Parcurgand Certification Guide-urile pentru ICND1 100-105 si ICND2 200-105, am fost incantat sa descopar ca CCNA v3 vine cu subiecte noi, interesante si ceva mai relevante fata de versiunea precedenta. Totusi, multe dintre subiectele noi sunt tratate la nivel de discutie generala, fara a intra foarte mult in detalii sau comenzi de configurare. Acest lucru te poate lasa cu sentimentul acela de mancarime nescarpinata. :D
Printre discutiile noi se afla si cea despre DMVPN (Dynamic Multipoint VPN) (Partea III, Capitolul 15), ceea ce este foarte frumos. Din pacate, cum am spus si anterior, nu se intra foarte mult in detalii de configurare, ceea ce nu mai este un lucru foarte frumos. Prin urmare, in laboratorul de azi voi incerca la un nivel de baza, sa configurez o topologie de acest tip.
Configurarea DMVPN se bazeaza pe protocolul numit Next Hop Resolution Protocol (NHRP), care functioneaza in felul urmator:
- O locatie din tunelul multipoint este configurata ca Hub si ca NHRP Server.
- Celelalte locatii vor fi de tip Spoke, iar initial pot comunica doar cu Hub-ul.
- Spoke-urile se inregistreaza la NHRP Server, trimitand o mapare intre IP-ul sursa al interfetei Tunel si IP-ul configurat pe interfata Tunel.
- Hub-ul trimite informatia catre Spoke-uri, astfel incat atunci cand acestea vor sa discute intre ele, sa nu fie necesar ca traficul sa treaca prin el.
Pentru a intelege cum functioneaza NHRP, va recomand sa aruncati o privire aici.
Sper sa nu gresesc foarte mult daca spun ca intr-un fel, protocoul NHRP se aseamana cu protocolul ARP.
Acestea fiind spuse, locul de joaca arata cam asa:
Laboratorul configurat, poate fi descarcat de aici.
Quick hint: Am ales sa nu mai postez configuratiile ca screenshot-uri ci ca text pentru a va oferi posibilitatea de a le copia si a le edita intr-un notepad sau de a le pune direct pe echipamentele din topologiile voastre. Spor! :)
Frumusetea solutiei vine din faptul ca ea poate sa fie configurata peste orice tehnologie de acces la internet.
In acest laborator, rutarea in backbone-ul ISP-ului s-a facut folosind OSPF.
Sa visam frumos si sa presupunem ca avem de configurat DMVPN pentru o companie din Statele Unite care are HQ-ul in Denver si trei branch-uri in New York, Texas si respectiv Los Angeles. Toate cele patru routere pot comunica intre ele peste reteaua ISP-ului. Totusi vrem sa asiguram si conectivitatea intre LAN-urile din cele patru locatii. O varianta ar fi sa configuram NAT dar asta presupune sa trimitem tot traficul peste reteaua ISP-ului intr-un mod care nu e foarte sigur. O alta varianta ar fi sa configuram interfete de tip tunel intre locatii. Acest lucru prezinta avantajul ca traficul poate sa fie criptat folosind IPsec. In acest laborator nu voi configura IPsec.
Incepem configurarea locatiei din Denver ca Hub, prin crearea unei interfete virtuale de tip Tunnel folosind comanda “Interface Tunnel 1” din modul de configurare Global (similar ca in cazul interfetelor de tip Loopback).
Aceasta interfata o vom configura astfel :
interface Tunnel1
ip address 192.168.1.1 255.255.255.248
Ii atribuim o adresa IP.
no ip redirects
ip nhrp map multicast dynamic
Permitem forwardarea traficului multicast, deoarece vom configura EIGRP intre cele patru locatii.
ip nhrp network-id 1
Specificam un ID pentru reteaua DMVPN. Acest ID trebuie sa coincida in toate locatiile.
tunnel source FastEthernet0/0
Specificam sursa tunelului.
Daca privim lucrurile prin analogie cu ce se intampla intr-o retea de tip ethernet, sursa tunelului o putem asemana cu adresa MAC sursa a frame-ului care incapsuleaza un pachet.
Daca privim lucrurile prin analogie cu ce se intampla intr-o retea de tip ethernet, sursa tunelului o putem asemana cu adresa MAC sursa a frame-ului care incapsuleaza un pachet.
tunnel mode gre multipoint
no ip split-horizon eigrp 100
no ip split-horizon eigrp 100
no ip next-hop-self eigrp 100
Specificam tipul tunelului (multipoint), iar ultimele doua comenzi sunt utilizate deoarece vom configura EIGRP intre locatii si vrem sa dezactivam split-horizon.
Configuram EIGRP si anuntam retelele direct conectate.
router eigrp 100
network 172.16.10.1 0.0.0.0
network 192.168.1.0 0.0.0.7
Finalizam implementarea solutiei prin configurarea Spoke-urilor.
New York:
interface Tunnel2
ip address 192.168.1.2 255.255.255.248
no ip redirects
ip nhrp map multicast dynamic
ip nhrp map multicast 11.0.0.2
ip nhrp map 192.168.1.1 11.0.0.2
ip nhrp network-id 1
ip nhrp nhs 192.168.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
router eigrp 100
network 172.16.20.1 0.0.0.0
network 192.168.1.0 0.0.0.7
Texas:
interface Tunnel3
ip address 192.168.1.3 255.255.255.248
no ip redirects
ip nhrp map multicast dynamic
ip nhrp map multicast 11.0.0.2
ip nhrp map 192.168.1.1 11.0.0.2
ip nhrp network-id 1
ip nhrp nhs 192.168.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
router eigrp 100
network 172.16.30.1 0.0.0.0
network 192.168.1.0 0.0.0.7
Los Angeles:
interface Tunnel4
ip address 192.168.1.4 255.255.255.248
no ip redirects
ip nhrp map multicast dynamic
ip nhrp map multicast 11.0.0.2
ip nhrp map 192.168.1.1 11.0.0.2
ip nhrp network-id 1
ip nhrp nhs 192.168.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
router eigrp 100
network 172.16.40.1 0.0.0.0
network 192.168.1.0 0.0.0.7
Dupa configurarea solutiei, hosturile din toate LAN-urile (adresele Loopback), ar trebui sa se vada intre ele.
Pentru verificare avem la dispozitie comenzile de vizualizare:
show dmvpn
show ip nhrp
show dmvpn
show ip nhrp
SPK-NY#ping 172.16.10.1 so lo 2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.10.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.20.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/21/28 ms
SPK-NY#ping 172.16.30.1 so lo 2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.30.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.20.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/21/32 ms
SPK-NY#ping 172.16.40.1 so lo 2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.40.1, timeout is 2 seconds:
Packet sent with a source address of 172.16.20.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/20/32 ms
SPK-NY#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete N - NATed, L - Local, X - No Socket # Ent --> Number of NHRP entries with same NBMA peer NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting UpDn Time --> Up or Down Time for a Tunnel ========================================================================== Interface: Tunnel2, IPv4 NHRP Details Type:Spoke, NHRP Peers:3, # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb ----- --------------- --------------- ----- -------- ----- 1 11.0.0.2 192.168.1.1 UP 00:03:49 S 1 13.0.0.2 192.168.1.3 UP 00:01:20 D 1 14.0.0.2 192.168.1.4 UP 00:01:25 D
SPK-NY#show ip nhrp
192.168.1.1/32 via 192.168.1.1
Tunnel2 created 00:45:22, never expire
Type: static, Flags: used
NBMA address: 11.0.0.2
192.168.1.2/32 via 192.168.1.2
Tunnel2 created 00:44:25, expire 01:17:52
Type: dynamic, Flags: router unique local
NBMA address: 12.0.0.2
(no-socket)
192.168.1.3/32 via 192.168.1.3
Tunnel2 created 00:42:07, expire 01:17:51
Type: dynamic, Flags: router used
NBMA address: 13.0.0.2
192.168.1.4/32 via 192.168.1.4
Tunnel2 created 00:44:25, expire 01:15:34
Type: dynamic, Flags: router used
NBMA address: 14.0.0.2
Solutia aceasta prezinta doar comenzile de baza pentru a configura DMVPN. Va recomand pentru o intelegere mai ampla sa parcurgeti documentatia prezenta pe pagina celor de la Cisco. Acelasi lucru il voi face si eu.
Sper ca ati gasit acest laborator interesant si util.
Pana data viitoare, va urez toate cele bune! :)
Later edit: Despre cum configuram IPSec si cum putem scoate traficul din LAN catre backbone-ul ISP-ului, puteti gasi un articol aici.
Later edit: Despre cum configuram IPSec si cum putem scoate traficul din LAN catre backbone-ul ISP-ului, puteti gasi un articol aici.
Niciun comentariu :
Trimiteți un comentariu