Configuracion DMVPN

Enviado por lesand el Lun, 28/05/2018 - 15:24
Configuracion DMVPN

DMVPN

Configuración del HUB (RT1)

RT1(config)#interface Loopback0
RT1(config-if)# ip address 192.168.1.1 255.255.255.0

RT1(config-if)#interface FastEthernet0/0
RT1(config-if)# ip address 200.200.201.2 255.255.255.0
RT1(config-if)# no shut

RT1(config-if)#interface Tunnel0
RT1(config-if)# ip address 10.0.0.1 255.0.0.0
RT1(config-if)# tunnel source FastEthernet0/0
RT1(config-if)# tunnel mode gre multipoint
RT1(config-if)# ip nhrp network-id 1
RT1(config-if)# ip nhrp map multicast dynamic

RT1(config-if)#router eigrp 100
RT1(config-router)# network 10.0.0.0
RT1(config-router)# network 192.168.1.0

RT1(config-router)#ip route 0.0.0.0 0.0.0.0 200.200.201.1

Configuración de los Spoke

RT2(config)#interface Loopback0
RT2(config-if)# ip address 192.168.2.1 255.255.255.0

RT2(config-if)#interface FastEthernet0/0
RT2(config-if)# ip address 200.200.202.2 255.255.255.0
RT2(config-if)# no shut

RT2(config-if)#interface Tunnel0
RT2(config-if)# ip address 10.0.0.2 255.0.0.0
RT2(config-if)# tunnel source FastEthernet0/0
RT2(config-if)# tunnel mode gre multipoint
RT2(config-if)# ip nhrp network-id 1
RT2(config-if)# ip nhrp nhs 10.0.0.1
RT2(config-if)# ip nhrp map 10.0.0.1 200.200.201.2
RT2(config-if)# ip nhrp map multicast 200.200.201.2

RT2(config-if)#router eigrp 100
RT2(config-router)# network 10.0.0.0
RT2(config-router)# network 192.168.2.0
RT2(config-router)#ip route 0.0.0.0 0.0.0.0 200.200.202.1

Luego, al revisar las rutas aprendidas en los spoke, podemos notar que las redes entre los spoke no se ven, esto se debe a que se encuentra habilitado el split-horizont en el HUB.

RT2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 200.200.202.1 to network 0.0.0.0

C    200.200.202.0/24 is directly connected, FastEthernet0/0
C    10.0.0.0/8 is directly connected, Tunnel0
D    192.168.1.0/24 [90/297372416] via 10.0.0.1, 00:01:52, Tunnel0
C    192.168.2.0/24 is directly connected, Loopback0
S*   0.0.0.0/0 [1/0] via 200.200.202.1

Desactivando el split-horizon en el HUB, se pueden visualizar las todas las LAN.

RT1(config)#int t0
RT1(config-if)#no ip split-horizon eigrp 100

RT2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 200.200.202.1 to network 0.0.0.0

C    200.200.202.0/24 is directly connected, FastEthernet0/0
C    10.0.0.0/8 is directly connected, Tunnel0
D    192.168.1.0/24 [90/297372416] via 10.0.0.1, 00:05:22, Tunnel0
C    192.168.2.0/24 is directly connected, Loopback0
D    192.168.3.0/24 [90/310172416] via 10.0.0.1, 00:00:43, Tunnel0
D    192.168.4.0/24 [90/310172416] via 10.0.0.1, 00:00:44, Tunnel0
S*   0.0.0.0/0 [1/0] via 200.200.202.1

Como se observa en la tabla de rutas anterior, para comunicarse entre los Spoke es necesario pasar a través del HUB, para evitar esto y tener comunicación directa entre los HUB, quitamos la opción de que cambia el siguiente salto en el HUB.

RT1(config)#int t0
RT1(config-if)#no ip next-hop-self eigrp 100

A continuación, se puede observar que la comunicación entre los spoke se realiza de forma directa.

RT1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 200.200.201.1 to network 0.0.0.0

C    200.200.201.0/24 is directly connected, FastEthernet0/0
C    10.0.0.0/8 is directly connected, Tunnel0
C    192.168.1.0/24 is directly connected, Loopback0
D    192.168.2.0/24 [90/297372416] via 10.0.0.2, 00:05:08, Tunnel0
D    192.168.3.0/24 [90/297372416] via 10.0.0.3, 00:05:08, Tunnel0
D    192.168.4.0/24 [90/297372416] via 10.0.0.3, 00:05:08, Tunnel0
S*   0.0.0.0/0 [1/0] via 200.200.201.1

Para finalizar, configuraremos IPSEC para proteger los túneles GRE

RT1(config)#crypto isakmp policy 10
RT1(config-isakmp)# encr 3des
RT1(config-isakmp)# authentication pre-share
RT1(config-isakmp)# group 5
RT1(config-isakmp)# lifetime 3600
RT1(config-isakmp)#crypto isakmp key ASDCLAVE address 0.0.0.0

RT1(config)#crypto ipsec transform-set TSET ah-sha-hmac esp-3des
RT1(cfg-crypto-trans)# mode transport
RT1(cfg-crypto-trans)#crypto isakmp policy 10
RT1(config-isakmp)# encr 3des
RT1(config-isakmp)# authentication pre-share
RT1(config-isakmp)# group 5
RT1(config-isakmp)# lifetime 3600
RT1(config-isakmp)#crypto isakmp key ASDCLAVE address 0.0.0.0

RT1(config)#crypto ipsec transform-set TSET ah-sha-hmac esp-3des
RT1(cfg-crypto-trans)# mode transport
RT1(cfg-crypto-trans)#crypto ipsec profile ASD
RT1(ipsec-profile)# set transform-set TSET
RT1(ipsec-profile)#int t0
RT1(config-if)# tunnel protection ipsec profile ASD

A continuación, visualizamos si los túneles IPSec se encuentran activos.

RT1#SHow CRYpto IPsec SA

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 200.200.201.2

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (200.200.201.2/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (200.200.202.2/255.255.255.255/47/0)
   current_peer 200.200.202.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 13, #pkts encrypt: 13, #pkts digest: 13
    #pkts decaps: 10, #pkts decrypt: 10, #pkts verify: 10
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0

     local crypto endpt.: 200.200.201.2, remote crypto endpt.: 200.200.202.2
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
     current outbound spi: 0xB492F6F8(3029530360)

     inbound esp sas:
      spi: 0xD893170C(3633518348)
        transform: esp-3des ,