Cisco. DMVPN

Материал из megapuper
Перейти к: навигация, поиск

Немного теории.
DMVPN (Dymamic Multipoint VPN). Динамическая многоточечная виртуальная частная сеть — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP. Клиент(Spoke) связывается с DMVPN сервером(Hub) и получает от того данные желаемoй цели. Потом создаёт виртуальный туннель напрямую к другому клиенту. При этом:

  1. Данные будут зашифрованы IPSec
  2. Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла.
  3. Только на центральном узле необходим статический публичный IP-адрес. Удалённые узлы могут иметь динамический адрес и находиться за NATом, используя адреса из частных диапазонов (NAT Traversal).

Идея заключается в том, что на центральном узле будет один единственный динамический туннель, который мы настроим в самом начале, а при добавлении новых удалённых точек, здесь не нужны изменения – ни добавлять новые туннельные интерфейсы, ни перенастраивать уже существующий. Фактически при добавлении новых узлов настраивать нужно только их. Везде запускается протокол NHRP – NBMA Next Hop resolution Protocol. Он позволяет динамически изучать адреса удалённых точек, который желают подключиться к основной. На нём и основана возможность реализации multipoint VPN. Hub(центральный узел) здесь выступает как сервер (NHS – Next-Hop Server), а все удалённые узлы будут клиентами (NHC – Next-Hop Client).


Начальная схема такова:
Dmvpn 1.jpg


Первоначальный конфиг Филиал_1(пережитки статьи по OSPF)

....
interface Loopback0
 ip address 172.16.255.1 255.255.255.255

interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto

interface FastEthernet0/0.2
 description Management
 encapsulation dot1Q 2
 ip address 172.16.1.1 255.255.255.0
 ip access-group Management-out out

interface FastEthernet0/0.3
 description Servers
 encapsulation dot1Q 3
 ip address 172.16.0.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/0.101
 description PTO
 encapsulation dot1Q 101
 ip address 172.16.3.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/0.102
 description FEO
 encapsulation dot1Q 102
 ip address 172.16.4.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/0.103
 description Accounting
 encapsulation dot1Q 103
 ip address 172.16.5.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/0.104
 description Other
 encapsulation dot1Q 104
 ip address 172.16.6.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/1
 no ip address
 duplex auto
 speed auto

interface FastEthernet0/1.4
 description SPB
 encapsulation dot1Q 4
 ip address 172.16.2.1 255.255.255.252
 ip nat inside
 ip virtual-reassembly

interface FastEthernet0/1.5
 description KMR
 encapsulation dot1Q 5
 ip address 172.16.2.17 255.255.255.252

interface FastEthernet0/1.6
 description Internet
 encapsulation dot1Q 6
 ip address 198.51.100.2 255.255.255.240
 ip nat outside
 ip virtual-reassembly

ip route 0.0.0.0 0.0.0.0 198.51.100.1
....


Приступаем к конфигурации хаба(Филиал_1):

interface Tunnel0
 ip address 172.16.254.1 255.255.255.0
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 tunnel source FastEthernet0/1.6
 tunnel mode gre multipoint

ip address 172.16.254.1 255.255.255.0 – IP-адрес из нужного диапазона.
ip nhrp map multicast dynamic – динамическое изучение данных NHRP от клиентов. Поскольку клиентов у нас множество и они могут быть с динамическими адресами, на хабе нельзя задать явное соответствие внутренних и внешних адресов.
ip nhrp network-id 1 – определяем Network ID – просто идентификатор, который необязательно должен быть одинаковым на всех узлах DMVPN.
tunnel source FastEthernet0/1.6 – привязка к физическому интерфейсу.
tunnel mode gre multipoint – туннель на центральном узле будет терминировать все туннели от удалённых точек. То есть он будет точка-многоточка (Point-to-MultiPoint).


Первоначальнаый конфиг Филиал_3

....
interface Loopback0
ip address 172.16.255.128 255.255.255.255

interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto

interface FastEthernet0/0.101
 encapsulation dot1Q 101
 ip address 198.51.101.2 255.255.255.252

ip route 0.0.0.0 0.0.0.0 198.51.101.1
....



ip address 172.16.254.2 255.255.255.0 – IP-адрес из нужного диапазона.
ip nhrp map 172.16.254.1 198.51.100.2 – Статическое соотношение внутреннего и внешнего адресов хаба.
ip nhrp map multicast 198.51.100.2 - мультикастовый трафик должен получать хаб.



КАК НИБУДЬ ЗАКОНЧУ)



Освоено под чутким руководством http://linkmeup.ru