Ce document décrit la configuration d'un réseau DMVPN (Dynamic Multipoint VPN) utilisant des tunnels GRE multipoints chiffrés avec IPsec. La topologie comprend un routeur concentrateur et deux routeurs d'accès. Les étapes de configuration incluent les adresses IP, les tunnels GRE, l'authentification NHRP et la vérification du fonctionnement des tunnels.
0 évaluation0% ont trouvé ce document utile (0 vote)
262 vues10 pages
Ce document décrit la configuration d'un réseau DMVPN (Dynamic Multipoint VPN) utilisant des tunnels GRE multipoints chiffrés avec IPsec. La topologie comprend un routeur concentrateur et deux routeurs d'accès. Les étapes de configuration incluent les adresses IP, les tunnels GRE, l'authentification NHRP et la vérification du fonctionnement des tunnels.
Ce document décrit la configuration d'un réseau DMVPN (Dynamic Multipoint VPN) utilisant des tunnels GRE multipoints chiffrés avec IPsec. La topologie comprend un routeur concentrateur et deux routeurs d'accès. Les étapes de configuration incluent les adresses IP, les tunnels GRE, l'authentification NHRP et la vérification du fonctionnement des tunnels.
Ce document décrit la configuration d'un réseau DMVPN (Dynamic Multipoint VPN) utilisant des tunnels GRE multipoints chiffrés avec IPsec. La topologie comprend un routeur concentrateur et deux routeurs d'accès. Les étapes de configuration incluent les adresses IP, les tunnels GRE, l'authentification NHRP et la vérification du fonctionnement des tunnels.
Téléchargez comme DOCX, PDF, TXT ou lisez en ligne sur Scribd
Télécharger au format docx, pdf ou txt
Vous êtes sur la page 1/ 10
(Dynamic Multipoint VPN
DMVPN) Configuration 102 29
DMVPN (Dynamic Multipoint VPN) est une technique o nous utilisons des tunnels GRE multipoints au lieu de tunnel GRE point point. Ces tunnels GRE multipoint seront crypts l'aide IPSEC afin que nous ayons une solution scurise de tunneling volutive. . Cela dit, regardons la configuration de DMVPN. Ceci est la topologie que nous allons utiliser:
Permettez-moi de vous expliquer cette topologie de vous:
R1, R2 et R3 sont en mesure d'atteindre l'autre en utilisant leurs interfaces FastEthernet
0/0. Je utilis la 192.168.123.0 / 24 sous-rseau afin qu'ils puissent communiquer entre eux. R1 sera le routeur concentrateur et R2 / R3 seront les routeurs de rayons. R2 et R3 seront tablir un tunnel R1 comme indiqu la ligne pointille verte. Lorsque R2 et R3 veulent communiquer avec l'autre, ils vont crer un tunnel rayons rayons comme indiqu la ligne en pointill violet. Nous allons utiliser la 172.16.123.0 / 24 sous-rseau pour les interfaces de tunnel. Chaque routeur dispose d'une interface de bouclage avec une adresse IP. Les routeurs atteindre chaque autres bouclage en passant par l'interface du tunnel.
La configuration consiste en un certain nombre d'tapes:
1. 2. 3. 4.
La configuration de base d'adresses IP.
Configuration de tunnel GRE multipoint sur tous les routeurs Cryptage des tunnels l'aide IPSEC. La configuration du routage de sorte que les routeurs peut atteindre les uns des autres interfaces de bouclage.
La configuration de base Nous allons d'abord configurer les adresses IP sur tous les routeurs: R1 (config) # interface de fa 0/0 R1 (config-if) # no shutdown R1 (config-if) # ip adresse 192.168.123.1 255.255.255.0 R1 R1 R2 R2 R2
(config) # interface de bouclage 0
(config-if) # adresse IP 1.1.1.1 255.255.255.255 (config) # interface de fa 0/0 (config-if) # no shutdown (config-if) # ip adresse 192.168.123.2 255.255.255.0
R2 R2 R3 R3 R3
(config) # interface de bouclage 0
(config-if) # adresse IP 2.2.2.2 255.255.255.255 (config) # interface de fa 0/0 (config-if) # no shutdown (config-if) # ip adresse 192.168.123.3 255.255.255.0
R3 (config) # interface de bouclage 0
R3 (config-if) # adresse IP 3.3.3.3 255.255.255.255
Avec les adresses IP configures nous pouvons continuer en mettant en place les tunnels.
GRE Configuration Multipoint
Nous allons d'abord configurer le routeur concentrateur: R1 R1 R1 R1 R1 R1 R1
(config) # interface de tunnel 0
(config-if) # adresse ip 172.16.123.1 255.255.255.0 (config-if) # mode tunnel GRE multipoint (config-if) # source de tunnel fastethernet 0/0 (config -si) # ip carte NHRP multicast dynamique (config-if) # ip NHRP identifiant de rseau 1 (config-if) # ip authentification NHRP DMVPN
Nous allons configurer une adresse IP sur l'interface tunnel 0 et au lieu de spcifier une adresse IP de destination, nous allons configurer comme gre multipoint. Si vous voulez utiliser un protocole de routage comme RIP, OSPF ou EIGRP vous avez besoin de la dynamique IP NHRP carte multidiffusion commande pour ajouter automatiquement des routeurs pour les applications multicast NHRP. Pour chaque configuration DMVPN vous avez besoin d'un ID de rseau unique que vous pouvez configurer avec lidentifiant de rseau IP NHRP commande. Last but not least, lauthentification NHRP IP commande permet un mot de passe pour les requtes NHRP. Je me suis fix le mot de passe 'DMVPN'. Maintenant nous allons configurer nos routeurs de rayons, R2 et R3: R2 R2 R2 R2 R2 R2 R2 R2 R2
(config) # tunnel d'interface 0
(config-if) # adresse ip 172.16.123.2 255.255.255.0 (config-if) # mode tunnel GRE multipoint (config-if) # ip authentification NHRP DMVPN (config-if ) # ip carte NHRP 172.16.123.1 192.168.123.1 (config-if) # ip carte NHRP multidiffusion 192.168.123.1 (config-if) # ip NHRP identifiant de rseau 1 (config-if) # ip de NHS NHRP 172,16. 123.1 (config-if) # source de tunnel fastethernet 0/0
Ci-dessus, vous pouvez voir un certain nombre de commandes que nous ne
configurer sur le routeur concentrateur. Nous utilisons l' IP carte NHRP commande pour mapper l'adresse IP de la NHS (Next Hop Server) l'adresse IP de l'extrieur. Dans ce cas 172.16.123.1 est l'adresse IP de l'interface du tunnel de R1 et 192.168.123.1 est l'adresse IP en dehors de R1. Nous exigeons galement les ip NHS NHRP commande pour dfinir l'adresse IP du NHS.
Le NHRP carte IP de multidiffusion de commandes configure le routeur de rayon
d'envoyer le trafic multicast uniquement au routeur concentrateur, pas d'autres routeurs de rayons.
Comme la source du tunnel je spcifie l'interface de 0/0 FastEthernet avec la source
de tunnel commande. Il est prfrable de spcifier l'interface comme la source et non
une adresse IP dans le cas o vous utilisez une adresse IP dynamique sur le routeur de rayon. Si tout se passe correctement, vous devriez voir un tunnel venir sur R2: R2 # % LINEPROTO-5-UPDOWN: protocole de ligne sur l'interface Tunnel0, a chang d'tat jusqu'
Nous allons configurer R3 qui est peu prs le mme que R2: R3 R3 R3 R3 R3 R3 R3 R3 R3
(config) # tunnel d'interface 0
(config-if) # adresse ip 172.16.123.3 255.255.255.0 (config-if) # mode tunnel GRE multipoint (config-if) # ip authentification NHRP DMVPN (config-if ) # ip carte NHRP 172.16.123.1 192.168.123.1 (config-if) # ip carte NHRP multidiffusion 192.168.123.1 (config-if) # ip NHRP identifiant de rseau 1 (config-if) # ip de NHS NHRP 172,16. 123.1 (config-if) # source de tunnel fastethernet 0/0
La configuration est la mme l'exception de l'adresse IP sur l'interface du tunnel. Le
tunnel devrait venir jusqu' maintenant: R3 # % LINEPROTO-5-UPDOWN: protocole de ligne sur l'interface Tunnel0, a chang d'tat jusqu'
En ce moment, vous devriez avoir une configuration multipoint de travail de GRE il
est donc sage de vrifier cela avant de continuer la configuration de IPSEC.
Vrification de GRE Configuration Multipoint
Nous allons d'abord vrifier le routeur concentrateur: R1 # show DMVPN
Lgende: Attrb -> S - statique, D - Dynamique, I - Incompletea
N - NAT, L - Local, X - Pas de Socket # Ent -> Nombre d'entres NHRP avec la mme peer NBMA Tunnel0, Type: Hub, NHRP Peers: 2 , # Ent Peer NBMA Adr Peer Tunnel Ajouter tat UPDN Tm Attrb ----- --------------- --------------- ----- -------- - --1 192.168.123.2 172.16.123.2 UP jamais D 1 192.168.123.3 172.16.123.3 UP jamais D
Ci-dessus vous voyez que R1 est le routeur concentrateur et qui est a deux pairs. Il ya quelques articles intressants que nous pouvons trouver ici:
Ent reprsente le nombre d'entres dans la base de donnes NHRP pour ce routeur de rayon.Normalement, vous ne verrez que 1 entre ici. Peer NBMA Adr est l'adresse IP de l'interface l'extrieur du routeur de rayon, dans notre exemple 192.168.123.2 et 192.168.123.3. Peer Tunnel Ajouter est l'adresse IP de l'interface du tunnel du routeur de rayon. tat indique si votre tunnel est vers le haut ou vers le bas. UPDN Tm est le temps vers le haut ou vers le bas de l'tat actuel (vers le haut ou vers le bas).Vous verrez le temps ici une fois que nous utilisons les tunnels. Attrb signifie attributs. Vous pouvez les voir en haut de la commande show. Le D signifiedynamique qui vous verrez normalement pour les routeurs de rayons.
Nous allons utiliser la mme commande sur les routeurs de rayons:
R2 # show DMVPN Lgende: Attrb -> S - statique, D - Dynamique, I - Incompletea N - NAT, L - Local, X - Pas de Socket # Ent -> Nombre d'entres NHRP avec la mme peer NBMA Tunnel0, Type: Spoke, NHRP Peers: 1, # Ent Peer NBMA Adr Peer Tunnel Ajouter tat UPDN Tm Attrb ----- --------------- --------------- ----- -------- - --1 192.168.123.1 172.16.123.1 UP 0:43:44 S R3 # show DMVPN Lgende: Attrb -> S - statique, D - Dynamique, I - Incompletea N - NAT, L - Local, X - Pas de Socket # Ent -> Nombre d'entres NHRP avec la mme peer NBMA Tunnel0, Type: Spoke, NHRP Peers: 1, # Ent Peer NBMA Adr Peer Tunnel Ajouter tat UPDN Tm Attrb ----- --------------- --------------- ----- -------- - --1 192.168.123.1 172.16.123.1 UP 0:46:58 S
En ce moment, les routeurs de rayons ont seulement un tunnel qui relie au routeur concentrateur.Essayons si nous pouvons cingler d'un routeur un autre ...
R2 # ping 172.16.123.1 squence d'chappement de type pour abandonner. Envoi 5, 100 octets ICMP Echos 172.16.123.1, dlai d'attente est de 2 secondes: !!!!! Le taux de russite est de 100 pour cent (5/5), aller-retour min / avg / max = 4/4/8 ms R3 # ping 172.16.123.1 squence d'chappement de type pour abandonner. Envoi 5, 100 octets ICMP Echos 172.16.123.1, dlai d'attente est de 2 secondes: !!!!! Le taux de russite est de 100 pour cent (5/5), aller-retour min / avg / max = 4/4/8 ms
Deux parlaient routeurs sont capables d'atteindre le moyeu. Maintenant, nous allons essayer de faire un ping entre les deux routeurs de rayons: R2 # ping 172.16.123.3 squence d'chappement de type pour abandonner. Envoi 5, 100 octets ICMP Echos 172.16.123.3, dlai d'attente est de 2 secondes: !!!!! Le taux de russite est de 100 pour cent (5/5), aller-retour min / avg / max = 6.4.12 ms
Le ping fonctionne et ceci est la partie intressante de multipoint GRE. Les routeurs de rayons seront dynamiquement crer un tunnel entre eux comme vous pouvez le voir ci-dessous: R2 # show DMVPN Lgende: Attrb -> S - statique, D - Dynamique, I - Incompletea N - NAT, L - Local, X - Pas de Socket # Ent -> Nombre d'entres NHRP avec la mme peer NBMA Tunnel0, Type: Spoke, NHRP Peers: 2 , # Ent Peer NBMA Adr Peer Tunnel Ajouter tat UPDN Tm Attrb ----- --------------- --------------- ----- -------- - --1 192.168.123.1 172.16.123.1 UP 0:01:41 S 1 192.168.123.3 172.16.123.3 UP jamais D R3 # show DMVPN Lgende: Attrb -> S - statique, D - Dynamique, I - Incompletea N - NAT, L - Local, X - Pas de Socket # Ent -> Nombre d'entres NHRP avec la mme peer NBMA
Tunnel0, Type: Spoke, NHRP Peers: 2 ,
# Ent Peer NBMA Adr Peer Tunnel Ajouter tat UPDN Tm Attrb ----- --------------- --------------- ----- -------- - --1 192.168.123.1 172.16.123.1 UP 0:01:42 S 1 192.168.123.2 172.16.123.2 UP jamais D
Comme vous pouvez le voir dans un autre tunnel a t tabli entre R2 et
R3. Jusqu'ici tout va bien, multipoint GRE travaille mais tout est clair pour le moment. Il est temps de configurer IPSec pour crypter les tunnels!
Lorsque vous configurez la cl de isakmp crypto vous devez utiliser l'adresse IP
0.0.0.0 si vous utilisez des adresses IP dynamiques sur les routeurs des rayons. 0.0.0.0 signifie qu'il applique toute adresse IP . Vrifions si notre trafic est crypt ou non ...
Vrification des tunnels IPSEC crypts
Juste pour tre sr, faire un arrt / non ferme sur les interfaces de tunnel aprs la configuration de IPSEC. R1, R2 et R3:
(Config) # tunnel d'interface 0
(config-if) # shutdown (config-if) # no shutdown
La prochaine tape est de vrifier si IPSEC est actif:
R1 # show session de crypto tat actuel de la session Crypto Interface: Tunnel0 Etat de la session: UP-ACTIVE 192.168.123.2: Peer port 500 IKE SA: locale 192.168.123.1/500 distance 192.168.123.2/500 active IPSEC FLOW: 47 permis hte 192.168.123.2 192.168.123.1 hte SA actifs: 2, origine: carte crypto Interface: Tunnel0 Etat de la session: UP-ACTIVE 192.168.123.3: Peer port 500 IKE SA: locale 192.168.123.1/500 distance 192.168.123.3/500 active IPSEC FLOW: 47 permis hte 192.168.123.3 192.168.123.1 hte SA actifs: 2, origine: carte crypto
Comme vous pouvez le voir IPSEC est actif pour les deux pairs. Envoyons des pings de vrifier si le trafic est crypt ou non: R2 # ping 172.16.123.1 squence d'chappement de type pour abandonner. Envoi 5, 100 octets ICMP Echos 172.16.123.1, dlai d'attente est de 2 secondes: !!!!! Le taux de russite est de 100 pour cent (5/5), aller-retour min / avg / max = 4/4/4 ms R3 # ping 172.16.123.1 squence d'chappement de type pour abandonner. Envoi 5, 100 octets ICMP Echos 172.16.123.1, dlai d'attente est de 2 secondes: !!!!! Le taux de russite est de 100 pour cent (5/5), aller-retour min / avg / max = 4/4/4 ms
Comme vous pouvez le voir les paquets dans le tunnel sont cryptes. Il ya seulement un point de plus pour nous de configurer et que le routage.
Configuration de routage DMVPN
Nos tunnels sont oprationnels et chiffrs, mais les routeurs sont incapables d'atteindre chacune des interfaces de bouclage d'autres parce que nous ne configurons pas encore tout routage. Il ya deux options:
Le routage statique Le routage dynamique
Le routage statique est facile, assurez-vous juste que vous utilisez l'adresse IP sur les interfaces de tunnel que l'adresse IP de prochaine hop pour vos routes statiques. Je vais vous donner un exemple comment configurer OSPF: R1 (config) # router OSPF 1 R1 (config-router) # rseau 1.1.1.1 0.0.0.0 zone 0 R1 (config-router) # rseau 172.16.123.0 0.0.0.255 zone 0 R1 R1 R2 R2 R2
(config) # tunnel d'interface 0
(config-if) # ip ospf rseau de diffusion (config) # router OSPF 1 (config-router) # rseau 2.2.2.2 0.0.0.0 zone 0 (config-router) # rseau 172.16.123.0 0.0.0.255 zone 0
R2 R2 R2 R3
(config) # tunnel d'interface 0
(config-if) # ip ospf priorit 0 (config-if) # ip ospf rseau de diffusion (config) # router OSPF 1
R3 (config-router) # rseau 3.3.3.3 0.0.0.0 zone 0
R3 (config-router) # rseau 172.16.123.0 0.0.0.255 zone 0 R3 (config) # tunnel d'interface 0 R3 (config-if) # ip ospf priorit 0 R3 (config-if) # ip ospf rseau de diffusion
Lors de la configuration OSPF pour DMVPN il Ya un certain nombre de choses que
vous avez considrer:
Prcdemment, nous avons utilis la carte de multidiffusion IP NHRP commande sur les routeurs de rayons qui signifie que les routeurs de rayons ne peuvent envoyer des bonjours OSPF au routeur concentrateur. Cela signifie que nous aurons un hub OSPF et parl topologie et les routeurs spoke ne devrions jamais devenir le DR ou BDR. Je suis en utilisant le type de rseau de diffusion OSPF afin que les routeurs de rayons aillent utiliser les uns des autres adresses IP que l'adresse IP de prochaine hop.
