TECHNIQUES DES RéSEAUX INFORMATIQUES CCIE Réalisé par : OUSSAMA NAZIH DMVPN ( Dynamic Multipoint VPN ) est une

oint VPN ) est une solution pour construire un

VPN avec des sites multiples sans configurer les clients «spokes» . c’est un

DMVPN
réseau «hub and spoke» tel que les clients «spokes» ont la possibilité de
se communiquer entre eux automatiquement sans passer par le Hub.

DMVPN permet de résoudre ces deux problèmes :

- La configuration du routeur central «Hub» reste statique (Aucune
Dynamic Multi-point VPN #1 configuration supplémentaire sur le Hub quand on ajoute d’autres sites
« Spokes »).
- La création de tunnels entre sites distants « spokes » est automatique.
presentation DMVPN utilise la combinaison des technologies suivantes :

Le VPN IPsec est une solution fiable de communication sécurisée, mais il • mGRE : Multipoint GRE
présente un certain nombre de limites : • NHRP : Next Hop Resolution Protocol
- Pour un nouveau site (spoke) on doit modifier totalement la • Protocole de Routage ( RIP , EIGRP ,OSPF , BGP...)
configuration du site central (Hub).
• Ipsec (optionnel , mais recommendé).

DMVPN VS VPN IPSEC

AVANTAGES et LIMITEs

VPN IPSEC
- Cryptage entre les sites.
- Supporte Qos.
Figure 1 : Avant l'ajout. Figure 2 : Après l'ajout. - pas de multipoint.
- Performances moyen d’IPSEC.
D’une manière générale, pour interconnecter n sites, il faut - Nécessité de plusieurs Tunnels en cas de plusieurs sites…..
configurer n(n-1)/2 tunnels et n routeurs.si le nombre des sites - non Évolutif
augmente,la configuration devient de plus en plus chargé.
DMVPN - Simplifier la configuration et la gestion de cryptage pour
Exemples : tunnel point-to-point GRE
- une seule configuration pour le Hub.
Imaginer un réseau composé d’un routeur central (M) et de 2 annexes (A1 , - Le Multipoint avec mGRE : même interface GRE supporte
A2 ). (Figure 1). Pour obtenir un réseau sécurisé Complètement maillé, il plusieurs tunnels vers différentes destinations.
faut créér 3 tunnels IPsec (M-A1, M-A2 , A1-A2) et configurer les 3 routeur. - Les client peuvent se communiquer automatiquement.
- Supporte la qualité de service (QoS)
Si on ajoute un troisiéme site, il faut configurer de plus 3
- Évolutif
tunnels,configurer le A3 , et reconfigurer M,A1 et A2. (Figure 2)
 TECHNIQUES DES RéSEAUX INFORMATIQUES CCIE
DMVPN
mGRE : multipoint Generic Routing Encapsulation
- Les tunnels GRE classiques sont de type point à point. (Figure 1).
- Les tunnels mGRE sont multipoint afin qu’une même interface GRE
(Hub) supporte plusieurs tunnels vers différentes destinations. (Figure 2).
Figure 1 : VPN avec GRE (point-to-point)
La technologie mGRE réduit le besoin de
configurer un maillage complet (n*(n-1)/2)
de tunnels statiques,Le grand avantage de
DMVPN est que nous utilisons multipoint
GRE afin que nous puissions avoir plusieurs
destinations. si nous avons besoin la liaison
entre succursale 1/2 ou 3/4, nous
construisons automatiquement de nouveaux
tunnels (Figure 3).
Réalisé par : OUSSAMA NAZIH
Dynamic Multi-point VPN #2
Figure 2 : VPN avec mGRE (Multi-point)
Le réseau mGRE est de type NBMA (Non-Broadcast Multi Access) cad :
• Ne supporte pas le broadcast..
• Les liaisons sont multipoints.
Le tunnel peut distribuer efficacement la même information vers les
multiples destinations (Exemple : video streaming). Actuellement, ( c’est
dans ce sens mGRE est utilisé pour l’ implimentation multicast VPN dans
Cisco IOS ).Par contre, si les «spokes » ont besoin d’échanger des paquets
unicast, ils auront besoin d’un protocole pour mapper leurs adresses IP
utilisé dans le tunnel (privé) vers leurs vrai adresses IP (Public).c’est ce
qu’on vas voir apres avec NHRP.
Commandes Cisco : Configurer le mode mGre
Au niveau du HQ (Hub)
HQ(config)# interface Gi0/0
HQ(config-if)#ip add 1.1.1.1 255.255.255.0
HQ(config-if)#no shut
HQ(config-if)#exit
HQ(config)# interface tunnel 0
HQ(config-if)# tunnel mode gre multipoint
HQ(config-if)# ip add 192.168.1.1 255.255.255.0
HQ(config-if)# tunnel source Gi0/0
HQ(config-if)# exit
Au niveau du Branch1 (spoke1) Au niveau du Branch2 (spoke2)
R1(config)# interface Gi0/0 R2(config)# interface Gi0/0
R1(config-if)#ip add 2.2.2.2 255.255.255.0 R2(config-if)#ip add 3.3.3.3 255.255.255.0
R1(config-if)#no shut R2(config-if)#no shut
R1(config-if)#exit R2(config-if)#exit
R1(config)# interface tunnel 0 R2(config)# interface tunnel 0
R1(config-if)# ip add 192.168.1.2 255.255.255.0 R2(config-if)# ip add 192.168.1.3 255.255.255.0
R1(config-if)# tunnel source Gi0/0 R2(config-if)# tunnel source Gi0/0
R1(config-if)# tunnel destination 1.1.1.1 R2(config-if)# tunnel destination 1.1.1.1
R1(config-if)# exit R2(config-if)# exit
NB : ce n’est pas la peine de définir les destinations du tunnel Hub ( Commande : tunnel
destination) car elles seront automatiquement détectées par la suite.
TECHNIQUES DES RéSEAUX INFORMATIQUES Sécurité informatique Réalisé par : OUSSAMA NAZIH Principe de FONCTIONNEMENT :

DMVPN Dynamic Multi-point VPN#3.1

NHRP : Next Hop Resolution Protocol Figure 2 Figure 3

PRESENTATION :
Les adresses publiques :
1- Le Hub sera un serveur NHRP (NHS),et les spokes seront des clients
NHRP (NHC). Les clients signalent leurs adresses IP publiques au NHS qui
HQ: 1.1.1.1
Branch1: 2.2.2.2 va enregistrer les adresses public des spokes dans sa cache.(Figure 2).
Branch2: 3.3.3.3 2- Lorsqu'un client (spoke1) souhaite envoyer un paquet à travers le tunnel

Les adresses des interfaces

vers un client (spoke2), il demandera au serveur NHRP son adresse IP

du tunnel multipoint :
publique (de spoke 2) ,puis envoyer son paquet directement vers la
destionation.(Figure 3)
HQ: 192.168.1.1/24
Branch1: 192.168.1.2/24 Remarques :
Branch2: 192.168.1.3 /24
Dans la terminologie NHRP, nous ne parlons pas d'adresses IP publiques
Figure 1 mais d'adresses NBMA. (NHRP est un ancien protocole développé pour
les réseaux NBMA comme frame-relay ou ATM).
- Quand on parle de DMVPN, on se réfère souvent à un réseau “underlay”
on suppose que Branche 1 veut envoyer un paquet au Branche 2 :
et un réseau “overlay” :
• Le réseau « underlay » est le réseau extérieur utilisé par les
On encapsule ce paquet, mettre l’entete GRE et ensuite nous devons différents routeurs, par exemple Internet.(Public)
remplir les adresses IP de source et de destination Public afin que ce • Le réseau « overlay » est le réseau privé avec les tunnels GRE.
paquet puisse etre acheminé sur internet.
- NHRP est un peu similair à ARP ou frame-relay inverse ARP : on fait le
Le routeur (Branch1) sait bien son adresse ip publique , mais il n’a aucune
idée a propos de celle de sa destination (Branch2). mappage d’une adresse IP de Tunnel à une adresse IP NMBA.

Réseau NMBA : (Non-Broadcast Multi Access)Il s’agit des topologies sur lesquels les
Le routeur Branch1 a besoin de savoir l’adressse public de Branch2 , c’est messages Broadcast et Multicast ne peuvent pas transiter.
le rôle du protocole NHRP (Next Hop Resolution Protocol).
TECHNIQUES DES RéSEAUX INFORMATIQUES Sécurité informatique Réalisé par : OUSSAMA NAZIH NHRP Phase 2 (Hub & Spoke avec des tunnels Spoke-to-spoke )

DMVPN
Cette phase permet donc d’avoir
des tunnels dynamiques Spoke-to-
spoke. Tous les routeurs sont
configurés avec des tunnels mGRE,
et les spokes ont le Hub NHS
Dynamic Multi-point VPN#3.2 configuré en statique. Quand un
spoke à besoin d’envoyer un paquet

NHRP : Next Hop Resolution Protocol

au d’autre spoke , il envoi un paquet
NHRP Resolution Request au Hub/NHS. Le Hub lui réponds avec un

LES PHASES paquet NHRP Resolution Reply depuis son cache et le Spoke peut alors
connaitre l’adresse NBMA d’un autre Spoke et le contacte directement.

NHRP Phase 1 : Hub & Spoke ( Hub mGRE, et les Spokes en P2P GRE).
NHRP Phase 3 (version améliorée de Phase 2 )
Comme en phase 2, des tunnels mGRE sur le hub et sur les Spokes, mais on
ajoute une redirection NHRP qui permet de joindre directement les Spoke
sans passer par le Hub (sans avoir besoin de la résolution CEF).
La Phase 3 utilise les spokes qui répondent maintenant aux NHRP
Resolution Requests. Ce qui fait que le Hub n’est plus le seul à avoir la
cache NHRP.

RÉSUMÉ
Les spokes peuvent seulement joindre le Hub et joindre les autres Spokes - mGRE dans le Hub et point-à-point GRE dans les spokes.
via le Hub. La configuration du Hub est simplifiée, car il n’a pas besoin de NHRP PHASE 1 - NHRP necessite registration de Spoke chez le Hub.
mapper le NHRP pour chacun des nouveaux spokes. - ne supporte pas le tunnel spoke-to-spoke.

Cette phase n’utilise pas les tunnels spoke-to-spoke. Les spokes sont - mGRE dans le Hub et les spokes.

configurés pour du point-to-point GRE vers le Hub et enregistrent leurs IP NHRP PHASE 2 - NHRP neccesite la registraion de spoke chez le Hub.
- NHRP necessite la resulotion spoke-to-spoke.
logiques (Tunnel0) avec l’adresse NBMA sur le NHS (Hub) afin qu’il sache - Spoke to spoke tunnel déclenché par les spoke.s
les joindre dynamiquement. - mGRE dans le Hub et les spokes.
- NHRP necessite registration de Spoke chez le Hub.
- Le protocole de routage envoi un minimum d’informations depuis le Hub
NHRP PHASE 3 - NHRP necessite la resolution spoke-to-spoke.
vers les Spokes (route par défaut). Les spokes annoncent leurs réseaux - Configurer ip nhrp redirect dans le Hub.
- Configurer ip nhrp shortcut dans les spokes.
(directement connectés) au Hub.
TECHNIQUES DES RéSEAUX INFORMATIQUES Sécurité informatique Réalisé par : OUSSAMA NAZIH tunnel source : Les destinations du tunnel seront dynamiques, mais nous
devons encore configurer la source, (l’ interface Gigabit0/1 de Hub).

DMVPN
ip nhrp authentication : on peut faire authentifier le trafic NHRP,on
utilise la clé pre-partagé “DMVPN”. (Cette commande est optionnel).
ip nhrp map multicast dynamic : Cette commande indique au Hub sur
Dynamic Multi-point VPN #4.1 lequel transférer les paquets de multidiffusion « multicast ». Étant donné
que les adresses IP des spokes sont inconnues, nous utilisons « dynamic »
pour ajouter automatiquement leurs adresses IP à la liste de destination
DMVPN - Phase 1 : configuration de base de multidiffusion lorsque les rayons s'inscrivent.
ip nhrp network-id: dans le cas de plusieurs réseau DMVPN , nous avons
beson de definir l’id réseau pour différencier les réseaux

Commandes Cisco : Configurer leS Spokes

Les adresses NBMA :
HQ: 192.168.123.1/24 Spoke1(config)#interface tunnel 0
Spoke 1: 192.168.123.2/24 Spoke1(config-if)#ip address 172.16.123.2 255.255.255.0
Spoke 2: 192.168.123.3/24 Spoke1(config-if)#ip nhrp authentication DMVPN
Spoke1(config-if)#ip nhrp map 172.16.123.1 192.168.123.1
Les adresses des interfaces Spoke1(config-if)#ip nhrp map multicast 192.168.123.1
du tunnel mGRE: Spoke1(config-if)#ip nhrp network-id 1
HQ: 172.16.123.1/24 Spoke1(config-if)#ip nhrp nhs 172.16.123.1
Spoke 1: 172.16.123.2/24 Spoke1(config-if)#tunnel source Gigabit0/1
Spoke 2: 172.16.123.3 /24 Spoke1(config-if)#tunnel destination 192.168.123.1

Commandes Cisco : Configurer le HUB ip nhrp map : utilisé sur le spoke pour créer un mappage statique pour
l'adresse du tunnel (172.16.123.1) et l'adresse NBMA du (192.168.123.1).
Hub(config)#interface Tunnel 0 Cela permet de créer la cache NHRP du Hub.
Hub(config-if)#ip address 172.16.123.1 255.255.255.0 ip nhrp map multicast : Nous spécifions ici quelles destinations devraient
Hub(config-if)#tunnel mode gre multipoint
Hub(config-if)#tunnel source Gigabit0/1 recevoir le trafic de broadcast ou multicast à travers l'interface du tunnel. .
Hub(config-if)#ip nhrp authentication DMVPN Nous avons besoin de cette commande puisque les protocoles de routage
Hub(config-if)#ip nhrp map multicast dynamic comme RIP, EIGRP et OSPF nécessitent le multicast.
Hub(config-if)#ip nhrp network-id 1
ip nhrp nhs : On spécifiel’adresse privé utilisé pour le serveur NHRP (NHS).
tunnel mode : par défaut, le mode tunnel sera GRE point-à-point, nous tunnel destination : On utilise le VPN GRE point à point , donc nous
avons besoin d'une interface multipoint sur le Hub. devons spécifier la destination pour le tunnel ( dans ce cas le Hub).
TECHNIQUES DES RéSEAUX INFORMATIQUES Sécurité informatique Réalisé par : OUSSAMA NAZIH
DMVPN - Phase 1 : configuration AVEC OSPF

DMVPN
DMVPN - Phase 1 : configuration AVEC RIP
Dynamic Multi-point VPN #4.2

Hub(config)#router rip
Hub(config-router)#version 2
Hub(config-router)#network 1.0.0.0
Hub(config-router)#network 172.16.0.0
Hub(config-router)#no auto-summary

Spoke1(config)#router rip Spoke2(config)#router rip DMVPN - Phase 1 : configuration AVEC BGP

Spoke1(config-router)#version 2 Spoke2(config-router)#version 2
Spoke1(config-router)#network 2.0.0.0 Spoke2(config-router)#network 3.0.0.0
Spoke1(config-router)#network 172.16.0.0 Spoke2(config-router)#network 172.16.0.0
Spoke1(config-router)#no auto-summary Spoke2(config-router)#no auto-summary

Problème de split-horizon :
Les routes de spoke 2 ne s’annnocent pas dans le spoke 1 et (vers-versa) à cause de split-
horizon dans le Hub.dans ce cas on peut avoir deux solutions :
- Soit désactiver le split-horizon dans le routeur Hub : Hub(config)#no ip split horizon
- ou bien Propager une route par defaut (seulement au niveau du tunnel) :
route-map RIP permit 10
set interface tunnel 0
default-information originate route-map RIP
NB : la commande default-information originate route-map RIP permet de generer et
propger un route par default seulement au niveau de tunnel dans ce cas.

DMVPN - Phase 1 : configuration AVEC EIGRP

Split horizon : Toutes les interfaces d'un routeur sont censées envoyer des mises à jour de
routage, le mécanisme Split horizon empêche à un routeur d'envoyer des informations à travers
l'interface de laquelle elle a appris l'information.