Cisco DMVPN

From HackerNet
Revision as of 20:42, 27 April 2016 by Helikopter (talk | contribs) (Created page with "Dynamic Multipoint VPN är en skalbar VPN-teknik som kan bygga tunnlar dynamiskt. Tekniker som används är mGRE, NHRP, routingprotokoll, CEF och [...")
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)
Jump to: navigation, search

Dynamic Multipoint VPN är en skalbar VPN-teknik som kan bygga tunnlar dynamiskt. Tekniker som används är mGRE, NHRP, routingprotokoll, CEF och IPsec. Det har bl.a. stöd för VRF, Multicast, QoS och load balancing.

NHRP

Next Hop Resolution Protocol (RFC 2332). NHRP-processen på hubben agerar server och håller databasen med de publika IP-adresserna som alla spokes har. Varje spoke registrerar sin IP som en klient till hubben. Behöver en spoke skicka paket till något bakom en annan spoke frågar den hubben om den andres publika IP-adress så den kan bygga en IPsec-tunnel direkt. För detta krävs alltså inget routingprotokoll utan det sköts av NHRP.

Designer

Hub and spoke

  • single hub single dmvpn
  • dual hub dual dmvpn
  • server load balancing

Dynamic Mesh

  • dual hub single dmvpn
  • multihub single dmvpn
  • hierarchical

Phases

Fas 1
Hub and Spoke (mGRE hub, p2p GRE spokes): Inget dynamiskt, enda fördelen är simplare konfiguration.

Fas 2
Hub and Spoke with Spoke-to-Spoke tunnels: Routingprotokollet på spokes lär sig prefix direkt av varandra på tunneln. Forwarding görs spoke-to-spoke, man använder IGP istället för NHRP. Det finns scenarion då CEF kan behövas stängas av på spokes.

Fas 3
Scalable Infrastructure: Routingprotokoll på spokes pratar med hubben för att lära sig prefix och NHRP kickar in och redirectar trafiken direkt mellan spokes. Mest skalbart och CEF behöver aldrig stängas av tack vare NHRP Shortcut.

  • Hub: ip nhrp redirect
  • Spoke: ip nhrp shortcut

Konfiguration

Hub 

interface Tunnel0
 ip address 192.168.0.1 255.255.255.0
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 tunnel source 172.16.15.2
 tunnel mode gre multipoint

Spoke 

interface Tunnel0
 ip address 192.168.0.2 255.255.255.0
 ip nhrp map 192.168.0.1 172.16.15.2
 ip nhrp map multicast 172.16.15.2
 ip nhrp network-id 1
 ip nhrp nhs 192.168.0.1
 tunnel source 10.10.10.10
 tunnel mode gre multipoint

Verify 

show dmvpn
show ip nhrp
clear ip nhrp

IPsec

Se även IPsec. 

crypto isakmp policy 10
 encryption aes 256
 authentication pre-share
 hash sha512
 group 14
crypto isakmp key 0 SECRET address 0.0.0.0 0.0.0.0
crypto ipsec transform-set AES256_SHA512 esp-sha512-hmac esp-aes 256
 mode transport
crypto ipsec profile DMVPN
 set transform-set AES256_SHA512
interface Tunnel0
 tunnel protection ipsec profile DMVPN

Verify 

show crypto isakmp sa
show crypto ipsec sa

MPLS

Man kan köra mpls över DMVPN. 

mpls ip
mpls ldp router-id loopback1
interface tunnel0
 mpls ip

QoS

Retrieved from "https://hackernet.se/index.php?title=Cisco_DMVPN&oldid=1717"