DMVPNs

Router Teldat
Dynamic Multipoint VPNs

Doc. DM768 Rev. 10.70 Marzo, 2006
NDICE
Captulo 1 Introduccin ....................................................................................................1
1. Introduccin a las redes dinmicas multipunto .................................................................. 2 Qu problemas presenta crear una DMVPN?........................................................ 3 a) IPSec no soporta protocolos de routing dinmico.................................................. 3 b) Origen y destino del tnel ....................................................................................... 3 c) Direcciones IP dinmicas ....................................................................................... 3 1.2. El protocolo NHRP ................................................................................................. 3 1.3. Funcionamiento del protocolo NHRP ..................................................................... 4 1.4. Tipos de paquete NHRP.......................................................................................... 5 2. Referencias......................................................................................................................... 13 1.1.
Captulo 2 Configuracin..................................................................................................14
1. 2. Configuracin de una DMVPN.......................................................................................... 15 Configuracin del interfaz Tnel IP (TNIP)....................................................................... 16 2.1. DESTINATION...................................................................................................... 17 2.2. DISABLE................................................................................................................ 17 2.3. ENABLE................................................................................................................. 17 2.4. ENCAPSULATION................................................................................................ 18 2.5. KEEPALIVE........................................................................................................... 18 2.6. LIST ........................................................................................................................ 19 2.7. MODE..................................................................................................................... 19 2.8. NHRP...................................................................................................................... 19 2.9. NHRP-TOS ............................................................................................................. 20 2.10. PATH-MTU-DISCOVERY.................................................................................... 20 2.11. QOS-PRE-CLASSIFY............................................................................................ 20 2.12. SOURCE................................................................................................................. 21 2.13. VRF-ENCAP .......................................................................................................... 21 3. Configuracin del protocolo de encapsulado GRE (Generic Routing Encapsulation)....... 22 3.1. CHECKSUM .......................................................................................................... 22 3.2. CIPHER .................................................................................................................. 23 3.3. CIPHER-KEY......................................................................................................... 23 3.4. KEY ........................................................................................................................ 23 3.5. LIST ........................................................................................................................ 24 3.6. SEQUENCE-DATAGRAMS ................................................................................. 24 4. Configuracin del protocolo NHRP ................................................................................... 25 4.1. AUTHENTICATION ............................................................................................. 25 4.2. ENABLE................................................................................................................. 26 4.3. HOLDTIME............................................................................................................ 26 4.4. LIST ........................................................................................................................ 26 4.5. MAP........................................................................................................................ 27 4.6. NHS ........................................................................................................................ 28 4.7. RATE-LIMIT.......................................................................................................... 29 4.8. RECORD ................................................................................................................ 29 4.9. REGISTRATION ................................................................................................... 29 4.10. RESPONDER ......................................................................................................... 30 4.11. SERVER-ONLY..................................................................................................... 30 4.12. USE......................................................................................................................... 30
Captulo 3 Monitorizacin ................................................................................................32

1. 1.1. 1.2. Monitorizacin del protocolo NHRP.................................................................................. 33 ? (AYUDA)............................................................................................................. 33 CLEAR ................................................................................................................... 33
- ii -
a) b) 1.3. 1.
CLEAR CACHE ...................................................................................................... 33 CLEAR STATISTICS ............................................................................................... 34 LIST ........................................................................................................................ 34
Captulo 4 Ejemplos ..........................................................................................................37

Ejemplo de configuracin de una DMVPN........................................................................ 38 a) Escenario ................................................................................................................ 38 b) Modo de funcionamiento......................................................................................... 39 c) Configuracin HUB1 .............................................................................................. 42 d) Configuracin SPOKE2.......................................................................................... 44 e) Configuracin Teldat1 ............................................................................................ 46 f) Configuracin Teldat2 ............................................................................................ 48
- iii -
Captulo 1 Introduccin
1. Introduccin a las redes dinmicas multipunto

A lo largo de este manual se describe el funcionamiento de las redes privadas virtuales dinmicas multipunto basadas en el protocolo IPSec (DMVPN). El objetivo es mostrar su utilidad y servir como referencia a la hora de construir DMVPNs basadas en Routers Teldat. La finalidad de las DMVPNs es permitir la interconexin entre las distintas sedes de una compaa, no slo con la sede central de sta, sino tambin entre ellas, sin necesidad de que el trfico tenga que pasar a travs de la sede central. La ventaja principal de las DMVPNs es que permiten hacerlo mediante tneles cifrados a travs del acceso a la red pblica, como puede ser Internet, sin necesidad de contratar enlaces punto a punto dedicados, que son mucho menos econmicos. El acceso a Internet es relativamente barato y en muchos casos ya est presente en las sedes de la compaa. El protocolo IPSec permite conexiones punto a punto cifradas garantizando la integridad y la privacidad de los datos en redes pblicas. La manera ms factible de organizar una red de gran tamao basada en el protocolo IPSec e Internet, es utilizar una red completamente o parcialmente mallada o un esquema hub-and-spoke. Se suele elegir el esquema hub-and-spoke porque en la mayora de los casos la mayor parte del trfico transcurre entre cada spoke y el hub, mientras el resto es trfico espordico entre spokes. Una red completamente mallada tiene el inconveniente de exigir mayor potencia a los spokes, para que estos se puedan conectar al resto de spokes, cuyo nmero puede ser elevado en una red de gran tamao. En una DMVPN para conectar el hub a los spokes se utiliza Internet y por tanto los spokes tienen la posibilidad de conectarse entre ellos al ser Internet una red mallada.
Red privada
Router
HUB
Internet
SPOKE1
Router Router
SPOKE3
Router
SPOKE2
Red privada Red privada
Red privada
Dado que la conexin entre spokes es posible, es preferible que el trfico entre spokes se realice directamente sin pasar a travs del hub, ya que de esta forma no se consumen recursos del hub y los
ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I-2
Doc.DM768 Rev.10.70
caminos de ida y vuelta de la informacin son ms ptimos que los que pasen por el hub, cuya localizacin geogrfica desconocemos y probablemente sea ms lejana que la del spoke con el que se desea comunicar.
1.1. Qu problemas presenta crear una DMVPN?

La implementacin de una red de este tipo plantea ciertos problemas que hay que resolver:
a) IPSec no soporta protocolos de routing dinmico

Para poder enviar a la red las tablas de rutas de los spokes se utilizan protocolos de routing dinmicos. Los protocolos de routing dinmicos se basan en la utilizacin de paquetes broadcast y multicast. El protocolo IPSec, al ser punto a punto, slo permite paquetes de tipo unicast. Para poder utilizar protocolos de routing dinmico con IPSec se utiliza el protocolo de encapsulamiento GRE (Generic Routing Encapsulation). Los paquetes GRE son paquetes unicast y slo necesitan conocer su origen y destino. Al ser los paquetes GRE de tipo unicast el protocolo IPSec puede cifrarlos. Como el protocolo GRE encapsula los paquetes, ya no es necesario que IPSec vuelva a encapsularlos y aada otra cabecera IP, permitiendo as utilizar IPSec en modo transporte y ahorrar 20 bytes por paquete.
b) Origen y destino del tnel

La necesidad del protocolo GRE de conocer el origen y el destino de cada tnel hace que la configuracin de los hubs pueda llegar a ser excesivamente grande en redes de gran tamao. Esto es as ya que el hub debe conocer las direcciones de todos los spokes a los que da servicio. Del mismo modo, si se quiere que un spoke pueda conectarse con cualquier otro spoke de la red, esto implica la necesidad de crear una red completamente mallada lo que complicar en exceso la configuracin de los spokes.
c) Direcciones IP dinmicas
Otra caracterstica de las conexiones a Internet es que suelen utilizar direcciones IP dinmicas obtenidas de un servidor a travs del protocolo DHCP o PPP. Esto complica an ms el esquema y hace imposible conocer de antemano la direccin destino del tnel. El protocolo GRE, como ya hemos comentado, necesita conocer con antelacin estas direcciones para poder crear el tnel entre los extremos origen y destino. Para solucionar todos estos problemas las DMVPNs utilizan dos protocolos: Mutipoint GRE (mGre) y NHRP (Next Hop Resolution Protocol). mGre permite la creacin de tneles dinmicos multipunto y utiliza NHRP para averiguar la direccin destino del tnel, la direccin del siguiente salto.
1.2. El protocolo NHRP

El protocolo NHRP que implementan los equipos Teldat es conforme al estndar del documento RFC2332 NBMA Next Hop Resolution Protocol (NHRP). El protocolo NHRP permite la simplificacin de la configuracin de los equipos, tanto de spokes como de hubs. Los equipos que actan como hubs no necesitan tener configurada la direccin de ninguno de los spokes de la red y por tanto las direcciones de los spokes pueden haber sido asignadas dinmicamente. Slo los spokes necesitan tener configurada la direccin de uno o varios hubs. Nada ms arrancar, cada spoke se encarga de registrarse en el hub que tenga configurado, establecindose un tnel permanente entre cada spoke y el hub. A su vez, cada spoke tiene configurada una direccin multicast a la que enviar los paquetes del protocolo de routing dinmico que tenga configurado. La direccin multicast suele ser la del hub que tiene configurado el spoke. De esta forma el spoke informa al hub de las rutas de sus redes mediante algn protocolo de enrutamiento dinmico.
Doc.DM768 Rev.10.70
Por su parte el hub crea una entrada multicast para cada spoke que se registra y se encarga de informar a todos los spokes de la red que tenga registrados, de las rutas de todos los spokes. Esto permite que cada spoke pueda tener acceso a cualquier red de otro spoke como si de una red completamente mallada se tratara, pero con la ventaja de no complicar las configuraciones de los spokes. Los tneles entre spokes en una DMVPN se establecen dinmicamente. El hub hace las veces de servidor NHRP y se encarga de dar servicio a los spokes que previamente se han registrado en l. Para establecer un tnel entre dos spokes, primero el spoke1 realiza una peticin al hub para conocer la direccin pblica del interfaz del spoke2 al que quiere conectar (direccin destino del tnel). Si el spoke2 est registrado en el hub, se recibe una respuesta positiva del hub con la informacin solicitada. El spoke2 hace lo mismo al recibir la solicitud del spoke1 de establecer un tnel y solicita al hub la informacin de siguiente salto del spoke1. A continuacin ambos spokes negocia la creacin de un tnel IPSec sobre el interfaz mGre (multipoint GRE) y establecen la comunicacin. Cuando el tnel deja de tener utilidad para ambos spokes, este muere al cabo de un tiempo de inactividad configurable. El tnel que se ha creado une directamente ambos spokes, mientras el hub slo interviene para facilitar las direcciones destino necesarias para que los spokes sean capaces de establecer un tnel directo entre ellos. De esta forma se libera al hub de cualquier tarea de cifrado y encaminamiento adicional. El protocolo NHRP de cada equipo mantiene en una memoria cach la informacin del siguiente salto (direccin pblica del interfaz para una direccin privada conocida) de cada tnel que tiene activo el equipo. En un hub est almacenada la informacin de cada spoke que se haya registrado en l. En cada spoke est la informacin de los hubs en los que se haya registrado y la informacin que haya solicitado a stos para establecer tneles con otros spokes.
1.3. Funcionamiento del protocolo NHRP

Las DMVPNs se configuran sobre un interfaz virtual de tipo tnel llamado TNIP (abreviatura de tnel IP) El interfaz TNIP tiene su propia direccin IP y sobre l se configura el protocolo mGre. En el interfaz TNIP se configuran tambin los parmetros de funcionamiento del protocolo NHRP que da servicio al protocolo mGre. El manual dnde se describe el interfaz TNIP es el Dm 719. El interfaz TNIP se configura con una direccin IP privada y tiene a su vez una direccin IP pblica asociada, la del interfaz fsico sobre el que se establecer el tnel. El objetivo de NHRP es descubrir la direccin pblica del interfaz TNIP del equipo remoto con el que se quiere establecer comunicacin a travs de un tnel. La direccin privada ya se conoce por medio del protocolo de routing dinmico que est corriendo en la red: Cada spoke se registra peridicamente en el hub o hubs que tenga configurados y mantiene activos los tneles que establece con stos. A travs de estos tneles viajan los paquetes multicast del protocolo de rutado dinmico. El hub transmite a los spokes las rutas del resto de equipos de la DMVPN a travs del tnel mencionado, es decir, se transmite el siguiente salto, que normalmente coincide con la direccin privada. Para descubrir la direccin IP destino del tnel, el protocolo mGre realiza una peticin al protocolo NHRP con la direccin privada del siguiente salto. El protocolo NHRP consulta en su memoria cach si tiene disponible alguna entrada con esta direccin IP privada. Si encuentra una entrada devuelve la direccin IP pblica que tiene almacenada y mGre se encarga de establecer el tnel. Si no encuentra una entrada, el protocolo NHRP genera un paquete de peticin de resolucin al hub principal que tenga configurado (NHS Next Hop Server) y que est activo. Mientras se espera la respuesta, el NHS devuelve al protocolo mGre su propia direccin pblica. De esta forma se evita la prdida de paquetes mientras se espera la respuesta del hub a la peticin de resolucin. Los paquetes viajan desde un spoke al hub y por ltimo al otro spoke (camino spoke-hub-spoke), mientras se obtiene la direccin que nos
Doc.DM768 Rev.10.70
permita establecer el camino ms ptimo que es el spoke-spoke. Nada ms llegar la respuesta del hub, en el siguiente paquete que se intente enviar entre los spokes, se crea el tnel entre ellos. Una vez se ha establecido el tnel dinmicamente entre dos spokes y ha finalizado su utilidad, este caduca en un intervalo previamente configurado y se borran las entradas de la cach de los spokes que se crearon con el tnel.
1.4. Tipos de paquete NHRP

En el protocolo NHRP existen siete tipos de paquete posibles que viajan entre los NHCs (Next Hop Client) y los NHSs (Next Hop Servers): 1. Registration Request: peticin de registro del NHC en el NHS. 2. Registration Reply: respuesta del NHS al NHC a una peticin de registro. 3. Resolution Request: peticin de resolucin de una direccin de siguiente salto que enva el NHC al NHS. 4. Resolution Reply: respuesta del NHS al NHC con la direccin de siguiente salto solicitada. 5. Purge Request: peticin de borrado de una entrada de cach que enva el NHS al NHC cuando la informacin de dicha entrada deja de ser vlida. 6. Purge Reply: respuesta del NHC al NHS a una peticin de borrado de una entrada de cach. 7. Indicacin de Error: paquete de error que indica algn problema en alguno de los paquetes recibidos en el equipo que genera el paquete de error. Los paquetes NHRP se componen de dos partes, una cabecera fija, una parte obligatoria y una parte de extensiones opcionales. La estructura del paquete es la siguiente:
Parte fija
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 AFN unused unused Checksum Prot. Version Packet Type SHTL Hop Count Packet Size Extensions Offset SSTL Protocol Type
AFN Indica el tipo de direccin de la capa de enlace, en nuestro caso el valor ser un 0x1 que indica direcciones con formato IPv4. Protocol Type 0x0800 que indica Ethertype.
Doc.DM768 Rev.10.70
Hop Count Es el nmero mximo de NHSs que puede atravesar un paquete antes de ser descartado. Packet Size Es el tamao del paquete NHRP en octetos. Checksum Es la suma de comprobacin IP del paquete NHRP completo. Extensions Offset Si es 0 indica que el paquete no tiene extensiones y si es distinto de cero es la distancia en octetos desde la cabecera del paquete NHRP hasta el comienzo de las extensiones. Protocol Version Versin del protocolo NHRP. En nuestro caso un 1, que indica que es la versin definida en la RFC2332. Packet Type NHRP Resolution Request(1), NHRP Resolution Reply(2), NHRP Registration Request(3), NHRP Registration Reply(4), NHRP Purge Request(5), NHRP Purge Reply(6), o NHRP Error Indication(7). SHTL Tipo y longitud de la direccin NBMA (Non Broadcast Multiaccess Network) origen (direccin pblica del interfaz). Para nuestro caso, direcciones IPv4, este valor es 4. Si es 0 el campo Source NBMA Address de la parte obligatoria no existe en el paquete. SSTL En nuestro caso, direcciones IPv4, siempre 0. Esto implica que el campo Source NBMA Subaddress de la parte obligatoria no exista en ningn paquete.
Parte obligatoria
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Source Prot. Length Dest. Prot. Length Request ID Source NBMA Address Source NBMA Subaddress Source Protocol Address Destination Protocol Address Flags
Doc.DM768 Rev.10.70
Source Protocol Length Longitud en octetos de la direccin privada origen, en nuestro caso, direcciones IPv4, siempre es 4. Si es 0, el campo Source Protocol Length no existir en el paquete. Destination Protocol Legth Longitud en octetos de la direccin privada destino, en nuestro caso, direcciones IPv4, siempre es 4. Si es 0, el campo Destination Protocol Length no existir en el paquete. Flags Su significado depende del tipo de paquete: Resolution Request: 1 1 1 1 1 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 Q A D U S unused
Q: indica que el equipo que gener el Resolution Request es un router. A: la informacin que se pide debe ser autorizada, obtenida de un paquete de registro en el NHS. D: no utilizado, debe estar a 0. U: indica que la informacin requerida debe ser nica, se obtiene un nico CIE (entrada de informacin de cliente). S: la informacin del equipo contenida en el paquete es estable y exacta. Resolution Reply: 1 1 1 1 1 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 Q A D U S unused
Q: valor copiado del Resolution Request. A: la informacin que se incluye en el CIE del paquete es autorizada, obtenida de un paquete de registro en el NHS. D: la informacin que contiene el CIE es estable y su valor se garantiza durante el tiempo que especifica el campo Holding Time del CIE. U: valor copiado del Resolution Request. S: valor copiado del Resolution Request. Registration Request: 1 1 1 1 1 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 U unused
U: indica que la informacin que estamos registrando es nica.
Doc.DM768 Rev.10.70
Purge Request: 1 1 1 1 1 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 N unused
N: si es 1 indica que el equipo que gener el paquete no espera un paquete de Purge Reply como respuesta. Request ID Junto con el valor de la direccin origen sirve para identificar el paquete NHRP. Source NBMA Address Es la direccin pblica origen. La direccin del equipo que ha enviado el paquete de request. Si el campo SHTL de la parte fija del paquete NHRP es cero entonces el campo que ocupa esta direccin no existe dentro del paquete. Source NBMA Subaddress En nuestro caso, direcciones IPv4, este campo no existe dentro del paquete, el campo SSTL de la parte fija del paquete NHRP es 0. Source Protocol Address Es la direccin privada origen del paquete de request y la direccin privada destino de un paquete de reply. Destination Protocol Address Es la direccin privada destino de un paquete de request.
Doc.DM768 Rev.10.70
CIEs (entradas de informacin de cliente).

1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Code MTU Client Add T/L Client Subadd T/L Client NBMA Address Client NBMA Subaddress Client Protocol Address ................................................................ Code MTU Client Add T/L Client Subadd T/L Client NBMA Address Client NBMA Subaddress Client Protocol Address Prefix Length unused Holding Time Client Protocol len Preference Prefix Length unused Holding Time Client Protocol len Preference
Code En los paquetes tipo request es 0 y en los reply indica un acuse de recibo positivo (ACK) si es 0 y negativo (NAK) si tiene cualquier otro valor. Los valores que puede tomar son los siguientes: 0. Successful Registration. 1. Unrecognized Extension. 3. NHRP Loop Detected. 4. Administratively Prohibited. 5. Insufficient Resources. 6. Protocol Address Unreachable. 7. Protocol Error. 8. NHRP SDU Size Exceeded. 9. Invalid Extension. 10. Invalid NHRP Resolution Reply Received. 11. Authentication Failure. 12. No Internetworking Layer Address to NBMA Address Binding Exists. 13. Binding Exists But Is Not Unique. 14. Unique Internetworking Layer Address Already Registered. 15. Hop Count Exceeded.
Doc.DM768 Rev.10.70
Prefix Length Si es distinto de 0 y distinto de 0xFF indica que la informacin que contiene el CIE corresponde a una red y es el nmero de unos de la mscara de la red. En caso de ser 0 indica que la direccin corresponde a un nico equipo. MTU Este valor es la unidad de transmisin mxima del equipo cliente. En nuestro caso tiene el valor por defecto de 1514 octetos. Holding Time Especifica el nmero de segundos para los que la informacin del siguiente salto contenida en el CIE es vlida. Cuando este tiempo haya expirado esta informacin debe ser borrada de la cach. En un NAK debe ser 0. Client Address Type & Length Es la longitud en octetos del campo Client NBMA Address. En nuestro caso, direcciones IPv4, ser 4 si el campo Client NBMA Address aparece en el CIE, 0 en caso de que no exista. Client Subaddress Type & Length En nuestro caso es siempre 0 y el campo Client NBMA Subaddress no existe en el CIE. Client Protocol Length Es la longitud en octetos del campo Client Protocol Address. En nuestro caso, direcciones IPv4, ser 4 si el campo Client Protocol Address aparece en el CIE, 0 en caso de que no exista. Preference Cuando el paquete NHRP contiene varios CIEs indica la preferencia de uno respecto de los otros, un valor ms alto indica mayor preferencia. Client NBMA Address Direccin pblica del siguiente salto. Client NBMA Subaddress Este campo no existe en nuestro caso, direcciones IPv4. Client Protocol Address Direccin privada del siguiente salto.
ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I - 10
Doc.DM768 Rev.10.70
Parte obligatoria de un paquete de error

1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 Source Prot. Length Dest. Prot. Legth Source NBMA Address Source NBMA Subaddress Source Protocol Address Destination Protocol Address Contents of NHRP Packet in error Flags Error Offset Error Code
Error Code Contiene el cdigo de la causa del error que se ha producido. Los posibles valores son: 1, 3, 6, 7, 8, 9, 10, 11, 15. Para ver los mensajes de error que se corresponden con cada cdigo ver ms arriba el campo Code del CIE de la parte obligatoria del paquete NHRP. Error Offset Es el offset en octetos desde el inicio de la parte fija del paquete NHRP original, en la que se ha observado el error, hasta el campo que se considera errneo en el paquete original. Contents of NHRP Packet in error El contenido completo del paquete en el que se ha observado el error, desde la parte fija hasta las extensiones.
Extensiones
1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 C u Type Value... Length
Compulsory bit Indica que la extensin es obligatoria y no puede ser ignorada. Type Tipo de extensin: 0. The End of Extensions. 3. Responder Address Extension. 4. NHRP Forward Transit NHS Record Extension. 5. NHRP Reverse Transit NHS Record Extension.
Doc.DM768 Rev.10.70
7. NHRP Authentication Extension. 8. NHRP Vendor-Private Extension. Length Longitud en octetos del campo Value de la extensin (no incluye los campos Type y Length). Value Depende del tipo de extensin. La End of Extensions no lleva campo Value. La Responder Address Extension incluye un CIE con las direcciones del equipo que ha generado el paquete de respuesta (reply). La Forward Transit NHS Record Extension lleva un CIE por cada NHS que ha atravesado el paquete en el camino de ida (caso de un paquete request). Por su parte la Reverse Transit NHS Record Extension incluye un CIE por cada NHS que ha atravesado el paquete en el camino de vuelta (caso de un paquete reply). La Vendor-Private Extension en nuestro caso no existe. El contenido del campo Value de la Authentication Extension se detalla en el siguiente punto.
Valor de la extensin de autenticacin

1 1 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 2 2 2 3 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 reserved Source Address Authentication Data... SPI (Security Parameter Index)
SPI Es el Security Parameter Index que en nuestro caso es 1 e indica que la autenticacin se realiza con una palabra de autenticacin de 8 caracteres. Source Address En nuestro caso no existe este campo. Authentication Data Palabra de 8 caracteres que funciona como palabra de autenticacin.
Doc.DM768 Rev.10.70
2. Referencias
RFC-2332: NBMA Next Hop Resolution Protocol (NHRP), April 1998. Dm719: Interfaz Tnel IP (TNIP).
Doc.DM768 Rev.10.70
Captulo 2 Configuracin
1. Configuracin de una DMVPN

En este apartado se describen los pasos necesarios para configurar una DMVPN basada en equipos Teldat. Para acceder al men de configuracin ejecutamos el comando CONFIG o PROCESS 4 sobre el men raz de la consola del equipo.
*PROCESS 4 Config>
Para crear una DMVPN debemos crear en cada equipo un interfaz virtual de tipo tnel IP o TNIP. Para crear un interfaz de tipo Tnel IP se debe introducir ADD DEVICE tnip <identificador del tnel> en el men de configuracin global.
Config>ADD DEVICE tnip 1 Added TNIP interface tnip1 Config>
Para entrar posteriormente en configuracin basta con teclear NETWORK tnipX, donde X representa el identificador del tnel:
Config>NETWORK tnip1 -- IP Tunnel Net Configuration -tnip1 config>
El protocolo que es soportado sobre el interfaz TNIP es el IP. Es necesario para activar el IP sobre el interfaz TNIP asignar una direccin IP al citado interfaz o configurarlo como interfaz de tipo no numerado. Ejemplo con direccin IP conocida:
tnip1 config>ip address 5.5.5.1 255.255.0.0 tnip1 config>
Ejemplo como interfaz no numerado:

tnip1 config>ip address unnumbered tnip1 config>
ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 15
Doc.DM768 Rev.10.70
2. Configuracin del interfaz Tnel IP (TNIP)

En este apartado se describen los comandos de configuracin del interfaz TNIP. Para acceder al entorno de configuracin de TNIP, se debe introducir NETWORK <interfaz TNIP>:
*P 4 Config>NETWORK tnip1 -- IP Tunnel Net Configuration -tnip1 config>? description Enter interface description destination Destination address disable Disable the tunnel interface enable Enable the tunnel interface encapsulation Encapsulation configuration ip Interface Internet Protocol config commands keepalive Enable keepalive list Show tunnel interface configuration mode Encapsulation mode for the tunnel interface nhrp NHRP protocol configuration nhrp-tos Mark NHRP packets with a TOS value no path-mtu-discovery Enable Path MTU Discovery on tunnel qos-pre-classify QoS pre-classify shutdown Change state to administratively down source Source address or source interface update Update a level indicator vrf-encap Specify parameters for a VPN Routing/Forwarding instance exit tnip1 config>
Hay ciertos comandos comunes para todos los interfaces del equipo. Estos comandos se describen en el manual de configuracin comn de interfaces (Dm772 Configuracin Comn de Interfaces). Los comandos disponibles son los siguientes: Comando Funcin ? (AYUDA) DESTINATION DISABLE ENABLE ENCAPSULATION KEEPALIVE LIST MODE NHRP NHRP-TOS NO PATH-MTU-DISCOVERY QOS-PRE-CLASSIFY SOURCE Lista los comandos u opciones disponibles. Configura la direccin IP destino del tnel. Deshabilita el interfaz tnel. Habilita el interfaz tnel. Accede al men de configuracin del protocolo encapsulador. Habilita el mantenimiento keepalive. Muestra los parmetros configurados. Selecciona el modo de encapsular en el interfaz tnel (protocolo encapsulador). Comandos de configuracin del protocolo NHRP. Permite marcar los paquetes NHRP con un valor de TOS. Deshabilita o elimina funcionalidades. Habilita Path MTU Discovery en el tnel. Habilita la preclasificacin de paquetes de BRS. Configura la direccin IP origen del tnel.
Doc.DM768 Rev.10.70
VRF-ENCAP EXIT
Especifica parmetros de una instancia VPN Routing/Forwarding. Sale del men de configuracin de TNIP.
2.1. DESTINATION
Configura la direccin IP destino del tnel IP. Debe coincidir con la direccin IP configurada como origen del tnel en el router del otro extremo. Si la direccin IP destino del tnel no coincide con la configurada como origen en el otro extremo, los paquetes que se enven a dicho router sern descartados por no pertenecer al tnel. Es necesario que exista ruta hacia la direccin IP destino pues si no los paquetes del tnel no pueden ser encaminados. Como precaucin, dicha ruta debe ser una ruta esttica para evitar el problema de recursividad en la tabla de rutas explicado en el captulo 1 del manual de TNIP DM719. Para dejar la direccin IP de destino sin especificar (tnel dinmico o promiscuo) se emplea el comando NO DESTINATION. Sintaxis:
tnip1 config>DESTINATION ? <a.b.c.d> Ipv4 format tnip1 config>
Ejemplo:
tnip1 config>DESTINATION 66.187.232.56 tnip1 config>
2.2. DISABLE
Deshabilita el interfaz tnel. Por defecto el interfaz tnel est deshabilitado. Sintaxis:
tnip1 config>DISABLE ? <cr> tnip1 config>
Ejemplo:
tnip1 config>DISABLE tnip1 config>
2.3. ENABLE
Habilita el interfaz tnel. Por defecto el interfaz tnel no se encuentra habilitado. Sintaxis:
tnip1 config>ENABLE ? <cr> tnip1 config>
Ejemplo:
tnip1 config>ENABLE tnip1 config>
Doc.DM768 Rev.10.70
2.4. ENCAPSULATION
Accede a la configuracin del protocolo encapsulador. De momento el nico protocolo encapsulador soportado es GRE (Generic Routing Encapsulation). Este submenu se describe en el apartado 3. Sintaxis:
tnip1 config>ENCAPSULATION ? <cr> tnip1 GRE config>
Ejemplo:
tnip1 config>ENCAPSULATION -- GRE Configuration -tnip1 GRE config>
2.5. KEEPALIVE
Habilita el mantenimiento keepalive del Tnel IP. Este mantenimiento consiste en el envo peridico de paquetes de peticin keepalive. Si no se reciben dentro del periodo configurado se determina la prdida de conectividad del tnel, y se deja el interfaz de Tnel IP inoperativo (estado down) hasta que se restablezca la conectividad.
En los tneles dinmicos slo se mandarn paquetes de mantenimiento "keepalive" cuando el tnel est establecido, es decir, cuando se haya aprendido la direccin IP del tnel (ver comando de monitorizacin LIST STATUS). En los tneles promiscuos nunca se enviarn paquetes de mantenimiento "keepalive". El formato de este comando es KEEPALIVE [<periodo> [<intentos>]]. Los parmetros se describen a continuacin: Parmetro periodo Descripcin Nmero de segundos entre envos sucesivos de paquetes de peticin keepalive. Tambin acta como tiempo mximo de respuesta, ya que slo se consideran las respuestas al ltimo paquete de peticin keepalive enviado. El rango permitido es de 1 a 32767 segundos, y el valor por defecto 10 segundos. Nmero de paquetes consecutivos de peticin keepalive sin respuesta para determinar que se ha perdido la conectividad. El rango permitido es de 1 a 255 envos sin respuesta, y el valor por defecto 3.
intentos
Para deshabilitar el mantenimiento keepalive se emplea el comando NO KEEPALIVE. Sintaxis:

tnip1 config>KEEPALIVE ? <1..32767> Keepalive period (default 10 seconds) <cr> tnip1 config>KEEPALIVE 30 ? <1..255> Keepalive retries (default 3 retries) <cr> tnip1 config>
Doc.DM768 Rev.10.70
Ejemplo:
tnip1 config>KEEPALIVE 30 5 tnip1 config>
2.6. LIST
Muestra la configuracin del tnel IP. Sintaxis:
tnip1 config>LIST ? <cr> tnip1 config>
Ejemplo:
tnip1 config>LIST Tunnel mode: GRE (enabled) Tunnel source 212.95.195.132, destination 66.187.232.56 QoS preclassify: disabled Keepalive: enabled with period 10, 3 retries NHRP type of service: 25 tnip1 config>
Tunnel mode: indica el tipo de encapsulado y el estado (habilitado/deshabilitado). Tunnel source / destination: direcciones IP origen / destino del tnel. QoS preclassify: indica si se encuentra habilitada la preclasificacin de BRS. Keepalive: muestra la configuracin del mantenimiento keepalive. NHRP type of service: muestra el tipo de servicio seleccionado para los paquetes NHRP.
2.7. MODE
Selecciona el modo de encapsulacin. Soporta GRE (Generic Routing Encapsulation) y mGre (Multipoint GRE). Sintaxis:
tnip1 config>MODE ? gre Generic Routing Encapsulation Protocol tnip1 config>MODE GRE ? ip Over IP multipoint Over IP (multipoint) <cr> tnip1 config>
Ejemplo1:
tnip1 config>MODE GRE IP tnip1 config>
Ejemplo2:
tnip1 config>MODE GRE MULTIPOINT tnip1 config>
2.8. NHRP
Permite configurar el protocolo NHRP. Para ms informacin ver el apartado 4. Configuracin del protocolo NHRP.
Doc.DM768 Rev.10.70
Sintaxis:
tnip1 config>NHRP ? authentication Authentication string enable Enable NHRP protocol holdtime Advertised holdtime list List NHRP protocol's configuration map Map dest IP addresses to NBMA addresses nhs Specify a next hop server rate-limit Rate limit NHRP traffic record Enable NHRP transit record extensions registration Change registration mode responder Responder interface server-only Disable NHRP requests use Minimum use for sending requests tnip1 config>
2.9. NHRP-TOS
Permite marcar los paquetes NHRP con un valor de TOS (type of service). De esta forma podemos filtrar los paquetes NHRP, por ejemplo para evitar que los paquetes NHRP registration request inicien una llamada en un enlace UMTS. Sintaxis:
tnip1 config>NHRP-TOS ? <0..255> IPv4 type of service value tnip1 config>
Ejemplo:
tnip1 config>NHRP-TOS 25 tnip1 config>
2.10. PATH-MTU-DISCOVERY
Activa la funcionalidad que detecta cul es el valor de MTU apropiado para que no haya fragmentacin en los paquetes que se envan desde un extremo al otro del tnel. Esta funcionalidad se encarga de descubrir la mnima MTU en el camino entre los dos extremos del tnel y de esta forma evitar que se produzca fragmentacin. Al activar esta funcionalidad los paquetes TCP/IP que enve el equipo llevan el bit DF (dont fragment) activado. Sintaxis:
tnip1 config>PATH-MTU-DISCOVERY ? <cr> tnip1 config>
Ejemplo:
tnip1 config>PATH-MTU-DISCOVERY tnip1 config>
2.11. QOS-PRE-CLASSIFY
Habilita la preclasificacin de paquetes por parte del BRS. Al habilitar esta opcin los paquetes que llegan al tnel son clasificados por el BRS (consultar el manual de BRS, Dm715) antes de ser encapsulados por el tnel. Esto permite distinguir entre distintos tipos de trfico IP que son enviados a travs del tnel. Si esta opcin est deshabilitada los paquetes sern clasificados una vez encapsulados, por lo que todo el trfico que sea procesado por el tnel tendr la misma cabecera IP (la que pone el tnel) y sern clasificados todos en la misma clase de BRS.
Doc.DM768 Rev.10.70
Para deshabilitar este parmetro se utiliza NO QOS-PRE-CLASSIFY. Sintaxis:

tnip1 config>QOS-PRE-CLASSIFY ? <cr> tnip1 config>
Ejemplo:
tnip1 config>QOS-PRE-CLASSIFY tnip1 config>
2.12. SOURCE
Configura el interfaz o la direccin IP origen del tnel IP. En el caso de una direccin IP, esta debe coincidir con la direccin IP de uno de los interfaces configurados en el router (Ethernet, PPP, Loopbak, etc.) excepto la del propio tnel. Tambin debe coincidir con la direccin IP configurada como destino en el equipo que sea el otro extremo del tnel. En el caso de especificar un interfaz como origen del tnel este debe ser uno de los interfaces configurados en el router excepto el propio tnel. Si la direccin IP origen del tnel no coincide con ninguno de los interfaces del router, los paquetes destinados a esta direccin IP no son considerados por el router como propios y los intentar encaminar hacia otro equipo. Si la direccin IP configurada como origen no coincide con la configurada como destino en el otro extremo del router, no existir nunca enlace. Si el origen del tnel es un interfaz PPP que recibe asignacin dinmica de direccin IP (consultar el manual del Interfaz PPP, Dm710), entonces se debe especificar el interfaz PPP en cuestin como origen del tnel. Sintaxis:
tnip1 config>SOURCE ? <a.b.c.d> Tunnel source address <interface> Tunnel source interface tnip1 config>
Ejemplo1:
tnip1 config>SOURCE 212.95.195.132 tnip1 config>
Ejemplo2:
tnip1 config>SOURCE ppp1 tnip1 config>
2.13. VRF-ENCAP
Este comando permite asociar la direccin destino del tnel IP a una instancia VRF. La ruta para dicho destino ser entonces consultada en la tabla de rutas de la VRF asociada. El origen y el destino del tnel deben estar en la misma VRF. Sintaxis:
tnip1 config>VRF-ENCAP ? <1..32 chars> VPN Routing/Forwarding instance name tnip1 config>
Ejemplo:
tnip1 config>VRF-ENCAP thisIsAnExample tnip1 config>
Doc.DM768 Rev.10.70
3. Configuracin del protocolo de encapsulado GRE (Generic Routing Encapsulation)

En este apartado se describen los comandos de configuracin del protocolo encapsulador GRE. Para acceder al entorno de configuracin de GRE hay que introducir el comando ENCAPSULATION en el men de configuracin del interfaz tnel (con el interfaz configurado en modo de encapsulacin GRE).
*P 4 Config>NETWORK tnip1 -- IP Tunnel Net Configuration -TNIP config>ENCAPSULATION -- GRE Configuration -GRE config>? checksum End-to-end checksum cipher RC4 Ciphering cipher-key Cipher key key ID key for the tunnel interface list Show GRE configuration no sequence-datagrams Drop out-of-order datagrams exit GRE config>
Los comandos disponibles son los siguientes: Comando CHECKSUM CIPHER CIPHER-KEY KEY LIST SEQUENCE-DATAGRAMS Funcin Habilita el checksum extremo-a-extremo (GRE). Habilita el cifrado RC4 en el tnel GRE. Configura la clave del cifrado RC4. Configura el identificador de tnel. Muestra los parmetros configurados. Descartar datagramas recibidos fuera de orden.
3.1. CHECKSUM
Habilita la opcin de envo de checksum en el paquete GRE. Por defecto, el tnel no garantiza la integridad de los paquetes. Habilitando dicha opcin el router enva los paquetes GRE con campo checksum. Si se recibe un paquete con el campo checksum siempre se comprueba el checksum, descartando aquellos paquetes que lo tengan invlido, independientemente de que el equipo tenga o no habilitada la opcin. Para deshabilitar el checksum se utiliza NO CHECKSUM. Sintaxis:
tnip1 GRE config>CHECKSUM ? <cr> tnip1 GRE config>
Doc.DM768 Rev.10.70
Ejemplo:
tnip1 GRE config>CHECKSUM tnip1 GRE config>
3.2. CIPHER
Activa el cifrado RC4 de los paquetes encapsulados en el tnel GRE. Por defecto no se encuentra habilitado el cifrado.
Aunque los paquetes de peticin keepalive se cifran, los de respuesta no se cifran, ya que realmente no se encapsulan en el tnel. Para deshabilitar el cifrado RC4 se utiliza NO CIPHER. Sintaxis:
tnip1 GRE config>CIPHER ? <cr> tnip1 GRE config>
Ejemplo:
tnip1 GRE config>CIPHER tnip1 GRE config>
3.3. CIPHER-KEY
Configura la clave de cifrado del interfaz tnel. Dicha clave admite un mximo de 32 caracteres alfanumricos. Para restablecer la clave por defecto de cifrado en tneles GRE se utiliza NO CIPHER-KEY. Sintaxis:
tnip1 GRE config>CIPHER-KEY ? <word> Text tnip1 GRE config>
Ejemplo:
tnip1 GRE config>CIPHER-KEY thisIsAnExample tnip1 GRE config>
3.4. KEY
Habilita la comprobacin del identificador del tnel. Al habilitarse esta opcin el equipo solicita un identificador para el tnel en cuestin. Dicho identificador de tnel ha de ser igual en ambos extremos del tnel. El identificador es un nmero entero comprendido entre 0 y 4294967295 (32 bits). Por defecto el tnel tiene deshabilitada esta opcin. Cuando el identificador de tnel se encuentra habilitado el router descarta aquellos paquetes recibidos con un identificador distinto al configurado.
Doc.DM768 Rev.10.70
Sintaxis:
tnip1 GRE config>KEY ? <0..4294967295> Value in the specified range tnip1 GRE config>
Ejemplo:
tnip1 GRE config>KEY 5 tnip1 GRE config>
3.5. LIST
Muestra la configuracin del protocolo GRE. Sintaxis:
tnip1 GRE config>LIST ? <cr> tnip1 GRE config>
Ejemplo:
tnip1 GRE config>LIST RC4 Cipher.................: End-to-End Checksumming....: Tunnel identification key..: Drop Out-of-Order Datagrams: tnip1 GRE config> enabled enabled enabled [5] disabled
RC4 Cipher: indica si se encuentra habilitado el cifrado RC4. End-to-End Checksumming: indica si se encuentra habilitado el checksum extremo a extremo. Tunnel identification key: identificador de tnel (si se ha habilitado). Drop Out-of-Order Datagrams: descartar datagramas recibidos fuera de orden..
3.6. SEQUENCE-DATAGRAMS
Habilita la opcin de asegurar orden en datagramas entrantes. Habilitando esta opcin el router comprueba el nmero de secuencia incluido en la cabecera GRE y descarta aquellos paquetes que lleguen fuera de orden. Por defecto, el tnel GRE tiene deshabilitada esta opcin. Para deshabilitar el nmero de secuencia se utiliza NO SEQUENCE-DATAGRAMS. Sintaxis:
tnip1 GRE config>SEQUENCE-DATAGRAMS ? <cr> tnip1 GRE config>
Ejemplo:
tnip1 GRE config>SEQUENCE-DATAGRAMS tnip1 GRE config>
Doc.DM768 Rev.10.70
4. Configuracin del protocolo NHRP

En este apartado se describen los comandos de configuracin del protocolo NHRP. Para acceder al entorno de configuracin de NHRP, se debe introducir NETWORK <interfaz TNIP>:
*P 4 Config>NETWORK tnip1 -- IP Tunnel Net Configuration -tnip1 config>nhrp ? authentication Authentication string enable Enable NHRP protocol holdtime Advertised holdtime list List NHRP protocol's configuration map Map dest IP addresses to NBMA addresses nhs Specify a next hop server rate-limit Rate limit NHRP traffic record Enable NHRP transit record extensions registration Change registration mode responder Responder interface server-only Disable NHRP requests use Minimum use for sending requests tnip1 config>
Para introducir un comando NHRP este debe ir precedido de la palabra NHRP de la siguiente forma NHRP <comando>. Una vez que se ha accedido al men de configuracin del interfaz tnel IP, los comandos disponibles del submen NHRP son los que se describen a continuacin: Comando ? (AYUDA) AUTHENTICATION ENABLE HOLDTIME LIST MAP NHS RATE-LIMIT RECORD REGISTRATION RESPONDER SERVER-ONLY USE Funcin Lista los comandos u opciones disponibles. Especfica la palabra de autenticacin. Habilita el protocolo NHRP. Tiempo de validez de la informacin de siguiente salto que se enve por NHRP. Muestra los parmetros configurados. Crea una entrada esttica en la cach de NHRP. Especfica la direccin privada de un Next Hop Server (NHS) Permite especificar una tasa de transferencia mxima de paquetes NHRP. Habilita las NHRP Transit Record Extensions Cambia el modo de registrarse en un NHS permitiendo entradas mltiples. Especifica el interfaz que responde a las peticiones NHRP. Deshabilita la generacin de paquetes de tipo Resolution Request y la cach. Cantidad mnima de paquetes que generan el establecimiento de un tnel.
4.1. AUTHENTICATION
Este comando permite introducir una palabra de configuracin de hasta 8 caracteres. La palabra de configuracin sirve para evitar que equipos que no tengan configurada la misma palabra de configuracin puedan comunicarse a travs de NHRP. Por esta razn todos los equipos que vayan a formar parte de la misma red y que vayan a intercambiar informacin por NHRP deben tener
Doc.DM768 Rev.10.70
configurada la misma palabra de autenticacin. Por defecto no hay configurada ninguna palabra y por tanto la autenticacin est desactivada. Sintaxis:
tnip1 config>NHRP AUTHENTICATION ? <1..8 chars> Authentication word tnip1 config>
Ejemplo:
tnip1 config>NHRP AUTHENTICATION teldat tnip1 config>
4.2. ENABLE
Este comando habilita el protocolo NHRP en el interfaz TNIP correspondiente. El ejemplo habilita el protocolo NHRP en el interfaz tnip1. Sintaxis:
tnip1 config>NHRP ENABLE ? <cr> tnip1 config>
Ejemplo:
tnip1 config>NHRP ENABLE tnip1 config>
En configuracin dinmica despus de hacer un no nhrp enable se debe hacer un shutdown del interfaz TNIP y a continuacin un no shutdown del mismo. De esta forma se vuelve a levantar el interfaz TNIP y levanta a su vez el protocolo NHRP.
4.3. HOLDTIME
Este comando permite especificar el tiempo durante el que se consideran vlidas las direcciones que el router proporciona en las respuestas positivas a peticiones NHRP. El valor por defecto es 60 minutos. El tiempo se especifica en segundos y debe estar comprendido entre 1 y 65535 segundos. Sintaxis:
tnip1 config>NHRP HOLDTIME ? <1..65535> seconds tnip1 config>
Ejemplo:
tnip1 config>NHRP HOLDTIME 300 tnip1 config>
4.4. LIST
Muestra la configuracin del protocolo NHRP. Sintaxis:
tnip1 config>NHRP LIST ? <cr> tnip1 config>
Doc.DM768 Rev.10.70
Ejemplo:
tnip1 config>NHRP LIST NHRP protocol: enabled Multicast NBMA: 10.1.1.2 Destination ip: 1.1.1.1 255.255.255.255 Destination NBMA: 10.1.1.2 NHS: 1.1.1.1 Authentication word: teldat Holding time: 300 seconds Max packet count: 100 packets Rate interval: 1 seconds Responder interface: internal Minimum packets for request: 1 packets Record extensions: ON Registration no unique: OFF Server only mode: OFF Server no caching: OFF tnip1 config>
NHRP protocol: indica si se encuentra habilitado el protocolo NHRP. Multicast NBMA: direccin IP pblica a la que se enviarn paquetes multicast. Destination ip: direccin IP privada del destino de un tnel esttico. Destination NBMA: direccin IP pblica del destino de un tnel esttico. NHS: direccin IP privada del Next Hop Server. Authentication word: palabra de autenticacin del protocolo. Holding time: Tiempo de validez de la informacin de siguiente salto que se enve por NHRP. Max packet count: mximo nmero de paquetes NHRP que se pueden transmitir en un rate interval. Rate interval: intervalo de tiempo para enviar el nmero de paquetes de max packet count. Responder interface: interfaz de respuesta a las peticiones NHRP. Minimum packets for request: mnimo nmero de consultas a NHRP antes de enviar un paquete de Resolution Request. Record extensions: indica si estn activadas las Transit Record Extensions. Registration no unique: indica si est activado el modo de registro no-unique. Server only mode: indica si est activado el modo server-only. Server no caching: indica si est activado el modo no-caching (cache deshabilitada).
4.5. MAP
El comando MAP tiene dos funcionalidades: Permite crear entradas estticas en la cache del protocolo NHRP. En estas entradas se guarda la correspondencia entre las direcciones pblicas y privadas de los equipos de la red. Permite configurar las direcciones a travs de las cuales se enviarn paquetes multicast. Por ejemplo los paquetes generados por protocolos de routing como RIP. Para seleccionar una u otra funcionalidad basta con poner o no poner la palabra MULTICAST a continuacin del comando MAP. Para configurar una entrada esttica en la cache, debemos poner a continuacin del comando MAP la direccin IP privada, la mscara de subred y por ltimo la direccin IP pblica que se corresponde con
Doc.DM768 Rev.10.70
la direccin IP privada. Se debe configurar una entrada esttica en cada equipo con las direcciones del NHS que le da servicio. De esta forma queda establecido permanentemente un tnel entre el spoke y el hub (NHS). Sintaxis:
tnip1 config>NHRP MAP ? multicast Multicast mode <a.b.c.d> Point to point mode, destination ip address tnip1 config>NHRP MAP MULTICAST ? dynamic Dynamic multicast mode <a.b.c.d> Destination NBMA ip address tnip1 config>
Ejemplo 1:
tnip1 config>NHRP MAP 1.1.1.1 255.255.255.255 10.1.1.2 tnip1 config>
Para configurar los destinos de los paquetes multicast existen dos casos. El primero es que vayamos a ser un Next Hop Server (NHS) y por tanto vayamos a recibir peticiones de registro de otros equipos. En este caso las entradas sern dinmicas y no conoceremos a priori a quin debemos enviar los paquetes multicast. Utilizaremos la opcin DYNAMIC para hacer que el equipo cree una entrada dinmica con cada equipo que se registre y de esta forma los paquetes multicast se enven a todos los equipos registrados en el NHS. Ejemplo 2:
tnip1 config>NHRP MAP MULTICAST DYNAMIC tnip1 config>
La segunda opcin es que seamos un cliente de NHRP. Configurados de este modo, lo que tiene sentido es que enviemos los paquetes multicast a el o los NHSs que tengamos configurados para que ellos los distribuyan por el resto de la red. A la opcin MULTICAST sigue en este caso la direccin pblica del NHS al que enviaremos los paquetes multicast. Ejemplo 3:
tnip1 config>NHRP MAP MULTICAST 10.1.1.2 tnip1 config>
Se pueden crear tantas entradas como se quieran utilizando el comando MAP repetidas veces con distintas direcciones.
4.6. NHS
Este comando configura la direccin privada del Next Hop Server que da servicio al equipo. Se pueden configurar varias direcciones de distintos NHSs con solo ejecutar el comando varias veces con distintas direcciones IP. El NHS principal es el primero que se haya configurado y es a este al que se manden las peticiones NHRP siempre que est activo. El equipo se registra en todos los NHSs que tenga configurados. Sintaxis:
tnip1 config>NHRP NHS ? <a.b.c.d> Next hop server ip address tnip1 config>
Doc.DM768 Rev.10.70
Ejemplo:
tnip1 config>NHRP NHS 1.1.1.2 tnip1 config>
4.7. RATE-LIMIT
Este comando permite cambiar la tasa de transferencia mxima de paquetes NHRP configurando el nmero mximo de paquetes y el intervalo en el que se pueden mandar. Por defecto la mxima tasa de transferencia de paquetes NHRP es de 100 paquetes cada segundo. Sintaxis:
tnip1 config>NHRP RATE-LIMIT ? <1..65535> Max packet count tnip1 config> NHRP RATE-LIMIT 20 ? <1..65535> Time interval in seconds tnip1 config>
Ejemplo:
tnip1 config>NHRP RATE-LIMIT 20 10 tnip1 config>
En el ejemplo se configura el equipo de forma que la tasa de transferencia mxima es de 20 paquetes cada 10 segundos. Los valores, tanto del nmero mximo de paquetes como del intervalo de tiempo deben estar comprendidos entre 1 y 65535.
4.8. RECORD
Este comando activa el envo de las Transit Record Extensions en los paquetes NHRP, tanto la Forward como la Reverse. Estas extensiones permiten conocer los NHSs a travs de los cuales ha viajado el paquete NHRP y tienen su utilidad a la hora de depurar. Cuando estn activas permiten al protocolo detectar la existencia de bucles en la red. Por defecto estn desactivadas. Sintaxis:
tnip1 config>NHRP RECORD ? <cr> tnip1 config>
Ejemplo:
tnip1 config>NHRP RECORD tnip1 config>
4.9. REGISTRATION
Por defecto los equipos se registran en los NHSs de forma nica, incluyendo una nica entrada con informacin de siguiente salto (CIE) en el paquete de registro y con el bit Uniqueness activado. Este comando permite deshabilitar este bit en los paquetes de registro. Sintaxis:
tnip1 config>NHRP REGISTRATION ? no-unique Turns off nhrp unique flag tnip1 config>
Doc.DM768 Rev.10.70
Ejemplo:
tnip1 config>NHRP REGISTRATION NO-UNIQUE tnip1 config>
4.10. RESPONDER
Cuando un equipo realiza una peticin NHRP y quiere conocer quin es el equipo que genera la respuesta, debe incluir en el paquete la Responder Extension. El equipo que responde rellena la extensin con los datos de la direccin IP primaria del interfaz, por defecto el interfaz TNIP por el que le ha llegado el paquete de peticin. El comando RESPONDER permite elegir el interfaz con el que se rellena la Responder Extension. Sintaxis:
tnip1 config>NHRP RESPONDER ? <interface> Interface name tnip1 config>
Ejemplo:
tnip1 config>NHRP RESPONDER serial0/2 tnip1 config>
4.11. SERVER-ONLY
Para poder hacer que un equipo se comporte nicamente como servidor y que no genere peticiones NHRP, sino que se limite a dar respuesta a las peticiones que le llegan, existe este comando. Sintaxis:
tnip1 config>NHRP SERVER-ONLY ? <cr> non-caching Disable NHRP cache memory tnip1 config>
Ejemplo 1:
tnip1 config>NHRP SERVER-ONLY tnip1 config>
Tambin se le puede desactivar la cache de forma que no guarde informacin en ella mediante la opcin NON-CACHING. Esta opcin se suele utilizar en un router que est situado entre otros dos. Ejemplo 2:
tnip1 config>NHRP SERVER-ONLY NON-CACHING tnip1 config>
4.12. USE
Este comando permite especificar al equipo que espere un nmero de paquetes antes de realizar una consulta a travs de NHRP para conocer y establecer un mejor camino para los paquetes. De esta forma podemos evitar que se establezcan tneles en trayectos con escaso trfico y que no justifiquen su creacin. El comando ir seguido por el nmero deseado de peticiones a NHRP antes de que el protocolo enve una peticin de resolucin a su NHS.
Doc.DM768 Rev.10.70
Sintaxis:
tnip1 config>NHRP USE ? <1..65535> Minimum number of packets to send a NHRP request tnip1 config>
Ejemplo:
tnip1 config>NHRP USE 5 tnip1 config>
En el ejemplo hasta que no se hayan realizado 5 peticiones a NHRP, no se generar un paquete NHRP de peticin de resolucin. Los cinco paquetes no se pierden y son enviados, pero por un camino menos eficiente que el que se puede establecer conociendo la informacin de siguiente salto. El numero de paquetes debe estar comprendido entre 1 y 65535. El valor por defecto es 1.
Doc.DM768 Rev.10.70
Captulo 3 Monitorizacin
1. Monitorizacin del protocolo NHRP

Para acceder al men de monitorizacin asociado al protocolo NHRP se debe introducir el comando PROTOCOL NHRP en el men de monitorizacin (+).
*P 3 +PROTOCOL NHRP -- NHRP protocol monitor -nhrp+
Tambin se puede acceder desde el men de monitorizacin del interfaz TNIP escribiendo NHRP <opcin> donde opcin es la opcin deseada.
*P 3 +NETWORK TNIP1 -- TNIP protocol monitor -tnip1+NHRP <opcin>
Una vez que se ha accedido al entorno de monitorizacin del protocolo NHRP, se pueden introducir los comandos que se describen a continuacin: Comando ? (AYUDA) CLEAR LIST Funcin Lista los comandos u opciones disponibles Permite borrar entradas de la cach o los estadsticos. Muestra informacin de monitorizacin del protocolo NHRP.
1.1. ? (AYUDA)
Este comando se utiliza para listar los comandos vlidos en el nivel donde se est programando el router. Se puede tambin utilizar este comando despus de un comando especfico para listar las opciones disponibles. Sintaxis:
tnip1+NHRP ? clear Permit you to delete the cache entries or the statistics list Display monitoring information on the NHRP protocol tnip1+
1.2. CLEAR
El comando CLEAR se utiliza para poner a cero los contadores de los estadsticos y para borrar entradas de la cache. Sintaxis:
tnip1+NHRP CLEAR ? cache Delete the NHRP protocol cache entries statistics Zeroize the NHRP protocol statistic counters tnip1+
a) CLEAR CACHE
Borra entradas de la cache del protocolo NHRP. Las entradas estticas no se pueden borrar ya que han sido introducidas por configuracin mediante el comando MAP.
ROUTER TELDAT Monitorizacin Dynamic Multipoint VPNs III - 33
Doc.DM768 Rev.10.70
Hay dos formas posibles de borrar entradas en la cache, borrar la cache completa o borrar una entrada concreta de la cache. Para borrar una entrada concreta de la cache hay que introducir la direccin IP privada que la identifica y la mscara que la acompaa. Ejemplo 1: Borrado completo de la cache
tnip1+NHRP CLEAR CACHE ALL tnip1+
Ejemplo 2: Borrado de una lnea de cache

tnip1+NHRP CLEAR CACHE ADDRESS 1.1.1.3 255.255.255.255 tnip1+
b) CLEAR STATISTICS
Pone a cero los contadores de los estadsticos del protocolo NHRP. Ejemplo:
tnip1+NHRP CLEAR STATISTICS tnip1+
1.3. LIST
Muestra informacin acerca del estado del protocolo NHRP, as como estadsticos relevantes. Sintaxis:
tnip1+NHRP LIST cache nhs state statistics tnip1+ ? Display Display Display Display the NHRP protocol cache content the state of the NHSs configured information on the state of the NHRP protocol the NHRP protocol statistics
LIST CACHE
Muestra el contenido de la cache del protocolo NHRP para el interfaz actual. Se puede mostrar la informacin de la cache completa o segn los tipos de entrada slo las entradas dinmicas, estticas o las incompletas. Tambin se puede mostrar la informacin reducida o detallada incluyendo los equipos a los que se les ha proporcionado la informacin que contiene la entrada como respuesta a una peticin NHRP. Sintaxis:
tnip1+NHRP LIST CACHE ? all Display all types of cache entries dynamic Display dynamic cache entries incomplete Display incomplete cache entries static Display static cache entries tnip1+NHRP LIST CACHE ALL ? detail Display all types of cache entries in a detailed form reduced Display all types of cache entries in a reduced form tnip1+
Doc.DM768 Rev.10.70
Ejemplo 1: Caso de un NHS

tnip1+NHRP LIST CACHE ALL DETAIL 1.1.1.2 255.255.255.255, tnip1 08/26/05, 16:50:57 expire 0h 3m 30s Type: dynamic Flags: authoritative unique registered NBMA address: 10.1.2.2 Requester: 1.1.1.3 Request ID: 1775 1.1.1.3 255.255.255.255, tnip1 08/26/05, 16:51:51 expire 0h 4m 24s Type: dynamic Flags: authoritative unique registered used NBMA address: 10.1.3.2 Requester: 1.1.1.2 Request ID: 263 tnip1+
En la primera lnea se muestra la direccin privada de la entrada, la mscara, el interfaz al que pertenece la entrada de cache, la fecha y hora de creacin de la entrada y el tiempo que falta para que la entrada caduque y sea considerada invlida (expired) y borrada de la cache, si no se refresca antes de que esto suceda. En la segunda lnea se muestra el tipo de entrada, puede ser dynamic, static o incomplete. A continuacin los Flags de NHRP que indican cmo es el tipo de informacin de la entrada y su estado. En la tercera lnea se muestra la direccin pblica o direccin de siguiente salto. En las lneas siguientes aparece la direccin IP privada de los equipos a los que se les ha proporcionado la informacin de la entrada y el request ID del paquete de peticin de resolucin NHRP. Ejemplo 2: Caso de un NHC
tnip1+NHRP LIST CACHE ALL DETAIL 1.1.1.3 255.255.255.255, tnip1 08/26/05, 17:06:50 expire 0h 4m 6s Type: dynamic Flags: router used NBMA address: 10.1.3.2 1.1.1.1 255.255.255.255, tnip1 08/26/05, 09:47:08 never expire Type: static Flags: authoritative used NBMA address: 10.1.1.2 tnip1+
Ejemplo 3: Caso de un NHC

tnip1+ NHRP LIST CACHE DYNAMIC REDUCED 1.1.1.3 255.255.255.255, tnip1 08/26/05, 17:06:50 expire 0h 3m 11s Type: dynamic Flags: router NBMA address: 10.1.3.2 tnip1+
LIST NHS
Muestra el estado de los NHSs configurados para el equipo y el interfaz. Tambin muestra el tiempo que resta para que se enve un nuevo paquete NHRP de peticin de registro al NHS. Cada NHS se reconoce por su direccin privada y su estado puede ser alive, not alive, alive and expecting reg reply, not alive and expecting reg reply. Un NHS se considera not alive si no contesta a una peticin de registro. En cuanto se recibe una respuesta positiva a una peticin de registro el NHS se considera alive.
Doc.DM768 Rev.10.70
Ejemplo 1:
tnip1+NHRP LIST NHS Interface tnip1: 1.1.1.1 alive (next reg req in 0h 1m 27s) tnip1+
Ejemplo 2:
tnip1+NHRP LIST NHS Interface tnip1: 1.1.1.1 not alive and expecting reg reply (next reg req in 0h 0m 6s) tnip1+
LIST STATE
Muestra informacin sobre el estado del protocolo NHRP para el interfaz. Indica si est habilitado y si el protocolo est levantado. Ejemplo:
tnip1+NHRP LIST STATE Interface tnip1 is UP and ENABLED tnip1+
LIST STATISTICS
Muestra estadsticos del protocolo NHRP para el interfaz actual. Indica el nmero de paquetes recibidos y enviados de cada tipo de paquete NHRP y los totales de paquetes enviados y recibidos. Ejemplo:
tnip1+NHRP LIST STATISTICS Interface tnip1: Sent: Resolution Request: 21 Resolution Reply: 0 Register Request: 1745 Register Reply: 0 Purge Request: 0 Purge Reply: 0 Error: 0 Total sent: 1766 Received: Resolution Request: 0 Resolution Reply: 21 Register Request: 0 Register Reply: 1736 Purge Request: 0 Purge Reply: 0 Error: 0 Total received: 1757 tnip1+
Doc.DM768 Rev.10.70
Captulo 4 Ejemplos
1. Ejemplo de configuracin de una DMVPN

En este apartado se presenta un ejemplo de configuracin de una DMVPN utilizando el protocolo NHRP:
a) Escenario
192.181.245.1 172.24.80.5 LAN

hecho por M.A. Berrojo
HUB2
HUB1
Teldat
192.181.250.1 172.24.80.2 LAN
Teldat
Atlas
Atlas
10.1.5.2(1.1.1.5) WAN5
10.1.1.2(1.1.1.1) WAN1
10.1.5.1
Teldat1
10.1.1.1
Teldat
Atlas
192.181.247.1 LAN
PC
192.181.247.3
Internet
Teldat2
192.181.247.2
Atlas
Teldat
WAN2
10.1.2.1
10.1.3.1
10.1.4.1
WAN4
Spoke1
10.1.2.2(1.1.1.2)
Atlas
10.1.4.2(1.1.1.4)
Spoke3
Atlas
Teldat
WAN3
Teldat
192.181.249.1 172.24.80.6 LAN 10.1.3.2(1.1.1.3)

192.181.246.1 172.24.80.3 LAN
Spoke2
Atlas
Teldat
192.181.248.1 172.24.80.4 LAN
Se ha realizado un montaje en el que se puede controlar de manera muy sencilla el camino por el que se encaminan los paquetes y, a la vez, tener la facilidad de poder monitorizar dichos paquetes sin realizar cambios en la estructura de la maqueta.
ROUTER TELDAT Ejemplos Dynamic Multipoint VPNs IV - 38
Doc.DM768 Rev.10.70
Se ha simulado una red pblica conectando dos equipos Teldat unidos por LAN, en los que las Wanes son conexiones de extremos, donde se unen los Spokes, o equipos remotos, y Hubs, o servidores. De esta manera, desconectando cables, apagando equipos y deshabilitando interfaces se pueden simular las incidencias que pueden ocurrir en una red real. En la LAN que une estos dos equipos se ha conectado un porttil con software analizador de trfico de red para poder registrar la informacin intercambiada en todas las comunicaciones. Con DMVPN se consigue interconectar equipos remotos en una red pblica de manera segura y sin tener que aadir una entrada en configuracin a todos los equipos pertenecientes a la red cada vez que se introduce un Spoke nuevo. Esto se implementa construyendo tneles mGre protegidos por IPSec, en los que no se configura el extremo remoto, y este punto es el que permite una configuracin simple y dinmica. Por lo tanto, el objetivo principal para lograr el establecimiento del tnel mGre + IPSec, que permite la conexin entre Spokes, es conseguir la direccin pblica del Spoke remoto. La herramienta utilizada para lograr aprender esta direccin es el protocolo NHRP (Next Hop Resolution Protocol). Como se ha mencionado, la configuracin de los Spokes es muy simple, casi toda la informacin se obtiene dinmicamente, mediante el uso de protocolos de rutado y NHRP. Bsicamente, se configura: Un tnel multigre (mGre) sin direccin destino. La direccin asignada al interfaz en todos los Spokes debe pertenecer a una misma red. Las direcciones de los servidores (NHS) y su mapeo esttico en NHRP. Un tnel IPSec sin direccin destino. RIP en el interfaz
Por lo tanto, la tarea de clonado de Spokes es extremadamente sencilla. Como puede observarse ms adelante la configuracin de los HUBs tambin es bastante sencilla, la diferencia de estos equipos es que deben soportar una gran cantidad de tneles abiertos.
b) Modo de funcionamiento
Cuando el equipo Spoke2 necesita establecer un enlace con el equipo Spoke1, con origen la direccin de su loopback, 192.181.248.1, y con destino la direccin de loopback del Spoke1, 192.181.249.1, realiza el siguiente procedimiento (suponiendo que el HUB1 y HUB2 funcionan correctamente): En el momento de su arranque los Spokes lanzan peticiones de registro, Registration Requests, a los HUBs. o En estas peticiones de registro se enva la informacin de la relacin 10.1.X.1 1.1.1.X o Se envan de forma peridica. Los HUBs responden con Registration Replies. o Los Spokes pueden identificar los HUBs que estn vivos y seleccionar cual es el destino de sus peticiones, Resolution Request.
Doc.DM768 Rev.10.70
En este momento los HUBs saben la relacin 10.1.X.1 1.1.1.X de todos los Spokes. A la vez los Spokes conocen la misma relacin pero slo de los HUBs, 10.1.5.2 1.1.1.5 y 10.1.1.2 1.1.1.1. Es decir existe un tnel multigre entre cada HUB y todos los Spokes. La informacin registrada en la cach de NHRP del HUB1 es algo as como:
1.1.1.2 255.255.255.255, tnip1 06/28/05, 10:47:49 expire 0h 4m 55s Type: dynamic Flags: authoritative unique registered used NBMA address: 10.1.2.2 1.1.1.3 255.255.255.255, tnip1 06/28/05, 10:47:24 expire 0h 4m 30s Type: dynamic Flags: authoritative unique registered NBMA address: 10.1.3.2 1.1.1.4 255.255.255.255, tnip1 06/28/05, 10:47:51 expire 0h 4m 57s Type: dynamic Flags: authoritative unique registered used NBMA address: 10.1.4.2 1.1.1.5 255.255.255.255, tnip1 06/28/05, 10:46:15 expire 0h 8m 22s Type: dynamic Flags: authoritative unique registered NBMA address: 10.1.5.2
Y la del Spoke2:
1.1.1.1 255.255.255.255, tnip1 06/28/05, 10:02:43 never expire Type: static Flags: authoritative used NBMA address: 10.1.1.2 1.1.1.5 255.255.255.255, tnip1 06/28/05, 10:02:43 never expire Type: static Flags: authoritative used NBMA address: 10.1.5.2
Los Spokes envan su trfico de rutado a travs de ese tnel. Los HUBs envan toda la tabla de rutas aprendida a todos su Spokes, sin cambiar el nexthop. Es decir, reflejan las rutas por el mismo interfaz por el que las aprenden. Por lo tanto, hay que habilitar estas funcionalidades en los protocolos que la tengan desactivada por defecto. Por ejemplo, o RIP: Por defecto no cambia next-hop al reflejar la ruta. Se debe desactivar split-horizon. o EIGRP: Por defecto cambia next-hop al reflejar la ruta. Se debe desactivar split-horizon. o OSPF: En este caso no influyen estos aspectos, pero hay que asegurarse de activar el broadcast. Adems la prioridad de los hubs debe ser mayor que 0 y en los spokes debe ser 0. En este momento, el Spoke2 sabe que el next-hop de la red 192.181.249.0 es 1.1.1.2, ya que lo ha aprendido por el rutado, ya sea dinmico o esttico.
Doc.DM768 Rev.10.70
La informacin de rutado del HUB1 es:

Type Dest net/Mask Cost Age Stat(1)[0] 0.0.0.0/0 [ 60/1 ] 0 Sbnt(0)[0] 1.0.0.0/8 [240/1 ] 0 Dir(0)[1] 1.1.1.0/24 [ 0/1 ] 0 Sbnt(0)[0] 10.0.0.0/8 [240/1 ] 0 Dir(0)[1] 10.1.1.0/30 [ 0/1 ] 0 Dir(0)[1] 172.24.0.0/16 [ 0/1 ] 0 Sbnt(0)[0] 192.181.245.0/24 [240/1 ] 0 RIP(0)[0] 192.181.245.1/32 [100/2 ] 20 Sbnt(0)[0] 192.181.246.0/24 [240/1 ] 0 RIP(0)[0] 192.181.246.1/32 [100/2 ] 0 Sbnt(0)[0] 192.181.248.0/24 [240/1 ] 0 RIP(0)[0] 192.181.248.1/32 [100/2 ] 10 Sbnt(0)[0] 192.181.249.0/24 [240/1 ] 0 RIP(0)[0] 192.181.249.1/32 [100/2 ] 20 Sbnt(0)[0] 192.181.250.0/24 [240/1 ] 0 None Dir(0)[1] 192.181.250.1/32 [ 0/1 ] 0 Next hop(s) serial0/1 None tnip1 None serial0/1 ethernet0/0 None 1.1.1.5 (tnip1) None 1.1.1.4 (tnip1) None 1.1.1.3 (tnip1) None 1.1.1.2 (tnip1) loopback1
La informacin de rutado del Spoke2 es:

Stat(1)[0] Sbnt(0)[0] Dir(0)[1] Sbnt(0)[0] Dir(0)[1] Dir(0)[1] Sbnt(0)[0] RIP(0)[0] Sbnt(0)[0] RIP(0)[0] Sbnt(0)[0] RIP(0)[0] Sbnt(0)[0] RIP(0)[0] Sbnt(0)[0] Dir(0)[1] 0.0.0.0/0 1.0.0.0/8 1.1.1.0/24 10.0.0.0/8 10.1.3.0/30 172.24.0.0/16 192.181.245.0/24 192.181.245.1/32 192.181.246.0/24 192.181.246.1/32 192.181.249.0/24 192.181.249.1/32 192.181.250.0/24 192.181.250.1/32 192.181.248.0/24 192.181.248.1/32 [ 60/1 [240/1 [ 0/1 [240/1 [ 0/1 [ 0/1 [240/1 [100/3 [240/1 [100/3 [240/1 [100/3 [240/1 [100/2 [240/1 [ 0/1 ] ] ] ] ] ] ] ] ] ] ] ] ] ] ] ] 0 0 0 0 0 0 0 10 0 10 0 10 0 10 0 0 serial0/0 None tnip1 None serial0/0 ethernet0/0 None 1.1.1.5 (tnip1) None 1.1.1.4 (tnip1) None 1.1.1.2 (tnip1) None 1.1.1.1 (tnip1) None loopback1
Ahora, lo que necesita saber es la direccin ip asociada a 1.1.1.2. Por lo tanto, enva un Resolution Request al HUB1. El HUB1 busca en sus tablas de NHRP y responde, Resolution Reply, con la direccin 10.1.2.2. La informacin registrada en la cach de NHRP del Spoke2 es:
1.1.1.2 255.255.255.255, tnip1 06/28/05, 10:59:31 expire 0h 3m 40s Type: dynamic Flags: router used NBMA address: 10.1.2.2 1.1.1.1 255.255.255.255, tnip1 06/28/05, 10:02:43 never expire Type: static Flags: authoritative used NBMA address: 10.1.1.2 1.1.1.5 255.255.255.255, tnip1 06/28/05, 10:02:43 never expire Type: static Flags: authoritative used NBMA address: 10.1.5.2
El Spoke1 abre un tnel GRE con el Spoke2 por el que puede cursar su trfico destinado a la red 192.181.249.0.
A todo este escenario se le puede aadir proteccin de cifrado mediante IPSec en modo transporte configurado de manera que proteja toda la informacin del encapsulado GRE.
Doc.DM768 Rev.10.70
c) Configuracin HUB1
; Showing System Configuration ... ; ATLAS Router 2 8 Version 10.6.0-Alfa log-command-errors no configuration set hostname hub1 set inactivity-timer disabled add device tnip 1 add device loopback 1 set data-link frame-relay serial0/0 set data-link frame-relay serial0/1 set data-link frame-relay serial0/2 feature access-lists ; -- Access Lists user configuration ; Esta es la lista de control de acceso que se asociar a IPSec. ; Todo el trfico saliente con origen 10.1.1.2 del HUB que est ; encapsulado en GRE ser cifrado. ; Notar que los paquetes de negociacin NHRP tambin van sobre GRE, ; luego esta negociacin tambin ir cifrada. ; No se configura el destino que es desconocido, por tratarse de un tnel ; mGre. Notar que ms adelante se configura en IPSec ; advanced pkt-dest-isakmp-dest que implica que el destino de la lista de ; control de acceso coincide con el destino del paquete, que a su vez es ; el extremo remoto de la negociacin y SAs de IPSec. El destino del paquete ; es el extremo remoto del tnel GRE. access-list 100 ; entry 1 default entry 1 permit entry 1 source address 10.1.1.2 255.255.255.255 entry 1 protocol gre ; exit ; access-list 1 ; entry 1 default entry 1 deny entry 1 source address 10.1.1.0 255.255.255.252 ; entry 2 default entry 2 permit ; exit ; exit ; network ethernet0/0 ; -- Ethernet Interface User Configuration -ip address 172.24.80.2 255.255.0.0 ; exit ; ; network serial0/1 ; -- Frame Relay user configuration -pvc 16 default ; point-to-point-line 16 set line-speed 2048000 no lmi ; ip address 10.1.1.2 255.255.255.252 ; exit ; network loopback1 ; -- Loopback interface configuration -ip address 192.181.250.1 255.255.255.255
Doc.DM768 Rev.10.70
; exit ; ; network tnip1 ; -- IP Tunnel Net Configuration -enable ip address 1.1.1.1 255.255.255.0 ; Se habilita mGre mode gre multipoint ; Por ser un mGre no se configura la direccin destino. source 10.1.1.2 nhrp enable nhrp holdtime 600 nhrp map multicast dynamic ; Se configura record por cuestiones de depuracin pero no es ; imprescindible para el funcionamiento en planta. nhrp record nhrp responder tnip1 encapsulation ; -- GRE Configuration -key 123456 exit ; exit ; event ; -- ELS Config -enable trace subsystem NHRP ALL enable filter filter 1 default filter 1 text "Datagram Rcvd" filter 1 action red filter 2 default filter 2 text "Datagram Sent" filter 2 action blue exit ; ; protocol ip ; -- Internet protocol user configuration -; route 0.0.0.0 0.0.0.0 serial0/1 ; classless ; ; ipsec ; -- IPSec user configuration ; Observar que se configura pkt-dest-isakmp-dest como se comentaba ; con anterioridad. Por este motivo no se configuran direcciones ; destino en los templates. assign-access-list 100 ; template 1 default template 1 isakmp des sha1 template 1 life duration seconds 1d template 1 keepalive dpd ; template 2 default template 2 dynamic esp des md5 template 2 source-address serial0/1 template 2 encap transport ; map-template 100 2 key preshared ip 0.0.0.0 ciphered 0x0B5F13472B61C799 advanced pkt-dest-isakmp-dest advanced dpd no always-send exit ; exit
Doc.DM768 Rev.10.70
; protocol rip ; -- RIP protocol user configuration -enable compatibility 172.24.80.2 send none compatibility 172.24.80.2 receive none ; compatibility 10.1.1.2 send none compatibility 10.1.1.2 receive none ; ; El HUB puede enviar y recibir RIP por el interfaz GRE compatibility 1.1.1.1 send rip2-multicast compatibility 1.1.1.1 receive rip2 ; compatibility 192.181.250.1 send none compatibility 192.181.250.1 receive none ; distribute-list out 1 ; El HUB deber reflejar las rutas del interfaz GRE sending 1.1.1.1 no split-horizon ; exit ; dump-command-errors end ; --- end ---
d) Configuracin SPOKE2
; Showing System Configuration ... ; ATLAS Router 2 8 Version 10.6.0-Alfa log-command-errors no configuration set hostname spoke2 set inactivity-timer disabled add device tnip 1 add device loopback 1 set data-link frame-relay serial0/0 set data-link frame-relay serial0/1 set data-link frame-relay serial0/2 feature access-lists ; -- Access Lists user configuration -access-list 100 ; Esta es la lista de control de acceso que se asociar a IPSec. ; Todo el trfico saliente con origen 10.1.3.2 del Spoke2 que est ; encapsulado en GRE ser cifrado. ; Notar que los paquetes de negociacin NHRP tambin van sobre GRE, ; luego esta negociacin tambin ir cifrada. ; No se configura el destino que es desconocido, por tratarse de un tnel ; mGre. Notar que ms adelante se configura en IPSec ; advanced pkt-dest-isakmp-dest que implica que el destino de la lista de ; control de acceso coincide con el destino del paquete, que a su vez es ; el extremo remoto de la negociacin y SAs de IPSec. El destino del paquete ; es el extremo remoto del tnel GRE. ; entry 1 default entry 1 permit entry 1 source address 10.1.3.2 255.255.255.255 entry 1 protocol gre ; exit ; access-list 1 ; entry 1 default entry 1 deny entry 1 source address 10.1.3.0 255.255.255.252 ; entry 2 default entry 2 permit
Doc.DM768 Rev.10.70
; exit ; exit ; network ethernet0/0 ; -- Ethernet Interface User Configuration -ip address 172.24.80.4 255.255.0.0 ; exit ; ; network serial0/0 ; -- Frame Relay user configuration -pvc 16 default ; point-to-point-line 16 set line-speed 2048000 no lmi ; ip address 10.1.3.2 255.255.255.252 ; exit ; network loopback1 ; -- Loopback interface configuration -ip address 192.181.248.1 255.255.255.255 ; exit ; ; network tnip1 ; -- IP Tunnel Net Configuration -enable ip address 1.1.1.3 255.255.255.0 ; Se habilita mGre mode gre multipoint ; Por ser un mGre no se configura la direccin destino. source 10.1.3.2 nhrp enable nhrp holdtime 300 nhrp map multicast 10.1.1.2 nhrp map multicast 10.1.5.2 nhrp map 1.1.1.1 255.255.255.255 10.1.1.2 nhrp map 1.1.1.5 255.255.255.255 10.1.5.2 nhrp nhs 1.1.1.1 nhrp nhs 1.1.1.5 nhrp record encapsulation ; -- GRE Configuration -key 123456 exit ; exit ; event ; -- ELS Config -enable trace subsystem NHRP ALL enable filter filter 1 default filter 1 text "Datagram Rcvd" filter 1 action red filter 2 default filter 2 text "Datagram Sent" filter 2 action blue exit ; ; protocol ip
Doc.DM768 Rev.10.70
; -- Internet protocol user configuration -; route 0.0.0.0 0.0.0.0 serial0/0 ; classless ; ; ipsec ; -- IPSec user configuration -; Observar que se configura pkt-dest-isakmp-dest como se comentaba ; con anterioridad. Por eso motivo no se configuran direcciones ; destino en los templates. assign-access-list 100 ; template 1 default template 1 isakmp des sha1 template 1 life duration seconds 1d template 1 keepalive dpd ; template 2 default template 2 dynamic esp des md5 template 2 source-address serial0/0 template 2 encap transport ; map-template 100 2 key preshared ip 0.0.0.0 ciphered 0x0B5F13472B61C799 advanced pkt-dest-isakmp-dest advanced dpd no always-send exit ; exit ; protocol rip ; -- RIP protocol user configuration -enable compatibility 172.24.80.4 send none compatibility 172.24.80.4 receive none ; compatibility 10.1.3.2 send none compatibility 10.1.3.2 receive none ; ; El Spoke puede enviar y recibir RIP por el interfaz GRE compatibility 1.1.1.3 send rip2-multicast compatibility 1.1.1.3 receive rip2 ; compatibility 192.181.248.1 send none compatibility 192.181.248.1 receive none ; distribute-list out 1 exit ; dump-command-errors end ; --- end ---
e) Configuracin Teldat1
; Showing System Configuration ... ; ATLAS Router 2 7 Version 10.5.8-Alfa log-command-errors no configuration set data-link frame-relay serial0/0 set data-link frame-relay serial0/1 set data-link x25 serial0/2 set hostname teldat1 feature access-lists ; -- Access Lists user configuration -access-list 101 ;
Doc.DM768 Rev.10.70
entry 1 default entry 1 deny entry 1 source address 192.181.250.0 255.255.255.0 ; entry 2 default entry 2 permit ; exit ; access-list 102 ; entry 1 default entry 1 deny entry 1 source address 192.181.245.0 255.255.255.0 ; entry 2 default entry 2 permit ; exit ; exit ; network ethernet0/0 ; -- Ethernet Interface User Configuration -ip address 192.181.247.1 255.255.255.0 ; exit ; ; network serial0/0 ; -- Frame Relay user configuration -pvc 16 default ; point-to-point-line 16 set line-speed 2048000 no lmi ; ip address 10.1.1.1 255.255.255.252 ; ip access-group 101 in ; exit ; network serial0/1 ; -- Frame Relay user configuration -pvc 16 default ; point-to-point-line 16 set line-speed 2048000 no lmi ; ip address 10.1.5.1 255.255.255.252 ; ip access-group 102 in ; exit ; ; protocol ip ; -- Internet protocol user configuration -; ; route 10.1.2.0 255.255.255.252 192.181.247.2 route 10.1.3.0 255.255.255.252 192.181.247.2 route 10.1.4.0 255.255.255.252 192.181.247.2 route 172.24.0.0 255.255.0.0 192.181.247.2 ; ; classless ; ;
Doc.DM768 Rev.10.70
exit ; dump-command-errors end ; --- end ---
f) Configuracin Teldat2
; Showing System Configuration ... ; CENTRIX SEC (a) Router 2 11 Version 10.5.8-Alfa log-command-errors no configuration set data-link frame-relay serial0/0 set data-link frame-relay serial0/1 set data-link frame-relay serial0/2 set hostname teldat2 feature access-lists ; -- Access Lists user configuration -access-list 102 ; entry 1 default entry 1 deny entry 1 source address 192.181.249.0 ; entry 2 default entry 2 permit ; exit ; access-list 103 ; entry 1 default entry 1 deny entry 1 source address 192.181.248.0 ; entry 2 default entry 2 permit ; exit ; access-list 101 ; entry 1 default entry 1 deny entry 1 source address 192.181.246.0 ; entry 2 default entry 2 permit ; exit ; exit ; network ethernet0/0 ; -- Ethernet Interface User Configuration ip address 192.181.247.2 255.255.255.0 ; exit ; ; network serial0/0 ; -- Frame Relay user configuration -pvc 16 default ; point-to-point-line 16 set line-speed 2048000 no lmi ; ip address 10.1.4.1 255.255.255.252
255.255.255.0
255.255.255.0
255.255.255.0
--
Doc.DM768 Rev.10.70
; ip access-group 101 in ; exit ; network serial0/1 ; -- Frame Relay user configuration -pvc 16 default ; point-to-point-line 16 set line-speed 2048000 no lmi ; ip address 10.1.2.1 255.255.255.252 ; ip access-group 102 in ; exit ; network serial0/2 ; -- Frame Relay user configuration -pvc 16 default ; point-to-point-line 16 set line-speed 2048000 no lmi ; ip address 10.1.3.1 255.255.255.252 ; ip access-group 103 in ; exit ; ; protocol ip ; -- Internet protocol user configuration -; ; route 10.1.1.0 255.255.255.252 192.181.247.1 route 172.24.0.0 255.255.0.0 10.1.4.2 route 10.1.5.0 255.255.255.252 192.181.247.1 ; ; classless ; ; exit ; dump-command-errors end ; --- end ---
Doc.DM768 Rev.10.70

DMVPNs

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

DMVPNs

Transféré par

Droits d'auteur :

Formats disponibles

Router Teldat

Dynamic Multipoint VPNs

Captulo 3 Monitorizacin ................................................................................................32

Captulo 4 Ejemplos ..........................................................................................................37

1. Introduccin a las redes dinmicas multipunto

1.1. Qu problemas presenta crear una DMVPN?

a) IPSec no soporta protocolos de routing dinmico

b) Origen y destino del tnel

1.2. El protocolo NHRP

1.3. Funcionamiento del protocolo NHRP

ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I-4

1.4. Tipos de paquete NHRP

ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I-5

ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I-6

U: indica que la informacin que estamos registrando es nica.

ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I-7

Purge Request: 1 1 1 1 1 1 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 N unused

ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I-8

CIEs (entradas de informacin de cliente).

ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I-9

ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I - 10

Parte obligatoria de un paquete de error

ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I - 11

Valor de la extensin de autenticacin

ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I - 12

ROUTER TELDAT Introduccin Dynamic Multipoint VPNs I - 13

1. Configuracin de una DMVPN

Ejemplo como interfaz no numerado:

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 15

2. Configuracin del interfaz Tnel IP (TNIP)

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 16

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 17

Para deshabilitar el mantenimiento keepalive se emplea el comando NO KEEPALIVE. Sintaxis:

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 18

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 19

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 20

Para deshabilitar este parmetro se utiliza NO QOS-PRE-CLASSIFY. Sintaxis:

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 21

3. Configuracin del protocolo de encapsulado GRE (Generic Routing Encapsulation)

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 22

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 23

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 24

4. Configuracin del protocolo NHRP

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 26

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 27

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 28

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 29

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 30

ROUTER TELDAT Configuracin Dynamic Multipoint VPNs II - 31

1. Monitorizacin del protocolo NHRP

Ejemplo 2: Borrado de una lnea de cache

ROUTER TELDAT Monitorizacin Dynamic Multipoint VPNs III - 34

Ejemplo 1: Caso de un NHS

Ejemplo 3: Caso de un NHC

ROUTER TELDAT Monitorizacin Dynamic Multipoint VPNs III - 35

ROUTER TELDAT Monitorizacin Dynamic Multipoint VPNs III - 36

1. Ejemplo de configuracin de una DMVPN

192.181.245.1 172.24.80.5 LAN

192.181.250.1 172.24.80.2 LAN

192.181.249.1 172.24.80.6 LAN 10.1.3.2(1.1.1.3)

192.181.246.1 172.24.80.3 LAN

192.181.248.1 172.24.80.4 LAN

ROUTER TELDAT Ejemplos Dynamic Multipoint VPNs IV - 38

ROUTER TELDAT Ejemplos Dynamic Multipoint VPNs IV - 39