Cisco. DMVPN
Немного теории.
DMVPN (Dymamic Multipoint VPN). Динамическая многоточечная виртуальная частная сеть — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Является дальнейшим развитием VPN, и основывается на совместной работе протоколов разрешения шлюза NHRP, протокола туннелирования mGRE, шифрования IPSec и протоколов динамической маршрутизации: OSPF, ODR, RIP, EIGRP, BGP. Клиент(Spoke) связывается с DMVPN сервером(Hub) и получает от того данные желаемoй цели. Потом создаёт виртуальный туннель напрямую к другому клиенту. При этом:
- Данные будут зашифрованы IPSec
- Клиенты могут передавать трафик непосредственно друг другу в обход центрального узла.
- Только на центральном узле необходим статический публичный IP-адрес. Удалённые узлы могут иметь динамический адрес и находиться за NATом, используя адреса из частных диапазонов (NAT Traversal).
Идея заключается в том, что на центральном узле будет один единственный динамический туннель, который мы настроим в самом начале, а при добавлении новых удалённых точек, здесь не нужны изменения – ни добавлять новые туннельные интерфейсы, ни перенастраивать уже существующий. Фактически при добавлении новых узлов настраивать нужно только их. Везде запускается протокол NHRP – NBMA Next Hop resolution Protocol. Он позволяет динамически изучать адреса удалённых точек, который желают подключиться к основной. На нём и основана возможность реализации multipoint VPN. Hub(центральный узел) здесь выступает как сервер (NHS – Next-Hop Server), а все удалённые узлы будут клиентами (NHC – Next-Hop Client).
Первоначальный конфиг Филиал_1(пережитки статьи по OSPF)
.... interface Loopback0 ip address 172.16.255.1 255.255.255.255 interface FastEthernet0/0 no ip address duplex auto speed auto interface FastEthernet0/0.2 description Management encapsulation dot1Q 2 ip address 172.16.1.1 255.255.255.0 ip access-group Management-out out interface FastEthernet0/0.3 description Servers encapsulation dot1Q 3 ip address 172.16.0.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.101 description PTO encapsulation dot1Q 101 ip address 172.16.3.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.102 description FEO encapsulation dot1Q 102 ip address 172.16.4.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.103 description Accounting encapsulation dot1Q 103 ip address 172.16.5.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/0.104 description Other encapsulation dot1Q 104 ip address 172.16.6.1 255.255.255.0 ip nat inside ip virtual-reassembly interface FastEthernet0/1 no ip address duplex auto speed auto interface FastEthernet0/1.4 description SPB encapsulation dot1Q 4 ip address 172.16.2.1 255.255.255.252 ip nat inside ip virtual-reassembly interface FastEthernet0/1.5 description KMR encapsulation dot1Q 5 ip address 172.16.2.17 255.255.255.252 interface FastEthernet0/1.6 description Internet encapsulation dot1Q 6 ip address 198.51.100.2 255.255.255.240 ip nat outside ip virtual-reassembly ip route 0.0.0.0 0.0.0.0 198.51.100.1 ....
Приступаем к конфигурации хаба(Филиал_1):
interface Tunnel0 ip address 172.16.254.1 255.255.255.0 ip nhrp map multicast dynamic ip nhrp network-id 1 tunnel source FastEthernet0/1.6 tunnel mode gre multipoint
ip address 172.16.254.1 255.255.255.0 – IP-адрес из нужного диапазона.
ip nhrp map multicast dynamic – динамическое изучение данных NHRP от клиентов. Поскольку клиентов у нас множество и они могут быть с динамическими адресами, на хабе нельзя задать явное соответствие внутренних и внешних адресов.
ip nhrp network-id 1 – определяем Network ID – просто идентификатор, который необязательно должен быть одинаковым на всех узлах DMVPN.
tunnel source FastEthernet0/1.6 – привязка к физическому интерфейсу.
tunnel mode gre multipoint – туннель на центральном узле будет терминировать все туннели от удалённых точек. То есть он будет точка-многоточка (Point-to-MultiPoint).
Первоначальнаый конфиг Филиал_3
.... interface Loopback0 ip address 172.16.255.128 255.255.255.255 interface FastEthernet0/0 no ip address duplex auto speed auto interface FastEthernet0/0.101 encapsulation dot1Q 101 ip address 198.51.101.2 255.255.255.252 ip route 0.0.0.0 0.0.0.0 198.51.101.1 ....
ip address 172.16.254.2 255.255.255.0 – IP-адрес из нужного диапазона.
ip nhrp map 172.16.254.1 198.51.100.2 – Статическое соотношение внутреннего и внешнего адресов хаба.
ip nhrp map multicast 198.51.100.2 - мультикастовый трафик должен получать хаб.
КАК НИБУДЬ ЗАКОНЧУ)
Освоено под чутким руководством http://linkmeup.ru