Vous êtes sur la page 1sur 10

(Dynamic Multipoint VPN

DMVPN) Configuration
102
29

DMVPN (Dynamic Multipoint VPN) est une technique o nous utilisons des tunnels
GRE multipoints au lieu de tunnel GRE point point. Ces tunnels GRE multipoint
seront crypts l'aide IPSEC afin que nous ayons une solution scurise de
tunneling volutive. . Cela dit, regardons la configuration de DMVPN. Ceci est la
topologie que nous allons utiliser:

Permettez-moi de vous expliquer cette topologie de vous:

R1, R2 et R3 sont en mesure d'atteindre l'autre en utilisant leurs interfaces FastEthernet


0/0. Je utilis la 192.168.123.0 / 24 sous-rseau afin qu'ils puissent communiquer entre eux.
R1 sera le routeur concentrateur et R2 / R3 seront les routeurs de rayons.
R2 et R3 seront tablir un tunnel R1 comme indiqu la ligne pointille verte.
Lorsque R2 et R3 veulent communiquer avec l'autre, ils vont crer un tunnel rayons
rayons comme indiqu la ligne en pointill violet.
Nous allons utiliser la 172.16.123.0 / 24 sous-rseau pour les interfaces de tunnel.
Chaque routeur dispose d'une interface de bouclage avec une adresse IP. Les routeurs
atteindre chaque autres bouclage en passant par l'interface du tunnel.

La configuration consiste en un certain nombre d'tapes:


1.
2.
3.
4.

La configuration de base d'adresses IP.


Configuration de tunnel GRE multipoint sur tous les routeurs
Cryptage des tunnels l'aide IPSEC.
La configuration du routage de sorte que les routeurs peut atteindre les uns des autres
interfaces de bouclage.

La configuration de base
Nous allons d'abord configurer les adresses IP sur tous les routeurs:
R1 (config) # interface de fa 0/0
R1 (config-if) # no shutdown
R1 (config-if) # ip adresse 192.168.123.1 255.255.255.0
R1
R1
R2
R2
R2

(config) # interface de bouclage 0


(config-if) # adresse IP 1.1.1.1 255.255.255.255
(config) # interface de fa 0/0
(config-if) # no shutdown
(config-if) # ip adresse 192.168.123.2 255.255.255.0

R2
R2
R3
R3
R3

(config) # interface de bouclage 0


(config-if) # adresse IP 2.2.2.2 255.255.255.255
(config) # interface de fa 0/0
(config-if) # no shutdown
(config-if) # ip adresse 192.168.123.3 255.255.255.0

R3 (config) # interface de bouclage 0


R3 (config-if) # adresse IP 3.3.3.3 255.255.255.255

Avec les adresses IP configures nous pouvons continuer en mettant en place les
tunnels.

GRE Configuration Multipoint


Nous allons d'abord configurer le routeur concentrateur:
R1
R1
R1
R1
R1
R1
R1

(config) # interface de tunnel 0


(config-if) # adresse ip 172.16.123.1 255.255.255.0
(config-if) # mode tunnel GRE multipoint
(config-if) # source de tunnel fastethernet 0/0
(config -si) # ip carte NHRP multicast dynamique
(config-if) # ip NHRP identifiant de rseau 1
(config-if) # ip authentification NHRP DMVPN

Nous allons configurer une adresse IP sur l'interface tunnel 0 et au lieu de spcifier
une adresse IP de destination, nous allons configurer comme gre multipoint. Si vous
voulez utiliser un protocole de routage comme RIP, OSPF ou EIGRP vous avez
besoin de la dynamique IP NHRP carte multidiffusion commande pour ajouter
automatiquement des routeurs pour les applications multicast NHRP. Pour chaque
configuration DMVPN vous avez besoin d'un ID de rseau unique que vous pouvez
configurer avec lidentifiant de rseau IP NHRP commande. Last but not least,
lauthentification NHRP IP commande permet un mot de passe pour les requtes
NHRP. Je me suis fix le mot de passe 'DMVPN'.
Maintenant nous allons configurer nos routeurs de rayons, R2 et R3:
R2
R2
R2
R2
R2
R2
R2
R2
R2

(config) # tunnel d'interface 0


(config-if) # adresse ip 172.16.123.2 255.255.255.0
(config-if) # mode tunnel GRE multipoint
(config-if) # ip authentification NHRP DMVPN
(config-if ) # ip carte NHRP 172.16.123.1 192.168.123.1
(config-if) # ip carte NHRP multidiffusion 192.168.123.1
(config-if) # ip NHRP identifiant de rseau 1
(config-if) # ip de NHS NHRP 172,16. 123.1
(config-if) # source de tunnel fastethernet 0/0

Ci-dessus, vous pouvez voir un certain nombre de commandes que nous ne


configurer sur le routeur concentrateur. Nous utilisons l' IP carte NHRP commande
pour mapper l'adresse IP de la NHS (Next Hop Server) l'adresse IP de
l'extrieur. Dans ce cas 172.16.123.1 est l'adresse IP de l'interface du tunnel de R1
et 192.168.123.1 est l'adresse IP en dehors de R1. Nous exigeons galement les ip
NHS NHRP commande pour dfinir l'adresse IP du NHS.

Le NHRP carte IP de multidiffusion de commandes configure le routeur de rayon


d'envoyer le trafic multicast uniquement au routeur concentrateur, pas d'autres
routeurs de rayons.

Comme la source du tunnel je spcifie l'interface de 0/0 FastEthernet avec la source


de tunnel commande. Il est prfrable de spcifier l'interface comme la source et non

une adresse IP dans le cas o vous utilisez une adresse IP dynamique sur le routeur
de rayon.
Si tout se passe correctement, vous devriez voir un tunnel venir sur R2:
R2 #
% LINEPROTO-5-UPDOWN: protocole de ligne sur l'interface Tunnel0,
a chang d'tat jusqu'

Nous allons configurer R3 qui est peu prs le mme que R2:
R3
R3
R3
R3
R3
R3
R3
R3
R3

(config) # tunnel d'interface 0


(config-if) # adresse ip 172.16.123.3 255.255.255.0
(config-if) # mode tunnel GRE multipoint
(config-if) # ip authentification NHRP DMVPN
(config-if ) # ip carte NHRP 172.16.123.1 192.168.123.1
(config-if) # ip carte NHRP multidiffusion 192.168.123.1
(config-if) # ip NHRP identifiant de rseau 1
(config-if) # ip de NHS NHRP 172,16. 123.1
(config-if) # source de tunnel fastethernet 0/0

La configuration est la mme l'exception de l'adresse IP sur l'interface du tunnel. Le


tunnel devrait venir jusqu' maintenant:
R3 #
% LINEPROTO-5-UPDOWN: protocole de ligne sur l'interface Tunnel0,
a chang d'tat jusqu'

En ce moment, vous devriez avoir une configuration multipoint de travail de GRE il


est donc sage de vrifier cela avant de continuer la configuration de IPSEC.

Vrification de GRE Configuration Multipoint


Nous allons d'abord vrifier le routeur concentrateur:
R1 # show DMVPN

Lgende: Attrb -> S - statique, D - Dynamique, I - Incompletea


N - NAT, L - Local, X - Pas de Socket
# Ent -> Nombre d'entres NHRP avec la mme peer NBMA
Tunnel0, Type: Hub, NHRP Peers: 2 ,
# Ent Peer NBMA Adr Peer Tunnel Ajouter tat UPDN Tm Attrb
----- --------------- --------------- ----- -------- - --1 192.168.123.2 172.16.123.2 UP jamais D
1 192.168.123.3 172.16.123.3 UP jamais D

Ci-dessus vous voyez que R1 est le routeur concentrateur et qui est a deux pairs. Il
ya quelques articles intressants que nous pouvons trouver ici:

Ent reprsente le nombre d'entres dans la base de donnes NHRP pour ce routeur de
rayon.Normalement, vous ne verrez que 1 entre ici.
Peer NBMA Adr est l'adresse IP de l'interface l'extrieur du routeur de rayon, dans
notre exemple 192.168.123.2 et 192.168.123.3.
Peer Tunnel Ajouter est l'adresse IP de l'interface du tunnel du routeur de rayon.
tat indique si votre tunnel est vers le haut ou vers le bas.
UPDN Tm est le temps vers le haut ou vers le bas de l'tat actuel (vers le haut ou vers le
bas).Vous verrez le temps ici une fois que nous utilisons les tunnels.
Attrb signifie attributs. Vous pouvez les voir en haut de la commande
show. Le D signifiedynamique qui vous verrez normalement pour les routeurs de rayons.

Nous allons utiliser la mme commande sur les routeurs de rayons:


R2 # show DMVPN
Lgende: Attrb -> S - statique, D - Dynamique, I - Incompletea
N - NAT, L - Local, X - Pas de Socket
# Ent -> Nombre d'entres NHRP avec la mme peer NBMA
Tunnel0, Type: Spoke, NHRP Peers: 1,
# Ent Peer NBMA Adr Peer Tunnel Ajouter tat UPDN Tm Attrb
----- --------------- --------------- ----- -------- - --1
192.168.123.1 172.16.123.1
UP 0:43:44 S
R3 # show DMVPN
Lgende: Attrb -> S - statique, D - Dynamique, I - Incompletea
N - NAT, L - Local, X - Pas de Socket
# Ent -> Nombre d'entres NHRP avec la mme peer NBMA
Tunnel0, Type: Spoke, NHRP Peers: 1,
# Ent Peer NBMA Adr Peer Tunnel Ajouter tat UPDN Tm Attrb
----- --------------- --------------- ----- -------- - --1
192.168.123.1 172.16.123.1
UP 0:46:58 S

En ce moment, les routeurs de rayons ont seulement un tunnel qui relie au routeur
concentrateur.Essayons si nous pouvons cingler d'un routeur un autre ...

R2 # ping 172.16.123.1
squence d'chappement de type pour abandonner.
Envoi 5, 100 octets ICMP Echos 172.16.123.1, dlai d'attente
est de 2 secondes:
!!!!!
Le taux de russite est de 100 pour cent (5/5), aller-retour
min / avg / max = 4/4/8 ms
R3 # ping 172.16.123.1
squence d'chappement de type pour abandonner.
Envoi 5, 100 octets ICMP Echos 172.16.123.1, dlai d'attente
est de 2 secondes:
!!!!!
Le taux de russite est de 100 pour cent (5/5), aller-retour
min / avg / max = 4/4/8 ms

Deux parlaient routeurs sont capables d'atteindre le moyeu. Maintenant, nous allons
essayer de faire un ping entre les deux routeurs de rayons:
R2 # ping 172.16.123.3
squence d'chappement de type pour abandonner.
Envoi 5, 100 octets ICMP Echos 172.16.123.3, dlai d'attente
est de 2 secondes:
!!!!!
Le taux de russite est de 100 pour cent (5/5), aller-retour
min / avg / max = 6.4.12 ms

Le ping fonctionne et ceci est la partie intressante de multipoint GRE. Les routeurs
de rayons seront dynamiquement crer un tunnel entre eux comme vous pouvez le
voir ci-dessous:
R2 # show DMVPN
Lgende: Attrb -> S - statique, D - Dynamique, I - Incompletea
N - NAT, L - Local, X - Pas de Socket
# Ent -> Nombre d'entres NHRP avec la mme peer NBMA
Tunnel0, Type: Spoke, NHRP Peers: 2 ,
# Ent Peer NBMA Adr Peer Tunnel Ajouter tat UPDN Tm Attrb
----- --------------- --------------- ----- -------- - --1 192.168.123.1 172.16.123.1 UP 0:01:41 S
1 192.168.123.3 172.16.123.3 UP jamais D
R3 # show DMVPN
Lgende: Attrb -> S - statique, D - Dynamique, I - Incompletea
N - NAT, L - Local, X - Pas de Socket
# Ent -> Nombre d'entres NHRP avec la mme peer NBMA

Tunnel0, Type: Spoke, NHRP Peers: 2 ,


# Ent Peer NBMA Adr Peer Tunnel Ajouter tat UPDN Tm Attrb
----- --------------- --------------- ----- -------- - --1 192.168.123.1 172.16.123.1 UP 0:01:42 S
1 192.168.123.2 172.16.123.2 UP jamais D

Comme vous pouvez le voir dans un autre tunnel a t tabli entre R2 et


R3. Jusqu'ici tout va bien, multipoint GRE travaille mais tout est clair pour le
moment. Il est temps de configurer IPSec pour crypter les tunnels!

Configurer le protocole IPSec pour crypter mGRE


Tunnels
R1, R2 et R3:
(Config) # crypto
(config-isakmp) #
(config-ISAKMP) #
(config-isakmp) #
(config-isakmp) #
(config-isakmp) #

de la politique de isakmp 1
de aes de cryptage
hachage MD5
authentification pr-parts
groupe 2
dure de vie 86400

(Config) # cls isakmp crypto 0 NETWORKLESSONS abordent 0.0.0.0


(config) # crypto ipsec transformer-set MySet esp-aes esp-md5HMAC
(Config) # crypto ipsec profil mGRE
(ipsec-profil) # ensemble association de scurit vie 86400
secondes
(ipsec-profil) # ensemble transforme-set MONJEU
(Config) # tunnel d'interface 0
(config-if) # tunnel profil protection de IPSec mGRE

Lorsque vous configurez la cl de isakmp crypto vous devez utiliser l'adresse IP


0.0.0.0 si vous utilisez des adresses IP dynamiques sur les routeurs des
rayons. 0.0.0.0 signifie qu'il applique toute adresse IP . Vrifions si notre trafic est
crypt ou non ...

Vrification des tunnels IPSEC crypts


Juste pour tre sr, faire un arrt / non ferme sur les interfaces de tunnel aprs la
configuration de IPSEC.
R1, R2 et R3:

(Config) # tunnel d'interface 0


(config-if) # shutdown
(config-if) # no shutdown

La prochaine tape est de vrifier si IPSEC est actif:


R1 # show session de crypto
tat actuel de la session Crypto
Interface: Tunnel0
Etat de la session: UP-ACTIVE
192.168.123.2: Peer port 500
IKE SA: locale 192.168.123.1/500 distance 192.168.123.2/500
active
IPSEC FLOW: 47 permis hte 192.168.123.2 192.168.123.1 hte
SA actifs: 2, origine: carte crypto
Interface: Tunnel0
Etat de la session: UP-ACTIVE
192.168.123.3: Peer port 500
IKE SA: locale 192.168.123.1/500 distance 192.168.123.3/500
active
IPSEC FLOW: 47 permis hte 192.168.123.3 192.168.123.1 hte
SA actifs: 2, origine: carte crypto

Comme vous pouvez le voir IPSEC est actif pour les deux pairs. Envoyons des pings
de vrifier si le trafic est crypt ou non:
R2 # ping 172.16.123.1
squence d'chappement de type pour abandonner.
Envoi 5, 100 octets ICMP Echos 172.16.123.1, dlai d'attente
est de 2 secondes:
!!!!!
Le taux de russite est de 100 pour cent (5/5), aller-retour
min / avg / max = 4/4/4 ms
R3 # ping 172.16.123.1
squence d'chappement de type pour abandonner.
Envoi 5, 100 octets ICMP Echos 172.16.123.1, dlai d'attente
est de 2 secondes:
!!!!!
Le taux de russite est de 100 pour cent (5/5), aller-retour
min / avg / max = 4/4/4 ms

Voyons voir si les paquets sont chiffrs:

R1 # show sa crypto ipsec


Interface: Tunnel0
Carte Crypto tag: Tunnel0-tte 0, 192.168.123.1 addr locale
vrf protge: (aucun)
ident locale (adr / masque / prot / port):
(192.168.123.1/255.255.255.255/47/0)
ident distance (adr / masque / prot / port):
(192.168.123.2/255.255.255.255/47/0)
current_peer port 192.168.123.2 500
PERMIS, drapeaux = {origin_is_acl,}
#pkts encaps: 26, #pkts chiffrer: 26 , #pkts Digest: 26
#pkts dsamorce: 26, #pkts dcrypter: 26 , #pkts vrifier:
26

Comme vous pouvez le voir les paquets dans le tunnel sont cryptes. Il ya seulement
un point de plus pour nous de configurer et que le routage.

Configuration de routage DMVPN


Nos tunnels sont oprationnels et chiffrs, mais les routeurs sont incapables
d'atteindre chacune des interfaces de bouclage d'autres parce que nous ne
configurons pas encore tout routage. Il ya deux options:

Le routage statique
Le routage dynamique

Le routage statique est facile, assurez-vous juste que vous utilisez l'adresse IP sur
les interfaces de tunnel que l'adresse IP de prochaine hop pour vos routes
statiques. Je vais vous donner un exemple comment configurer OSPF:
R1 (config) # router OSPF 1
R1 (config-router) # rseau 1.1.1.1 0.0.0.0 zone 0
R1 (config-router) # rseau 172.16.123.0 0.0.0.255 zone 0
R1
R1
R2
R2
R2

(config) # tunnel d'interface 0


(config-if) # ip ospf rseau de diffusion
(config) # router OSPF 1
(config-router) # rseau 2.2.2.2 0.0.0.0 zone 0
(config-router) # rseau 172.16.123.0 0.0.0.255 zone 0

R2
R2
R2
R3

(config) # tunnel d'interface 0


(config-if) # ip ospf priorit 0
(config-if) # ip ospf rseau de diffusion
(config) # router OSPF 1

R3 (config-router) # rseau 3.3.3.3 0.0.0.0 zone 0


R3 (config-router) # rseau 172.16.123.0 0.0.0.255 zone 0
R3 (config) # tunnel d'interface 0
R3 (config-if) # ip ospf priorit 0
R3 (config-if) # ip ospf rseau de diffusion

Lors de la configuration OSPF pour DMVPN il Ya un certain nombre de choses que


vous avez considrer:

Prcdemment, nous avons utilis la carte de multidiffusion IP NHRP commande sur les
routeurs de rayons qui signifie que les routeurs de rayons ne peuvent envoyer des bonjours
OSPF au routeur concentrateur. Cela signifie que nous aurons un hub OSPF et parl topologie
et les routeurs spoke ne devrions jamais devenir le DR ou BDR.
Je suis en utilisant le type de rseau de diffusion OSPF afin que les routeurs de rayons
aillent utiliser les uns des autres adresses IP que l'adresse IP de prochaine hop.

Vous aimerez peut-être aussi