- Форум
- /
- IT и телекоммуникации
- /
- Конфигурация сетевого оборудования
- /
- Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели
Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели
7 года 7 мес. назад - 1 год 5 мес. назад #15
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
COM_KUNENA_MESSAGE_CREATED_NEW
DMVPN (Dynamic Multipoint VPN) - в настоящее время популярная технология, упрощающая администрирование распределенных VPN-сетей, все более вытесняющая peer-to-peer VPN на основе IPsec, Crypto Map и Reverse-Route (RRI). В основном все решения в корпоративных DMVPN-сетях построены с использованием IPsec, Multipoint GRE-туннелей и протокола NHRP (Next-Hop Resolution Protocol).
Ниже приведено краткое описание структуры и принципов функционирования DMVPN-сетей (перевод с англ.яз., источник 'nil.com'), а также примеры собственных рабочих конфигураций сетей Hub-and-Spoke, с некоторыми модификациями + в прикрепленных файлах - подробная документация по построению масштабируемых DMVPN-сетей с примерами.
--- ПРОСТАЯ DMVPN-СЕТЬ >>>
DMVPN позволяет оптимизировать поток трафика, создавая Spoke-to-Spoke туннели, либо централизовано управлять потоком на Hub-маршрутизаторе, создавая Hub-and-Spoke туннель.
Схема простой DMVPN-сети представлена на следующем рисунке:
Далее представлена логическая схема, в которой туннельные интерфейсы сети DMVPN находятся в едином широковещательном домене (broadcast/shared ethernet):
Аналогично тому, как в Ethernet, ARP динамически сопоставляет IP-адреса с MAC-адресами, в DMVPN - NHRP динамически сопоставляет (NHRP-mapping) внутренние IP-адреса DMVPN (туннельные) с IP-адресами WAN (реальными):
- Все Site-маршрутизаторы должны иметь статические записи NHRP-mapping на Hub-маршрутизаторы.
- Site-маршрутизаторы могут динамически распознавать WAN IP по VPN IP с помощью NHRP-сервера, т.е. с помощью Hub-маршрутизатора.
--- СХЕМЫ ПОСТРОЕНИЯ DMVPN И ОПТИМИЗАЦИЯ ПОТОКА ТРАФИКА >>>
Существуют две основные схемы построения DMVPN:
- Spoke-to-Spoke DMVPN.
- Hub-and-Spoke DMVPN.
1. Spoke-to-Spoke. В данном варианте шифрованный GRE-туннельный трафик выбирает оптимальный маршрут в Internet, напрямую инициируя шифрованный туннель с конечной точкой (Site-маршрутизатором). В данном случае необходимо наличие актуальной информации в таблице маршрутизации на всех Site- и Hub-маршрутизаторах.
В примере (см. рисунок) пакет с адресом назначения другого Site-маршрутизатора вызывает NHRP для поиска внешнего (internet) IP-адреса Site по его внутреннему DMVPN-IP-адресу (адрес next-hop для туннельного интерфейса). Пакет отправляется через Hub (Central Site), пока осуществляется процесс NHRP-mapping и затем устанавливает временный IPsec-туннель напрямую с Site-маршрутизатором назначения. После чего, в итоге, весь трафик между Site-to-Site ходит напрямую без участия Hub. Если обмен данными прекращается и таймеры NHRP истекли, то динамические записи NHRP в маршрутизаторах удаляются, IKE/IPsec туннель отключается.
Пример файла конфигурации [Central Site]:Пример файла конфигурации [Remote Site]:2. Hub-and-Spoke. Согласно данной схеме включения, каждый Site-маршрутизатор должен знать маршрут до Hub и не обязательно должен знать маршрут до другого Site, поскольку функцию перенаправления трафика берет на себя Hub, в котором должна быть полная таблица маршрутов до всех Site.
Одна из причин использования топологии Hub-and-Spoke, это использование на Site-сторонах NAT Overload (PAT) или невозможность взаимодействия Site-сторон напрямую друг с другом.
Еще причина использования данной топологии - использование одинакового адресного пространства на Site-сторонах + NAT/PAT.
Решением в данном случае является использование транспортного режима IPsec (mode transport) в место туннельного (который исп. по-умолчанию). Ограничением является то, что за NAT может находиться лишь один Site-маршрутизатор.
Пример конфигурации DMVPN в транспортном режиме IPsec:
Пример использования протокола OSPF/EIGRP в DMVPN для настройки Hub-and-Spoke и Spoke-to-Spoke, необходимо:
- ip ospf network point-to-multipoint - для организации Hub-and-Spoke. Для топологии Spoke-to-Spoke следует заменить конфигурацию на всех туннельных интерфейсах на ip ospf network broadcast.
- no ip split-horizon eigrp <AS> и no ip next-hop-self eigrp <AS> - на Hub для организации Spoke-to-Spoke при использовании EIGRP.
--- АДРЕСАЦИЯ И МАРШРУТИЗАЦИЯ DMVPN-СЕТЕЙ >>>
DMVPN отличается от P2P GRE туннелей тем, что в DMVPN используется подсеть с широким диапазоном адресов для охвата всех туннельных интерфейсов в единую shared-network, в отличие от подсетей /30.
Некоторые рекоммендации по планированию DMVPN:
- следует использовать отдельные адресные пространства и реализации протоколов маршрутизации для WAN и LAN+Tunnel.
- также следует по-возможности задавать статически значения MTU (например, mtu 1300) на всех туннельных интерфейсах или же использовать Path MTU Discovery.
--- ДОСТОИНСТВА И НЕДОСТАТКИ DMVPN-СЕТЕЙ >>>
Достоинства DMVPN:
- поддержка протоколов маршрутизации, что обеспечивает резервирование каналов передачи данных и возможность балансировки нагрузки сетевого трафика;
- упрощенное управление VPN с помощью единственного multipoint-туннеля, взаимодействующим со многими отдаленными офисами (point-to-multipoint, broadcast);
- поддержка Multicast-трафика с некоторыми ограничениями (только Hub-маршрутизатор может реплицировать Multicast-поток на Site-маршрутизаторы).
Недостатки DMVPN:
- частое Spoke-to-Spoke взаимодействие, может стать результатом постоянной инициализации IKE-сессий между Spoke-маршрутизаторами и, в результате, негативно сказаться на пропускной способности канала передачи данных.
--- ПРИМЕР СХЕМЫ И РАБОЧЕЙ КОНФИГУРАЦИИ СЕТИ DUAL-HUB DMVPN >>>
Пояснения к схеме (см.ниже):
- Используется два Hub-маршрутизатора для балансировки нагрузки сетевого трафика + повышение отказоустойчивости VPN-каналов.
- Sites поддерживаю одновременно две DMVPN-сети.
- Протокол маршрутизации OSPF.
- Топология Hub-and-Spoke.
Примеры файлов конфигурации:
1. [Hub1]:2. [Hub2]:3. [Site1]:4. [Site2]:Чтобы скрыть все пароли от посторонних глаз, Cisco IOS поддерживает AES-шифрование Preshared Key (не путать с 'service password-encryption'!). Для этого необходимо задать "Master-Key", с помощью которого будет применяться симметричное AES-шифрование для текщих паролей ISAKMP в конфигурации и, собственно, активировать функцию шифрования.
пример:
Примечания (подробнее см. в прикрепленных файлах):
- сети 10.0.0.0 0.0.0.255 - локальные сети маршрутизаторов.
- crypto ipsec profile PROFILE-DMVPN - используются профили IPsec вместо Crypto-Map, что упрощает конфигурацию, нет необходимости создавать отдельные ACL и назначать crypto-map на физические интерфейсы.
- mtu 1400 - стандартное значение для нормальной работы GRE IPsec (результаты добавления заголовков ESP + GRE + NAT).
- ip tcp adjust-mss 1360 - (не обязательное) максимальный размер сегмента (без IP-заголовков, которые составляют 20 байт) (Maximum Segment Size).
- ip ospf network point-to-multipoint - необходимо для организации Hub-and-Spoke. Для топологии Spoke-to-Spoke следует заменить конфигурацию на всех туннельных интерфейсах на ip ospf network broadcast.
- ip ospf cost 5 - цена маршрута. В нашем примере для Site-маршрутизаторов осуществляется равномерная балансировка между двумя DMVPN-туннелями. Для приоритезации какого-либо туннеля, необходимо изменить значения, к примеру, DMVPN1: ip ospf cost 5, DMVPN2: ip ospf cost 10.
- ip ospf priority 0 - важен для выбора DR и BDR в broadcast-сетях (в нашем случае сеть point-to-multipoint). Чем выше значение, тем вероятнее, что данный neighbor-маршрутизатор будет DR/BDR. На Site-маршрутизаторах следует всегда указывать значение 0.
- tunnel protection ipsec profile PROFILE-DMVPN shared - ...shared необходим в том случае, если туннельные интерфейсы имеют источником IP один и тот же физический интерфейс (tunnel source..., т.е. делят один сокет на двоих). В этом случае используется одна копия крипто-базы/ipsec-профиля на оба туннеля, иначе туннель может быть не установлен для одного из туннельных интерфейсов. К примеру, для создания нового GRE VPN с параметром 'source intrface ...' таким же как для DMVPN, то для GRE VPN должен исполльзоваться тот же IPsec-профиль, что и для DMVPN, т.е. необходимо прописать 'tunnel protection ipsec profile PROFILE-DMVPN shared'.
- crypto isakmp keepalive 10 - проверка состояния туннельного канала (посылка keepalive-сообщений каждые 10 сек.).
- crypto isakmp invalid-spi-recovery - при приеме ошибочных SPI-сообщений, peer реинициализирует ISAKMP SA (заново создает новое соединение) с источником сообщения (может стать причиной DoS-атак).
Ниже приведено краткое описание структуры и принципов функционирования DMVPN-сетей (перевод с англ.яз., источник 'nil.com'), а также примеры собственных рабочих конфигураций сетей Hub-and-Spoke, с некоторыми модификациями + в прикрепленных файлах - подробная документация по построению масштабируемых DMVPN-сетей с примерами.
ОБЩЕЕ ОПИСАНИЕ И ПРИНЦИП РАБОТЫ
--- ПРОСТАЯ DMVPN-СЕТЬ >>>
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
DMVPN позволяет оптимизировать поток трафика, создавая Spoke-to-Spoke туннели, либо централизовано управлять потоком на Hub-маршрутизаторе, создавая Hub-and-Spoke туннель.
Схема простой DMVPN-сети представлена на следующем рисунке:
Далее представлена логическая схема, в которой туннельные интерфейсы сети DMVPN находятся в едином широковещательном домене (broadcast/shared ethernet):
Аналогично тому, как в Ethernet, ARP динамически сопоставляет IP-адреса с MAC-адресами, в DMVPN - NHRP динамически сопоставляет (NHRP-mapping) внутренние IP-адреса DMVPN (туннельные) с IP-адресами WAN (реальными):
- Все Site-маршрутизаторы должны иметь статические записи NHRP-mapping на Hub-маршрутизаторы.
- Site-маршрутизаторы могут динамически распознавать WAN IP по VPN IP с помощью NHRP-сервера, т.е. с помощью Hub-маршрутизатора.
--- СХЕМЫ ПОСТРОЕНИЯ DMVPN И ОПТИМИЗАЦИЯ ПОТОКА ТРАФИКА >>>
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
Существуют две основные схемы построения DMVPN:
- Spoke-to-Spoke DMVPN.
- Hub-and-Spoke DMVPN.
1. Spoke-to-Spoke. В данном варианте шифрованный GRE-туннельный трафик выбирает оптимальный маршрут в Internet, напрямую инициируя шифрованный туннель с конечной точкой (Site-маршрутизатором). В данном случае необходимо наличие актуальной информации в таблице маршрутизации на всех Site- и Hub-маршрутизаторах.
В примере (см. рисунок) пакет с адресом назначения другого Site-маршрутизатора вызывает NHRP для поиска внешнего (internet) IP-адреса Site по его внутреннему DMVPN-IP-адресу (адрес next-hop для туннельного интерфейса). Пакет отправляется через Hub (Central Site), пока осуществляется процесс NHRP-mapping и затем устанавливает временный IPsec-туннель напрямую с Site-маршрутизатором назначения. После чего, в итоге, весь трафик между Site-to-Site ходит напрямую без участия Hub. Если обмен данными прекращается и таймеры NHRP истекли, то динамические записи NHRP в маршрутизаторах удаляются, IKE/IPsec туннель отключается.
Пример файла конфигурации [Central Site]:
!
crypto ipsec transform-set TS esp-aes-256 esp-sha-hmac
!
crypto ipsec profile GRE
set transform-set TS
!
interface Tunnel0
ip address 10.100.1.1 255.255.255.0
ip mtu 1300
ip nhrp authentication wHaTeV3R
ip nhrp map multicast dynamic
ip nhrp network-id 1234
ip nhrp holdtime 300
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 1234
tunnel protection ipsec profile GRE
!!
crypto ipsec transform-set TS esp-aes-256 esp-sha-hmac
!
crypto ipsec profile GRE
set transform-set TS
!
interface Tunnel0
ip address 10.100.1.2 255.255.255.0
ip mtu 1300
ip nhrp authentication wHaTeV3R
ip nhrp map 10.100.1.1 200.1.2.3
ip nhrp map multicast 200.1.2.3
ip nhrp network-id 1234
ip nhrp holdtime 300
ip nhrp map nhs 10.100.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 1234
tunnel protection ipsec profile GRE
!
Одна из причин использования топологии Hub-and-Spoke, это использование на Site-сторонах NAT Overload (PAT) или невозможность взаимодействия Site-сторон напрямую друг с другом.
Еще причина использования данной топологии - использование одинакового адресного пространства на Site-сторонах + NAT/PAT.
Решением в данном случае является использование транспортного режима IPsec (mode transport) в место туннельного (который исп. по-умолчанию). Ограничением является то, что за NAT может находиться лишь один Site-маршрутизатор.
Пример конфигурации DMVPN в транспортном режиме IPsec:
!
crypto ipsec transform-set TS esp-aes-256 esp-sha-hmac
mode transport
!
crypto ipsec profile GRE
set transform-set TS
!
interface Tunnel0
ip address 10.100.1.2 255.255.255.0
ip nhrp authentication wHaTeV3R
ip nhrp map multicast dynamic
ip nhrp network-id 1234
ip nhrp holdtime 300
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 1234
tunnel protection ipsec profile GRE
!Пример использования протокола OSPF/EIGRP в DMVPN для настройки Hub-and-Spoke и Spoke-to-Spoke, необходимо:
- ip ospf network point-to-multipoint - для организации Hub-and-Spoke. Для топологии Spoke-to-Spoke следует заменить конфигурацию на всех туннельных интерфейсах на ip ospf network broadcast.
- no ip split-horizon eigrp <AS> и no ip next-hop-self eigrp <AS> - на Hub для организации Spoke-to-Spoke при использовании EIGRP.
--- АДРЕСАЦИЯ И МАРШРУТИЗАЦИЯ DMVPN-СЕТЕЙ >>>
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
DMVPN отличается от P2P GRE туннелей тем, что в DMVPN используется подсеть с широким диапазоном адресов для охвата всех туннельных интерфейсов в единую shared-network, в отличие от подсетей /30.
Некоторые рекоммендации по планированию DMVPN:
- следует использовать отдельные адресные пространства и реализации протоколов маршрутизации для WAN и LAN+Tunnel.
- также следует по-возможности задавать статически значения MTU (например, mtu 1300) на всех туннельных интерфейсах или же использовать Path MTU Discovery.
--- ДОСТОИНСТВА И НЕДОСТАТКИ DMVPN-СЕТЕЙ >>>
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
Достоинства DMVPN:
- поддержка протоколов маршрутизации, что обеспечивает резервирование каналов передачи данных и возможность балансировки нагрузки сетевого трафика;
- упрощенное управление VPN с помощью единственного multipoint-туннеля, взаимодействующим со многими отдаленными офисами (point-to-multipoint, broadcast);
- поддержка Multicast-трафика с некоторыми ограничениями (только Hub-маршрутизатор может реплицировать Multicast-поток на Site-маршрутизаторы).
Недостатки DMVPN:
- частое Spoke-to-Spoke взаимодействие, может стать результатом постоянной инициализации IKE-сессий между Spoke-маршрутизаторами и, в результате, негативно сказаться на пропускной способности канала передачи данных.
--- ПРИМЕР СХЕМЫ И РАБОЧЕЙ КОНФИГУРАЦИИ СЕТИ DUAL-HUB DMVPN >>>
ВНИМАНИЕ: Спойлер!
[ Нажмите, чтобы развернуть ]
[ Нажмите, чтобы скрыть ]
Пояснения к схеме (см.ниже):
- Используется два Hub-маршрутизатора для балансировки нагрузки сетевого трафика + повышение отказоустойчивости VPN-каналов.
- Sites поддерживаю одновременно две DMVPN-сети.
- Протокол маршрутизации OSPF.
- Топология Hub-and-Spoke.
Примеры файлов конфигурации:
1. [Hub1]:
!
hostname HUB1
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp identity address
crypto isakmp key SeCrEtKeY address 0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 10
crypto isakmp nat keepalive 5
!
crypto ipsec transform-set TS-DMVPN1 esp-3des esp-md5-hmac
!
crypto ipsec profile PROFILE-DMVPN1
description *** HUB to Site DMVPN IPSec GRE Profile ***
set transform-set TS-DMVPN1
!
interface Loopback0
ip address 172.16.255.254 255.255.255.255
!
interface Tunnel1
description *** Shared Tunnel Interface for Sites ***
bandwidth 12000
ip address 172.16.254.254 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication nh10001
ip nhrp map multicast dynamic
ip nhrp network-id 10001
ip nhrp holdtime 300
no ip split-horizon eigrp 1
ip ospf network point-to-multipoint
ip ospf cost 5
ip ospf priority 10
delay 1000
tunnel source FastEthernet0/3/0
tunnel mode gre multipoint
tunnel key 10001
tunnel protection ipsec profile PROFILE-DMVPN1
!
interface FastEthernet0/3/0
description *** Internet ***
ip address 1.1.1.234 255.255.255.248
!
router ospf 1
router-id 172.16.255.254
log-adjacency-changes
passive-interface default
no passive-interface Tunnel1
network 10.0.0.0 0.255.255.255 area 0
network 172.16.254.0 0.0.0.255 area 0
network 172.16.255.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/3/0
!!
hostname HUB2
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp identity address
crypto isakmp key SeCrEtKeY address 0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 10
crypto isakmp nat keepalive 5
!
crypto ipsec transform-set TS-DMVPN1 esp-3des esp-md5-hmac
!
crypto ipsec profile PROFILE-DMVPN1
description *** HUB to Site DMVPN IPSec GRE Profile ***
set transform-set TS-DMVPN1
!
interface Loopback0
ip address 172.16.255.253 255.255.255.255
!
interface Tunnel1
description *** Shared Tunnel Interface for Sites ***
bandwidth 12000
ip address 172.16.253.254 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication nh10002
ip nhrp map multicast dynamic
ip nhrp network-id 10002
ip nhrp holdtime 300
no ip split-horizon eigrp 1
ip ospf network point-to-multipoint
ip ospf cost 5
ip ospf priority 5
delay 1000
tunnel source FastEthernet0/3/0
tunnel mode gre multipoint
tunnel key 10002
tunnel protection ipsec profile PROFILE-DMVPN1
!
interface FastEthernet0/3/0
description *** Internet ***
ip address 2.2.2.98 255.255.255.248
!
router ospf 1
router-id 172.16.255.253
log-adjacency-changes
passive-interface default
no passive-interface Tunnel1
network 10.0.0.0 0.255.255.255 area 0
network 172.16.253.0 0.0.0.255 area 0
network 172.16.255.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/3/0
!!
hostname SITE1
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp identity address
crypto isakmp key SeKrEtKeY address 0.0.0.0 0.0.0.0
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
crypto isakmp nat keepalive 5
!
!
crypto ipsec transform-set TS-DMVPN esp-3des esp-md5-hmac
!
crypto ipsec profile PROFILE-DMVPN
description *** Sites to HUB DMVPN IPSec GRE Profile ***
set transform-set TS-DMVPN
!
interface Loopback0
ip address 172.16.255.8 255.255.255.255
!
interface Tunnel1
description *** Tunnel Interface to HUB1 ***
bandwidth 8000
ip address 172.16.254.8 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication nh10001
ip nhrp map multicast 1.1.1.234
ip nhrp map 172.16.254.254 1.1.1.234
ip nhrp network-id 10001
ip nhrp holdtime 300
ip nhrp nhs 172.16.254.254
ip tcp adjust-mss 1360
ip ospf network point-to-multipoint
ip ospf cost 5
ip ospf priority 0
delay 1000
keepalive 10 5
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 10001
tunnel protection ipsec profile PROFILE-DMVPN shared
!
interface Tunnel2
description *** Tunnel Interface to HUB2 ***
bandwidth 8000
ip address 172.16.253.8 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication nh10002
ip nhrp map multicast 2.2.2.98
ip nhrp map 172.16.253.254 2.2.2.98
ip nhrp network-id 10002
ip nhrp holdtime 300
ip nhrp nhs 172.16.253.254
ip tcp adjust-mss 1360
ip ospf network point-to-multipoint
ip ospf cost 5
ip ospf priority 0
delay 1000
keepalive 10 5
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 10002
tunnel protection ipsec profile PROFILE-DMVPN shared
!
interface FastEthernet0/0
description *** Internet ***
ip address 11.11.11.133 255.255.255.192
!
router ospf 1
router-id 172.16.255.8
log-adjacency-changes
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel2
network 10.0.0.0 0.255.255.255 area 0
network 172.16.253.0 0.0.0.255 area 0
network 172.16.254.0 0.0.0.255 area 0
network 172.16.255.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!!
hostname SITE2
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp identity address
crypto isakmp key SeKrEtKeY address 0.0.0.0 0.0.0.0
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
crypto isakmp nat keepalive 5
!
!
crypto ipsec transform-set TS-DMVPN esp-3des esp-md5-hmac
!
crypto ipsec profile PROFILE-DMVPN
description *** Sites to HUB DMVPN IPSec GRE Profile ***
set transform-set TS-DMVPN
!
interface Loopback0
ip address 172.16.255.5 255.255.255.255
!
interface Tunnel1
description *** Tunnel Interface to HUB1 ***
bandwidth 8000
ip address 172.16.254.5 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication nh10001
ip nhrp map multicast 1.1.1.234
ip nhrp map 172.16.254.254 1.1.1.234
ip nhrp network-id 10001
ip nhrp holdtime 300
ip nhrp nhs 172.16.254.254
ip tcp adjust-mss 1360
ip ospf network point-to-multipoint
ip ospf cost 5
ip ospf priority 0
delay 1000
keepalive 10 5
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 10001
tunnel protection ipsec profile PROFILE-DMVPN shared
!
interface Tunnel2
description *** Tunnel Interface to HUB2 ***
bandwidth 8000
ip address 172.16.253.5 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp authentication nh10002
ip nhrp map multicast 2.2.2.98
ip nhrp map 172.16.253.254 2.2.2.98
ip nhrp network-id 10002
ip nhrp holdtime 300
ip nhrp nhs 172.16.253.254
ip tcp adjust-mss 1360
ip ospf network point-to-multipoint
ip ospf cost 5
ip ospf priority 0
delay 1000
keepalive 10 5
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 10002
tunnel protection ipsec profile PROFILE-DMVPN shared
!
interface FastEthernet0/0
description *** Internet ***
ip address 12.12.12.89 255.255.255.248
!
router ospf 1
router-id 172.16.255.5
log-adjacency-changes
passive-interface default
no passive-interface Tunnel1
no passive-interface Tunnel2
network 10.0.0.0 0.255.255.255 area 0
network 172.16.253.0 0.0.0.255 area 0
network 172.16.254.0 0.0.0.255 area 0
network 172.16.255.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!пример:
HUB1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
HUB1 (config)# password encryption aes
HUB1 (config)# key config-key password-encrypt
New key:
Confirm key:
HUB1 (config)#
01:46:40: TYPE6_PASS: New Master key configured, encrypting the keys with
the new master key
HUB1 (config)# exit
HUB1 # show running-config | include crypto isakmp key
crypto isakmp key 6 CXWdhVTZYB_Vcd^`cIHDOahiFTa address 0.0.0.0 0.0.0.0Примечания (подробнее см. в прикрепленных файлах):
- сети 10.0.0.0 0.0.0.255 - локальные сети маршрутизаторов.
- crypto ipsec profile PROFILE-DMVPN - используются профили IPsec вместо Crypto-Map, что упрощает конфигурацию, нет необходимости создавать отдельные ACL и назначать crypto-map на физические интерфейсы.
- mtu 1400 - стандартное значение для нормальной работы GRE IPsec (результаты добавления заголовков ESP + GRE + NAT).
- ip tcp adjust-mss 1360 - (не обязательное) максимальный размер сегмента (без IP-заголовков, которые составляют 20 байт) (Maximum Segment Size).
- ip ospf network point-to-multipoint - необходимо для организации Hub-and-Spoke. Для топологии Spoke-to-Spoke следует заменить конфигурацию на всех туннельных интерфейсах на ip ospf network broadcast.
- ip ospf cost 5 - цена маршрута. В нашем примере для Site-маршрутизаторов осуществляется равномерная балансировка между двумя DMVPN-туннелями. Для приоритезации какого-либо туннеля, необходимо изменить значения, к примеру, DMVPN1: ip ospf cost 5, DMVPN2: ip ospf cost 10.
- ip ospf priority 0 - важен для выбора DR и BDR в broadcast-сетях (в нашем случае сеть point-to-multipoint). Чем выше значение, тем вероятнее, что данный neighbor-маршрутизатор будет DR/BDR. На Site-маршрутизаторах следует всегда указывать значение 0.
- tunnel protection ipsec profile PROFILE-DMVPN shared - ...shared необходим в том случае, если туннельные интерфейсы имеют источником IP один и тот же физический интерфейс (tunnel source..., т.е. делят один сокет на двоих). В этом случае используется одна копия крипто-базы/ipsec-профиля на оба туннеля, иначе туннель может быть не установлен для одного из туннельных интерфейсов. К примеру, для создания нового GRE VPN с параметром 'source intrface ...' таким же как для DMVPN, то для GRE VPN должен исполльзоваться тот же IPsec-профиль, что и для DMVPN, т.е. необходимо прописать 'tunnel protection ipsec profile PROFILE-DMVPN shared'.
- crypto isakmp keepalive 10 - проверка состояния туннельного канала (посылка keepalive-сообщений каждые 10 сек.).
- crypto isakmp invalid-spi-recovery - при приеме ошибочных SPI-сообщений, peer реинициализирует ISAKMP SA (заново создает новое соединение) с источником сообщения (может стать причиной DoS-атак).
Это вложение скрыто для гостей.
Пожалуйста, зарегистрируйтесь или войдите, чтобы увидеть его.
Пожалуйста, зарегистрируйтесь или войдите, чтобы увидеть его.
Это вложение скрыто для гостей.
Пожалуйста, зарегистрируйтесь или войдите, чтобы увидеть его.
Пожалуйста, зарегистрируйтесь или войдите, чтобы увидеть его.
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Last edit: 1 год 5 мес. назад by TOLLIFi.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
7 года 5 мес. назад #24
от vov4egspb
COM_KUNENA_MESSAGE_REPLIED_NEW
Помогите разобраться плиз!!!!
Есть хаб и несколько споков а точнее 7, после пропадания инета на хабе, 5 из 7 споков обратно сами не поднимаются, только если заходить на них и гасить/поднимать тунель....
Вот конфигурации тунеля:
ХАБ
interface Tunnel100
description DMVPN_Main
ip address 10.10.10.100 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map multicast dynamic
ip nhrp network-id 999
ip ospf network broadcast
qos pre-classify
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 1000
ПРОБЛЕМНЫЙ СПОК
interface Tunnel100
description DMVPN_Balkanskaya
ip address 10.10.10.106 255.255.255.0
no ip redirects
ip mtu 1416
ip flow ingress
ip flow egress
ip nhrp authentication nhrppass
ip nhrp map 10.10.10.100 93.*.*.*
ip nhrp map multicast 93.*.*.*
ip nhrp network-id 999
ip nhrp nhs 10.10.10.100
ip nhrp cache non-authoritative
ip ospf network broadcast
tunnel source FastEthernet1
tunnel mode gre multipoint
tunnel key 1000
СПОК НОРМАЛЬНО ФУНКЦИОНИРУЮЩИЙ
interface Tunnel100
description DMVPN_Mineralnaya
ip address 10.10.10.110 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map 10.10.10.100 93.*.*.*
ip nhrp map multicast 93.*.*.*
ip nhrp network-id 999
ip nhrp nhs 10.10.10.100
ip nhrp cache non-authoritative
no ip split-horizon
ip ospf network broadcast
qos pre-classify
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 1000
Заранее спасибо за помощь!!
Есть хаб и несколько споков а точнее 7, после пропадания инета на хабе, 5 из 7 споков обратно сами не поднимаются, только если заходить на них и гасить/поднимать тунель....
Вот конфигурации тунеля:
ХАБ
interface Tunnel100
description DMVPN_Main
ip address 10.10.10.100 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map multicast dynamic
ip nhrp network-id 999
ip ospf network broadcast
qos pre-classify
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 1000
ПРОБЛЕМНЫЙ СПОК
interface Tunnel100
description DMVPN_Balkanskaya
ip address 10.10.10.106 255.255.255.0
no ip redirects
ip mtu 1416
ip flow ingress
ip flow egress
ip nhrp authentication nhrppass
ip nhrp map 10.10.10.100 93.*.*.*
ip nhrp map multicast 93.*.*.*
ip nhrp network-id 999
ip nhrp nhs 10.10.10.100
ip nhrp cache non-authoritative
ip ospf network broadcast
tunnel source FastEthernet1
tunnel mode gre multipoint
tunnel key 1000
СПОК НОРМАЛЬНО ФУНКЦИОНИРУЮЩИЙ
interface Tunnel100
description DMVPN_Mineralnaya
ip address 10.10.10.110 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map 10.10.10.100 93.*.*.*
ip nhrp map multicast 93.*.*.*
ip nhrp network-id 999
ip nhrp nhs 10.10.10.100
ip nhrp cache non-authoritative
no ip split-horizon
ip ospf network broadcast
qos pre-classify
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 1000
Заранее спасибо за помощь!!
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
7 года 5 мес. назад #25
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
COM_KUNENA_MESSAGE_REPLIED_NEW
Установлен ли на Spoke-маршрутизаторах keepalive? Если - нет, то пропиши на них, к примеру, 10 сек.- isakmp-таймеры:
crypto isakmp keepalive 10
crypto isakmp keepalive 10
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
7 года 5 мес. назад #26
от vov4egspb
COM_KUNENA_MESSAGE_REPLIED_NEW
не помогло.... ((
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
7 года 5 мес. назад #27
от TOLLIFi
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
COM_KUNENA_MESSAGE_REPLIED_NEW
В таком случае прошу в студию:
1. Серии роутеров и их IOS (Hub, Spoke-глючный, Spoke-не глючный).
2. Подробнее конфиги, включая ipsec, isakmp и tunnel на этих железках.
3. debug crypto isakmp error (по-возможности, только IP-внешние прикрой
)
Еще один вариант: попробовать установить Point-to-Mulipoint-режим OSPF, если прямой обмен между Spok'ами не нужен.
1. Серии роутеров и их IOS (Hub, Spoke-глючный, Spoke-не глючный).
2. Подробнее конфиги, включая ipsec, isakmp и tunnel на этих железках.
3. debug crypto isakmp error (по-возможности, только IP-внешние прикрой
)Еще один вариант: попробовать установить Point-to-Mulipoint-режим OSPF, если прямой обмен между Spok'ами не нужен.
IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
7 года 3 мес. назад #38
от vov4egspb
COM_KUNENA_MESSAGE_REPLIED_NEW
Хелп! Есть проблема...
Cisco 2821. Настроен DMVPN 6 споков. Cisco тормозит безбожно, в консоли, пинги с задержкой в сети, по стоит погасить тунель mGRE, сразу все приходит в норму. Отключение споков по 1 результата не дало....
ХАБ настройки тунеля...:
interface Tunnel100
description DMVPN_Main
ip address 10.10.10.100 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map multicast dynamic
ip nhrp network-id 999
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 10
qos pre-classify
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 1000
СПОК настройки:
interface Tunnel100
description DMVPN_Balkanskaya
ip address 10.10.10.106 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map 10.10.10.100 93.153.*.*
ip nhrp map multicast 93.153.*.*
ip nhrp network-id 999
ip nhrp holdtime 60
ip nhrp nhs 10.10.10.100
ip nhrp registration timeout 60
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
tunnel source FastEthernet1
tunnel mode gre multipoint
tunnel key 1000
Cisco 2821. Настроен DMVPN 6 споков. Cisco тормозит безбожно, в консоли, пинги с задержкой в сети, по стоит погасить тунель mGRE, сразу все приходит в норму. Отключение споков по 1 результата не дало....
ХАБ настройки тунеля...:
interface Tunnel100
description DMVPN_Main
ip address 10.10.10.100 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map multicast dynamic
ip nhrp network-id 999
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 10
qos pre-classify
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 1000
СПОК настройки:
interface Tunnel100
description DMVPN_Balkanskaya
ip address 10.10.10.106 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map 10.10.10.100 93.153.*.*
ip nhrp map multicast 93.153.*.*
ip nhrp network-id 999
ip nhrp holdtime 60
ip nhrp nhs 10.10.10.100
ip nhrp registration timeout 60
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
tunnel source FastEthernet1
tunnel mode gre multipoint
tunnel key 1000
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
- Вы здесь:
-
Главная
-
Форум
-
IT и телекоммуникации
-
Конфигурация сетевого оборудования
- Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели