Безопасность : Динамическая многоточечная VPN (DMVPN)

IOS/CCP: Динамическая многоточечная VPN с помощью Примера конфигурации Cisco Configuration Professional

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет пример конфигурации для туннеля Динамической многоточечной VPN (DMVPN) между концентратором и маршрутизаторами на конце луча с помощью Cisco Configuration Professional (CP Cisco). Динамическая многоточечная VPN является технологией, которая интегрирует другие понятия, такие как GRE, IP - безопасное шифрование, NHRP и Направляющий для предоставления комплексного решения, которое позволяет конечным пользователям связываться эффективно через динамично созданные Туннели IPSec конечного маршрутизатор - конечного маршрутизатора.

Предварительные условия

Требования

Для лучшей функциональности DMVPN рекомендуется выполнить Cisco Выпуск ПО IOS� 12.4 магистралей, 12.4T и позже.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Маршрутизатор Cisco IOS, серии 3800 с Выпуском ПО 12.4 (22)

  • Маршрутизатор Cisco IOS, серии 1800 с Выпуском ПО 12.3 (8)

  • Версия 2.5 Cisco Configuration Professional

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Этот документ предоставляет сведения, как настроить маршрутизатор как луч и другой маршрутизатор как использование концентратора CP Cisco. Первоначально конфигурацию оконечного устройства показывают, но позже в документе, связанная конфигурация концентратора, как также показывают, подробно предоставляет лучше понимание. Другие лучи могут также быть настроены с помощью аналогичного подхода для соединения с концентратором. Существующий сценарий использует эти параметры:

  • Открытая сеть маршрутизатора концентратора - 209.165.201.0

  • Туннельная сеть - 192.168.10.0

  • Используемый протокол маршрутизации - OSPF

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В настоящем документе используется следующая схема сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-01.gif

Использование Конфигурации оконечного устройства CP Cisco

Этот раздел показывает, как настроить маршрутизатор как луч с помощью пошагового мастера DMVPN в Cisco Configuration Professional.

  1. Чтобы запустить приложение CP Cisco и запустить мастера DMVPN, перейдите, Настраивают> Security> VPN> Динамическая многоточечная VPN. Затем выберите Create луч в опции DMVPN и нажмите Launch выбранная задача.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-02.gif

  2. Нажмите Next для начала.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-03.gif

  3. Выберите Hub и параметр Network Spoke и нажмите Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-04.gif

  4. Задайте дополнительные сведения Концентратора, такие как открытый интерфейс Маршрутизатора концентратора и туннельный интерфейс Маршрутизатора концентратора.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-05.gif

  5. Задайте подробные данные туннельного интерфейса луча и открытый интерфейс луча. Затем нажмите Advanced.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-06.gif

  6. Проверьте параметры туннеля и параметры NHRP, и удостоверьтесь, что они совпадают отлично к параметрам Концентратора.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-07.gif

  7. Задайте предварительный общий ключ и нажмите Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-08.gif

  8. Нажмите Add для добавления отдельного Предложения ike.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-09.gif

  9. Задайте шифрование, аутентификацию и хешируйте параметры. Затем нажмите кнопку ОК.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-10.gif

  10. Недавно созданный Набор правил IKE может быть замечен здесь. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-11.gif

  11. Нажмите Next, чтобы продолжить Набор преобразований По умолчанию.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-12.gif

  12. Выберите требуемый протокол маршрутизации. Здесь, OSPF выбран.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-13.gif

  13. Задайте ID процесса OSPF и Идентификатор зоны. Нажмите Add для добавления сетей, которые будут объявлены OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-14.gif

  14. Добавьте туннельную сеть и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-15.gif

  15. Добавьте частную сеть позади маршрутизатора на конце луча. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-16.gif

  16. Нажмите Finish для завершения настройки при помощи мастера.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-17.gif

  17. Нажмите Deliver для выполнения команд. Проверьте config выполнения Сохранения к флажку конфигурации запуска устройства, если вы хотите сохранить конфигурацию.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-18.gif

Конфигурация интерфейса командой строки для луча

Связанную конфигурацию интерфейса командой строки показывают здесь:

Оконечный маршрутизатор
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Использование Конфигурации концентратора CP Cisco

Пошаговый подход к тому, как настроить маршрутизатор концентратора для DMVPN, показывают в этом разделе.

  1. Перейдите Настраивают> Security> VPN> Динамическая многоточечная VPN и выбирают Create концентратор в опции DMVPN. Нажмите Launch выбранная задача.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-19.gif

  2. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-20.gif

  3. Выберите Hub и параметр Network Spoke и нажмите Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-21.gif

  4. Выберите Primary Hub. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-22.gif

  5. Задайте параметры Туннельного интерфейса и нажмите Advanced.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-23.gif

  6. Задайте параметры NHRP и Параметры туннеля. Затем нажмите кнопку ОК.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-24.gif

  7. Задайте опцию на основе своей сетевой установки.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-25.gif

  8. Выберите Pre-shared Keys и задайте предварительные общие ключи. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-26.gif

  9. Нажмите Add для добавления отдельного Предложения ike.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-27.gif

  10. Задайте шифрование, аутентификацию и хешируйте параметры. Затем нажмите кнопку ОК.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-28.gif

  11. Недавно созданный Набор правил IKE может быть замечен здесь. Нажмите кнопку Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-29.gif

  12. Нажмите Next, чтобы продолжить Набор преобразований По умолчанию.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-30.gif

  13. Выберите требуемый протокол маршрутизации. Здесь, OSPF выбран.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-31.gif

  14. Задайте ID процесса OSPF и Идентификатор зоны. Нажмите Add для добавления сетей, которые будут объявлены OSPF.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-32.gif

  15. Добавьте туннельную сеть и нажмите OK.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-33.gif

  16. Добавьте частную сеть позади Маршрутизатора концентратора и нажмите Next.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-34.gif

  17. Нажмите Finish для завершения настройки при помощи мастера.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-35.gif

  18. Нажмите Deliver для выполнения команд.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-36.gif

Конфигурация интерфейса командой строки для концентратора

Связанную конфигурацию интерфейса командой строки показывают здесь:

Центральный маршрутизатор
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

Отредактируйте Конфигурацию DMVPN с помощью CCP

Когда вы выбираете туннельный интерфейс и нажимаете Edit, можно отредактировать существующие параметры туннеля DMVPN вручную.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-37.gif

Параметры туннельного интерфейса, такие как MTU и Ключ туннеля, модифицируются под Вкладкой Общие.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-38.gif

  1. Связанные параметры NHRP находятся и модифицируются согласно требованию под вкладкой NHRP. Для маршрутизатора на конце луча, должна существовать возможность для просмотра NHS как IP-адрес Маршрутизатора концентратора. Нажмите Add в разделе Карты NHRP для добавления NHRP - маршрутизации.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-39.gif

  2. В зависимости от сетевой установки параметры NHRP - маршрутизации могут быть настроены как показано здесь:

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-40.gif

Связанные параметры маршрутизации просматриваются и модифицируются под вкладкой Routing.

http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-41.gif

Дополнительные сведения

Туннели DMVPN настроены этими двумя способами:

  • Связь конечного маршрутизатор - конечного маршрутизатора через концентратор

  • Связь конечного маршрутизатор - конечного маршрутизатора без концентратора

В этом документе только обсужден первый метод. Для разрешения установления конечного маршрутизатор - конечного маршрутизатора динамические Туннели IPSec этот подход используется для добавления луча к облаку DMVPN:

  1. Запустите мастера DMVPN и выберите опцию Конфигурации оконечного устройства.

  2. От Окна топологии Сети DMVPN выберите опцию Полносвязной ячеистой сети вместо Концентратора и Лучевого параметра Network.

    http://www.cisco.com/c/dam/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/113265-dmvpn-ccp-router-42.gif

  3. Завершенный остаток конфигурации с помощью тех же шагов в качестве других конфигураций в этом документе.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.


Дополнительные сведения


Document ID: 113265