yoshiyuki さん
DMVPN の NAT はやったことが無いので、間違っていたらすみません。
NHRP での出力を見るように今回の構成 PAT ルータ配下では NHRP の出力から C891FJ②と C891FJ③の NBMA address が同じになっちゃいますよね。これではハブから各ルータを識別することができず、片方としか通信ができないと思います。
DMVPN + NAT で下記のページを見つけました。
http://www.cisco.com/c/en/us/td/docs/ios/sec_secure_connectivity/configuration/guide/15_0/sec_secure_connectivity_15_0_book/dmvpn_dt_spokes_b_nat.html
In order for spokes to build tunnels between them, they need to know the post-NAT address of the other spoke.
If one spoke is behind one NAT device and another different spoke is behind another NAT device, and Peer Address Translation (PAT) is the type of NAT used on both NAT devices, then a session initiated between the two spokes cannot be established.
最初の文からは、spoke 同士のトンネル確立にはお互いのNAT語のアドレスを知る必要があるとありますが、今回の場合は同じになっちゃうので・・・。ダメな気がします。
後者の文では PATルータ が各 Spoke 毎にあるイメージですが、両 Spoke が PAT ルータ配下だとダメだと書いてあります。
上記からは、PAT 装置配下に複数の Spoke というのはサポート外か、推奨されていないような気がします。Hub <-> Spoke②、③間のみの通信ということであれば、PATではなくStatic NAT でSpoke②、③にそれぞれ別の IP を割り振るようにすれば通信はできるようになるのではないかと思いますが・・・。
ただ、サポート外だと運用しだして問題が出ると目も当てられないので、可能なパスがあればシスコのSEさんや機器の購入元SEさんに相談してみるのがいいかと思います。
