Professional Documents
Culture Documents
Dokumen - Tips DMVPN Mpls Branch DMVPN DMVPN Isr g2 Isp A SP V Asr 1000 Asr 1000 Data Center 1
Dokumen - Tips DMVPN Mpls Branch DMVPN DMVPN Isr g2 Isp A SP V Asr 1000 Asr 1000 Data Center 1
Adam Śniegórski
Systems Engineer, CCIE R&S
Solutions & Innovation
AVC
Chmura
MPLS prywatna
Wirtualna
chmura
prywatna
3G/4G-LTE ASR1000-
AX
Oddział
Internet Chmura
WAAS publiczna
Akamai PfRv3
Zarządzanie i orkiestracja
ISP A SP V ISP A SP V
ZBFW
MPLS Internet CWS Warstwa transportowa
QoS § Wspierane • Wspierane § Per Tunnel QoS, Hub do Spoke
Kontrola Polityki § Zarządzane lokalnie § Zarządzane lokalnie § Zarządzane lokalnie
172.16.175.75 .1
• Redukcja konfiguracji
i wdrożenie bezdotykowe Spoke 1 Spoke 2
• Dynamiczne tunele typu spoke-to-spoke Tunele dynamiczne
dla częściowej/pełnej topologii typu “mesh”
Tunele statyczne
• Może być użyte bez szyfrowania IPSec (opcjonalnie)
Statyczny adres IP
• Różnorodność opcji i rozwiązań
Dynamiczny adres IP
Physical: 172.17.0.1
Statyczny znany Tunnel0: 10.0.0.1
adres IP
Physical: dynamic
Tunnel0: 10.0.0.12
Dynamiczne
nieznane
adresy Spoke B .1
192.168.2.0/24
Physical: dynamic
Tunnel0: 10.0.0.11
Spoke A
.1
192.168.1.0/24
Podczas prezentacji
omówimy fazę pierwszą
oraz fazę drugą
Hierarchia (Faza 3)
© 2013-2014 Cisco and/or its affiliates. All rights reserved. 16
Faza 2 – 12.3(4)T Faza 3 – 12.4.(6)T
Faza 1 – 12.2(13)T
(Faza 1 +) (Faza 2 +)
• Połączenia hub-to-spoke • Dodanie połączenia • Lepsza skalowalność
typu spoke-to-spoke
• Interfejsy point-to-point GRE • Routery spoke nie wymagają
na spoke, mGRE dla hub • Interfejsy mGRE na spoke pełnej tablicy routingu
• Uproszczona i mała • Bezpośrednia komunikacja • Tunel spoke-to-spoke wyzwalany
konfiguracja hub spoke-to-spoke (redukcja przesyłu przez hub
danych na hub)
• Wsparcie dla dynamicznych • Usunięcie ograniczeń protokołów
IP CPEs (NAT) • Router spoke musi posiadać routingu
pełną tablicę routingu; brak
• Wsparcie dla protokołów • NHRP route/next-hops w RIB
sumaryzacji
routingu i multicast (15.2(1)T)
• Lokalizacje typu spoke nie • Tunel spoke-to-spoke
uruchamiany przez spoke
wymagają pełnej tablicy
routingu, sumaryzacja na hub • Ograniczenia routingu
Spoke B
.1 .37
192.168.2.0/24
Web
Physical: 172.16.1.1
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
© 2013-2014 Cisco and/or its affiliates. All rights reserved. 26
192.168.0.0/24
Router w węźle Spoke A sprawdza .1
routing do sieci docelowej
(192.168.2.0). Według tablicy
routingu podsieć docelowa jest Physical: 172.17.0.1
Tunnel0: 10.0.0.1
dostępna poprzez 10.0.0.12,
poprzez interfejs tunnel0.
Physical: 172.16.2.1
Tunnel0: 10.0.0.12
Spoke B
192.168.0.0/24 à 10.0.0.1 .1 .37
192.168.2.0/24 à 10.0.0.12 192.168.2.0/24
Web
Physical: 172.16.1.1
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
© 2013-2014 Cisco and/or its affiliates. All rights reserved. 27
192.168.0.0/24
Router Spoke A sprawdza swoją .1
tabelę NHRP pod względem
adresu przeznaczenia 10.0.0.12
i nie znajduje wpisu. Wysyła Physical: 172.17.0.1
Tunnel0: 10.0.0.1
zapytanie NHRP query
do serwera NHRP.
Physical: 172.16.2.1
Tunnel0: 10.0.0.12
Spoke B
.1 .37
10.0.0.1 à 172.17.0.1 192.168.2.0/24
Web
Physical: 172.16.1.1
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
© 2013-2014 Cisco and/or its affiliates. All rights reserved. 28
192.168.0.0/24
Serwer NHRP (węzeł Hub) .1 10.0.0.11 à 172.16.1.1
rozwiązuje adres 10.0.0.12 10.0.0.12 à 172.16.2.1
... ...
na odpowiedni adres publiczny
(172.16.2.1) i wysyła odpowiedź Physical: 172.17.0.1
Tunnel0: 10.0.0.1
do routera Spoke A.
Physical: 172.16.2.1
Tunnel0: 10.0.0.12
Spoke B
.1 .37
192.168.2.0/24
Web
Physical: 172.16.1.1
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
© 2013-2014 Cisco and/or its affiliates. All rights reserved. 29
192.168.0.0/24
Router Spoke A odbiera odpowiedź .1
NHRP i umieszcza ją w swojej
tabeli mapowania NHRP - to
uruchamia budowę tunelu Physical: 172.17.0.1
Tunnel0: 10.0.0.1
GREoIPSec bezpośrednio do
adresu 172.16.2.1. Spoke A używa
swojego adresu publicznego. Physical: 172.16.2.1
Tunnel0: 10.0.0.12
Spoke B
Physical: 172.16.2.1
Tunnel0: 10.0.0.12
Spoke B
.1 .37
192.168.2.0/24
Web
Physical: 172.16.1.1
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
© 2013-2014 Cisco and/or its affiliates. All rights reserved. = Dynamiczny, tymczasowy tunel IPSec Spoke-to-spoke31
192.168.0.0/24
Serwer web otrzymuje pakiet .1
od PC i wysyła odpowiedź do PC.
Ruch zwrotny powoduje procedurę
weryfikacji routingu oraz Physical: 172.17.0.1
Tunnel0: 10.0.0.1
sprawdzenie NHRP dla routera
Spoke A. Pakiet jest wysyłany
bezpośrednio do Spoke A. Physical: 172.16.2.1
Tunnel0: 10.0.0.12
Spoke B
.1 .37
192.168.2.0/24
Web
Physical: 172.16.1.1
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
© 2013-2014 Cisco and/or its affiliates. All rights reserved. = Dynamiczny, tymczasowy tunel IPSec Spoke-to-spoke32
192.168.0.0/24
Po upłynięciu skonfigurowanego .1
limitu czasowego, wpisy NHRP
przedawniają się i tunel IPSec od
Spoke A do Spoke B przestaje Physical: 172.17.0.1
Tunnel0: 10.0.0.1
istnieć.
Physical: 172.16.2.1
Tunnel0: 10.0.0.12
Spoke B
.1 .37
10.0.0.1 à 172.17.0.1
10.0.0.12 à 172.16.2.1 192.168.2.0/24
Web
Physical: 172.16.1.1
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
© 2013-2014 Cisco and/or its affiliates. All rights reserved. = Dynamiczny, tymczasowy tunel IPSec Spoke-to-spoke33
crypto isakmp policy 1
encr aes
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
mode transport
crypto ipsec profile TP interface Tunnel
set transform-set TSET ip address 10.0.0.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 1111
ip nhrp redirect
tunnel key 10
no ip split-horizon eigrp 10
ip summary-address eigrp 10 192.168.0.0 255.255.0.0
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile TP
tunnel key 10
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile TP
EIGRP
default
INSIDE
Internet Edge
§ Enable FVRF DMVPN on the Block
Spokes default
36
ip vrf FVRF
rd 100:1
!
• IWAN and AVC Management with Cisco Prime Infrastructure (2015 Milan)
https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION_ID=81876&backBtn=true
• DMVPN
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/15-s/sec-conn-dmvpn-15-s-book.html
Adam Śniegórski
Systems Engineer, CCIE R&S
Solutions & Innovation