Как настроить hub cisco

ИТ База знаний

Курс по Asterisk

Полезно

— Узнать IP — адрес компьютера в интернете

— Онлайн генератор устойчивых паролей

— Онлайн калькулятор подсетей

— Калькулятор инсталляции IP — АТС Asterisk

— Руководство администратора FreePBX на русском языке

— Руководство администратора Cisco UCM/CME на русском языке

— Руководство администратора по Linux/Unix

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Протоколы и стандарты

Настройка DMVPN на оборудовании Cisco

В сегодняшней статье покажем пример настройки DMVPN – Dynamic Multipoint VPN, что является VPN решением компании Cisco. Данное решение используется, когда требуется высокая масштабируемость и легкость настройки при подключении филиалов к головному офису.

Полный курс по Сетевым Технологиям

В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer

DMPVN одно из самых масштабируемых и эффективных решений VPN поддерживаемых компанией Cisco. В основном оно используется при топологии Hub-and-Spoke, где вы хотели бы видеть прямые VPN туннели Spoke-to-Spoke в дополнение к обычным Spoke-to-Hub туннелям. Это означает, что филиалы смогут общаться с друг другом напрямую, без необходимости прохождение трафика через HQ. Как уже упоминали, эта технология является проприетарной технологией Cisco.

Если вам необходимо подключить более десяти сайтов к головному офису, то DMPVN будет идеальным выбором. Кроме того, DMPVN поддерживает не только Hub-and-Spoke, но и Full-Mesh топологию, так как все сайты имеют между собой связность без необходимости настройки статических VPN туннелей между сайтами.

Некоторые характеристики DMVPN

Для начала перечислим важные характеристики данного способа организации Site-to-Site VPN для лучшего понимания:

• Центральный маршрутизатор (HUB) — данный роутер работает как DMVPN сервер, и Spoke маршрутизаторы работают как DMVPN клиенты;
• У данного маршрутизатора есть публичный статический IP-адрес на WAN интерфейсе;
• У Spoke маршрутизаторов на WAN интерфейсах может как статический, так и динамический публичный IP-адрес;
• У каждого филиала (Spoke) есть IPSEC туннель к головному офису (Hub);
• Spoke-to-Spoke — туннели устанавливаются при возникновении необходимости, когда есть движение трафика между филиалами. Таким образом, трафик может не ходить через головной офис, а использовать прямые туннели между филиалами;
• Все туннели используют Multipoint GRE c IPSEC;
• NHRP (Next Hop Resolution Protocol) — данный протокол используется для установления соответствий между приватными IP туннельных интерфейсов с публичными WAN адресами
• Описанные выше NHRP соответствия будут храниться на NHRP сервере, чем в нашем случае является HUB роутер. Каждый филиал устанавливает соединение с головным офисом и регистрирует свой публичный IP-адрес и его приватный IP-адрес тунеля;
• Когда филиалу необходимо отправить пакеты в подсеть другого филиала, он запрашивает NHRP сервер для получения информации о внешнем публичном адресе целевого филиала;
• Для лучшей масштабируемости советуем использовать один из протоколов динамический маршрутизации между всеми роутерами – например, EIGRP;

Еще раз кратко о технологиях, которые использует DMVPN:

• Multipoint GRE;
• IPSEC;
• NHRP – Next Hop Resolution Protocol;
• Статическая или динамическая маршрутизация;

Настройка маршрутизатора

Конкретно в нашем примере у нас будет HUB маршрутизатор и два филиала. И, как было описано ранее, HUB – это DMVPN cервер, а филиалы – DMPVN клиенты.

В нашем примере в качестве маршрутизатора используется CISCO1921/K9

Сначала настраиваем HUB маршрутизатор – ему необходимо присвоить статический IP – адрес на внешнем WAN-интерфейсе:

Затем настраиваем маршрутизаторы в филиалах (Spoke роутеры) — у одного маршрутизатора статический айпишник на WAN интерфейсе, и у другого динамический, получаемый по DHCP. Первый маршрутизатор в филиале, с динамическим IP:

Второй филиальный маршрутизатор, со статическим IP:

Переходим к тестированию:

В нашем примере использовалась статическая маршрутизация, но при большом количестве филиалов необходимо использовать протоколы динамический маршрутизации для уменьшения ручного труда и риска ошибки.

Полный курс по Сетевым Технологиям

В курсе тебя ждет концентрат ТОП 15 навыков, которые обязан знать ведущий инженер или senior Network Operation Engineer

Источник

Принцип работы HUB

Для соединения конечных устройств в сети нужен агрегатор – устройство, которое соединяет хосты в сети и управляет потоками данных (что такое хост смотреть здесь). В этой главе мы рассмотрим работу HUB. Это устройство относится к физическому уровню, первому уровню модели OSI.

Рисунок 2.5 Принцип работы HUB

Опишем работу HUB. Используя рисунок 2.5, рассмотрим несколько шагов передачи данных:

• Шаг 1. ПК1 формирует данные, чтобы передать их ПК3, получившийся фрейм он отправляет HUB-у.
• Шаг 2. HUB принимает фрейм и моментально передает его зеркально на все порты.
• Шаг 3 (на рисунке не показан). ПК2 принимает фрейм и отбрасывает его, узнав, что получателем он не является. ПК3 получает фрейм, видит свой адрес в качестве получателя, поэтому обрабатывает его.

При использовании HUB, в сети могут возникать коллизии. Коллизия – наложение сигналов друг на друга. Когда два устройства одновременно начинают передавать данные, оба сигнала передаются на HUB, складываются и в итоге получается нечто не совсем разборчивое.

Чтобы предотвратить появление коллизий, был разработан алгоритм CSMA/CD. Он выполняется непосредственно на конечных устройствах (например, ПК). Рассмотрим пример работы алгоритма на ПК1 (рисунок 2.5):

• Шаг 1. ПК1 формирует фрейм и прежде, чем передать его, слушает сеть. Если в сети передаются данные, то ПК1 ждет пока сеть не освободится. Если в сети не передаются данные, то он начинает передачу.
• Шаг 2. Во время передачи ПК1 продолжает слушать сеть, не появится ли коллизия. Если произошла коллизия (кто-то еще начал передавать данные по сети), ПК1 прекращает передачу и включает произвольный таймер, по истечении заданного промежутка времени переходит к шагу 1.

С появлением коммутаторов (о них в следующей главе) популярность хабов резко сократилась, и на данный момент они практически нигде не используются.

Если вы нашли в тексте ошибку, выделите текст и нажмите Ctrl + Enter

ID: 72 Created: Oct 19, 2016 Modified Feb 24, 2018

Источник

Cisco. Первый выпуск. Соединяем две сети.

Начнем.

С чего начинается Cisco-роутер? Правильно, с консольного кабеля.
Это тот светло-голубой провод с разъемами RS-232 и RJ-45, который шел вместе с оборудованием. Его нужно подключить к компьютеру к свободному COM порту. Теперь с вашим железом можно делать все что угодно. Если, конечно, не установлен пароль на консольные подключения (о том, как побороть чужой пароль на вашем железе поговорим позже).

Итак, открываем программу-клиент терминального подключения, например, PuTTY. В программе указываем порт соединения (COM1) и скорость подключения (9600).
Что видим? Черный экран, мигающий курсор и больше ничего? Значит, скорее всего, скорость подключения на роутере выставлена другая. Как правило, это может быть скорость 115200. Если и она не подходит (а это — редкость), то придется подбирать. В любом случае, еще стоит проверить, какой указан СOM порт, к которому произведено подключение.

Отлично, разобрались! Все нормально и мы видим приглашение от роутера. По умолчанию оно будет выглядеть так: Router>
Это значит, что мы находимся в пользовательском режиме. Из этого режима доступно совсем немного команд. Все эти команды позволяют лишь наблюдать за работой роутера, но не дают возможности вносить изменения в конфигурацию. Из этого режима можно выполнить, например, команду Ping или show ip interface.

Для того, чтобы изменять рабочую конфигурацию (читай, настройку) роутера, необходимо войти в привилегированный режим. Привилегированный режим может быть защищен паролем. Для того чтобы войти в привилегированный режим, нужно набрать команду enable. После этого приглашение командной строки изменится на Router#

Здесь уже доступно намного больше команд. В этом режме можно вносить изменения в рабочую конфигурацию и сохранять измененную конфигурацию в ПЗУ.

Но основная настройка роутера ведется из режима глобальной конфигурации. В него можно попасть из привилегированного режима выполнением команды configure terminal. Приглашение изменится на Router(config)#. Как вы уже заметили, приглашение командной строки говорит о том, в каком режиме вы находитесь.

Ближе к делу.

Для начала давайте сделаем самое простое — соединим две сети с помощью нашего маршрутизатора.
Сеть Internal имеет диапазон адресов 192.168.10.1/24, адрес роутера в нем — 192.168.10.254, сетевой адаптер — FastEthernet0/0
Сеть External имеет диапазон адресов 10.54.0.0/16, адрес роутера в нем — 10.54.0.1, сетевой адаптер — FastEthernet0/1.
В режиме глобальной конфигурации вводим команду Interface FastEthernet0/0. Приглашение станет таким: Router(config-if)#. Интерфейс по умолчанию не имеет никакого адреса и даже выключен. Сначала введем IP-адрес. Это делается следующей командой: ip address 192.168.10.254 255.255.255.0.
Помните, что интерфейс выключен? Включается он командой no shutdown. Если все хорошо, то пробежит надпись:

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Первая строка говорит о том, что с сетевым интерфейсом все хорошо с точки зрения физического и канального уровня (сетевой кабель подключен и на другом его конце работает совместимое оборудование). Вторая строка говорит о том, что Сетевой уровень (IP Layer) тоже работает как надо.

Дальше нужно выйти из режима конфигурации интерфейса FastEthernet0/0, войти в интерфейс FastEthernet0/1 и настроить его параметры IP.
С этим вы и сами справитесь.

Проверить, правильно ли все настроено, можно вернувшись в привилегированный режим (команда exit) и выполнив команду show ip interface brief. Она покажет информацию о состоянии сетевых интерфейсов. Вывод команды будет примерно таким:

Router#show ip interface brief
Interface IP-Address OK? Method Status Protocol

FastEthernet0/0 192.168.10.254 YES manual up up

FastEthernet0/1 10.54.0.1 YES manual up up

Готово! Роутер может передавать пакеты из одной сети в другую и обратно.
Почти готово =) Все изменения и настройки, которые мы сейчас вносили, сохранены только в оперативной памяти роутера. Чтобы конфигурация сохранилась и после перезагрузки, ее нужно скопировать в ПЗУ. Делается это проще простого. Из привилегированного режима вводится команда copy running-config startup-config. Теперь перезагрузка не страшна!

Да, еще одна маленькая деталь. Если вы включаете роутер, у которого отсутствует конфигурация, то IOS предложит воспользоваться визардом для настройки основных параметров работы роутера. Вежливо откажите ему. Зачем просто, когда можно сложно? =)

Итого:

Для работы нам понадобится 4 основных режима конфигурации:

Пользовательский режим: Router>
Привилегированный режим: Router#
Режим глобальной конфигурации: Router(config)#
Режим конфигурации объекта(интерфейса, протокола маршрутизации и т.д.): Router(config-if)#

Вот и все. Согласитесь, вы думали, что будет сложнее!

В следующем выпуске я планирую написать про использование симулятора Packet Tracer 5.0 и эмулятора GNS3. Попробую подготовить видеоролик о том, как работают эти нужные и полезные программы. Выпуски я планирую готовить раз в неделю.

Источник

Настройка DMVPN на маршрутизаторах Cisco

Материал из Xgu.ru

Dynamic Multipoint VPN (DMVPN) — виртуальная частная сеть с возможностью динамического создания туннелей между узлами.

На этой странице детально описывается процедура организации сети DMVPN на маршрутизаторах Cisco. Рассматриваются варианты настройки проколов динамической маршрутизации OSPF и EIGRP, аутентификация маршрутизаторов по сертификатам и pre-shared key.

На странице dmvpn/config представлена схема и конфигурационные файлы для виртуальной сети Xentaur, которая рассматривается на этой странице.

Содержание

[править] Задача

Центральный офис (находящийся за dyn1) соединён с несколькими удалёнными (находящимися за dyn3 и dyn5). Необходимо обеспечить связь удалённых офисов с центральным и, при необходимости, устанавливать туннель между удалёнными офисами.

Маршрутизация между сетями офисов будет выполняться с помощью протоколов динамической маршрутизации.

Изображенная топология называется — звезда (hub-and-spoke), где:

• dyn1 — центр звезды, hub-маршрутизатор;
• dyn3 и dyn5 — вершины звезды, spoke-маршрутизаторы.

[править] Решение

Если в данной схеме использовать обычную виртуальную частную сеть, соединяющую сети (site-to-site VPN), то на маршрутизаторах, которые находятся в удалённых офисах, необходимо будет настроить туннель для связи с центральным офисом и туннели для связи с другими удалёнными офисами. Для того чтобы все удалённые офисы могли работать между собой напрямую, необходимо будет настроить туннели со всеми офисами, что приведёт к созданию полносвязной топологии (full mesh). Как следствие, количество настроек на маршрутизаторах, как в центральном офисе, так и в удалённых существенно увеличивается.

Технология DMVPN позволяет решить эту задачу более масштабируемым методом, чем создание связей точка-точка между всеми офисами и объединения их в полносвязную топологию:

• При добавлении новых маршрутизаторов в существующую сеть DMVPN, необходимо настроить только новый маршрутизатор, изменений на уже существующих маршрутизаторах не требуется.
• DMVPN позволяет использовать динамически назначенные IP-адреса на spoke-маршрутизаторах.
• Если двум spoke-маршрутизаторам необходимо установить туннель напрямую, то он устанавливается динамически.

В основе DMVPN лежат несколько технологий:

• mGRE-туннели;
• Протокол NHRP (Next Hop Resolution Protocol);
• Протоколы динамической маршрутизации;
• Профили IPsec (IPsec profiles).

Так как DMVPN использует несколько технологий, то поиск неисправностей в его настройках может занимать достаточно много времени. Для того чтобы избежать ошибок, желательно пошагово проверять выполненные настройки, работу соответствующих протоколов и доступность сетей.

Схематическое изображение последовательности выполнения необходимых настроек:

[править] Базовые настройки сети

Настройку сети DMVPN будем выполнять на условном примере, отражающем ключевые особенности сетей, в которых целесообразно использовать эту технологию.

За каждым маршрутизатором находится сеть, которая имитирует локальную сеть офисов:

Для внешних интерфейсов выбраны сети:

• dyn1 — 192.168.1.0/24;
• dyn3 — 192.168.3.0/24;
• dyn5 — 192.168.5.0/24.

[править] Настройка маршрутизации между внешними интерфейсами маршрутизаторов

В данной тестовой сети на каждом маршрутизаторе прописаны статические маршруты к сетям внешних интерфейсов других маршрутизаторов.

Статические маршруты на hub-маршрутизаторе (dyn1):

Но можно сделать проще — прописать default GW:

[править] mGRE-туннели

В топологии звезда (hub-n-spoke) использование GRE-туннелей точка-точка приведёт к большому количеству настроек, так как IP-адреса всех spoke-маршрутизаторов должны быть известны и настроены на центральном маршрутизаторе (hub).

Альтернативой GRE-туннелей точка-точка является multipoint GRE (mGRE) туннель, который позволяет терминировать на себе несколько GRE-туннелей. mGRE-туннель позволяет одному GRE-интерфейсу поддерживать несколько IPsec-туннелей и упрощает количество и сложность настроек, по сравнению с GRE-туннелями точка-точка.

Кроме того, mGRE-интерфейс позволяет использовать динамически назначенные IP-адреса на spoke-маршрутизаторах.

[править] Настройка mGRE-туннелей

Для адресации туннелей выделена сеть 10.10.10.0/24, все туннели находятся в одной сети. На hub-маршрутизаторе и spoke-маршрутизаторах mGRE-туннели настраиваются аналогично (далее пример для hub-маршрутизатора).

Создание туннельного интерфейса:

Задание IP-адреса на интерфейсе:

Так как GRE добавляет дополнительные заголовки к IP-пакету, необходимо изменить значение MTU на интерфейсе:

В качестве адреса отправителя в пакете выходящем из mGRE-интерфейса будет использоваться IP-адрес физического интерфейса, а адрес получателя будет выучен динамически с помощью протокола NHRP.

Настройка соответствия между туннельным интерфейсом и физическим:

(Опционально) Задание ключа, который идентифицирует туннель:

Если будет использоваться топология с двумя hub-маршрутизаторами и, соответственно, двумя сетями DMVPN, то ключ указывает на принадлежность интерфейса одной из сетей DMVPN.

[править] Next Hop Resolution Protocol (NHRP)

Next Hop Resolution Protocol (NHRP) — клиент-серверный протокол преобразования адресов, позволяющий всем хостам, которые находятся в NBMA(Non Broadcast Multiple Access)-сети, динамически выучить NBMA-адреса (физические адреса) друг друга обращаясь к next-hop-серверу (NHS). После этого хосты могут обмениваться информацией друг с другом напрямую.

• Hub-маршрутизатор будет работать как NHS, а spoke-маршрутизаторы будут клиентами.
• Hub-маршрутизатор хранит и обслуживает базу данных NHRP, в которой хранятся соответствия между физическими адресами и адресами mGRE-туннелей spoke-маршрутизаторов.
• На каждом spoke-маршрутизаторе hub-маршрутизатор статически указан как NHS и задано соответствие между физическим адресом и адресом mGRE-туннеля hub-маршрутизатора.
• При включении каждый spoke-маршрутизатор регистрируется на NHS и, при необходимости, запрашивает у сервера информацию об адресах других spoke-маршрутизаторов для построения spoke-to-spoke туннелей.
• Network ID — характеристика локальная для каждого маршрутизатора (аналогия — OSPF process ID). Разные интерфейсы могут участвовать в разных NHRP сессиях; это просто разграничитель того, что сессия NHRP на одном интерфейсе не та что на другом. Соответственно, совершенно не обязательно, чтобы Network ID совпадали на разных маршрутизаторах.

[править] Настройка NHRP

[править] Настройка NHRP на hub-маршрутизаторе

Включение NHRP на интерфейсе:

Hub-маршрутизатор будет автоматически добавлять соответствия между адресами spoke-маршрутизаторов:

(Опционально) Настройка аутентификации:

[править] Настройка NHRP на spoke-маршрутизаторах

Включение NHRP на интерфейсе:

Адрес туннельного интерфейса hub-маршрутизатора указывается как next-hop-сервер:

Статическое соответствие между адресом mGRE-туннеля и физическим адресом hub-маршрутизатора (первый адрес — адрес туннельного интерфейса, второй — адрес внешнего физического интерфейса):

Адрес внешнего физического интерфейса hub-маршрутизатора указывается как получатель multicast-пакетов от локального маршрутизатора:

(Опционально) Настройка аутентификации:

(Опционально) Настройка флага неуникальности ip-адреса туннеля в базе nhrp на hub-маршрутизаторе:

Если изменится внешний адрес spoke-маршрутизатора и этой команды не будет, то hub-маршрутизатор не обновит свою базу nhrp из-за ошибки: unique address registered already

[править] Проверка работы mGRE-туннелей и протокола NHRP

[править] Проверка туннельных интерфейсов

После того, как на маршрутизаторах настроены mGRE-туннели и настроен протокол NHRP, туннели находятся в состоянии up и все IP-адреса туннелей доступны.

Просмотр информации о туннельном интерфейсе:

С dyn5 пингуется и dyn1 и dyn3:

[править] Проверка NHRP на spoke-маршрутизаторе

Информация о NHS:

Суммарная информация NHRP (уже установлен динамический туннель с dyn3):

Подробная информация о других маршрутизаторах полученная по NHRP:

Суммарная информация о записях NHRP:

Статистика по пакетам NHRP:

[править] Проверка NHRP на hub-маршрутизаторе

Суммарная информация NHRP:

Подробная информация о других маршрутизаторах полученная по NHRP:

Суммарная информация о записях NHRP:

Статистика по пакетам NHRP:

[править] Настройка маршрутизации

Рассматривается использование протоколов EIGRP и OSPF для настройки маршрутизации между сетями офисов. Для реального использования достаточно выбрать один из этих протоколов, и выполнить соответствующие ему настройки.

[править] Настройка EIGRP

Если в качестве протокола маршрутизации будет использоваться EIGRP, то необходимо:

1. Включить EIGRP для сетей mGRE-интерфейсов и локальных сетей;
2. Отключить автоматическое суммирование сетей по классовому признаку;
3. Настроить EIGRP на mGRE-интерфейсе.

Включение EIGRP для сетей mGRE-интерфейсов и локальных сетей:

Отключение автоматического суммирования сетей:

[править] Настройка EIGRP на mGRE-интерфейсах

Для работы в сети DMVPN необходимо дополнительно настроить EIGRP.

На hub-маршрутизаторе необходимо отключить правило расщепления горизонта (split horizon), иначе EIGRP не будет анонсировать маршруты, выученные через mGRE-интерфейс назад в этот же интерфейс:

По умолчанию EIGRP будет подставлять IP-адрес hub-маршрутизатора в качестве next-hop для маршрутов которые он анонсирует, даже когда анонсирует маршруты назад через тот же интерфейс, на котором они были выучены. Для сети DMVPN необходимо чтобы EIGRP использовал в качестве next-hop адреса spoke-маршрутизаторов. Поэтому на hub-маршрутизаторе необходимо отключить это правило:

При использовании DMVPN в больших сетях время сходимости сети может увеличиваться. Для того чтобы избежать возможных проблем с маршрутизацией, на маршрутизаторах необходимо изменить hold time (по умолчанию 15 секунд):

Если на одном из маршрутизаторов этот параметр изменен, то соседи этого маршрутизатора будут использовать этот таймер. Для того чтобы маршрутизатор сам использовал определенное значение таймера, необходимо изменить таймер на соответствующем интерфейсе соседа.

[править] Проверка работы EIGRP

Соседи EIGRP на dyn1:

Соседи EIGRP на dyn5:

Таблица маршрутизации dyn1:

Таблица маршрутизации dyn3 (сеть 10.1.5.0 доступна через dyn5, а не через dyn1):

[править] Настройка OSPF

Для OSPF выбрана топология в которой mGRE-интерфейсы находятся в зоне 0, а локальные сети — каждая в своей зоне. Сеть разбита на зоны, так как это позволяет суммировать сети внутри зоны и не передавать в другие офисы подробную информацию о сетях (для данного примера это не актуально, но в реальной сети может существенно уменьшить таблицу маршрутизации и количество вычислений кратчайшего пути).

На маршрутизаторах необходимо:

1. Включить OSPF для сетей mGRE-интерфейсов в зоне 0;
2. Включить OSPF для локальных сетей в соответствующей зоне;
3. Настроить OSPF на mGRE-интерфейсе.

Включение OSPF для сетей mGRE-интерфейсов в зоне 0:

Включение OSPF для локальных сетей в соответствующей зоне (офису за dyn1 соответствует зона 1):

[править] Настройка OSPF на mGRE-интерфейсе

Так как mGRE-интерфейсы образуют NBMA-сеть, то на этих интерфейсах необходимо изменить настройки OSPF. Подробнее о работе OSPF в NBMA-сетях на странице OSPF в Cisco.

На hub-маршрутизаторе и spoke-маршрутизаторах отличаются настройки приоритетов, остальные настройки совпадают.

Приоритет интерфейса влияет на то, какой маршрутизатор будет выбран выделенным маршрутизатором (DR) для сети. В топологии «звезда» роль DR должен взять на себя центральный маршрутизатор.

На hub-маршрутизаторе приоритет устанавливается 10:

На spoke-маршрутизаторах приоритет устанавливается 0 для того чтобы маршрутизаторы не могли участвовать в выборах DR:

Указание типа сети OSPF на mGRE-интерфейсе:

Изменение интервала между отправкой hello-пакетов:

[править] Проверка работы OSPF

Соседи OSPF на dyn1:

Соседи OSPF на dyn3:

Таблица маршрутизации на dyn1:

Таблица маршрутизации на dyn3:

[править] Фазы DMVPN

В DMVPN различают три фазы или версии: первую, вторую и третью. Рассмотрим подробнее каждую из них. В качестве протокола динамической маршрутизации для наглядности будем использовать EIGRP.

[править] Первая фаза

В первой фазе допускается динамическое подключение spoke-маршрутизаторов к hub, при этом всё взаимодействие между сетями, расположенными за spoke, ведётся через центр – через hub-маршрутизатор. То есть в первой фазе невозможно прямое взаимодействие между spoke-маршрутизаторами. Все spoke-маршрутизаторы в данной фазе используют только point-to-point туннели.

К преимуществам первой фазы можно отнести возможность значительного сокращения количества маршрутов, находящихся в таблицах маршрутизации spoke-устройств за счёт агрегации или фильтрации маршрутов, анонсируемых hub-маршрутизатором. Вырожденным примером является анонсирование лишь дефолтного маршрута со стороны hub.

В этом случае на spoke-устройствах по EIGRP будет известен только один маршрут.

Проверим, что трафик между spoke-маршрутизаторами передаётся через hub.

К недостаткам первой фазы относится неоптимальный маршрут следования трафика между spoke-маршрутизаторами.

[править] Вторая фаза

Вторая фаза включает в себя оптимизацию пути следования трафика, передаваемого между spoke-устройствами, за счёт динамического построения туннелей между конечными маршрутизаторами, которое становится возможным, если spoke-маршрутизаторы обладают полной информацией обо всех префиксах в сети.

Настройка hub-маршрутизатора должна удовлетворять трём основным правилам:

• Агрегация сетей либо не должна производиться вовсе, либо не должна скрывать реального расположения префиксов;
• На hub-устройстве должно быть отключено расщепление горизонта;
• Hub-маршрутизатор не должен подменять адрес next-hop, полученный от spoke-устройства.

Никакая дополнительная настройка, включающая поддержку второй фазы, не требуется.

Таблица маршрутизации spoke-маршрутизатора представлена ниже и включает в себя все префиксы в сети.

Несмотря на то, что таблица маршрутизации включает в себя все префиксы, в CEF не содержится полной информации о каждой подсети до момента передачи первого пакета. Первый пакет в сторону новой подсети обрабатывается процессором и отправляется в сторону hub-маршрутизатора, после чего завершается формирование записи в CEF. До прихода первого пакета запись в CEF помечается как incomplete.

Для завершения формирования записи в CEF должен быть произведён поиск L2 данных по существующей L3 информации. Такой поиск производится с использованием протокола NHRP.

После завершения работы протокола NHRP завершается формирование записи в CEF.

Трафик между сетями spoke-маршрутизаторов передаётся напрямую между ними (не через hub).

Достоинством использования второй фазы является оптимизация путей передачи трафика между spoke-устройствами. К недостаткам можно отнести рост таблицы маршрутизации на spoke-оборудовании.

[править] Третья фаза

Третья фаза лишена недостатков первых двух фаз, но при этом обладает их достоинствами: трафик передаётся оптимальным путём, при этом таблица маршрутизации не обязана включать в себя все возможные префиксы сети. Добиться этого удалось за счёт помещения в таблицу маршрутизации только тех префиксов, которые реально используются в данный момент времени. Запись в таблице маршрутизации появляется только после того, как появляется трафик, предназначенный для соответствующих получателей. Всё волшебство третьей фазы становится возможным за счёт использования опций redirects и shortcuts. При использовании третьей фазы нет необходимости отказываться от суммирования маршрутов (как это было в первой фазе) и не возникает проблемы с адресами next-hop маршрутизаторов (как во второй фазе). По сути hub-маршрутизатор в сторону spoke-устройств может объявлять единственный маршрут (например, на сеть 0.0.0.0/0), который сразу же помещается в CEF. Таким образом в третьей фазе DMVPN на маршрутизаторах нет частично заполненных записей в CEF, что позволяет все пакеты (включая первый) маршрутизировать с использованием CEF, то есть без использования процессора.

Рассмотрим процесс передачи данных между двумя spoke-маршрутизаторами. Первый пакет передаётся в сторону hub-устройства в соответствии с таблицей маршрутизации, после чего hub-маршрутизатор через тот же туннельный интерфейс отправляет пакет в сторону маршрутизатора получателя. Такое событие (отправка пакета через тот же интерфейс, через который он был получен) заставляет hub-маршрутизатор отправить сообщение redirect, которое означает, что трафик передаётся не самым оптимальным путём. Включение возможности отправки hub-маршрутизатором сообщений NHRP redirect включается с помощью команды ip nhrp redirect, вводимой в режиме настройки туннельного интерфейса.

Получив сообщение redirect spoke-маршрутизатор отправляет сообщение NHRP request, с помощью которого пытается выяснить, NBMA адрес устройства, за которым расположен получатель. Сообщение NHRP request передаётся через hub в сторону второго spoke-устройство, которое и отвечает на запрос. Получив ответ на соответствующий запрос, spoke-маршрутизатор добавляет новую запись в таблицу маршрутизации и использует её для пересылки трафика. Для включения опции redirect на туннельных интерфейсах spoke-устройств должна быть введена команда ip nhrp shortcut.

Трафик между spoke-устройствами передаётся напрямую, то есть минуя hub-маршрутизатор.

В выводе debug-сообщений на spoke-маршрутизаторе получение пакета nhrp redirect называется «NHRP: Receive Traffic Indication», тогда как отправку сообщения nhrp request можно распознать по фразе «NHRP: Sending NHRP Resolution Request for dest».

[править] Настройка IPsec

[править] Первая фаза (настройка IKE)

Для тестовой сети в политике isakmp используются настройки по умолчанию:

• Алгоритм шифрования: DES — Data Encryption Standard (56 bit keys);
• Алгоритм хеширования: Secure Hash Standard;
• Метод аутентификации: Rivest-Shamir-Adleman Signature;
• Группа Diffie-Hellman: #1 (768 bit);
• Время жизни SA: 86400 seconds, no volume limit.

[править] Аутентификация по pre-shared key

В политике с аутентификацией по pre-shared key, метод аутентификации изменен, так как по умолчанию используется аутентификация по сертификатам. Остальные параметры используют значения по умолчанию.

Создать политику isakmp:

Так как адрес peer заранее не известен и может быть получен динамически, то при настройке pre-shared key необходимо указывать шаблонный адрес (wildcard address).

Настроить isakmp pre-shared key:

[править] Аутентификация по сертификатам

Аутентификацию по pre-shared key не рекомендуется использовать для DMVPN, так как pre-shared key должен быть указан с шаблонным адресом, и нет привязки к адресу маршрутизатора с которым устанавливается туннель.

В тестовой сети hub-маршрутизатор будет выполнять роль центра сертификатов. Всем маршрутизаторам выданы сертификаты.

Более подробно о настройке центра сертификатов на маршрутизаторе Cisco и процедуре выдачи сертификатов маршрутизаторам на странице Центр сертификатов на маршрутизаторе Cisco.

Создать политику isakmp (так как по умолчанию используется аутентификация по сертификатам, то в тестовых целях можно оставить все настройки политики по умолчанию):

[править] Вторая фаза (настройка IPsec-профиля)

Так как hub-маршрутизатор не знает заранее IP-адреса spoke-маршрутизаторов, то для второй фазы IPsec нужна динамическая crypto map (dynamic crypto map), но для туннельных интерфейсов эквивалентом dynamic crypto map является IPSec-profile:

• применяется на туннельном интерфейсе;
• после применения любой трафик исходящий из туннельного интерфейса инициирует создание IPsec-туннеля (нет необходимости использовать ACL, как в обычной crypto map);
• source и destination адреса туннельного интерфейса используются для создания IPsec-туннеля. Адреса могут быть прописаны в настройках интерфейса или получены динамически с помощью NHRP (не задаётся адрес peer, как в обычной crypto map);

Создаем transform set:

Так как mGRE-интерфейс обеспечивает создание туннеля, то IPsec можно перевести в транспортный режим (по умолчанию используется туннельный режим):

[править] Применение IPsec-профиля

Применение IPsec-профиля на mGRE-интерфейсе:

[править] Проверка работы IPsec

[править] Проверка работы IKE с аутентификацией по pre-shared key

Проверка isakmp SA на dyn1:

Проверка isakmp SA на dyn3 до установки туннеля spoke-to-spoke:

Проверка isakmp SA на dyn3 после установки туннеля spoke-to-spoke. Для этого достаточно просто пропинговать туннельный интерфейс соседнего spoke-маршрутизатора (но пакетов icmp желательно послать штук 10):

Более подробная информация про isakmp SA (аутентификация по pre-shared key):

[править] Проверка работы IKE с аутентификацией по сертификатам

Проверка isakmp SA на dyn1:

Проверка isakmp SA на dyn3 до установки туннеля spoke-to-spoke:

Проверка isakmp SA на dyn3 после установки туннеля spoke-to-spoke. Для этого достаточно просто пропинговать туннельный интерфейс соседнего spoke-маршрутизатора (но пакетов icmp желательно послать штук 10):

Более подробная информация про isakmp SA (аутентификация по сертификатам):

[править] Проверка работы IPsec

Просмотр информации о crypto map на dyn1:

Просмотр информации о crypto map на dyn3 до создания динамического туннеля с dyn5:

Проверка IPsec SA на dyn1:

Проверка IPsec SA на dyn3 после установки туннеля spoke-to-spoke:

[править] Просмотр информации о DMVPN сети

Так как на маршрутизаторе dyn3 записи различных типов — динамическая и статическая, то вся информация проверяется на нем.

В некоторых версиях IOS может не быть команды show dmvpn. Она появилась в Cisco IOS 12.4(9)T.

Просмотр информации о DMVPN:

Более подробная информация о DMVPN до применения IPsec profile:

Более подробная информация о DMVPN после применения IPsec profile:

[править] Конфигурации маршрутизаторов

В конфигурационных файлах сохранены все настройки:

• Различные протоколы динамической маршрутизации:
  • OSPF;
  • EIGRP;
• Различные методы аутентификации:
  • по pre-shared key;
  • по сертификатам.

Для реального использования достаточно выбрать один из протоколов маршрутизации и метод аутентификации.

Так как у EIGRP AD (administrative distance) меньше, чем у OSPF, то при использовании обоих протоколов, в таблице маршрутизации будут маршруты EIGRP.

Так как у политики isakmp, которая использует аутентификацию по сертификатам, на всех маршрутизаторах номер меньше чем у политики с pre-shared key, то при использовании обеих политик, аутентификация будет проводиться по сертификатам.

[править] Конфигурация hub-маршрутизатора (dyn1)

[править] Конфигурация spoke1 (dyn3)

[править] Конфигурация spoke2 (dyn5)

[править] DMVPN и crypto-map на одном интерфейсе

Удалось подружить DMVPN и crypto-map на одном интерфейсе используя ISAKMP Profile.

[править] Дополнительные настройки

Описываем ключи для каждого из пиров:

Формируем новый ISAKMP профиль

Добавляем еще один transform-set

Формируем crypto map используем crypto isakmp profile MyISaPROF

Заводим access-list с разрешением на каждую подсеть за каждым пиром

И самое простое подвешиваем crypto map на внешний интерфейс

Не забываем маршруты на сети за VPN

Вроде все. Громоздко, статично, если много пиров то и писать много. Но позволяет подключить к Cisco любую железку (dlink, tplink и пр. супербренды 🙂 ).

Источник