DMVPN: Tneles dinmicos entre los radios detrs de un dispositivo NAT

Primera publicacin: 22 de septiembre 2007

ltima actualizacin: 04 de febrero 2009
Los DMVPN: Tneles dinmicos entre los radios detrs de
una funcin de dispositivo NAT permite Siguiente Protocolo
de resolucin Hop (PNDH) habl-a radios tneles que se
construirn en Dynamic Multipoint Redes Privadas Virtuales
(DMVPNs), incluso si uno o ms radios est detrs de una
direccin de red Translation (NAT).
Encontrar caractersticas de Informacin
Su versin de software no sea compatible con todas las
caractersticas que se documentan en este mdulo. Para
obtener la ltima informacin sobre las caractersticas y
advertencias, consulte las notas de la versin para su
plataforma y versin de software. Para encontrar informacin
acerca de las caractersticas documentadas en este mdulo,
y para ver una lista de las versiones en las que se apoya
cada funcin, consulte la "Funcin de Informacin para
DMVPN: Tneles dinmicos entre los radios detrs de un
dispositivo NAT" seccin .
Utilice Cisco Feature Navigator para encontrar informacin
sobre la compatibilidad de la plataforma y el apoyo de
imgenes de software Cisco IOS y Catalyst OS. Para acceder
a Cisco Feature Navigator, vaya
a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp . No es
necesaria una cuenta en Cisco.com.
Restricciones para DMVPN: Tneles dinmicos entre los
radios detrs de un dispositivo NAT
A fin de que los radios para construir tneles entre ellos, que
necesitan saber la direccin despus de la NAT de la otra
radio.
Tenga en cuenta las siguientes restricciones cuando se utiliza
un tnel de radios a palos en entornos con NAT:
traducciones NAT Multiple -Un paquete puede ir a travs de
mltiples dispositivos NAT en un acceso mltiple de no
difusin (NBMA) DMVPN nube y hacer varias traducciones
(sin importancia) antes de que llegue a su destino. La
ltima traduccin es la traduccin importante porque se
utiliza para crear la traduccin NAT para todos los
dispositivos que llegan a un radio a travs de la ltima
dispositivo NAT.
Hub o radios se puede llegar a travs de pre-NAT
direcciones -Es posible que dos o ms radios para estar
detrs del mismo dispositivo NAT, que se puede llegar a
travs de una direccin pre-NAT IP. Slo la direccin de
post-NAT IP se bas en incluso si esto significa que un
tnel puede tomar una ruta menos deseable. Si ambos
radios utilizan NAT a travs del mismo dispositivo, a
continuacin, un paquete puede no viajar de adentro hacia
afuera o de afuera hacia adentro como se esperaba por el
dispositivo NAT y traducciones pueden no aparecer
correctamente.
Interoperabilidad entre NAT y dispositivos que no disponen
de NAT redes-In que se implementan con DMVPN, es
importante que un dispositivo con funcionalidad NHRP NAT
funciona junto con la no-NAT dispositivos compatibles. Un
bit de capacidad en la cabecera del paquete NHRP indica a
cualquier receptor si un dispositivo emisor comprende una
extensin de NAT.
Igual NAT Traduccin de direcciones-A de radios post-NAT
IP debe ser la misma cuando el radio est comunicando
con sus centros y cuando se est comunicando con otras
radios. Por ejemplo, uno de los radios debe tener la misma
direccin de post-NAT IP, sin importar dnde se est
enviando paquetes de tnel dentro de la red DMVPN.
Si uno de radios est detrs de un dispositivo NAT y otro
de radios diferentes est detrs de otro dispositivo NAT, y
Traduccin Peer Direccin (PAT) es el tipo de NAT se
utiliza en ambos dispositivos NAT, despus de una sesin
iniciada entre las dos radios no se puede establecer.
Un ejemplo de una configuracin de PAT en una interfaz
de NAT es:
ip nat dentro de la lista fuente nat_acl
interfaz FastEthernet0 / 1 sobrecarga
Informacin acerca DMVPN: Tneles dinmicos entre los
radios detrs de un dispositivo NAT
Las secciones siguientes describen cmo DMVPN: Tneles
dinmicos entre los radios detrs de un dispositivo NAT
permite tneles radios-a radios que se construirn incluso si
uno o ambos hablaban dispositivos estn detrs de un
dispositivo NAT:
DMVPN habl a radios de tnel Limited no radios detrs de
un dispositivo NAT
Tnel PNDH-Spoke-para radios con un dispositivo NAT
DMVPN habl a radios de tnel Limited no radios detrs
de un dispositivo NAT
NAT permite que un solo dispositivo, como un router, para
que acte como agente entre Internet (o "red pblica") y un
local (o "privada") de la red, y se utiliza a menudo debido a la
escasez de direcciones IP disponibles. Se requiere slo una
direccin IP nica para representar a todo un grupo de
dispositivos a cualquier cosa fuera de la ce devi NAT. NAT
tambin se despliega para fines de seguridad y
administracin.
En las redes DMVPN, habl-a radios de tnel se limita a
radios que no estn detrs del dispositivo NAT. Si uno o
ambos radios estn detrs de un dispositivo NAT, un tnel de
rayos-a radios no se puede construir hacia o desde el
dispositivo NAT, ya que es posible que el trfico del tnel de
radios a radios falle o se perder "negro-agujeros" durante un
perodo prolongado de tiempo.
Figura 1 y las siguientes secciones se describe cmo
funciona DMVPN cuando un tnel de radios a radios se limita
a radios que no estn detrs de un dispositivo NAT.
Figura 1 Aplicacin de DMVPN Spoke-to-habl de tnel
limitado a radios no detrs de un dispositivo NAT
















NHRP Registro
Cuando se recibe un registro PNDH, el centro comprueba la
direccin IP de origen en el encabezado GRE / IP
encapsulando del paquete NHRP con el origen de la direccin
NBMA IP, que est contenida en el paquete de inscripcin
PNDH. Si estas direcciones IP son diferentes, entonces
NHRP sabe que NAT cambia la direccin de origen del
encabezado IP exterior. El cubo preserva tanto la pre-y post-
NAT direccin del radio registrado.


Nota Si se utiliza el cifrado, a continuacin, el modo de
transporte IPSec debe ser usado para permitir NHRP.

La siguiente nhrp show ip ejemplo de salida del comando
muestra la direccin IP de origen del paquete NHRP e
informacin tnel para Spoke B en la figura 1 :


Nota La direccin NBMA (post-NAT) para Spoke B es 172.18.2.1
(la reclamada NBMA (pre-NAT) de direccin de origen es
172.16.2.1).

Router # show ip nhrp

10.0.0.11/32 travs 10.0.0.11, Tunnel0 cre
00:00:21, expirar 00:05:38
Tipo: dinmico, Banderas: autoritaria usados
registrada nica
Direccin NBMA: 172.18.2.1
(Direccin NBMA reclamada: 172.16.2.1)
Resolucin NHRP
A continuacin se describe el proceso de resolucin NHRP
entre A y Spoke Spoke B se muestra en la Figura 1 , donde
Spoke B est detrs de un dispositivo NAT con la direccin
pre-NAT de 172.16.2.1 y una direccin de post-NAT
172.18.2.1:
La entrada de la tabla NHRP para Spoke B en el cubo
contiene tanto el post-NAT y las direcciones pre-
NAT. Cuando el concentrador recibe una solicitud de
resolucin NHRP para la direccin de VPN (direccin de
tnel) de Spoke B, responde con su propia direccin NBMA
lugar de la direccin NBMA Spoke de B.
Cuando el concentrador recibe una solicitud de resolucin
NHRP procedente de Spoke B para cualquier otra radio, el
centro tambin responde con su propia direccin
NBMA. Esto asegura que cualquier intento de construccin
de un tnel de rayos-para radios con resultados Spoke B
en los paquetes de datos que se envan a travs del cubo
en lugar de a travs de un tnel de radios a los radios.
Por ejemplo:
- El trfico de datos de origen de la direccin IP
192.168.1.1 (detrs Spoke A) a 192.168.2.1 Direccin IP
de destino (detrs Spoke B) desencadena Spoke A
enve una solicitud de resolucin de Spoke B (10.0.0.12)
a la siguiente hop router (hub ).
- El concentrador recibe la solicitud de resolucin y
encuentra una entrada de asignacin de Spoke B
(10.0.0.12). Debido Spoke B est detrs de un
dispositivo NAT, acta como un proxy y responde con
su propia direccin NBMA (172.17.0.1).
- El centro tambin recibe una solicitud de resolucin de
Spoke Spoke B para A (10.0.0.11). Debido Spoke B
est detrs de un dispositivo NAT, acta como un proxy
y responde con su propia direccin NBMA
(172.17.0.1). Esto restringe cualquier trfico de radios a
radio a o desde radios B para viajar a travs del router
hub, que se realiza en lugar de tener un tnel entre los
radios.
NHRP Spoke-to-Spoke Tnel con un dispositivo NAT
El PNDH Spoke-to-Spoke tnel con NAT introduce extensin
NAT en el protocolo NHRP y se activa automticamente. La
extensin NHRP NAT es una entrada de Entrada de
Informacin al Cliente (CIE) con informacin sobre el
protocolo y la direccin post-NAT NBMA. Esta informacin
adicional permite que el apoyo de los tneles de rayos-a
radios entre radios donde uno o ambos estn detrs de un
dispositivo NAT sin el problema de la prdida de trfico
(negro-holing) durante un perodo prolongado de tiempo.


Nota El tnel radios a radios puede no llegar, pero es detectado
y el trfico de los flujos de datos a travs del cubo, en lugar
de perderse (negro agujereado).

La Figura 2 muestra cmo las obras del tnel del PNDH-a
radios habl con NAT.
Figura 2 NHRP Entre Tneles-Spoke-a Spoke

















Proceso de Registro NHRP
Los siguientes pasos describen el proceso de registro NHRP:
1. Un rayo enva una solicitud de registro con el parmetro
NAT-Capability = 1 y una extensin NAT NHRP de la
direccin NBMA del cubo como se ha configurado en el
radio.
2. El cubo compara la extensin NHRP (NAT) con su
direccin NBMA configurado y determina si l mismo es o
no est detrs de un dispositivo NAT.El centro tambin
hace una nota de si el radio est detrs de un dispositivo
NAT mediante la comparacin de la direccin de origen
GRE / IP entrante con la direccin NBMA de la radio en el
paquete NHRP.
3. La respuesta de registro desde el cubo al radio incluye
una extensin NAT NHRP con la direccin de post-NAT del
radio, si el hub detecta si est detrs de un dispositivo
NAT.
4. Si los radios reciben una extensin NAT NHRP en el
Registro Responder NHRP entonces registra su direccin
de post-NAT IP para su posible uso posterior.
Resolucin NHRP y proceso de purga
Los siguientes pasos describen la resolucin NHRP y el
proceso de purga:
1. Cuando un rayo est detrs de un dispositivo NAT, que
incluye una extensin NAT NHRP cuando enva solicitudes
de resolucin NHRP.
2. El concentrador recibe la solicitud de resolucin. Si el
radio est detrs de un dispositivo NAT y no hay extensin
NAT, entonces el centro aade una extensin NAT antes
de reenviar esta prrroga al siguiente nodo (radios o
servidor del prximo salto) a lo largo del camino. Sin
embargo, si el hub reenva la peticin a un nodo capaz
extensin no NAT, reescribe la fuente-NBMA dentro del
paquete es la direccin post-NAT IP para el radio
solicitando lugar de su direccin antes de la NAT IP.
3. El receptor (radios) utiliza un registro de extensin NAT
NHRP (NAT capaz) o la direccin NBMA fuente (de
informacin capaz no NAT) para la construccin del
tnel. La respuesta de este radio incluye su propia
extensin NAT si est detrs de un dispositivo NAT.


Nota Hubs no responden a las solicitudes de resolucin NHRP
en nombre de radios. Hubs siempre hacia adelante peticiones
NHRP resolucin al final habl de que tiene la direccin IP del
tnel solicitado o servicios de los datos solicitados con la
direccin IP del host.

A continuacin se describe el proceso de resolucin NHRP
entre A y Spoke Spoke B se muestra en la Figura 2 , donde
Spoke B est detrs de un dispositivo NAT con la direccin
pre-NAT 172.16.2.1 y la direccin despus de la NAT de
172.18.2.1:
El trfico de datos a la red 192.168.2.0/24 de hosts tras
Spoke A desencadena una solicitud de resolucin NHRP
direccin Spoke de B tnel IP (10.0.0.12) para ser enviados
a travs del cubo. El concentrador recibe una solicitud de
resolucin y lo reenva a B. Spoke Spoke B crea una
dinmica habl-a radios de tnel usando la fuente de
direccin IP para NBMA Spoke A partir de la solicitud de
resolucin NHRP y enva una respuesta de resolucin
NHRP directamente a Spoke A. incluye su direccin de
post-NAT en la cabecera del PNDH-extensin NAT.
Por otra parte, el trfico de red desde the192.168.1.0/24
hosts detrs del dispositivo NAT en Spoke B desencadena
una solicitud NHRP Resolucin de direccin IP del tnel
Spoke de A (10.0.0.11). Spoke B suma su propio correo
electrnico despus de la NAT IP en el PNDH NAT-
extensin en la solicitud de resolucin. El concentrador
recibe una solicitud de resolucin y lo reenva al Spoke
Spoke A. A analiza el NAT-extensin PNDH y construye un
tnel utilizando la direccin de post-NAT Spoke de B y
responde directamente a Spoke B.