Seguridad : VPN dinámica multipunto (DMVPN)

IOS/CCP: VPN de múltiples puntos dinámico usando el ejemplo de configuración del Cisco Configuration Professional

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona una configuración de muestra para el túnel del Dynamic Multipoint VPN (DMVPN) entre el Routers del hub and spoke que usa al Cisco Configuration Professional (Cisco CP). Dynamic Multipoint VPN es una tecnología que integra diversos conceptos como GRE, encripción de IPSec, NHRP y Ruteo para proporcionar una solución sofisticada que permita a los usuarios finales comunicarse con eficacia a través de los túneles IPsec spoke al spoke creados dinámicamente.

prerrequisitos

Requisitos

Para las mejores funciones DMVPN, se recomienda que usted funciona con el Software Release 12.4 mainline,12.4T del ½ del ¿Â de Cisco IOSï y posterior.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • 3800 Series del router del Cisco IOS con el Software Release 12.4 (22)

  • 1800 Series del router del Cisco IOS con el Software Release 12.3 (8)

  • Versión 2.5 del Cisco Configuration Professional

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Este documento proporciona la información cómo configurar un router como spoke y a otro router como concentrador usando Cisco CP. La configuración radial se muestra inicialmente, pero más adelante en el documento, la configuración relacionada del concentrador también se muestra detalladamente para proporcionar una mejor comprensión. El otro spokes se puede también configurar usando el acercamiento similar para conectar con el concentrador. El actual escenario utiliza estos parámetros:

  • Red pública del router de eje de conexión - 209.165.201.0

  • Red de túneles - 192.168.10.0

  • Routing Protocol usado - OSPF

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-01.gif

Configuración radial usando Cisco CP

Esta sección muestra cómo configurar a un router como spoke usando el Asisitente gradual DMVPN en el Cisco Configuration Professional.

  1. Para comenzar la aplicación de Cisco CP y iniciar al Asisitente DMVPN, vaya al > Security (Seguridad) de la configuración > al VPN > VPN de múltiples puntos dinámico. Entonces, seleccione el crear un spoke en una opción DMVPN y haga clic el lanzamiento la tarea seleccionada.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-02.gif

  2. El tecleo al lado de comienza.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-03.gif

  3. Seleccione la opción de red del hub and spoke y haga clic después.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-04.gif

  4. Especifique la información relacionada del concentrador, tal como interfaz pública del router de eje de conexión y interfaz del túnel del router de eje de conexión.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-05.gif

  5. Especifique los detalles de la interfaz del túnel del spoke y la interfaz pública del spoke. Entonces, tecleo avanzado.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-06.gif

  6. Verifique los parámetros del túnel y los parámetros NHRP, y aseegurese los hacen juego perfectamente a los parámetros del concentrador.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-07.gif

  7. Especifique la clave previamente compartida y haga clic después.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-08.gif

  8. El tecleo agrega para agregar una propuesta IKE separada.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-09.gif

  9. Especifique el cifrado, la autenticación y los parámetros del hash. Entonces, AUTORIZACIÓN del tecleo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-10.gif

  10. La política IKE creada recientemente se puede considerar aquí. Haga clic en Next (Siguiente).

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-11.gif

  11. El tecleo al lado de continúa con el valor por defecto transforma el conjunto.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-12.gif

  12. Seleccione el Routing Protocol requerido. Aquí, se selecciona el OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-13.gif

  13. Especifique tecleo identificación del proceso OSPF ID y de área agregan para agregar las redes que se harán publicidad por el OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-14.gif

  14. Agregue la red de túneles y haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-15.gif

  15. Agregue la red privada detrás del router radial. Entonces, haga clic después.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-16.gif

  16. Clic en Finalizar para completar la configuración del asistente.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-17.gif

  17. El tecleo entrega para ejecutar los comandos. Marque los config corrientes de la salvaguardia a la casilla de verificación de la configuración de inicialización del dispositivo si usted quiere salvar la configuración.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-18.gif

Configuración CLI para el spoke

La configuración CLI relacionada se muestra aquí:

Router spoke
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Configuración del hub usando Cisco CP

Un acercamiento gradual en cómo configurar al router de eje de conexión para el DMVPN se muestra en esta sección.

  1. Va al > Security (Seguridad) de la configuración > al VPN > el VPN de múltiples puntos dinámico y selecciona el crear un concentrador en una opción DMVPN. , Lanzamiento del tecleo la tarea seleccionada.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-19.gif

  2. Haga clic en Next (Siguiente).

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-20.gif

  3. Seleccione la opción de red del hub and spoke y haga clic después.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-21.gif

  4. Seleccione el hub primario. Entonces, haga clic después.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-22.gif

  5. Especifique los parámetros de la interfaz del túnel y haga clic avanzado.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-23.gif

  6. Especifique los parámetros del túnel y los parámetros NHRP. Entonces, AUTORIZACIÓN del tecleo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-24.gif

  7. Especifique la opción basada en su configuración de la red.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-25.gif

  8. Seleccione las claves previamente compartidas y especifique las claves previamente compartidas. Entonces, haga clic después.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-26.gif

  9. El tecleo agrega para agregar una propuesta IKE separada.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-27.gif

  10. Especifique el cifrado, la autenticación y los parámetros del hash. Entonces, AUTORIZACIÓN del tecleo.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-28.gif

  11. La política IKE creada recientemente se puede considerar aquí. Haga clic en Next (Siguiente).

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-29.gif

  12. El tecleo al lado de continúa con el valor por defecto transforma el conjunto.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-30.gif

  13. Seleccione el Routing Protocol requerido. Aquí, se selecciona el OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-31.gif

  14. Especifique tecleo identificación del proceso OSPF ID y de área agregan para agregar las redes que se harán publicidad por el OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-32.gif

  15. Agregue la red de túneles y haga clic la AUTORIZACIÓN.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-33.gif

  16. Agregue la red privada detrás del router de eje de conexión y haga clic después.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-34.gif

  17. Clic en Finalizar para completar la configuración del asistente.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-35.gif

  18. El tecleo entrega para ejecutar los comandos.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-36.gif

Configuración CLI para el concentrador

La configuración CLI relacionada se muestra aquí:

Router del eje de conexión
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

Edite la configuración DMVPN usando el CCP

Usted puede editar los parámetros existentes del túnel DMVPN manualmente cuando usted selecciona la interfaz del túnel y el tecleo edita.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-37.gif

Los parámetros de la interfaz del túnel tales como MTU y clave del túnel, se modifican conforme a la ficha general.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-38.gif

  1. Los parámetros relacionados NHRP se encuentran y se modifican según el requisito bajo lengueta NHRP. Para un router radial, usted debe poder ver el NHS como la dirección IP del router de eje de conexión. El tecleo agrega en la sección del mapa NHRP para agregar el mapeo NHRP.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-39.gif

  2. Dependiendo de la configuración de la red, los parámetros del mapeo NHRP se pueden configurar como se muestra aquí:

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-40.gif

Los parámetros relacionados de la encaminamiento se ven y se modifican bajo lengueta de la encaminamiento.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-41.gif

Más información

Los túneles DMVPN se configuran de estas dos maneras:

  • Comunicación del spoke al spoke a través del concentrador

  • Comunicación del spoke al spoke sin el concentrador

En este documento, solamente se discute el primer método. Para permitir el establecimiento de túneles IPsec dinámicos del spoke al spoke, este acercamiento se utiliza para agregar habló a la nube DMVPN:

  1. Inicie al Asisitente DMVPN y seleccione la opción de configuración radial.

  2. De la ventana de topología de la red DMVPN, seleccione la opción completa de la red mallada en vez de la opción de red del hub and spoke.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-42.gif

  3. Complete el resto de la configuración usando los mismos pasos que las otras configuraciones en este documento.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.


Información Relacionada


Document ID: 113265