Dynamic Multipoint VPN

R&D Group

Member

Newbie

Join Date: Dec 2010

Posts: 34
- Share
- Tweet
#1

Dynamic Multipoint VPN

13-03-2011, 12:16 AM

Thực hiện: Lâm Văn Tú

Bao giờ bạn tự hỏi làm thế nào để cung cấp vài trăm VPN từ văn phòng từ xa với IP động đến một trang site trung tâm với cấu hình tối thiểu? Cisco cung cấp một giải pháp được gọi là Dynamic Multipoint VPN. Với DMVPN các site của trung tâm không cần biết IP site từ xa trước, nó sẽ tìm hiểu nó thông qua giao thức NHRP khi router từ xa gửi đến.

Trước tiên chúng ta sẽ tạo ra kết nối IP thông qua đường hầm GRE và NHRP sau đó chúng tôi sẽ secure các đường hầm GRE với IPSec.

Các bộ định tuyến trung tâm sẽ sử dụng một multipoint GRE interface (mGRE) để dễ quản lý. Bằng cách đó chúng ta không cần phải cung cấp một tunnel interface mới với mỗi văn phòng từ xa. Trong thực tế, các bộ định tuyến trung tâm sẽ không cần phải được cấu hình lại ở tất cả cho bất kỳ stie từ xa thêm vào.

Hub router R1:
interface Tunnel0
ip address 10.10.10.1 255.255.255.0
ip nhrp network-id 1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 1
interface Fa0/0
ip address 1.1.1.2 255.255.255.0
ip route 0.0.0.0 0.0.0.0 1.1.1.1

Spoke router (R2 và R3 trong ví dụ này) sẽ sử dụng point-to-point GRE tunnel tới Hub của site trung tâm - router R1. NHRP sẽ được cấu hình để sử dụng R1 là next-hop server. Với thiết lập này, lưu lượng spoke-to-spoke sẽ lưu thông qua các Hub như trung tâm thực thi chính sách bảo mật...

Spoke router R2:
interface Tunnel0
ip address 10.10.10.2 255.255.255.0
ip nhrp map 10.10.10.1 1.1.1.2
ip nhrp network-id 1
ip nhrp nhs 10.10.10.1
tunnel source FastEthernet0/0
tunnel destination 1.1.1.2
tunnel key 1

interface Fa0/0
ip address 2.2.2.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 2.2.2.1

Spoke router R3
interface Tunnel0
ip address 10.10.10.3 255.255.255.0
ip nhrp map 10.10.10.1 1.1.1.2
ip nhrp network-id 1
ip nhrp nhs 10.10.10.1
tunnel source FastEthernet0/0
tunnel destination 1.1.1.2
tunnel key 1

interface Fa0/0
ip address 3.3.3.2 255.255.255.0

ip route 0.0.0.0 0.0.0.0 3.3.3.1

Ở giai đoạn này, nếu router có thể giao tiếp với nhau thông qua cổng Fa0 /0 của họ sau đó các đường hầm GRE được sử dụng được. Trong ví dụ này, "Internet" router kết nối trực tiếp đến tất cả các router và các router R1, R2 và R3 đơn giản có một default route tói “Internet” router.

Để kiểm tra các đường hầm GRE đang hoạt động, chỉ cần ping IP nội bộ của các đường hầm từ một router tới 2 router khác.

R2#ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 272/313/420 ms
R2#ping 10.10.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 312/564/876 ms

If we check the NHRP entries on the hub R1, we can see the two entries have been learned dynamically and the public IP used by the remote routers.

Nếu chúng ta kiểm tra các mục NHRP trên Hub R1, chúng ta có thể nhìn thấy có hai mục đã được học một cách tự động và IP public được sử dụng bởi các router từ xa.
R1#sh ip nhrp
10.10.10.2/32 via 10.10.10.2, Tunnel0 created 00:11:31, expire 01: 48:28
Type: dynamic, Flags: authoritative unique registered used
NBMA address: 2.2.2.2
10.10.10.3/32 via 10.10.10.3, Tunnel0 created 00:08:19, expire 01: 51:52
Type: dynamic, Flags: authoritative unique registered used
NBMA address: 3.3.3.2

Cùng thông tin mà không có timer:

R1#sh ip nhrp brief
Target Via NBMA Mode Intfc Claimed
10.10.10.2/32 10.10.10.2 2.2.2.2 dynamic Tu0 < >
10.10.10.3/32 10.10.10.3 3.3.3.2 dynamic Tu0 < >

Thống kê NHRP protocol của nó:

R1#sh ip nhrp traffic
Tunnel0
Sent: Total 3
0 Resolution Request 0 Resolution Reply 0 Registration Request
3 Registration Reply 0 Purge Request 0 Purge Reply
0 Error Indication
Rcvd: Total 3
0 Resolution Request 0 Resolution Reply 3 Registration Request
0 Registration Reply 0 Purge Request 0 Purge Reply
0 Error Indication

R1#sh ip nhrp summary
IP NHRP cache 2 entries, 496 bytes
0 static 2 dynamic 0 incomplete

Chúng ta có thể thấy các mục NHRP thiết lập tĩnh trên spoke router:

R3#sh ip nhrp
10.10.10.1/32 via 10.10.10.1, Tunnel0 created 00:13:31, never expire
Type: static, Flags: authoritative
NBMA address: 1.1.1.2
R3#sh ip nhrp summary
IP NHRP cache 1 entry, 248 bytes
1 static 0 dynamic 0 incomplete

Và kiểm tra NHRP’s next-hop server được sử dụng:

R3#sh ip nhrp nhs
Legend:
E=Expecting replies
R=Responding

Tunnel0:
10.10.10.1 RE

Nếu muốn spoke-to-spoke tunnel xây dựng một cách tự động, chỉ cần thây câu lệnh:
tunnel destination 1.1.1.2 trên sopke bằng lệnh tunnel mode gre multipoint.

Bây giờ chúng tôi có kết nối IP, chúng phải tự động tạo ra những đường hầm GRE an toàn với IPSec. Ở đây để đơn giản chúng ta sẽ sử dụng pre-shared key là phương pháp chứng thực phương pháp không được khuyến cáo cho việc triển khai sản xuất ...

Trên Hub and spoke routers, chỉ cấu hình các thông số ISAKMP/IPSec và kích hoạt IPSec trên tunnel insterfaces.
crypto isakmp policy 10
authentication pre-share
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set mySet esp-aes esp-sha-hmac
!
crypto ipsec profile myDMVPN
set security-association lifetime seconds 120
set transform-set mySet
set pfs group2
interface Tunnel0
tunnel protection ipsec profile myDMVPN

Kiểm tra quá trình thương lượng IPSec SA:

R1#sh crypto ipsec sa

interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 1.1.1.2

protected vrf: (none)
local ident (addr/mask/prot/port): (1.1.1.2/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (2.2.2.2/255.255.255.255/47/0)
current_peer 2.2.2.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 121, #pkts encrypt: 121, #pkts digest: 121
#pkts decaps: 121, #pkts decrypt: 121, #pkts verify: 121
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 1.1.1.2, remote crypto endpt.: 2.2.2.2
path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
current outbound spi: 0xA2BC2FED(2730242029)

inbound esp sas:
spi: 0x2884EDEA(679800298)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2005, flow_id: SW:5, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4463708/83)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0xA2BC2FED(2730242029)
transform: esp-aes esp-sha-hmac ,
in use settings ={Tunnel, }
conn id: 2004, flow_id: SW:4, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4463708/82)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE

outbound ah sas:

outbound pcp sas:

==>Đó là DMVPN single HUB...:)
Tags: None
vdk

Senior Member

Senior Member

Join Date: Dec 2007

Posts: 109
- Share
- Tweet
#2

22-06-2013, 10:59 AM

Cảm ơn bài Lab của bạn. Xin cho mình hỏi là bài Lab này giả lập bằng cách nào. Vì khi giả lập các Ip Wan gán các interface mặt ngoài router phải cho cùng subnet để thấy nhau. Khi đó với mối router quảng bá mạng ospf internal và cùng với default route cùng ra subnet mặt ngoài thì các mạng internal đã thông nhau rồi mà chẳng cần VPN. Vì vậy mình không có cách nào ép traffic đi qua tunnel được cả.
Comment
Himansh

Junior Member

Newbie

Join Date: Mar 2015

Posts: 1
- Share
- Tweet
#3

02-03-2015, 01:27 PM

Điều này là cực kỳ tốt và đẹp đăng bài ..... Bạn lắc đăng nó ..... Cảm ơn rất nhiều bài cho nó ..... !!!

Last edited by Himansh; 15-10-2017, 02:00 PM.

https://www.youtube.com/watch?v=O97M-zWmav4&t=2s
Comment

Previous template Next

Announcement

Dynamic Multipoint VPN

Comment

Comment