Cisco. DMVPN
Немного теории.<br\> DMVPN (Dymamic Multipoint VPN). Динамическая многоточечная виртуальная частная сеть — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP. Клиент(Spoke) связывается с DMVPN сервером(Hub) и получает от того данные желаемoй цели. Потом создаёт виртуальный туннель напрямую к другому клиенту. При этом:<br\>
- Данные будут зашифрованы IPSec
- Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла.
- Только на центральном узле необходим статический публичный IP-адрес. Удалённые узлы могут иметь динамический адрес и находиться за NATом, используя адреса из частных диапазонов (NAT Traversal).
Идея заключается в том, что на центральном узле будет один единственный динамический туннель, который мы настроим в самом начале, а при добавлении новых удалённых точек, здесь не нужны изменения – ни добавлять новые туннельные интерфейсы, ни перенастраивать уже существующий. Фактически при добавлении новых узлов настраивать нужно только их. Везде запускается протокол NHRP – NBMA Next Hop resolution Protocol. Он позволяет динамически изучать адреса удалённых точек, который желают подключиться к основной. На нём и основана возможность реализации multipoint VPN. Hub(центральный узел) здесь выступает как сервер (NHS – Next-Hop Server), а все удалённые узлы будут клиентами (NHC – Next-Hop Client).
Первоначальная схема такова:<br\>
Первоначальный конфиг Филиал_1(пережитки статьи по OSPF)
.... interface Loopback0 ip address 172.16.255.1 255.255.255.255 interface FastEthernet0/0 no ip address duplex auto speed auto interface FastEthernet0/0.2 description Management encapsulation dot1Q 2 ip address 172.16.1.1 255.255.255.0 ip access-group Management-out out interface FastEthernet0/0.3 description Servers encapsulation dot1Q 3 ip address 172.16.0.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.101 description PTO encapsulation dot1Q 101 ip address 172.16.3.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.102 description FEO encapsulation dot1Q 102 ip address 172.16.4.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.103 description Accounting encapsulation dot1Q 103 ip address 172.16.5.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.104 description Other encapsulation dot1Q 104 ip address 172.16.6.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/1 no ip address duplex auto speed auto interface FastEthernet0/1.4 description SPB encapsulation dot1Q 4 ip address 172.16.2.1 255.255.255.252 ip nat inside ip virtual-reassembly interface FastEthernet0/1.5 description KMR encapsulation dot1Q 5 ip address 172.16.2.17 255.255.255.252 interface FastEthernet0/1.6 description Internet encapsulation dot1Q 6 ip address 198.51.100.2 255.255.255.240 ip nat outside ip virtual-reassembly ....
Освоено под чутким руководством http://linkmeup.ru