Segurança : Dynamic Multipoint VPN (DMVPN)

IOS/CCP: VPN multiponto dinâmico usando o exemplo de configuração do Cisco Configuration Professional

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece uma configuração de exemplo para o túnel do Dynamic Multipoint VPN (DMVPN) entre o Roteadores do hub and spoke que usa o Cisco Configuration Professional (Cisco CP). O VPN multiponto dinâmico é uma tecnologia que integre conceitos diferentes tais como o GRE, a criptografia IPSec, o NHRP e o roteamento para fornecer uma solução sofisticada que permita que os utilizadores finais se comuniquem eficazmente através dos túneis de IPsec spoke-to-spoke dinamicamente criados.

Pré-requisitos

Requisitos

Para a melhor funcionalidade DMVPN, recomenda-se que você executa o Software Release 12.4 mainline,12.4T de Cisco IOS� e mais tarde.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • 3800 Series do roteador do Cisco IOS com Software Release 12.4 (22)

  • 1800 Series do roteador do Cisco IOS com Software Release 12.3 (8)

  • Versão 2.5 do Cisco Configuration Professional

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Este documento fornece a informação como configurar um roteador como um spoke e um outro roteador como um hub usando Cisco CP. A configuração de raio é mostrada inicialmente, mas mais tarde no documento, a configuração relacionada do hub é mostrada igualmente em detalhe para fornecer uma compreensão melhor. O outro spokes pode igualmente ser configurado usando a aproximação similar para conectar ao hub. A encenação atual usa estes parâmetros:

  • Rede pública do roteador de hub - 209.165.201.0

  • Rede de túnel - 192.168.10.0

  • Protocolo de roteamento usado - OSPF

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-01.gif

Configuração de raio usando Cisco CP

Esta seção mostra como configurar um roteador como um spoke usando o assistente passo a passo DMVPN no Cisco Configuration Professional.

  1. A fim começar o aplicativo de Cisco CP e lançar o assistente DMVPN, vá configurar o > segurança > o VPN > VPN multiponto dinâmico. Então, selecione a criação um spoke em uma opção DMVPN e clique o lançamento a tarefa selecionada.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-02.gif

  2. O clique ao lado de começa.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-03.gif

  3. Selecione a opção de rede do hub and spoke e clique-a em seguida.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-04.gif

  4. Especifique a informação relacionada do hub, tal como a interface pública do roteador de hub e a interface de túnel do roteador de hub.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-05.gif

  5. Especifique os detalhes da interface de túnel do spoke e a interface pública do spoke. Então, clique avançado.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-06.gif

  6. Verifique os parâmetros do túnel e parâmetros NHRP, e certifique-se que combinam perfeitamente aos parâmetros do hub.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-07.gif

  7. Especifique a chave pré-compartilhada e clique-a em seguida.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-08.gif

  8. O clique adiciona a fim adicionar uma proposta IKE separada.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-09.gif

  9. Especifique a criptografia, a autenticação e os parâmetros da mistura. Então, APROVAÇÃO do clique.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-10.gif

  10. A política de IKE recém-criado pode ser considerada aqui. Clique em Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-11.gif

  11. O clique ao lado de continua com o padrão transforma o grupo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-12.gif

  12. Selecione o protocolo de roteamento exigido. Aqui, o OSPF é selecionado.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-13.gif

  13. Especifique clique identificação de processo de OSPF ID e de área adicionam a fim adicionar as redes a ser anunciadas pelo OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-14.gif

  14. Adicionar a rede de túnel e clique a APROVAÇÃO.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-15.gif

  15. Adicionar a rede privada atrás do roteador do spoke. Então, clique em seguida.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-16.gif

  16. Revestimento do clique para terminar a configuração do wizard.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-17.gif

  17. O clique entrega para executar os comandos. Verifique a configuração running da salvaguarda à caixa de verificação da configuração de inicialização do dispositivo se você quer salvar a configuração.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-18.gif

Configuração de CLI para o spoke

A configuração de CLI relacionada é mostrada aqui:

Spoke Router
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Configuração do hub usando Cisco CP

Uma aproximação passo a passo em como configurar o roteador de hub para o DMVPN é mostrada nesta seção.

  1. Vai configurar o > segurança > o VPN > o VPN multiponto dinâmico e selecionar a criação um hub em uma opção DMVPN. , Lançamento do clique a tarefa selecionada.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-19.gif

  2. Clique em Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-20.gif

  3. Selecione a opção de rede do hub and spoke e clique-a em seguida.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-21.gif

  4. Selecione o hub preliminar. Então, clique em seguida.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-22.gif

  5. Especifique os parâmetros da interface de túnel e clique avançado.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-23.gif

  6. Especifique os parâmetros do túnel e parâmetros NHRP. Então, APROVAÇÃO do clique.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-24.gif

  7. Especifique a opção baseada em sua instalação de rede.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-25.gif

  8. Selecione chaves pré-compartilhada e especifique as chaves pré-compartilhada. Então, clique em seguida.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-26.gif

  9. O clique adiciona a fim adicionar uma proposta IKE separada.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-27.gif

  10. Especifique a criptografia, a autenticação e os parâmetros da mistura. Então, APROVAÇÃO do clique.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-28.gif

  11. A política de IKE recém-criado pode ser considerada aqui. Clique em Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-29.gif

  12. O clique ao lado de continua com o padrão transforma o grupo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-30.gif

  13. Selecione o protocolo de roteamento exigido. Aqui, o OSPF é selecionado.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-31.gif

  14. Especifique clique identificação de processo de OSPF ID e de área adicionam a fim adicionar as redes a ser anunciadas pelo OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-32.gif

  15. Adicionar a rede de túnel e clique a APROVAÇÃO.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-33.gif

  16. Adicionar a rede privada atrás do roteador de hub e clique-a em seguida.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-34.gif

  17. Revestimento do clique para terminar a configuração do wizard.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-35.gif

  18. O clique entrega para executar os comandos.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-36.gif

Configuração de CLI para o hub

A configuração de CLI relacionada é mostrada aqui:

Roteador de Hub
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

Edite a configuração DMVPN usando o CCP

Você pode editar os parâmetros existentes do túnel DMVPN manualmente quando você seleciona a interface de túnel e o clique edita.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-37.gif

Os parâmetros da interface de túnel tais como o MTU e a chave do túnel, são alterados sob o tab geral.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-38.gif

  1. Os parâmetros relacionados NHRP são encontrados e alterados conforme a exigência sob a aba NHRP. Para um roteador do spoke, você deve poder ver NHS como o endereço IP de Um ou Mais Servidores Cisco ICM NT do roteador de hub. O clique adiciona na seção do mapa NHRP a fim adicionar o mapeamento NHRP.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-39.gif

  2. Segundo a instalação de rede, os parâmetros do mapeamento NHRP podem ser configurados como mostrado aqui:

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-40.gif

Os parâmetros relacionados do roteamento são vistos e alterados sob a aba do roteamento.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-41.gif

Mais informações

Os túneis DMVPN são configurados nestas duas maneiras:

  • Uma comunicação spoke-to-spoke através do hub

  • Uma comunicação spoke-to-spoke sem o hub

Neste documento, somente o primeiro método é discutido. A fim permitir o estabelecimento de túneis de IPsec dinâmicos spoke-to-spoke, esta aproximação é usada para adicionar falou à nuvem DMVPN:

  1. Lance o assistente DMVPN e selecione a opção de configuração de raio.

  2. Da janela de topologia da rede de DMVPN, selecione a opção completa da rede combinada em vez da opção de rede do hub and spoke.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-42.gif

  3. Termine o resto da configuração usando as mesmas etapas que as outras configurações neste documento.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 113265