7/21/2019 57435920-labocisco-2009-LE-DMVPN
1/11
www.labo-cisco.com
Le DMVPN
Redaction: DELOURME Olivier
27 09 2009
7/21/2019 57435920-labocisco-2009-LE-DMVPN
2/11
Le DMVPNDELOURME Olivier
27/09/2009
www.labo-cisco.com Page 2 sur 11
SOMMAIRE
Introduction .............................................................................................................................................. 3
Prsentation des diffrentes technologies utilises ................................................................................ 3
Mise en situation ...................................................................................................................................... 4
7/21/2019 57435920-labocisco-2009-LE-DMVPN
3/11
Le DMVPNDELOURME Olivier
27/09/2009
www.labo-cisco.com Page 3 sur 11
INTRODUCTION
Il est devenu ais de crer des rseaux virtuels priv IPsec (VPN IPsec). Cependant, ce type de
configuration souffre de certaines limitations concernant leur administration ainsi que leurmaintenance, notamment des suivantes.
En premier lieu, chaque ajout de nouveaux sites, il faut non seulement configurer les quipements
sur les sites distants mais galement apporter des modifications consquentes la configuration des
quipements en production du site principal. La configuration de ce dernier site peut, partir de
quelques sites distants, devenir rapidement illisible, ce qui prsente un rel problme dvolutivit.
De plus, sil est ncessaire dintroduire la communication inter-site dans le but dobtenir un rseau
virtuel priv totalement maill (dit full meshed ) en liaisons IPsec, le nombre de tunnels crer
augmente de manire considrable et chaque ajout dun nouvel quipement, il faudra modifier nouveau la configuration de chaque routeur.
Les VPNs IPsec multipoints dynamiques (Dynamic Multipoint VPN, DMVPN) permettent de dployer
rapidement un grand nombre de sites de manire scurise et volutive. DMVPN correspond en fait
un ensemble de technologies telles quIPsec, mGRE et NHRP qui, combines, facilitent le
dploiement de rseaux privs virtuels IPsec. De ce fait, DMVPN permet de rsoudre les deux
problmes cits prcdemment : dune part, la configuration du site principal une fois tablie
demeurera inchange, mais dautre part, la cration des tunnels entre site distants se fait de manire
entirement automatise et dynamique.
PRESENTATION DES DIFFERENTES TECHNOLOGIES UTILISEES
DMVPN et en fait une combinaison des technologies suivantes :
IPsec
Le protocole IPsec va nous permettre de chiffrer les informations qui transiteront entre les sites.
mGRE (mutipoint Generic Routing Encapsulation)
GRE permet dencapsuler des paquets multicast dans un tunnel.
Le m signifie que les tunnels crs entre les sites seront multipoint, c'est--dire que pour chaque
interface tunnel dun routeur, plusieurs tunnels seront attribus.
7/21/2019 57435920-labocisco-2009-LE-DMVPN
4/11
Le DMVPNDELOURME Olivier
27/09/2009
www.labo-cisco.com Page 4 sur 11
NHRP(Next Hop Resolution Protocol)
Ce protocole permet aux sites distants de faire connaitre ladresse IP de linterface servant monter le
tunnel GRE avec le serveur. Le serveur conservera cette information pour tous les sites distants, afin
de leur permettre dobtenir ladresse de leur voisin pour monter des tunnels directs.
OSPF(Open Shortest Path First)
OSPF (protocole de routage) permet aux sites distants dannoncer leur rseau local au site central, et
au site central de propager la totalit de ces routes aux sites distants.
Hub et Spoke
Les sites sont appels hub ou spoke , selon quils jouent respectivement le rle de site central
ou de site distant. Le site central (hub) fait office de serveur NHRP et de routeur principal (Designated
Router) OSPF.
MISE EN SITUATION
Nous allons configurer un hub et 2 spokes passant par internet (simul pour un routeur).
7/21/2019 57435920-labocisco-2009-LE-DMVPN
5/11
Le DMVPNDELOURME Olivier
27/09/2009
www.labo-cisco.com Page 5 sur 11
- Configuration d Internet
Configuration des interfaces
Internet>enable
Internet #conf t
Internet (config)#int F0/0
Internet (config-if)#ip address 80.0.0.11 255.255.255.0
Internet (config-if)#no sh
Internet (config-if)#exit
Internet (config)#int F1/0
Internet (config-if)#ip address 192.168.1.11 255.255.255.0
Internet (config-if)#no sh
Internet (config-if)#exit
Internet (config)#int F2/0
Internet (config-if)#ip address 172.16.1.12 255.255.255.0
Internet (config-if)#no sh
Internet (config-if)#exit
- Configuration du Hub
Configuration de linterface F0/0
HUB>enable
HUB#conf t
HUB(config)#int F0/0
HUB(config-if)#ip address 80.0.0.1 255.255.255.0
HUB(config-if)#no sh
HUB(config-if)#exit
7/21/2019 57435920-labocisco-2009-LE-DMVPN
6/11
Le DMVPNDELOURME Olivier
27/09/2009
www.labo-cisco.com Page 6 sur 11
Cration de la police isakmp et de la cl pr-share
!on active isakmp
HUB(config)#crypto isakmp enable
HUB(config)#crypto isakmp policy 1
!utilisation dune cl pr-share
HUB(config-isakmp)#authentication pre-share
HUB(config-isakmp)#exit
!dfinition de la cl pr-share en ne prcisant pas un peer IPsec spcial afin quelle soit utilise par
tous les peers qui contactent le hub et puissent crer un tunnel.
HUB(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0
Cration et configuration du profil IPsec
!cration de la transform-set IPSec
HUB(config)#crypto ipsec transform-set dmvpnset esp-3des esp-md5-hmac
HUB(cfg-crypto-trans)#mode transport
HUB(config)#crypto ipsec profile ipsec_profil
!on associe la transform-set au profil cr
HUB(config-crypto-map)#set transform-set dmvpnset
Configuration de linterface du tunnel
HUB(config)#int tunnel 0
!dfinition de lip de linterface du tunnel
HUB(config-if)# ip address 10.0.0.1 255.255.255.0
!dfinition de la bande passante
HUB(config-if)# bandwidth 1000
!dfinition du mtu (Maximum Transmission Unit)
HUB(config-if)# ip mtu 1400
HUB(config-if)# delay 1000
7/21/2019 57435920-labocisco-2009-LE-DMVPN
7/11
Le DMVPNDELOURME Olivier
27/09/2009
www.labo-cisco.com Page 7 sur 11
HUB(config-if)# ip nhrp holdtime 450
!configure la cl dauthencification nhrpde linterface
HUB(config-if)# ip nhrp authentication nhrp_key
!autorise nhrp ajouter automatiquement des spokes au mapping nhrp multicast
HUB(config-if)#ip nhrp map multicast dynamic
!active nhrp sur linterface
HUB(config-if)# ip nhrp network-id 99
!ajuste le mss (Maximum Segment Size)
HUB(config-if)# ip tcp adjust-mss 1360
!dfinition de linterface source pour linterface du tunnel
HUB(config-if)# tunnel source F0/0
HUB(config-if)# tunnel key 100000
!dfinition du mode dencapsulation mGRE pour linterface du tunnel
HUB(config-if)# tunnel mode gre multipoint
!associe le profil IPsec linterface du tunnel
HUB(config-if)# tunnel protection ipsec profile ipsec_profil
Dclaration des networks OSPF
HUB(config)#router ospf 10
HUB(router-config)#network 10.0.0.0 0.0.0.255 area 100
Cration de la route vers Internet
HUB(config)#ip route 0.0.0.0 0.0.0.0 80.0.0.11
- Configuration des spokes
Configuration de linterface F1/0
Les commandes suivantes sont excuter sur chaque spoke.
7/21/2019 57435920-labocisco-2009-LE-DMVPN
8/11
Le DMVPNDELOURME Olivier
27/09/2009
www.labo-cisco.com Page 8 sur 11
Spoke S1
S1>enable
S1#conf t
S1(config)#int F1/0
S1(config-if)#ip address 192.168.1.101 255.255.255.0
S1(config-if)#no sh
S1(config-if)#exit
Spoke S2
S2>enable
S2#conf t
S2(config)#int F1/0
S2(config-if)#ip address172.16.1.2 255.255.255.0
S2(config-if)#no sh
S2(config-if)#exit
Cration de la cl pr-share (identique sur S1 et S2)
S1(config)#crypto isakmp enable
S1(config)#crypto isakmp policy 1
S1(config-isakmp)#authentication pre-share
S1(config-isakmp)#exit
S1(config)#crypto isakmp key 0 cisco address 0.0.0.0 0.0.0.0
Cration et configuration du profil IPsec (identique sur S1 ou S2)
S1(config)#crypto ipsec transform-set dmvpnset esp-3des esp-md5-hmac
S1(config)#mode transport
S1(config)#crypto ipsec profile ipsec_profil
S1(config-crypto-map)#set transform-set dmvpnset
7/21/2019 57435920-labocisco-2009-LE-DMVPN
9/11
Le DMVPNDELOURME Olivier
27/09/2009
www.labo-cisco.com Page 9 sur 11
Configuration de linterface du tunnel
Spoke S1
S1(config)#int tunnel 0
S1(config-if)# ip address 10.0.0.2 255.255.255.0
S1(config-if)# bandwidth 1000
S1(config-if)# ip mtu 1400
S1(config-if)# delay 1000
S1(config-if)# ip nhrp holdtime 450
S1(config-if)# ip nhrp authentication nhrp_key
!dfinition du serveur nhrp au hub 10.0.0.1 mapp sur ladresse fixe 80.0.0.1
S1(config-if)# ip nhrp map 10.0.0.1 80.0.0.1
!envoi des parquets multicast au hub, activation du routage dynamique entre hub et spokes
S1(config-if)# ip nhrp map multicast 80.0.0.1
!configure le hub comme nhrp next hop serveur
S1(config-if)#ip nhrp nhs 10.0.0.1
S1(config-if)# ip nhrp network-id 99
S1(config-if)# ip tcp adjust-mss 1360
S1(config-if)# tunnel source F1/0
S1(config-if)# tunnel key 100000
S1(config-if)# tunnel mode gre multipoint
S1(config-if)# tunnel protection ipsec profile ipsec_profil
Spoke S2
S2(config)#int tunnel 0
S2(config-if)# ip address 10.0.0.3 255.255.255.0
S2(config-if)# bandwidth 1000
S2(config-if)# ip mtu 1400
S2(config-if)# delay 1000
S2(config-if)# ip nhrp holdtime 450
7/21/2019 57435920-labocisco-2009-LE-DMVPN
10/11
Le DMVPNDELOURME Olivier
27/09/2009
www.labo-cisco.com Page 10 sur 11
S2(config-if)# ip nhrp authentication nhrp_key
S2(config-if)# ip nhrp map 10.0.0.1 80.0.0.1
S2(config-if)# ip nhrp map multicast 80.0.0.1
S2(config-if)#ip nhrp nhs 10.0.0.1
S2(config-if)# ip nhrp network-id 99
S2(config-if)# ip tcp adjust-mss 1360
S2(config-if)# tunnel source F1/0
S2(config-if)# tunnel key 100000
S2(config-if)# tunnel mode gre multipoint
S2(config-if)# tunnel protection ipsec profile ipsec_profil
Dclaration des networks OSPF(identique sur S1 et S2)
S1(config)#router ospf 10
S1(router-config)#network 10.0.0.0 0.0.0.255 area 100
Cration de la route vers Internet
Spoke S1
S1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.11
Spoke S2
S2(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.12
7/21/2019 57435920-labocisco-2009-LE-DMVPN
11/11
Le DMVPNDELOURME Olivier
27/09/2009
www.labo-cisco.com Page 11 sur 11
www.labo-cisco.com
Retrouvez nos autres laboratoires:
Labo MicrosoftLabo.NetLabo AppleLabo OracleLabo LinuxLabo IBMLabo Mandriva
http://www.labo-microsoft.com/http://www.labo-dotnet.com/http://www.labo-ibm.com/http://www.labo-mandriva.com/http://www.labo-microsoft.com/http://www.labo-dotnet.com/http://www.labo-apple.com/http://www.labo-oracle.com/http://www.labo-linux.org/http://www.labo-ibm.com/http://www.labo-mandriva.com/http://www.labo-mandriva.com/http://www.labo-ibm.com/http://www.labo-linux.org/http://www.labo-oracle.com/http://www.labo-apple.com/http://www.labo-dotnet.com/http://www.labo-microsoft.com/Top Related