Cấu hình Dynamic Multipoit VPN(DMVPN) trên Router Cisco ~ Tự Học Mạng

Phương thức hoạt động của DMVPN:

trước khi đi vào cấu hình DMVPN chúng ta tìm hiểu qua phương thức hoạt động của DMVPN nhé :

Mỗi Spoke sẽ kết nối về Hub bằng 1 đường IPsec Tunnel
Mỗi Spoke sẽ đăng ký là 1 client của NHRP server. Hub router đảm nhận là NHRP server
Khi Lan của Spoke này muốn gưởi gói tin cho LAN của Spoke kia, nó sẽ hỏi NHRP server địa chỉ ip của Spoke kia.
Sau khi nó biết được địa chỉ của Spoke đã nói nó sẽ tạo 1 đường hầm tới Spoke kia.
Kết nối tunnel Spoke-to-Spoke được thiết lập bằng mGRE interface.
Kết nối tunnel Spoke-to-Spoke được thiết lập bất cứ khi nào có trao đổi gói tin.
Tất cả dữ liệu đi qua tunnel đều được mã hóa IPsec.

Sơ đồ mô phỏng :

NOTE: Ở đây môi trường giả lập nên Internet sẽ được thay thế bằng 1 router nhé. Mặc định khi công ty thuê 1 hay 2 hay 3 hoặc nhiều ip public thì đều có thể ping thấy nhau trên các ip public này. để đơn giản mình sẽ chay ospf cho các cổng WAN của các router cho các ip public ping thấy nhau nhé.

Cấu hình trên HUB:

Cấu hình cổng LAN và WAN cho router :

interface FastEthernet0/0

description WAN-Network

ip address 1.1.1.1 255.255.255.0

ip ospf 10 area 0

duplex auto

speed auto

interface FastEthernet0/1 // không than gia ospf nhé.

description LAN-Network

ip address 192.168.10.1 255.255.255.0

duplex auto

speed auto

Cấu hình cổng Tunnel cho Router:

interface Tunnel0

description mGRE - DMVPN Tunnel

ip address 172.16.0.1 255.255.255.0

no ip redirects

ip nhrp authentication cisco

ip nhrp map multicast dynamic

ip nhrp network-id 1

tunnel source 1.1.1.1

tunnel mode gre multipoint
============================================
Ở đây tunnel des đã được thay bằng multipoit. nó được thay thế bằng câu lệnh tunnel mode gre multipoint.
ip nhrp map multicast dynamic là câu lệnh bật tính năng truyền multicast tới nhrp server.
ip nhrp authentication cisco là câu lệnh chứng thực với nhrp server mật khẩu là cisco.
ip nhrp network-id 1 là lệnh để xác định cloud của DMVPN này. có thể nói nó giống area trong ospf vậy.

Cấu hình trên Spoke1 và Spoke2:

interface FastEthernet0/0

ip ospf 10 area 0

description WAN-Network

ip address 2.2.2.1 255.255.255.0

duplex auto

speed auto

interface FastEthernet0/1 // không tham gia ospf nhé

description LAN-Network

ip address 192.168.20.1 255.255.255.0

duplex auto

speed auto

interface Tunnel0

description R2 mGRE - DMVPN Tunnel

ip address 172.16.0.2 255.255.255.0 //trên spoke2 là 172.16.0.3 255.255.255.0

no ip redirects

ip nhrp authentication cisco

ip nhrp map multicast dynamic

ip nhrp map 172.16.0.1 1.1.1.1

ip nhrp map multicast 1.1.1.1

ip nhrp network-id 1

ip nhrp nhs 172.16.0.1

tunnel source 2.2.2.1 // trên spoke 2 thay là 3.3.3.1

tunnel mode gre multipoin

Cấu hình trên Spoke 2 tương tự như Spoke1 chỉ cần thay ip vào.
====================================================
ip nhrp nhs 172.16.0.1 là câu lệnh nói cho Spoke biết đâu nhrp server, nhs là next hop server.
ip nhrp map multicast 1.1.1.1 là câu lệnh để đảm bảo răng gói tin multicast chỉ gửi cho nhrp server là 1.1.1.1

Trên Router đóng vai trò là Internet :

interface Ethernet0/0
ip address 1.1.1.2 255.255.255.0
ip ospf 10 area 0
interface Ethernet0/1
ip address 2.2.2.2 255.255.255.0
ip ospf 10 area 0
end

interface Ethernet0/2

ip address 3.3.3.2 255.255.255.0
ip ospf 10 area 0
end

Bây giờ thì các cổng WAN đã ping thấy nhau rồi. Và thiết lập DMVPN đã xong ta kiểm tra bằng lệnh

HUB#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Hub, NHRP Peers:2,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 2.2.2.1 172.16.0.2 UP 01:30:49 D
1 3.3.3.1 172.16.0.3 UP 01:31:43 D

Spoke1#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:2,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 1.1.1.1 172.16.0.1 UP 01:31:14 S
1 3.3.3.1 172.16.0.3 UP 00:58:50 D

Spoke2#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:2,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 1.1.1.1 172.16.0.1 UP 01:32:29 S
1 2.2.2.1 172.16.0.2 UP 00:59:11 D

Mã hóa DMVPN mGRE Tunnel với IPsec

Cấu hình IPsec cho HUB:

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

lifetime 86400

crypto isakmp key cisco address 0.0.0.0

crypto ipsec transform-set myset esp-3des esp-md5-hmac

crypto ipsec profile protect-gre

set security-association lifetime seconds 86400

set transform-set myset

interface Tunnel 0

tunnel protection ipsec profile protect-gre

============================================
để có thể peer tới các Spoke nhận ip động từ ISP nên ta phải dùng câu lệnh crypto isakmp key cisco address 0.0.0.0

Cấu hình IPsec cho Spoke1 và Spoke2 :

crypto isakmp policy 1

encr 3des

hash md5

authentication pre-share

group 2

lifetime 86400

crypto isakmp key cisco address 0.0.0.0 0.0.0.0

crypto ipsec transform-set myset esp-3des esp-md5-hmac

crypto ipsec profile protect-gre

set security-association lifetime seconds 86400

set transform-set myset

interface Tunnel 0

tunnel protection ipsec profile protect-gre

=========================================================

Kiểm tra các thiết lập IPsec:

HUB#show crypto ses

Crypto session current status

Interface: Tunnel0

Session status: UP-ACTIVE

Peer: 3.3.3.1 port 500

Session ID: 0

IKEv1 SA: local 1.1.1.1/500 remote 3.3.3.1/500 Active

IPSEC FLOW: permit 47 host 1.1.1.1 host 3.3.3.1

Active SAs: 2, origin: crypto map

Interface: Tunnel0

Session status: UP-ACTIVE

Peer: 2.2.2.1 port 500

Session ID: 0

IKEv1 SA: local 1.1.1.1/500 remote 2.2.2.1/500 Active

Session ID: 0

IKEv1 SA: local 1.1.1.1/500 remote 2.2.2.1/500 Active

IPSEC FLOW: permit 47 host 1.1.1.1 host 2.2.2.1

Active SAs: 2, origin: crypto map

Spoke1#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 3.3.3.1 port 500
Session ID: 0
IKEv1 SA: local 2.2.2.1/500 remote 3.3.3.1/500 Active
Session ID: 0
IKEv1 SA: local 2.2.2.1/500 remote 3.3.3.1/500 Active
IPSEC FLOW: permit 47 host 2.2.2.1 host 3.3.3.1
Active SAs: 2, origin: crypto map

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 1.1.1.1 port 500
Session ID: 0
IKEv1 SA: local 2.2.2.1/500 remote 1.1.1.1/500 Active
Session ID: 0
IKEv1 SA: local 2.2.2.1/500 remote 1.1.1.1/500 Active
IPSEC FLOW: permit 47 host 2.2.2.1 host 1.1.1.1
Active SAs: 2, origin: crypto map

Routing giữa các DMVPN với nhau:

Để các mạng LAN giữa các Router có thể Ping thấy nhau ta phải route cho nó:

Trên HUB:

ip route 192.168.20.0 255.255.255.0 172.16.0.2
ip route 192.168.30.0 255.255.255.0 172.16.0.3

Trên Spoke1:

ip route 192.168.10.0 255.255.255.0 172.16.0.1
ip route 192.168.30.0 255.255.255.0 172.16.0.3

Trên Spoke2 :

ip route 192.168.1.0 255.255.255.0 172.16.0.1
ip route 192.168.2.0 255.255.255.0 172.16.0.2

Video hướng dẫn:

Bài viết có tham khảo tại : firewall.cx

Tự Học Mạng

Tuesday, December 12, 2017