57435920-labocisco-2009-LE-DMVPN

7/21/2019 57435920-labocisco-2009-LE-DMVPN

1/11

www.labo-cisco.com

Le DMVPN

Redaction: DELOURME Olivier

27 09 2009


2/11

Le DMVPNDELOURME Olivier

27/09/2009

www.labo-cisco.com Page 2 sur 11

SOMMAIRE

Introduction .............................................................................................................................................. 3

Prsentation des diffrentes technologies utilises ................................................................................ 3

Mise en situation ...................................................................................................................................... 4


3/11


27/09/2009


INTRODUCTION

Il est devenu ais de crer des rseaux virtuels priv IPsec (VPN IPsec). Cependant, ce type de

configuration souffre de certaines limitations concernant leur administration ainsi que leurmaintenance, notamment des suivantes.

En premier lieu, chaque ajout de nouveaux sites, il faut non seulement configurer les quipements

sur les sites distants mais galement apporter des modifications consquentes la configuration des

quipements en production du site principal. La configuration de ce dernier site peut, partir de

quelques sites distants, devenir rapidement illisible, ce qui prsente un rel problme dvolutivit.

De plus, sil est ncessaire dintroduire la communication inter-site dans le but dobtenir un rseau

virtuel priv totalement maill (dit full meshed ) en liaisons IPsec, le nombre de tunnels crer

augmente de manire considrable et chaque ajout dun nouvel quipement, il faudra modifier nouveau la configuration de chaque routeur.

Les VPNs IPsec multipoints dynamiques (Dynamic Multipoint VPN, DMVPN) permettent de dployer

rapidement un grand nombre de sites de manire scurise et volutive. DMVPN correspond en fait

un ensemble de technologies telles quIPsec, mGRE et NHRP qui, combines, facilitent le

dploiement de rseaux privs virtuels IPsec. De ce fait, DMVPN permet de rsoudre les deux

problmes cits prcdemment : dune part, la configuration du site principal une fois tablie

demeurera inchange, mais dautre part, la cration des tunnels entre site distants se fait de manire

entirement automatise et dynamique.

PRESENTATION DES DIFFERENTES TECHNOLOGIES UTILISEES

DMVPN et en fait une combinaison des technologies suivantes :

IPsec

Le protocole IPsec va nous permettre de chiffrer les informations qui transiteront entre les sites.

mGRE (mutipoint Generic Routing Encapsulation)

GRE permet dencapsuler des paquets multicast dans un tunnel.

Le m signifie que les tunnels crs entre les sites seront multipoint, c'est--dire que pour chaque

interface tunnel dun routeur, plusieurs tunnels seront attribus.


4/11


27/09/2009


NHRP(Next Hop Resolution Protocol)

Ce protocole permet aux sites distants de faire connaitre ladresse IP de linterface servant monter le

tunnel GRE avec le serveur. Le serveur conservera cette information pour tous les sites distants, afin

de leur permettre dobtenir ladresse de leur voisin pour monter des tunnels directs.

OSPF(Open Shortest Path First)

OSPF (protocole de routage) permet aux sites distants dannoncer leur rseau local au site central, et

au site central de propager la totalit de ces routes aux sites distants.

Hub et Spoke

Les sites sont appels hub ou spoke , selon quils jouent respectivement le rle de site central

ou de site distant. Le site central (hub) fait office de serveur NHRP et de routeur principal (Designated

Router) OSPF.

MISE EN SITUATION

Nous allons configurer un hub et 2 spokes passant par internet (simul pour un routeur).


5/11


27/09/2009


- Configuration d Internet

Configuration des interfaces

Internet>enable

Internet #conf t

Internet (config)#int F0/0

Internet (config-if)#ip address 80.0.0.11 255.255.255.0

Internet (config-if)#no sh

Internet (config-if)#exit









- Configuration du Hub

Configuration de linterface F0/0

HUB>enable

HUB#conf t

HUB(config)#int F0/0

HUB(config-if)#ip address 80.0.0.1 255.255.255.0

HUB(config-if)#no sh

HUB(config-if)#exit


6/11


27/09/2009


Cration de la police isakmp et de la cl pr-share

!on active isakmp

HUB(config)#crypto isakmp enable

HUB(config)#crypto isakmp policy 1

!utilisation dune cl pr-share

HUB(config-isakmp)#authentication pre-share

HUB(config-isakmp)#exit

!dfinition de la cl pr-share en ne prcisant pas un peer IPsec spcial afin quelle soit utilise par

tous les peers qui contactent le hub et puissent crer un tunnel.

HUB(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0

Cration et configuration du profil IPsec

!cration de la transform-set IPSec

HUB(config)#crypto ipsec transform-set dmvpnset esp-3des esp-md5-hmac

HUB(cfg-crypto-trans)#mode transport

HUB(config)#crypto ipsec profile ipsec_profil

!on associe la transform-set au profil cr

HUB(config-crypto-map)#set transform-set dmvpnset

Configuration de linterface du tunnel

HUB(config)#int tunnel 0

!dfinition de lip de linterface du tunnel

HUB(config-if)# ip address 10.0.0.1 255.255.255.0

!dfinition de la bande passante

HUB(config-if)# bandwidth 1000

!dfinition du mtu (Maximum Transmission Unit)

HUB(config-if)# ip mtu 1400

HUB(config-if)# delay 1000


7/11


27/09/2009


HUB(config-if)# ip nhrp holdtime 450

!configure la cl dauthencification nhrpde linterface

HUB(config-if)# ip nhrp authentication nhrp_key

!autorise nhrp ajouter automatiquement des spokes au mapping nhrp multicast

HUB(config-if)#ip nhrp map multicast dynamic

!active nhrp sur linterface

HUB(config-if)# ip nhrp network-id 99

!ajuste le mss (Maximum Segment Size)

HUB(config-if)# ip tcp adjust-mss 1360

!dfinition de linterface source pour linterface du tunnel

HUB(config-if)# tunnel source F0/0

HUB(config-if)# tunnel key 100000

!dfinition du mode dencapsulation mGRE pour linterface du tunnel

HUB(config-if)# tunnel mode gre multipoint

!associe le profil IPsec linterface du tunnel

HUB(config-if)# tunnel protection ipsec profile ipsec_profil

Dclaration des networks OSPF

HUB(config)#router ospf 10

HUB(router-config)#network 10.0.0.0 0.0.0.255 area 100

Cration de la route vers Internet

HUB(config)#ip route 0.0.0.0 0.0.0.0 80.0.0.11

- Configuration des spokes

Configuration de linterface F1/0

Les commandes suivantes sont excuter sur chaque spoke.


8/11


27/09/2009


Spoke S1

S1>enable

S1#conf t

S1(config)#int F1/0

S1(config-if)#ip address 192.168.1.101 255.255.255.0

S1(config-if)#no sh

S1(config-if)#exit

Spoke S2

S2>enable

S2#conf t

S2(config)#int F1/0

S2(config-if)#ip address172.16.1.2 255.255.255.0

S2(config-if)#no sh

S2(config-if)#exit

Cration de la cl pr-share (identique sur S1 et S2)

S1(config)#crypto isakmp enable

S1(config)#crypto isakmp policy 1

S1(config-isakmp)#authentication pre-share

S1(config-isakmp)#exit

S1(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0

Cration et configuration du profil IPsec (identique sur S1 ou S2)

S1(config)#crypto ipsec transform-set dmvpnset esp-3des esp-md5-hmac

S1(config)#mode transport

S1(config)#crypto ipsec profile ipsec_profil

S1(config-crypto-map)#set transform-set dmvpnset


9/11


27/09/2009


Configuration de linterface du tunnel

Spoke S1

S1(config)#int tunnel 0

S1(config-if)# ip address 10.0.0.2 255.255.255.0

S1(config-if)# bandwidth 1000

S1(config-if)# ip mtu 1400

S1(config-if)# delay 1000

S1(config-if)# ip nhrp holdtime 450

S1(config-if)# ip nhrp authentication nhrp_key

!dfinition du serveur nhrp au hub 10.0.0.1 mapp sur ladresse fixe 80.0.0.1

S1(config-if)# ip nhrp map 10.0.0.1 80.0.0.1

!envoi des parquets multicast au hub, activation du routage dynamique entre hub et spokes

S1(config-if)# ip nhrp map multicast 80.0.0.1

!configure le hub comme nhrp next hop serveur

S1(config-if)#ip nhrp nhs 10.0.0.1

S1(config-if)# ip nhrp network-id 99

S1(config-if)# ip tcp adjust-mss 1360

S1(config-if)# tunnel source F1/0

S1(config-if)# tunnel key 100000

S1(config-if)# tunnel mode gre multipoint

S1(config-if)# tunnel protection ipsec profile ipsec_profil

Spoke S2

S2(config)#int tunnel 0

S2(config-if)# ip address 10.0.0.3 255.255.255.0

S2(config-if)# bandwidth 1000

S2(config-if)# ip mtu 1400

S2(config-if)# delay 1000

S2(config-if)# ip nhrp holdtime 450


10/11


27/09/2009


S2(config-if)# ip nhrp authentication nhrp_key

S2(config-if)# ip nhrp map 10.0.0.1 80.0.0.1

S2(config-if)# ip nhrp map multicast 80.0.0.1

S2(config-if)#ip nhrp nhs 10.0.0.1

S2(config-if)# ip nhrp network-id 99

S2(config-if)# ip tcp adjust-mss 1360

S2(config-if)# tunnel source F1/0

S2(config-if)# tunnel key 100000

S2(config-if)# tunnel mode gre multipoint

S2(config-if)# tunnel protection ipsec profile ipsec_profil

Dclaration des networks OSPF(identique sur S1 et S2)

S1(config)#router ospf 10

S1(router-config)#network 10.0.0.0 0.0.0.255 area 100

Cration de la route vers Internet

Spoke S1

S1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.11

Spoke S2

S2(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.12


11/11


27/09/2009


www.labo-cisco.com

Retrouvez nos autres laboratoires:

Labo MicrosoftLabo.NetLabo AppleLabo OracleLabo LinuxLabo IBMLabo Mandriva
http://www.labo-microsoft.com/http://www.labo-dotnet.com/http://www.labo-ibm.com/http://www.labo-mandriva.com/http://www.labo-microsoft.com/http://www.labo-dotnet.com/http://www.labo-apple.com/http://www.labo-oracle.com/http://www.labo-linux.org/http://www.labo-ibm.com/http://www.labo-mandriva.com/http://www.labo-mandriva.com/http://www.labo-ibm.com/http://www.labo-linux.org/http://www.labo-oracle.com/http://www.labo-apple.com/http://www.labo-dotnet.com/http://www.labo-microsoft.com/

Documents

57435920-labocisco-2009-LE-DMVPN