Cisco. DMVPN — различия между версиями
Root (обсуждение | вклад) |
Root (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
− | Немного теории.<br | + | Немного теории.<br/> |
− | DMVPN (Dymamic Multipoint VPN). Динамическая многоточечная виртуальная частная сеть — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP. Клиент(Spoke) связывается с DMVPN сервером(Hub) и получает от того данные желаемoй цели. Потом создаёт виртуальный туннель напрямую к другому клиенту. При этом:<br | + | DMVPN (Dymamic Multipoint VPN). Динамическая многоточечная виртуальная частная сеть — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP. Клиент(Spoke) связывается с DMVPN сервером(Hub) и получает от того данные желаемoй цели. Потом создаёт виртуальный туннель напрямую к другому клиенту. При этом:<br/> |
# Данные будут зашифрованы IPSec | # Данные будут зашифрованы IPSec | ||
# Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла. | # Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла. | ||
Строка 8: | Строка 8: | ||
− | Начальная схема такова:<br | + | Начальная схема такова:<br/> |
[[Файл:dmvpn_1.jpg]] | [[Файл:dmvpn_1.jpg]] | ||
Строка 99: | Строка 99: | ||
tunnel mode gre multipoint | tunnel mode gre multipoint | ||
− | '''ip address 172.16.254.1 255.255.255.0''' – IP-адрес из нужного диапазона.<br | + | '''ip address 172.16.254.1 255.255.255.0''' – IP-адрес из нужного диапазона.<br/> |
− | '''ip nhrp map multicast dynamic''' – динамическое изучение данных NHRP от клиентов. Поскольку клиентов у нас множество и они могут быть с динамическими адресами, на хабе нельзя задать явное соответствие внутренних и внешних адресов.<br | + | '''ip nhrp map multicast dynamic''' – динамическое изучение данных NHRP от клиентов. Поскольку клиентов у нас множество и они могут быть с динамическими адресами, на хабе нельзя задать явное соответствие внутренних и внешних адресов.<br/> |
− | '''ip nhrp network-id 1''' – определяем Network ID – просто идентификатор, который необязательно должен быть одинаковым на всех узлах DMVPN.<br | + | '''ip nhrp network-id 1''' – определяем Network ID – просто идентификатор, который необязательно должен быть одинаковым на всех узлах DMVPN.<br/> |
− | '''tunnel source FastEthernet0/1.6''' – привязка к физическому интерфейсу.<br | + | '''tunnel source FastEthernet0/1.6''' – привязка к физическому интерфейсу.<br/> |
− | '''tunnel mode gre multipoint''' – туннель на центральном узле будет терминировать все туннели от удалённых точек. То есть он будет точка-многоточка (Point-to-MultiPoint).<br | + | '''tunnel mode gre multipoint''' – туннель на центральном узле будет терминировать все туннели от удалённых точек. То есть он будет точка-многоточка (Point-to-MultiPoint).<br/> |
Строка 127: | Строка 127: | ||
− | '''ip address 172.16.254.2 255.255.255.0''' – IP-адрес из нужного диапазона.<br | + | '''ip address 172.16.254.2 255.255.255.0''' – IP-адрес из нужного диапазона.<br/> |
− | '''ip nhrp map 172.16.254.1 198.51.100.2''' – Статическое соотношение внутреннего и внешнего адресов хаба.<br | + | '''ip nhrp map 172.16.254.1 198.51.100.2''' – Статическое соотношение внутреннего и внешнего адресов хаба.<br/> |
− | '''ip nhrp map multicast 198.51.100.2''' - мультикастовый трафик должен получать хаб.<br | + | '''ip nhrp map multicast 198.51.100.2''' - мультикастовый трафик должен получать хаб.<br/> |
Версия 22:55, 9 ноября 2015
Немного теории.
DMVPN (Dymamic Multipoint VPN). Динамическая многоточечная виртуальная частная сеть — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP. Клиент(Spoke) связывается с DMVPN сервером(Hub) и получает от того данные желаемoй цели. Потом создаёт виртуальный туннель напрямую к другому клиенту. При этом:
- Данные будут зашифрованы IPSec
- Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла.
- Только на центральном узле необходим статический публичный IP-адрес. Удалённые узлы могут иметь динамический адрес и находиться за NATом, используя адреса из частных диапазонов (NAT Traversal).
Идея заключается в том, что на центральном узле будет один единственный динамический туннель, который мы настроим в самом начале, а при добавлении новых удалённых точек, здесь не нужны изменения – ни добавлять новые туннельные интерфейсы, ни перенастраивать уже существующий. Фактически при добавлении новых узлов настраивать нужно только их. Везде запускается протокол NHRP – NBMA Next Hop resolution Protocol. Он позволяет динамически изучать адреса удалённых точек, который желают подключиться к основной. На нём и основана возможность реализации multipoint VPN. Hub(центральный узел) здесь выступает как сервер (NHS – Next-Hop Server), а все удалённые узлы будут клиентами (NHC – Next-Hop Client).
Первоначальный конфиг Филиал_1(пережитки статьи по OSPF)
.... interface Loopback0 ip address 172.16.255.1 255.255.255.255 interface FastEthernet0/0 no ip address duplex auto speed auto interface FastEthernet0/0.2 description Management encapsulation dot1Q 2 ip address 172.16.1.1 255.255.255.0 ip access-group Management-out out interface FastEthernet0/0.3 description Servers encapsulation dot1Q 3 ip address 172.16.0.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.101 description PTO encapsulation dot1Q 101 ip address 172.16.3.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.102 description FEO encapsulation dot1Q 102 ip address 172.16.4.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.103 description Accounting encapsulation dot1Q 103 ip address 172.16.5.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.104 description Other encapsulation dot1Q 104 ip address 172.16.6.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/1 no ip address duplex auto speed auto interface FastEthernet0/1.4 description SPB encapsulation dot1Q 4 ip address 172.16.2.1 255.255.255.252 ip nat inside ip virtual-reassembly interface FastEthernet0/1.5 description KMR encapsulation dot1Q 5 ip address 172.16.2.17 255.255.255.252 interface FastEthernet0/1.6 description Internet encapsulation dot1Q 6 ip address 198.51.100.2 255.255.255.240 ip nat outside ip virtual-reassembly ip route 0.0.0.0 0.0.0.0 198.51.100.1 ....
Приступаем к конфигурации хаба(Филиал_1):
interface Tunnel0 ip address 172.16.254.1 255.255.255.0 ip nhrp map multicast dynamic ip nhrp network-id 1 tunnel source FastEthernet0/1.6 tunnel mode gre multipoint
ip address 172.16.254.1 255.255.255.0 – IP-адрес из нужного диапазона.
ip nhrp map multicast dynamic – динамическое изучение данных NHRP от клиентов. Поскольку клиентов у нас множество и они могут быть с динамическими адресами, на хабе нельзя задать явное соответствие внутренних и внешних адресов.
ip nhrp network-id 1 – определяем Network ID – просто идентификатор, который необязательно должен быть одинаковым на всех узлах DMVPN.
tunnel source FastEthernet0/1.6 – привязка к физическому интерфейсу.
tunnel mode gre multipoint – туннель на центральном узле будет терминировать все туннели от удалённых точек. То есть он будет точка-многоточка (Point-to-MultiPoint).
Первоначальнаый конфиг Филиал_3
.... interface Loopback0 ip address 172.16.255.128 255.255.255.255 interface FastEthernet0/0 no ip address duplex auto speed auto interface FastEthernet0/0.101 encapsulation dot1Q 101 ip address 198.51.101.2 255.255.255.252 ip route 0.0.0.0 0.0.0.0 198.51.101.1 ....
ip address 172.16.254.2 255.255.255.0 – IP-адрес из нужного диапазона.
ip nhrp map 172.16.254.1 198.51.100.2 – Статическое соотношение внутреннего и внешнего адресов хаба.
ip nhrp map multicast 198.51.100.2 - мультикастовый трафик должен получать хаб.
Освоено под чутким руководством http://linkmeup.ru