Sécurité : VPN multipoint dynamique (DMVPN)

IOS/CCP : VPN multipoint dynamique utilisant l'exemple de configuration de Cisco Configuration Professional

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit une configuration d'échantillon pour le tunnel de VPN multipoint dynamique (DMVPN) entre les Routeurs de hub and spoke utilisant le Cisco Configuration Professional (Cisco CP). Le VPN multipoint dynamique est une technologie qui intègre différents concepts tels que GRE, chiffrement IPSec, NHRP et routage pour fournir une solution sophistiquée qui permet aux utilisateurs finaux pour communiquer efficacement par les tunnels dynamiquement créés d'IPSec de spoke-to-spoke.

Conditions préalables

Conditions requises

Pour la meilleure fonctionnalité DMVPN, il est recommandé que vous exécutez la version de logiciel 12.4 mainline,12.4T de ½ du ¿  de Cisco IOSï et plus tard.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Gamme 3800 de routeur Cisco IOS avec la version de logiciel 12.4 (22)

  • Gamme 1800 de routeur Cisco IOS avec la version de logiciel 12.3 (8)

  • Version 2.5 de Cisco Configuration Professional

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Ce document fournit des informations comment configurer un routeur comme rai et un routeur différent comme hub utilisant Cisco CP. Au commencement la configuration en étoile est affichée, mais plus tard dans le document, la configuration associée par hub est également affichée en détail pour fournir une meilleure compréhension. D'autres rais peuvent également être configurés utilisant l'approche semblable pour se connecter au hub. Le scénario actuel utilise ces paramètres :

  • Réseau public de routeur concentrateur - 209.165.201.0

  • Réseau de tunnel - 192.168.10.0

  • Protocole de routage utilisé - OSPF

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-01.gif

Configuration en étoile utilisant Cisco CP

Cette section affiche comment configurer un routeur comme rai utilisant l'assistant du pas à pas DMVPN dans le Cisco Configuration Professional.

  1. Afin de commencer l'application de Cisco CP et lancer l'assistant DMVPN, allez configurer > Sécurité > VPN > VPN multipoint dynamique. Puis, sélectionnez la création un rai dans une option DMVPN et cliquez sur le lancement la tâche sélectionnée.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-02.gif

  2. Le clic à côté de commencent.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-03.gif

  3. Sélectionnez l'option Network de hub and spoke et cliquez sur Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-04.gif

  4. Spécifiez les informations relatives de hub, telles que l'interface publique du routeur concentrateur et l'interface de tunnel du routeur concentrateur.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-05.gif

  5. Spécifiez les détails d'interface de tunnel du rai et l'interface publique du rai. Puis, cliquez sur avancé.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-06.gif

  6. Vérifiez les paramètres de tunnel et les paramètres de NHRP, et assurez-vous qu'ils s'assortissent parfaitement aux paramètres de hub.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-07.gif

  7. Spécifiez la clé pré-partagée et cliquez sur Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-08.gif

  8. Cliquez sur Add afin d'ajouter une proposition distincte d'IKE.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-09.gif

  9. Spécifiez le cryptage, l'authentification et les paramètres d'informations parasites. Puis, cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-10.gif

  10. La stratégie IKE de création récente peut être vue ici. Cliquez sur Next (Suivant).

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-11.gif

  11. Le clic à côté de continuent le jeu de transformations par défaut.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-12.gif

  12. Sélectionnez le protocole de routage requis. Ici, l'OSPF est sélectionné.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-13.gif

  13. Spécifiez l'ID de processus OSPF et l'identification de zone cliquent sur Add afin d'ajouter les réseaux à annoncer par OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-14.gif

  14. Ajoutez le réseau de tunnel et cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-15.gif

  15. Ajoutez le réseau privé derrière le routeur en étoile. Cliquez ensuite sur Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-16.gif

  16. Cliquez sur Finish pour se terminer la configuration d'assistant.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-17.gif

  17. Le clic livrent pour exécuter les commandes. Cochez la configuration en cours de sauvegarde dans la case de démarrage du config du périphérique si vous voulez sauvegarder la configuration.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-18.gif

Configuration CLI pour le rai

La configuration relative CLI est affichée ici :

Routeur en étoile
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Configuration de hub utilisant Cisco CP

Une approche pas à pas sur la façon dont configurer le routeur concentrateur pour le DMVPN est affichée dans cette section.

  1. Allez configurer > Sécurité > VPN > VPN multipoint dynamique et sélectionner la création un hub dans une option DMVPN. , Lancement de clic la tâche sélectionnée.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-19.gif

  2. Cliquez sur Next (Suivant).

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-20.gif

  3. Sélectionnez l'option Network de hub and spoke et cliquez sur Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-21.gif

  4. Concentrateur principal choisi. Cliquez ensuite sur Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-22.gif

  5. Spécifiez les paramètres d'interface de tunnel et cliquez sur avancé.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-23.gif

  6. Spécifiez les paramètres de tunnel et les paramètres de NHRP. Puis, cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-24.gif

  7. Spécifiez l'option basée sur votre configuration réseau.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-25.gif

  8. Sélectionnez les clés pré-partagées et spécifiez les clés pré-partagées. Cliquez ensuite sur Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-26.gif

  9. Cliquez sur Add afin d'ajouter une proposition distincte d'IKE.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-27.gif

  10. Spécifiez le cryptage, l'authentification et les paramètres d'informations parasites. Puis, cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-28.gif

  11. La stratégie IKE de création récente peut être vue ici. Cliquez sur Next (Suivant).

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-29.gif

  12. Le clic à côté de continuent le jeu de transformations par défaut.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-30.gif

  13. Sélectionnez le protocole de routage requis. Ici, l'OSPF est sélectionné.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-31.gif

  14. Spécifiez l'ID de processus OSPF et l'identification de zone cliquent sur Add afin d'ajouter les réseaux à annoncer par OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-32.gif

  15. Ajoutez le réseau de tunnel et cliquez sur OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-33.gif

  16. Ajoutez le réseau privé derrière le routeur concentrateur et cliquez sur Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-34.gif

  17. Cliquez sur Finish pour se terminer la configuration d'assistant.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-35.gif

  18. Le clic livrent pour exécuter les commandes.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-36.gif

Configuration CLI pour le hub

La configuration relative CLI est affichée ici :

Routeur concentrateur
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

Éditez la configuration DMVPN utilisant le CCP

Vous pouvez éditer les paramètres existants de tunnel DMVPN manuellement quand vous sélectionnez l'interface de tunnel et cliquez sur Edit.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-37.gif

Des paramètres d'interface de tunnel tels que le MTU et le tunnel key, sont modifiés sous l'onglet Général.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-38.gif

  1. Des paramètres associés par NHRP sont trouvés et modifiés selon la condition requise sous l'onglet de NHRP. Pour un routeur en étoile, vous devriez pouvoir visualiser NHS comme adresse IP du routeur concentrateur. Cliquez sur Add dans la section de carte de NHRP afin d'ajouter le mappage de NHRP.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-39.gif

  2. Selon la configuration réseau, des paramètres de mappage de NHRP peuvent être configurés comme affiché ici :

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-40.gif

Les paramètres associés par routage sont visualisés et modifiés sous l'onglet de routage.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-41.gif

Plus d'informations

Les tunnels DMVPN sont configurés de ces deux manières :

  • Transmission de spoke-to-spoke par le hub

  • Transmission de spoke-to-spoke sans hub

Dans ce document, seulement la première méthode est discutée. Afin de permettre l'établissement des tunnels dynamiques d'IPSec de spoke-to-spoke, cette approche est utilisée pour ajouter a parlé au nuage DMVPN :

  1. Lancez l'assistant DMVPN et sélectionnez l'option de configuration en étoile.

  2. De la fenêtre Topologie du réseau DMVPN, sélectionnez la pleine option de réseau maillé au lieu de l'option Network de hub and spoke.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-42.gif

  3. Terminez-vous le reste de la configuration utilisant les mêmes étapes que les autres configurations dans ce document.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.


Informations connexes


Document ID: 113265