• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Dynamic Multipoint VPN

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Dynamic Multipoint VPN


    Thực hiện: Lâm Văn Tú

    Bao giờ bạn tự hỏi làm thế nào để cung cấp vài trăm VPN từ văn phòng từ xa với IP động đến một trang site trung tâm với cấu hình tối thiểu? Cisco cung cấp một giải pháp được gọi là Dynamic Multipoint VPN. Với DMVPN các site của trung tâm không cần biết IP site từ xa trước, nó sẽ tìm hiểu nó thông qua giao thức NHRP khi router từ xa gửi đến.

    Click image for larger version

Name:	Capture.jpg
Views:	1
Size:	14.3 KB
ID:	207422

    Trước tiên chúng ta sẽ tạo ra kết nối IP thông qua đường hầm GRE và NHRP sau đó chúng tôi sẽ secure các đường hầm GRE với IPSec.

    Các bộ định tuyến trung tâm sẽ sử dụng một multipoint GRE interface (mGRE) để dễ quản lý. Bằng cách đó chúng ta không cần phải cung cấp một tunnel interface mới với mỗi văn phòng từ xa. Trong thực tế, các bộ định tuyến trung tâm sẽ không cần phải được cấu hình lại ở tất cả cho bất kỳ stie từ xa thêm vào.

    Hub router R1:
    interface Tunnel0
    ip address 10.10.10.1 255.255.255.0
    ip nhrp network-id 1
    tunnel source FastEthernet0/0
    tunnel mode gre multipoint
    tunnel key 1

    interface Fa0/0
    ip address 1.1.1.2 255.255.255.0

    ip route 0.0.0.0 0.0.0.0 1.1.1.1

    Spoke router (R2 và R3 trong ví dụ này) sẽ sử dụng point-to-point GRE tunnel tới Hub của site trung tâm - router R1. NHRP sẽ được cấu hình để sử dụng R1 là next-hop server. Với thiết lập này, lưu lượng spoke-to-spoke sẽ lưu thông qua các Hub như trung tâm thực thi chính sách bảo mật...

    Spoke router R2:
    interface Tunnel0
    ip address 10.10.10.2 255.255.255.0
    ip nhrp map 10.10.10.1 1.1.1.2
    ip nhrp network-id 1
    ip nhrp nhs 10.10.10.1
    tunnel source FastEthernet0/0
    tunnel destination 1.1.1.2
    tunnel key 1

    interface Fa0/0
    ip address 2.2.2.2 255.255.255.0

    ip route 0.0.0.0 0.0.0.0 2.2.2.1

    Spoke router R3
    interface Tunnel0
    ip address 10.10.10.3 255.255.255.0
    ip nhrp map 10.10.10.1 1.1.1.2
    ip nhrp network-id 1
    ip nhrp nhs 10.10.10.1
    tunnel source FastEthernet0/0
    tunnel destination 1.1.1.2
    tunnel key 1

    interface Fa0/0
    ip address 3.3.3.2 255.255.255.0

    ip route 0.0.0.0 0.0.0.0 3.3.3.1


    Ở giai đoạn này, nếu router có thể giao tiếp với nhau thông qua cổng Fa0 /0 của họ sau đó các đường hầm GRE được sử dụng được. Trong ví dụ này, "Internet" router kết nối trực tiếp đến tất cả các router và các router R1, R2 và R3 đơn giản có một default route tói “Internet” router.

    Để kiểm tra các đường hầm GRE đang hoạt động, chỉ cần ping IP nội bộ của các đường hầm từ một router tới 2 router khác.

    R2#ping 10.10.10.1
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 272/313/420 ms
    R2#ping 10.10.10.3

    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 10.10.10.3, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 312/564/876 ms

    If we check the NHRP entries on the hub R1, we can see the two entries have been learned dynamically and the public IP used by the remote routers.

    Nếu chúng ta kiểm tra các mục NHRP trên Hub R1, chúng ta có thể nhìn thấy có hai mục đã được học một cách tự động và IP public được sử dụng bởi các router từ xa.
    R1#sh ip nhrp
    10.10.10.2/32 via 10.10.10.2, Tunnel0 created 00:11:31, expire 01: 48:28
    Type: dynamic, Flags: authoritative unique registered used
    NBMA address: 2.2.2.2
    10.10.10.3/32 via 10.10.10.3, Tunnel0 created 00:08:19, expire 01: 51:52
    Type: dynamic, Flags: authoritative unique registered used
    NBMA address: 3.3.3.2

    Cùng thông tin mà không có timer:
    R1#sh ip nhrp brief
    Target Via NBMA Mode Intfc Claimed
    10.10.10.2/32 10.10.10.2 2.2.2.2 dynamic Tu0 < >
    10.10.10.3/32 10.10.10.3 3.3.3.2 dynamic Tu0 < >

    Thống kê NHRP protocol của nó:
    R1#sh ip nhrp traffic
    Tunnel0
    Sent: Total 3
    0 Resolution Request 0 Resolution Reply 0 Registration Request
    3 Registration Reply 0 Purge Request 0 Purge Reply
    0 Error Indication
    Rcvd: Total 3
    0 Resolution Request 0 Resolution Reply 3 Registration Request
    0 Registration Reply 0 Purge Request 0 Purge Reply
    0 Error Indication

    R1#sh ip nhrp summary
    IP NHRP cache 2 entries, 496 bytes
    0 static 2 dynamic 0 incomplete

    Chúng ta có thể thấy các mục NHRP thiết lập tĩnh trên spoke router:
    R3#sh ip nhrp
    10.10.10.1/32 via 10.10.10.1, Tunnel0 created 00:13:31, never expire
    Type: static, Flags: authoritative
    NBMA address: 1.1.1.2

    R3#sh ip nhrp summary
    IP NHRP cache 1 entry, 248 bytes
    1 static 0 dynamic 0 incomplete

    Và kiểm tra NHRP’s next-hop server được sử dụng:

    R3#sh ip nhrp nhs
    Legend:
    E=Expecting replies
    R=Responding

    Tunnel0:
    10.10.10.1 RE



    Nếu muốn spoke-to-spoke tunnel xây dựng một cách tự động, chỉ cần thây câu lệnh:
    tunnel destination 1.1.1.2 trên sopke bằng lệnh tunnel mode gre multipoint.

    Bây giờ chúng tôi có kết nối IP, chúng phải tự động tạo ra những đường hầm GRE an toàn với IPSec. Ở đây để đơn giản chúng ta sẽ sử dụng pre-shared key là phương pháp chứng thực phương pháp không được khuyến cáo cho việc triển khai sản xuất ...


    Trên Hub and spoke routers, chỉ cấu hình các thông số ISAKMP/IPSec và kích hoạt IPSec trên tunnel insterfaces.
    crypto isakmp policy 10
    authentication pre-share
    crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
    !
    crypto ipsec transform-set mySet esp-aes esp-sha-hmac
    !
    crypto ipsec profile myDMVPN
    set security-association lifetime seconds 120
    set transform-set mySet
    set pfs group2

    interface Tunnel0
    tunnel protection ipsec profile myDMVPN


    Kiểm tra quá trình thương lượng IPSec SA:
    R1#sh crypto ipsec sa

    interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 1.1.1.2

    protected vrf: (none)
    local ident (addr/mask/prot/port): (1.1.1.2/255.255.255.255/47/0)
    remote ident (addr/mask/prot/port): (2.2.2.2/255.255.255.255/47/0)
    current_peer 2.2.2.2 port 500
    PERMIT, flags={origin_is_acl,}
    #pkts encaps: 121, #pkts encrypt: 121, #pkts digest: 121
    #pkts decaps: 121, #pkts decrypt: 121, #pkts verify: 121
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

    local crypto endpt.: 1.1.1.2, remote crypto endpt.: 2.2.2.2
    path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
    current outbound spi: 0xA2BC2FED(2730242029)

    inbound esp sas:
    spi: 0x2884EDEA(679800298)
    transform: esp-aes esp-sha-hmac ,
    in use settings ={Tunnel, }
    conn id: 2005, flow_id: SW:5, crypto map: Tunnel0-head-0
    sa timing: remaining key lifetime (k/sec): (4463708/83)
    IV size: 16 bytes
    replay detection support: Y
    Status: ACTIVE

    inbound ah sas:

    inbound pcp sas:

    outbound esp sas:
    spi: 0xA2BC2FED(2730242029)
    transform: esp-aes esp-sha-hmac ,
    in use settings ={Tunnel, }
    conn id: 2004, flow_id: SW:4, crypto map: Tunnel0-head-0
    sa timing: remaining key lifetime (k/sec): (4463708/82)
    IV size: 16 bytes
    replay detection support: Y
    Status: ACTIVE

    outbound ah sas:

    outbound pcp sas:


    ==>Đó là DMVPN single HUB...:)




  • #2
    Cảm ơn bài Lab của bạn. Xin cho mình hỏi là bài Lab này giả lập bằng cách nào. Vì khi giả lập các Ip Wan gán các interface mặt ngoài router phải cho cùng subnet để thấy nhau. Khi đó với mối router quảng bá mạng ospf internal và cùng với default route cùng ra subnet mặt ngoài thì các mạng internal đã thông nhau rồi mà chẳng cần VPN. Vì vậy mình không có cách nào ép traffic đi qua tunnel được cả.

    Comment


    • #3
      Điều này là cực kỳ tốt và đẹp đăng bài ..... Bạn lắc đăng nó ..... Cảm ơn rất nhiều bài cho nó ..... !!!

      Last edited by Himansh; 15-10-2017, 01:00 PM.
      https://www.youtube.com/watch?v=O97M-zWmav4&t=2s

      Comment

      Working...
      X