将数据包传输到另一个分支路由器时，它现在可以使用 NHRP 来动态确定目标分支路由器所需的目标地址。（集线器路由器充当 NHRP 服务器，处理源分支路由器的请求。）两个分支路由器在它们之间动态创建 IPsec 隧道，因此可以直接传输数据。