ダイナミックマルチポイントVPNは、GRE over IPSECのダイナミックダイナミック簡易マルチライン構成とマルチプロトコルトンネル伝送機能を統合し、HUB-SPOKERネットワークアーキテクチャモデルを形成します。これにより、中央ノード構成のゼロ調整とブランチノードへの無制限アクセスを実現できます。 、動的合意の展開を実現できます。
DMV.PNはCiscoルーターにのみ展開でき、バージョンサポートにも注意を払う必要があります。
DMV.PN機能を実装する4つの主要な技術コンポーネントは、MGRE(マルチポイントトンネリング)、NHRP(恐ろしい解決プロトコル)、IPSEC、および動的ルーティングプロトコル(主にEIGRP、OSPF、BGP)です。
MGREの目的は、HUBが1つの構成後に無制限のSPOKERで複数のトンネルを確立できることです。さらに、マルチキャストに基づく動的ルーティングプロトコルを配信するためのチャネルも提供します。
NHSPの目的は、トンネルとパブリックIPアドレス間のマッピング関係を確立し、SPOKERおよびHUB登録アソシエーションのルーティング前提条件を提供し、SPOKER-SPOKER仮想トンネルを確立するための基礎を提供することです。
IPSECは、データ送信のセキュリティのためのものです。
動的ルーティングプロトコルは、DMV.PNでルーティングの動的更新と相互接続を実現することです。
R1はハブエンド、R2はISP、残りはスポッカーです。
HUB構成:
- IPSECVPN部分構成
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco123 address 0.0.0.0
crypto ipsec transform-set DC esp-3des esp-md5-hmac
mode tunnel
crypto ipsec profile profile1
set transform-set DC
- トンネル部品構成
インターフェースTunnel1bandwith
1000 //トンネルのデフォルトbandwithは約9Kbps低く、この値を変更すると、EIGRPメトリック、HUB、SPOKERなどの動的ルーティングプロトコルの送信にのみ影響する可能性があります。同じ
IPアドレス169.254.1.1 255.255.255.0
ip mtu 1400 //セットトンネルデータの最大伝送ユニット、
無IPネクストホップ自己EIGRP 20 //でSPOKER-SPOKERモード、先SPOKERのトンネルインターフェースアドレスにHUBtunnelインターフェースアドレスからSPOKER2にSPOKER1から経路変更
なしip split-horizon eigrp 20 // EIGRPのスプリットホライズンに関連付けられ、HUBはSPOKEによって学習されたルーティング情報を他のSPOKERにアドバタイズします
ip nhrp authentication cisco456 // SPOKERがHUBに登録するための認証パスワード
ipnhrp map multicast dynamic // HUB endautomaticマルチキャストマッピングを有効にします。SPOKERは1対1のマッピングを介してHUBに登録し、確立されたトンネルが自動的にマルチキャスト
ip nhrp network-id 1を送信できるようにします。//SPOKERは関連する識別IDをHUBに登録します。これは、同じ
トンネルソースである必要がありますEthernet0 / 0 //
トンネルトンネルモードに関連付けられたパブリックネットワークの物理インターフェイスgremultipoint //トンネルモードをマルチポイントトンネル
トンネルキー1024に設定します//トンネルを確立するためのキーは一貫している必要があります
トンネル保護ipsecprofile profile1 //トンネルデータをIPSECで暗号化できるようにする - インターフェイス
Ethernet0 /
0ipアドレス100.0.1.2255.255.255.252
終了
スポッカー構成
-
IPSEC VPN配置
暗号ISAKMPポリシー1
ENCR 3DES
ハッシュMD5
認証事前共有
グループ2
暗号ISAKMPキーのCisco123アドレス0.0.0.0
暗号のIPSecトランスフォームセットB1 ESP-3DES ESP-MD5-HMAC
モードトンネル
暗号のIPSecプロファイルでprofile1の
セットトランスフォームセットB1 -
トンネルセクション構成
インターフェイスTunnel1bandwith
1000
ip address 169.254.1.3 255.255.255.0
ip mtu 1400
ip nhrp authentication cisco456
ip nhrp map 169.254.1.1 100.0.1.2//ハブのパブリックIPアドレスとトンネルアドレス
ipnhrp間のユニキャストマッピングを静的に確立しますマップマルチキャスト100.0.1.2 //作成スタティックマルチキャストのマッピング
IP NHRPネットワークID 1
のIP NHRP NHS 169.254.1.1 // HUBのアドレスの指定
トンネルソースのEthernet0 / 0
トンネルモードをマルチポイントGRE
トンネルキー1024
プロファイルでprofile1のIPsecトンネル保護を
終了 - インターフェイス
Ethernet0 /
0ipアドレス100.0.3.2255.255.255.252
終了
動的ルーティングに関するいくつかの問題
- EIGRP
前述のように、DM ***でSPOKER-SPOKERネットワーク接続を展開する場合、EIGRPはEIGRPの水平分離機能をオフにして、HUBが他のすべてのSPOKERへのルートをアドバタイズし、HUB \ SPOKERのEIGRPルーティングの一貫性を維持できるようにする必要があります。
SPOKERから別のSPOKERへのルートをHUB経由で転送する必要がないようにするには、HUB上のHUB自体のトンネルインターフェイスを閉じ、EIGRP宛先ルートを宛先SPOKERのトンネルアドレス
PS:EIGRPスプリットホライズンに調整する必要があります。これは、ルーターのインターフェースが受信したルーティング情報が、このインターフェースを介してアドバタイズされないことを意味します。 - OSPF
OSPFは、ネットワークタイプとは大きく異なります。トンネルインターフェイスのデフォルトのネットワークタイプはPOINT-TO-POINTです。HUBの場合、そのMGREチャネルは複数のSPOKERを持つネイバーを確立する必要があるため、デフォルトでは、OSPFネイバーが確立されている場合でもOSPFネイバーのフラッピングとダウン/アップも発生します。この問題を解決するには、トンネルインターフェイスのospfネットワークタイプをBROADCASTタイプに変更する必要があります。
さらに、SPOKER-SPOKER通信のネクストホップがデフォルトでHUBであるという問題を解決するには、次のことができます。 HUBトンネルインターフェースの優先度を調整してDRにします。
上記の方法を使用して調整された結果は次のとおりです。
もう1つの方法は、NHRPを使用して解決することです。
ネットワークタイプをポイントツーマルチポイントに変更します(DR / BDR選択なし)。
リダイレクトとNHRPクエリが有効になっていない場合でも、SPOKERルーティングのネクストホップはHUBです。
本社HUBがリダイレクトをオンにします(ip nhrpリダイレクト)
ブランチSPOKERがNHRPクエリをオンにします(スポークのip nhrpショートカットはマッピング要求を送信できます)
上記で、構成後、SPOKERとSPOKER間のトラフィックをトリガーすると、次のことがわかります。ジャンプが書き直され、「%」でマークされています
契約関連
HUB-SPOKERでチャネルが確立されたとき(永続的)
SPOKERは最初にHUBとのGREover IPSEC ***トンネルを確立し、次にSPOKERはHUBに登録し、最後に動的ルーティングを確立して更新します。
SPOKERとSPOKERに設立(仮設)
SPOKERは、最初にNHSPマッピング関係を介してターゲットSPOKERを見つけ、次にIPSEC ***トンネルを確立してから、暗号化されたデータを送信します。
参照リンク:
https://www.cisco.com/c/dam/en/us/products/collateral/security/dynamic-multipoint-***-dm *** / prod_presentation0900aecd80313c9d.pdf
https://www.cisco .com / c / dam / en / us / products / collateral / security / dynamic-multipoint-***-dm *** / prod_presentation0900aecd80313ca0.pdf