这个设计对我来说似乎很简单，有一个明显的奇怪之处我想了解更多：

是否有特殊原因不直接将 SITE5 连接到 WAN，而是跨站点 1？

假设“WAN 交换机”是您客户的 CE 设备（延伸：类似于“外联网交换机”），而不是运营商的 CPE，为什么不将 SITE5 直接连接到“WAN 交换机”并让它运行它有自己的一套 DMVPN 隧道吗？如图所示，SITE5 的可达性取决于 Site 1 的 LAN 服务。

除此之外，我赞同 Ron Maupin 对 WAN 路由器上的 HSRP 提出质疑的建议。只有当 LAN 子网/VLAN 直接连接到 WAN 路由器时，HSRP 才有意义。

虽然这对于只有一个 LAN 交换机（或单个交换机堆栈）的小型辐条站点是可以接受的，并且几乎不需要 VLAN 间路由，但我不会在中型和大型的分层交换环境中执行此操作网站。

在这种情况下，按照 Ron 的建议进行操作：将分布交换机用作 L3 交换机，像给定的 LAN 平台一样为 LAN 提供冗余（堆叠、VSS、VPC 配对、HSRP 等），然后运行从 L3-Switch(es) 到一个或两个 WAN 路由器的一个或两个“传输 VLAN”或“路由端口”，并让 OSPF 在这些链路上运行。因此，WAN 路由器上不需要 HSRP，甚至在 LAN 端也不需要。

哦，当我们这样做的时候，我建议这样做：

• 转向 FlexVPN（本质上就是带有 sVTI/dVTI 隧道接口的 DMVPN，加上 IKEv2-with-some-clever-benefits，如路由推送）而不是 DMVPN。就个人而言，我发现 IOS/IOS-XE 的 IKEv2 配置风格更简洁、更精确，因此更易于理解和排除故障。相比之下，IKEv1（“crypto isakmp ...”）看起来很复杂，而且更多“......嗯！？” 对我来说——但是 YMMV。ASR1001-Xs 绝对支持 FlexVPN，而且所有 ISR-G2 代（890、1900、2900、3900），无论如何都是 ISR 4000 系列。然而，ISR-G1 系列（1800、2800、3800）可能不会。

• 根据客户对 WAN 服务提供商的信任程度，考虑对 WAN 使用“前门 VRF”；如果面向运营商的接口连接到只有一个接口的路由实例，则无法从运营商网络“通过”路由器。在 IKEv2、PKI 客户端配置位和 sVTI/dVTI 接口中设置非常简单。

干杯马克