Dokumen - Tips DMVPN Mpls Branch DMVPN DMVPN Isr g2 Isp A SP V Asr 1000 Asr 1000 Data Center 1

DMVPN,
czyli Transport Independent Design dla IWAN
Adam Śniegórski
Systems Engineer, CCIE R&S
Solutions & Innovation
AVC
Chmura
MPLS prywatna
Wirtualna
chmura
prywatna
3G/4G-LTE ASR1000-
AX
Oddział
Internet Chmura
WAAS publiczna
Akamai PfRv3
Zarządzanie i orkiestracja
Niezależność Inteligentna Optymalizacja Bezpieczeństwo

od transportu kontrola ścieżki aplikacji informacji
!  Sieć nakładkowa (+IPSec) !  Optymalny routing aplikacji !  Monitorowanie aplikacji !  Szyfrowanie NG

!  Spójny model operacyjny !  Efektywne zużycie pasma !  Optymalizacja i caching !  Ochrona sieci
DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW
© 2013-2014 Cisco and/or its affiliates. All rights reserved. 2

Tradycyjnie IWAN
Active/Standby Active/Active
Data Center Data Center

GETVPN/MPLS
DMVPN
DMVPN/Internet ASR 1000 ASR 1000 ASR 1000 ASR 1000
ISP A SP V ISP A SP V
Dwie domeny Jedna domena

rutingowe DMVPN GETVPN DMVPN DMVPN rutingowa
MPLS: eBGP lub Static Internet MPLS Internet MPLS
iBGP,
Internet: iBGP, EIGRP lub OSPF
EIGRP,
Redystrybucja
Ryzyko pętli lub OSPF
ISR-G2 Branch ISR-G2 Branch

AVC PfR QoS Wybór ścieżki
Overlay Routing Protocol (BGP, EIGRP) Routing klasyczny
Transport Independent Design (DMVPN) Sieć nakładkowa
ZBFW
MPLS Internet CWS Warstwa transportowa

Funkcjonalność Standard IPSec GRE over IPSec DMVPN
§  Hub & Spoke duża skala z
Typ Sieci §  Hub & Spoke mesh mała skala §  Hub & Spoke mesh mała skala dynamicznymi tunelami każdy-z-
każdym
Redundancja •  Routing §  Active/Active bazujące na
§  Stateful Failover •  Stateless Failover dynamicznym routingu
Failover
Kompatybilność §  Multivendor •  Multivendor §  Routery Cisco
IP Multicast §  Brak wsparcia •  Wspierane §  Replikacja Multicast na hub
QoS §  Wspierane •  Wspierane §  Per Tunnel QoS, Hub do Spoke
Kontrola Polityki §  Zarządzane lokalnie §  Zarządzane lokalnie §  Zarządzane lokalnie
§  Tunelowany VPN §  Tunelowany VPN §  Tunelowany VPN

Technologia §  Tunele Punkt-Punkt §  Tunele Punkt-Punkt §  Tunel Multi-Point GRE
§  IKEv1 §  IKEv1 §  IKEv1
§  Transport Prywatny i Publiczny

Infrastruktura Sieciowa §  Transport Prywatny i Publiczny §  Transport Prywatny i Publiczny §  IPv6

•  Generic Route Encapsulation (GRE) (Protokół IP 47)
•  Przenosi: IP broadcast, IP multicast, protokoły nie-IP
•  GRE umożliwia zastosowanie (przenoszenie) adresacji
prywatnej na bazie sieci publicznej
•  Tworzy interfejs
•  Przenosi protokoły routingu
•  Wspiera mechanizm keepalive’ów

L3 Tunel GRE Tunel IPsec
IP IP GRE IP IP ESP IP GRE IP

Dane Dane Dane
HDR HDR HDR HDR HDR HDR HDR HDR HDR
Zaszyfrowane
•  IPsec (ESP) przenosi jedynie unicastowy ruch IP

•  GRE zapewnia hermetyzację również ruchu L3 innego niż IP,
oraz multicastów i broadcastów
•  Przy szyfrowaniu IPSec tuneli GRE stosowany jest tryb tunelowy
•  Trybu tunelowego IPsec używamy zamiast transportowego, bo:
•  Przy wsparciu akceleratora sprzętowego jest tak naprawdę szybszy
•  Nowa funkcjonalność (np. LAF) wymagają trybu tunelowego

.2
192.168.1.0/24
H2
172.16.175.75 .1
Hub 172.17.63.18 Spoke 1

Internet
.1 172.16.176.76
192.168.2.0/24
.1
Spoke 2
.2
H1
192.168.0.0/24
.2 H3

crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco47 address 172.16.175.75
Tryb
tunelowy crypto ipsec transform-set trans2 esp-3des esp-md5-hmac
mode tunnel
crypto ipsec profile vpnprof

Profil IPsec set transform-set trans2
interface GigabitEthernet0/0
interface Tunnel0 ip address 172.17.63.18 255.255.255.0
ip address 10.10.2.2 255.255.255.252
ip mtu 1400 interface GigabitEthernet0/1
tunnel source GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0
tunnel destination 172.16.175.75
Ochrona tunnel protection ipsec profile vpnprof router eigrp 1
ruchu network 10.0.0.0
interface Tunnel1 network 192.168.0.0
na interfejsie ip address 10.10.3.2 255.255.255.252 auto-summary
GRE ip mtu 1400
tunnel source GigabitEthernet0/0 ip classless
tunnel destination 172.16.176.76 ip route 0.0.0.0 0.0.0.0 172.16.63.18
tunnel protection ipsec profile vpnprof
Tryb crypto ipsec transform-set trans2 esp-3des esp-md5-hmac

mode transport
tunelowy
set transform-set trans2
Profil IPsec
interface Tunnel0
interface FastEthernet0/0
ip address 10.10.2.1 255.255.255.0
ip address 172.16.175.75 255.255.255.0
ip mtu 1400
tunnel source FastEthernet0/0
interface FastEthenet0/1
ip address 192.168.1.1 255.255.255.0
Ochrona router eigrp 1
network 192.168.1.0
na interfejsie auto-summary
GRE
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.175.74

Tryb crypto ipsec transform-set trans2 esp-3des esp-md5-hmac

mode transport
tunelowy
set transform-set trans2
Profil IPsec
interface Tunnel0
interface FastEthernet0/0
ip address 10.10.3.1 255.255.255.0
ip address 172.16.176.76 255.255.255.0
ip mtu 1400
interface FastEthenet0/1
ip address 192.168.2.1 255.255.255.0
Ochrona router eigrp 1
network 192.168.2.0
na interfejsie auto-summary
GRE
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.176.75

Hub
DMVPN czyli rozwiązanie działające

w oparciu o Cisco IOS stworzone do
budowania tuneli IPSec+GRE w prosty,
dynamiczny i skalowalny sposób VPN
Spoke n
•  Redukcja konfiguracji
i wdrożenie bezdotykowe Spoke 1 Spoke 2
•  Dynamiczne tunele typu spoke-to-spoke Tunele dynamiczne
dla częściowej/pełnej topologii typu “mesh”
Tunele statyczne
•  Może być użyte bez szyfrowania IPSec (opcjonalnie)
Statyczny adres IP
•  Różnorodność opcji i rozwiązań
Dynamiczny adres IP

Hub
Umożliwia tworzenie dynamicznych

topologii full-mesh lub partial-mesh na
żądanie przy zachowaniu prostej
konfiguracji gwiazdy VPN
Spoke n
•  Wspiera oddziały z dynamicznym adresem

na interfejsie WAN Spoke 1 Spoke 2
•  Nie wymagają konfiguracji Hub’a przy dodawaniu Tunele dynamiczne
kolejnych oddziałów
Tunele statyczne
•  Automatyczne budowanie tuneli IPSEC
Statyczny adres IP
inicjowane przez oddział
Dynamiczny adres IP

•  Next Hop Resolution Protocol (NHRP)
•  Proces „NHRP Registration”
•  Procesy „NHRP Resolution” oraz „NHRP Redirect”
•  Multipoint GRE Tunnel Interface (mGRE)
•  Jeden interfejs GRE wspiera wiele tuneli GRE/IPSec
•  Eliminuje złożoność konfiguracji routera
•  Szyfrowanie poprzez IPSec Tunnel Protection
•  Dynamicznie tworzy i aplikuje reguły szyfrowania
•  Procesy routingu
•  Dynamiczny routing między węzłami
•  Wiele protokołów: EIGRP, RIP, OSPF, BGP, ODR

192.168.0.0/24
Statyczne tunele Spoke-to-hub
.1
Dynamiczne tunele Spoke-to-spoke
Physical: 172.17.0.1
Statyczny znany Tunnel0: 10.0.0.1
adres IP
Physical: dynamic
Tunnel0: 10.0.0.12
Dynamiczne
nieznane
adresy Spoke B .1
192.168.2.0/24
Physical: dynamic
Tunnel0: 10.0.0.11
Spoke A
.1
192.168.1.0/24

Tunel Spoke-Hub
Tunel Spoke-spoke
Hub-and-spoke (Faza 1) Spoke-to-spoke (Faza 2)
Podczas prezentacji
omówimy fazę pierwszą
oraz fazę drugą
Hierarchia (Faza 3)
Faza 2 – 12.3(4)T Faza 3 – 12.4.(6)T
Faza 1 – 12.2(13)T
(Faza 1 +) (Faza 2 +)
•  Połączenia hub-to-spoke •  Dodanie połączenia •  Lepsza skalowalność
typu spoke-to-spoke
•  Interfejsy point-to-point GRE •  Routery spoke nie wymagają
na spoke, mGRE dla hub •  Interfejsy mGRE na spoke pełnej tablicy routingu
•  Uproszczona i mała •  Bezpośrednia komunikacja •  Tunel spoke-to-spoke wyzwalany
konfiguracja hub spoke-to-spoke (redukcja przesyłu przez hub
danych na hub)
•  Wsparcie dla dynamicznych •  Usunięcie ograniczeń protokołów
IP CPEs (NAT) •  Router spoke musi posiadać routingu
pełną tablicę routingu; brak
•  Wsparcie dla protokołów •  NHRP route/next-hops w RIB
sumaryzacji
routingu i multicast (15.2(1)T)
•  Lokalizacje typu spoke nie •  Tunel spoke-to-spoke
uruchamiany przez spoke
wymagają pełnej tablicy
routingu, sumaryzacja na hub •  Ograniczenia routingu

Spoke-to-hub tunnels
Spoke-to-spoke tunnels
2547oDMVPN tunnels
IWAN 1.0 Supported IWAN 1.0 Tested IWAN 2.0 Supported
Hub and spoke (Phase 1) Spoke-to-spoke (Phase 2) VRF-lite
IWAN 2.0 Supported
Server Load Balancing Hierarchical (Phase 3) 2547oDMVPN

•  Routery oddziałowe rejestrują się w hubie
jako klienci serwera NHRP (RFC 2332) używając statyczne mapowanie NHRP
•  Hub tworzy dynamiczny wpis w tabeli NHRP
i mapuje prywatny adres tunelu GRE spoke’a
do dynamicznego (lub statycznego)
adresu publicznego spoke’a
•  Routery oddziałowe rozgłaszają swoje prywatne
sieci LAN do huba a hub uczy się adresacji VPN
w poszczególnych spoke’ach
•  Tunele spoke-to-hub są tunelami
dynamicznymi oraz permanentnymi
•  Brak tuneli spoke-to-spoke – ruch między oddziałami przesyłany przez hub

= Dynamiczne tunele IPsec 192.168.0.1/24
10.0.0.11 à 172.16.1.1
10.0.0.12 à 172.16.2.1
Mapowanie NHRP
Adr. fiz.: 172.17.0.1
192.168.0.0/24 à bezp.
Tablica routingu Tunnel0: 10.0.0.1 192.168.1.0/24 à 10.0.0.11
192.168.2.0/24 à 10.0.0.12
Adr. fiz.: 172.16.2.1

(dynamiczny)
Tunnel0: 10.0.0.12
172.16.1.1
Adr. fiz.: (dynamiczny)
Tunnel0: 10.0.0.11
Spoke A Spoke B 192.168.2.1/24
192.168.1.1/24
10.0.0.1 à 172.17.0.1 10.0.0.1 à 172.17.0.1
192.168.0.0/24 à 10.0.0.1 192.168.0.0/24 à 10.0.0.1

192.168.1.0/24 à bezp. 192.168.1.0/24 à 10.0.0.1
192.168.2.0/24 à 10.0.0.1 192.168.2.0/24 à bezp.

set transform-set t1
Profil Crypto
(brak peer’a oraz ACL) interface Tunnel0
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
Podsieć /24 ip mtu 1400
ip nhrp authentication test
ip nhrp map multicast dynamic
Konfiguracja NHRP ip nhrp network-id 100000
ip nhrp holdtime 360
Routing w no ip split-horizon eigrp 1
Hub and Spoke ip summary-address eigrp 1 192.168.0.0/16
delay 1000
Tunel mGRE ip tcp adjust-mss 1360
tunnel source Serial1/0
Szyfrowanie tunnel mode gre multipoint
tunelu tunnel key 100000
Brak ACL
i crypto map interface Serial1/0
ip address 172.17.0.1 255.255.255.0

Profil Crypto
bandwidth 1000
ip address 10.0.0.11 255.255.255.0
Podsieć /24
ip mtu 1400
ip nhrp map 10.0.0.1 172.17.0.1
ip nhrp nhs 10.0.0.1
delay 1000
Tunel p-pGRE ip tcp adjust-mss 1360
Szyfrowanie tunnel key 100000
tunelu tunnel protection ipsec profile vpnprof
Brak ACL interface Serial1/0

i crypto map ip address negotiated

Profil Crypto
bandwidth 1000
ip address 10.0.0.12 255.255.255.0
Podsieć /24
ip mtu 1400
ip nhrp map 10.0.0.1 172.17.0.1
delay 1000
Tunel p-pGRE ip tcp adjust-mss 1360
Szyfrowanie tunnel key 100000
tunelu tunnel protection ipsec profile vpnprof
Brak ACL interface Serial1/0

i crypto map ip address negotiated

C 172.17.0.0/30 is directly connected, Serial1/0 Hub
C 10.0.0.0/24 is directly connected, Tunnel0
C 192.168.0.0/24 is directly connected, Ethernet0/0
D 192.168.1.0/24 [90/2841600] via 10.0.0.11, 22:39:04, Tunnel0
D 192.168.2.0/24 [90/2841600] via 10.0.0.12, 22:39:10, Tunnel0
. . .
S* 0.0.0.0/0 [1/0] via 172.17.0.2
D 192.168.0.0/16 is a summary, 00:04:13, Null0
C 172.16.1.0/30 is directly connected, Serial1/0 Spoke A

S* 0.0.0.0/0 is directly connected, Serial1/0
D 192.168.0.0/16 [90/2841600] via 10.0.0.1, 00:00:08, Tunnel0
C 172.16.2.0/30 is directly connected, Serial1/0 Spoke B

S* 0.0.0.0/0 is directly connected, Serial1/0
D 192.168.0.0/16 [90/2841600] via 10.0.0.1, 00:00:05, Tunnel0

•  10 – 20% ruchu wymaga relacji spoke-to-spoke
•  Są pewne rodzaje ruchu IP, które z definicji występują
w relacji spoke–to-spoke (np. ruch audio/video)
•  Powoduje to obciążenie routerów centralnych
oraz obciążenie łączy w węźle centralnym
•  W Fazie 1 tracimy zalety podkładowej (transportowej)
sieci IP VPN (np. MPLS lub Internet)
VPN
•  Problem rozwiązuje zastosowanie
interfejsów mGRE w spoke’ach
a także mechanizmy NHRP Resolution
oraz NHRP Redirect

192.168.0.0/24
Komputer PC (192.168.1.25) .1
w podsieci węzła Spoke A, chce
skontaktować się z serwerem web
(192.168.2.37) w podsieci węzła Physical: 172.17.0.1
Tunnel0: 10.0.0.1
Spoke B. Wysyła pakiet
w kierunku serwera.
Tunnel0: 10.0.0.12
Spoke B
.1 .37
192.168.2.0/24
Web
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
192.168.0.0/24
Router w węźle Spoke A sprawdza .1
routing do sieci docelowej
(192.168.2.0). Według tablicy
routingu podsieć docelowa jest Physical: 172.17.0.1
Tunnel0: 10.0.0.1
dostępna poprzez 10.0.0.12,
poprzez interfejs tunnel0.
Tunnel0: 10.0.0.12
Spoke B
192.168.0.0/24 à 10.0.0.1 .1 .37
192.168.2.0/24 à 10.0.0.12 192.168.2.0/24
Web
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
192.168.0.0/24
Router Spoke A sprawdza swoją .1
tabelę NHRP pod względem
adresu przeznaczenia 10.0.0.12
i nie znajduje wpisu. Wysyła Physical: 172.17.0.1
Tunnel0: 10.0.0.1
zapytanie NHRP query
do serwera NHRP.
Tunnel0: 10.0.0.12
Spoke B
.1 .37
10.0.0.1 à 172.17.0.1 192.168.2.0/24
Web
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
192.168.0.0/24
Serwer NHRP (węzeł Hub) .1 10.0.0.11 à 172.16.1.1
rozwiązuje adres 10.0.0.12 10.0.0.12 à 172.16.2.1
... ...
na odpowiedni adres publiczny
(172.16.2.1) i wysyła odpowiedź Physical: 172.17.0.1
Tunnel0: 10.0.0.1
do routera Spoke A.
Tunnel0: 10.0.0.12
Spoke B
.1 .37
192.168.2.0/24
Web
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
192.168.0.0/24
Router Spoke A odbiera odpowiedź .1
NHRP i umieszcza ją w swojej
tabeli mapowania NHRP - to
uruchamia budowę tunelu Physical: 172.17.0.1
Tunnel0: 10.0.0.1
GREoIPSec bezpośrednio do
adresu 172.16.2.1. Spoke A używa
swojego adresu publicznego. Physical: 172.16.2.1
Tunnel0: 10.0.0.12
Spoke B
10.0.0.1 à 172.17.0.1 .1 .37

10.0.0.12 à 172.16.2.1 192.168.2.0/24
Web
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
© 2013-2014 Cisco and/or its affiliates. All rights reserved. = Dynamiczny, tymczasowy tunel IPSec Spoke-to-spoke30
192.168.0.0/24
Tunel do Spoke B został zestawiony .1
i rozpoczyna się przesyłanie
danych ze Spoke A do Spoke B.
UWAGA: tunel przesyła ruch tylko Physical: 172.17.0.1
Tunnel0: 10.0.0.1
w jedną stronę.
Tunnel0: 10.0.0.12
Spoke B
.1 .37
192.168.2.0/24
Web
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
192.168.0.0/24
Serwer web otrzymuje pakiet .1
od PC i wysyła odpowiedź do PC.
Ruch zwrotny powoduje procedurę
weryfikacji routingu oraz Physical: 172.17.0.1
Tunnel0: 10.0.0.1
sprawdzenie NHRP dla routera
Spoke A. Pakiet jest wysyłany
bezpośrednio do Spoke A. Physical: 172.16.2.1
Tunnel0: 10.0.0.12
Spoke B
.1 .37
192.168.2.0/24
Web
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
192.168.0.0/24
Po upłynięciu skonfigurowanego .1
limitu czasowego, wpisy NHRP
przedawniają się i tunel IPSec od
Spoke A do Spoke B przestaje Physical: 172.17.0.1
Tunnel0: 10.0.0.1
istnieć.
Tunnel0: 10.0.0.12
Spoke B
.1 .37
10.0.0.1 à 172.17.0.1
10.0.0.12 à 172.16.2.1 192.168.2.0/24
Web
Tunnel0: 10.0.0.11
Spoke A
.1 .25
192.168.1.0/24
PC
encr aes
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
mode transport
crypto ipsec profile TP interface Tunnel
set transform-set TSET ip address 10.0.0.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 1111
ip nhrp redirect
tunnel key 10
no ip split-horizon eigrp 10
ip summary-address eigrp 10 192.168.0.0 255.255.0.0
tunnel mode gre multipoint
tunnel protection ipsec profile TP

encr aes
group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto ipsec transform-set TSET esp-aes esp-sha-hmac
mode transport
crypto ipsec profile TP interface Tunnel
set transform-set TSET ip address 10.0.0.2 255.255.255.0
no ip redirect
ip nhrp authentication cisco
ip nhrp map 10.0.0.1 172.17.0.1
ip nhrp map multicast 172.17.0.1
ip nhrp shortcut
tunnel key 10
tunnel protection ipsec profile TP

default
Keeping the Defaults in Separate VRFs
EIGRP
default
INSIDE
Internet Edge
§  Enable FVRF DMVPN on the Block
Spokes default
§  Allow the ISP learned Default VPN-DMZ

Route in the FVRF and used default
for tunnel establishment OUTSIDE
§  Global Table contains Default RP

EIG 0)
default
(2 0
Route learned via tunnel. User Internet
data traffic follow Tunnel to
INSIDE interface on firewall Internet
§  Allow for consistency for default
implementing corporate
security policy for all users
36
ip vrf FVRF
rd 100:1
!
Since WAN interface is in a VRF, crypto keyring DMVPN vrf FVRF

pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
pre-shared key needs to be
!
defined in the VRF Interface Tunnel0
ip address 172.50.1.1 255.255.255.0
ip nhrp authentication HBfR3lpl
ip nhrp map multicast 3.3.3.3
ip nhrp map 172.50.1.254 3.3.3.3
ip nhrp nhs 172.50.1.254
ip nhrp shortcut
tunnel source GigabitEthernet0/0
Tunnel Destination lookup tunnel vrf FVRF
forced in VRF FVRF tunnel protection ipsec profile dmvpn
!
Interface GigabitEthernet 0/0
description WAN interface to ISP in vrf
WAN interface defined in the ip address dhcp
VRF – LAN interface stays in ip vrf forwarding FVRF
Global Table Interface GigabitEthernet 0/1

description LAN interface In Global Table

•  IWAN CVD
http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD-IWANDesignGuide-JAN15.pdf
•  Introduction to IWAN (2015 Melbourne)

https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION_ID=82772&backBtn=true
•  Intelligent WAN (IWAN) Architecture (2015 Milan)

•  IWAN and AVC Management with Cisco Prime Infrastructure (2015 Milan)
•  Whitepapers, presentations, case studies

http://www.cisco.com/c/en/us/solutions/enterprise-networks/intelligent-wan/index.html
•  DMVPN
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/15-s/sec-conn-dmvpn-15-s-book.html
•  ISR and ASR AX Ordering Guide

http://www.cisco.com/c/en/us/products/collateral/routers/3900-series-integrated-services-routers-isr/guide_c07-726864.html

Dziękuję J
Adam Śniegórski
Systems Engineer, CCIE R&S
Solutions & Innovation

Dokumen - Tips DMVPN Mpls Branch DMVPN DMVPN Isr g2 Isp A SP V Asr 1000 Asr 1000 Data Center 1

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Dokumen - Tips DMVPN Mpls Branch DMVPN DMVPN Isr g2 Isp A SP V Asr 1000 Asr 1000 Data Center 1

Uploaded by

Copyright:

Available Formats

DMVPN,

czyli Transport Independent Design dla IWAN

Niezależność Inteligentna Optymalizacja Bezpieczeństwo

! Sieć nakładkowa (+IPSec) ! Optymalny routing aplikacji ! Monitorowanie aplikacji ! Szyfrowanie NG

DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 2

Data Center Data Center

Dwie domeny Jedna domena

ISR-G2 Branch ISR-G2 Branch

Overlay Routing Protocol (BGP, EIGRP) Routing klasyczny

Transport Independent Design (DMVPN) Sieć nakładkowa

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 4

Kompatybilność § Multivendor • Multivendor § Routery Cisco

IP Multicast § Brak wsparcia • Wspierane § Replikacja Multicast na hub

§ Tunelowany VPN § Tunelowany VPN § Tunelowany VPN

§ Transport Prywatny i Publiczny

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 5

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 6

IP IP GRE IP IP ESP IP GRE IP

• IPsec (ESP) przenosi jedynie unicastowy ruch IP

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 7

Hub 172.17.63.18 Spoke 1

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 8

crypto ipsec profile vpnprof

Tryb crypto ipsec transform-set trans2 esp-3des esp-md5-hmac

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 10

Tryb crypto ipsec transform-set trans2 esp-3des esp-md5-hmac

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 11

DMVPN czyli rozwiązanie działające

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 12

Umożliwia tworzenie dynamicznych

• Wspiera oddziały z dynamicznym adresem

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 13

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 14

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 15

Hub-and-spoke (Faza 1) Spoke-to-spoke (Faza 2)

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 17

IWAN 1.0 Supported IWAN 1.0 Tested IWAN 2.0 Supported

Hub and spoke (Phase 1) Spoke-to-spoke (Phase 2) VRF-lite

IWAN 2.0 Supported

Server Load Balancing Hierarchical (Phase 3) 2547oDMVPN

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 19

Adr. fiz.: 172.16.2.1

192.168.0.0/24 à 10.0.0.1 192.168.0.0/24 à 10.0.0.1

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 20

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 21

Brak ACL interface Serial1/0

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 22

Brak ACL interface Serial1/0

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 23

C 172.16.1.0/30 is directly connected, Serial1/0 Spoke A

C 172.16.2.0/30 is directly connected, Serial1/0 Spoke B

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 24

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 25

10.0.0.1 à 172.17.0.1 .1 .37

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 34

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 35

Keeping the Defaults in Separate VRFs

§ Allow the ISP learned Default VPN-DMZ

§ Global Table contains Default RP

© 2013-2014 Cisco and/or its affiliates. All rights reserved. 36

Since WAN interface is in a VRF, crypto keyring DMVPN vrf FVRF

Global Table Interface GigabitEthernet 0/1

!  Sieć nakładkowa (+IPSec) !  Optymalny routing aplikacji !  Monitorowanie aplikacji !  Szyfrowanie NG

Kompatybilność §  Multivendor •  Multivendor §  Routery Cisco

IP Multicast §  Brak wsparcia •  Wspierane §  Replikacja Multicast na hub

§  Tunelowany VPN §  Tunelowany VPN §  Tunelowany VPN

§  Transport Prywatny i Publiczny

•  IPsec (ESP) przenosi jedynie unicastowy ruch IP

•  Wspiera oddziały z dynamicznym adresem

§  Allow the ISP learned Default VPN-DMZ

§  Global Table contains Default RP

•  Introduction to IWAN (2015 Melbourne)

•  Intelligent WAN (IWAN) Architecture (2015 Milan)

•  Whitepapers, presentations, case studies

•  ISR and ASR AX Ordering Guide