DMVPN, · Tunelowany VPN Tunel Multi-Point GRE ! ... • Przy szyfrowaniu IPSec tuneli GRE stosowany jest tryb tunelowy ... konfiguracja hub

DMVPN, czyli Transport Independent Design dla IWAN Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

MPLS

Oddział

3G/4G-LTE

AVC

Internet

Chmura prywatna

Wirtualna chmura

prywatna

Chmura publiczna WAAS

Akamai PfRv3

Niezależność od transportu

Inteligentna kontrola ścieżki

Optymalizacja aplikacji

Bezpieczeństwo informacji

!  Sieć nakładkowa (+IPSec) !  Spójny model operacyjny

!  Optymalny routing aplikacji !  Efektywne zużycie pasma

!  Monitorowanie aplikacji !  Optymalizacja i caching

!  Szyfrowanie NG !  Ochrona sieci

DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW

Zarządzanie i orkiestracja

ASR1000-AX


Dwie domeny rutingowe

MPLS: eBGP lub Static Internet: iBGP, EIGRP lub OSPF

Redystrybucja Ryzyko pętli

GETVPN/MPLS DMVPN/Internet

Active/Standby

Jedna domena rutingowa

iBGP, EIGRP,

lub OSPF

DMVPN

Active/Active IWAN

Internet MPLS

Branch

DMVPN DMVPN

ISR-G2

ISP A SP V

ASR 1000 ASR 1000

Data Center

Tradycyjnie

Internet MPLS

Branch

DMVPN GETVPN

ISR-G2

ASR 1000 ASR 1000

ISP A SP V

Data Center


MPLS Internet

Overlay Routing Protocol (BGP, EIGRP)

Transport Independent Design (DMVPN)

PfR AVC QoS

Warstwa transportowa

Sieć nakładkowa

Routing klasyczny

Wybór ścieżki

ZBFW CWS


Funkcjonalność Standard IPSec GRE over IPSec DMVPN

Typ Sieci §  Hub & Spoke mesh mała skala §  Hub & Spoke mesh mała skala §  Hub & Spoke duża skala z

dynamicznymi tunelami każdy-z-każdym

Redundancja

Failover §  Stateful Failover •  Routing

•  Stateless Failover §  Active/Active bazujące na

dynamicznym routingu

Kompatybilność §  Multivendor •  Multivendor §  Routery Cisco

IP Multicast §  Brak wsparcia •  Wspierane §  Replikacja Multicast na hub

QoS §  Wspierane •  Wspierane §  Per Tunnel QoS, Hub do Spoke

Kontrola Polityki §  Zarządzane lokalnie §  Zarządzane lokalnie §  Zarządzane lokalnie

Technologia §  Tunelowany VPN §  Tunele Punkt-Punkt §  IKEv1

§  Tunelowany VPN §  Tunele Punkt-Punkt §  IKEv1

§  Tunelowany VPN §  Tunel Multi-Point GRE §  IKEv1

Infrastruktura Sieciowa §  Transport Prywatny i Publiczny §  Transport Prywatny i Publiczny §  Transport Prywatny i Publiczny §  IPv6


•  Generic Route Encapsulation (GRE) (Protokół IP 47)

•  Przenosi: IP broadcast, IP multicast, protokoły nie-IP

•  GRE umożliwia zastosowanie (przenoszenie) adresacji

prywatnej na bazie sieci publicznej

•  Tworzy interfejs

•  Przenosi protokoły routingu

•  Wspiera mechanizm keepalive’ów


Dane

Zaszyfrowane

ESP HDR

IP HDR

GRE HDR

Tunel IPsec Tunel GRE L3

IP HDR

IP HDR Dane IP

HDR Dane IP HDR

GRE HDR

IP HDR

•  IPsec (ESP) przenosi jedynie unicastowy ruch IP •  GRE zapewnia hermetyzację również ruchu L3 innego niż IP,

oraz multicastów i broadcastów •  Przy szyfrowaniu IPSec tuneli GRE stosowany jest tryb tunelowy •  Trybu tunelowego IPsec używamy zamiast transportowego, bo:

•  Przy wsparciu akceleratora sprzętowego jest tak naprawdę szybszy •  Nowa funkcjonalność (np. LAF) wymagają trybu tunelowego


192.168.0.0/24

.1

.2

192.168.1.0/24 .2

.1

172.17.63.18

172.16.175.75

H1

H2

Internet

H3

192.168.2.0/24 172.16.176.76

.1

.2

Spoke 1 Hub

Spoke 2


crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 172.16.175.75 crypto isakmp key cisco48 address 172.16.176.76 crypto ipsec transform-set trans2 esp-3des esp-md5-hmac mode tunnel crypto ipsec profile vpnprof set transform-set trans2 interface Tunnel0 ip address 10.10.2.2 255.255.255.252 ip mtu 1400 tunnel source GigabitEthernet0/0 tunnel destination 172.16.175.75 tunnel protection ipsec profile vpnprof interface Tunnel1 ip address 10.10.3.2 255.255.255.252 ip mtu 1400 tunnel source GigabitEthernet0/0 tunnel destination 172.16.176.76 tunnel protection ipsec profile vpnprof

interface GigabitEthernet0/0 ip address 172.17.63.18 255.255.255.0 interface GigabitEthernet0/1 ip address 192.168.0.1 255.255.255.0 router eigrp 1 network 10.0.0.0 network 192.168.0.0 auto-summary ip classless ip route 0.0.0.0 0.0.0.0 172.16.63.18

Tryb tunelowy

Profil IPsec

Ochrona ruchu

na interfejsie GRE


Tryb tunelowy

Profil IPsec

Ochrona ruchu

na interfejsie GRE

crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 172.17.63.18 crypto ipsec transform-set trans2 esp-3des esp-md5-hmac mode transport crypto ipsec profile vpnprof set transform-set trans2 interface Tunnel0 ip address 10.10.2.1 255.255.255.0 ip mtu 1400 tunnel source FastEthernet0/0 tunnel destination 172.17.63.18 tunnel protection ipsec profile vpnprof

interface FastEthernet0/0 ip address 172.16.175.75 255.255.255.0 interface FastEthenet0/1 ip address 192.168.1.1 255.255.255.0 router eigrp 1 network 10.0.0.0 network 192.168.1.0 auto-summary ip classless ip route 0.0.0.0 0.0.0.0 172.16.175.74


Tryb tunelowy

Profil IPsec

Ochrona ruchu

na interfejsie GRE

crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco48 address 172.17.63.18 crypto ipsec transform-set trans2 esp-3des esp-md5-hmac mode transport crypto ipsec profile vpnprof set transform-set trans2 interface Tunnel0 ip address 10.10.3.1 255.255.255.0 ip mtu 1400 tunnel source FastEthernet0/0 tunnel destination 172.17.63.18 tunnel protection ipsec profile vpnprof

interface FastEthernet0/0 ip address 172.16.176.76 255.255.255.0 interface FastEthenet0/1 ip address 192.168.2.1 255.255.255.0 router eigrp 1 network 10.0.0.0 network 192.168.2.0 auto-summary ip classless ip route 0.0.0.0 0.0.0.0 172.16.176.75


Spoke 1

Tunele statyczne

Tunele dynamiczne

Statyczny adres IP

Dynamiczny adres IP

Hub

VPN Spoke n

Spoke 2 •  Redukcja konfiguracji

i wdrożenie bezdotykowe •  Dynamiczne tunele typu spoke-to-spoke

dla częściowej/pełnej topologii typu “mesh” •  Może być użyte bez szyfrowania IPSec (opcjonalnie) •  Różnorodność opcji i rozwiązań

DMVPN czyli rozwiązanie działające w oparciu o Cisco IOS stworzone do

budowania tuneli IPSec+GRE w prosty, dynamiczny i skalowalny sposób


Spoke 1

Tunele statyczne

Tunele dynamiczne

Statyczny adres IP

Dynamiczny adres IP

Hub

VPN Spoke n

Spoke 2 •  Wspiera oddziały z dynamicznym adresem

na interfejsie WAN •  Nie wymagają konfiguracji Hub’a przy dodawaniu

kolejnych oddziałów •  Automatyczne budowanie tuneli IPSEC

inicjowane przez oddział

Umożliwia tworzenie dynamicznych topologii full-mesh lub partial-mesh na żądanie przy zachowaniu prostej

konfiguracji gwiazdy


•  Next Hop Resolution Protocol (NHRP) •  Proces „NHRP Registration” •  Procesy „NHRP Resolution” oraz „NHRP Redirect”

•  Multipoint GRE Tunnel Interface (mGRE) •  Jeden interfejs GRE wspiera wiele tuneli GRE/IPSec •  Eliminuje złożoność konfiguracji routera

•  Szyfrowanie poprzez IPSec Tunnel Protection •  Dynamicznie tworzy i aplikuje reguły szyfrowania

•  Procesy routingu •  Dynamiczny routing między węzłami •  Wiele protokołów: EIGRP, RIP, OSPF, BGP, ODR


Dynamiczne tunele Spoke-to-spoke

Spoke A

Spoke B 192.168.2.0/24

.1

192.168.1.0/24 .1

192.168.0.0/24 .1

Physical: 172.17.0.1 Tunnel0: 10.0.0.1

Physical: dynamic Tunnel0: 10.0.0.11

Physical: dynamic Tunnel0: 10.0.0.12

Statyczne tunele Spoke-to-hub

Statyczny znany adres IP

Dynamiczne nieznane adresy


Tunel Spoke-Hub Tunel Spoke-spoke

Hub-and-spoke (Faza 1) Spoke-to-spoke (Faza 2)

Hierarchia (Faza 3)

Podczas prezentacji omówimy fazę pierwszą

oraz fazę drugą


Faza 1 – 12.2(13)T Faza 2 – 12.3(4)T (Faza 1 +)

Faza 3 – 12.4.(6)T (Faza 2 +)

•  Połączenia hub-to-spoke •  Interfejsy point-to-point GRE

na spoke, mGRE dla hub •  Uproszczona i mała

konfiguracja hub •  Wsparcie dla dynamicznych

IP CPEs (NAT) •  Wsparcie dla protokołów

routingu i multicast •  Lokalizacje typu spoke nie

wymagają pełnej tablicy routingu, sumaryzacja na hub

•  Dodanie połączenia typu spoke-to-spoke

•  Interfejsy mGRE na spoke •  Bezpośrednia komunikacja

spoke-to-spoke (redukcja przesyłu danych na hub)

•  Router spoke musi posiadać pełną tablicę routingu; brak sumaryzacji

•  Tunel spoke-to-spoke uruchamiany przez spoke

•  Ograniczenia routingu

•  Lepsza skalowalność •  Routery spoke nie wymagają

pełnej tablicy routingu •  Tunel spoke-to-spoke wyzwalany

przez hub •  Usunięcie ograniczeń protokołów

routingu •  NHRP route/next-hops w RIB

(15.2(1)T)


Spoke-to-hub tunnels Spoke-to-spoke tunnels 2547oDMVPN tunnels

Hub and spoke (Phase 1) Spoke-to-spoke (Phase 2)

Server Load Balancing Hierarchical (Phase 3)

VRF-lite

2547oDMVPN

IWAN 1.0 Supported IWAN 2.0 Supported IWAN 1.0 Tested

IWAN 2.0 Supported


•  Routery oddziałowe rejestrują się w hubie jako klienci serwera NHRP (RFC 2332) używając statyczne mapowanie NHRP

•  Hub tworzy dynamiczny wpis w tabeli NHRP i mapuje prywatny adres tunelu GRE spoke’a do dynamicznego (lub statycznego) adresu publicznego spoke’a

•  Routery oddziałowe rozgłaszają swoje prywatne sieci LAN do huba a hub uczy się adresacji w poszczególnych spoke’ach

•  Tunele spoke-to-hub są tunelami dynamicznymi oraz permanentnymi

•  Brak tuneli spoke-to-spoke – ruch między oddziałami przesyłany przez hub

VPN


Spoke A 192.168.1.1/24

= Dynamiczne tunele IPsec

192.168.2.1/24

Adr. fiz.: 172.17.0.1 Tunnel0: 10.0.0.1

Spoke B

Adr. fiz.: (dynamiczny) Tunnel0: 10.0.0.11

Adr. fiz.: (dynamiczny) Tunnel0: 10.0.0.12

10.0.0.1 à 172.17.0.1 10.0.0.1 à 172.17.0.1

10.0.0.11 à 172.16.1.1 10.0.0.12 à 172.16.2.1

192.168.0.1/24

192.168.1.0/24 à 10.0.0.1 192.168.2.0/24 à 10.0.0.1

192.168.0.0/24 à 10.0.0.1 192.168.0.0/24 à 10.0.0.1

192.168.1.0/24 à 10.0.0.11 192.168.2.0/24 à 10.0.0.12

192.168.1.0/24 à bezp. 192.168.2.0/24 à bezp.

192.168.0.0/24 à bezp. Mapowanie NHRP

Tablica routingu

172.16.1.1

172.16.2.1


Brak ACL i crypto map

Profil Crypto (brak peer’a oraz ACL)

Konfiguracja NHRP

Tunel mGRE

Szyfrowanie tunelu

Podsieć /24

Routing w Hub and Spoke

crypto ipsec profile vpnprof set transform-set t1

interface Tunnel0

bandwidth 1000 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 100000 ip nhrp holdtime 360 no ip split-horizon eigrp 1 ip summary-address eigrp 1 192.168.0.0/16 delay 1000 ip tcp adjust-mss 1360 tunnel source Serial1/0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof

interface Serial1/0

ip address 172.17.0.1 255.255.255.0


Tunel p-pGRE


Konfiguracja NHRP

Podsieć /24


Szyfrowanie tunelu


interface Tunnel0

bandwidth 1000 ip address 10.0.0.11 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 360 ip nhrp nhs 10.0.0.1 delay 1000 tunnel source Serial1/0 ip tcp adjust-mss 1360 tunnel destination 172.17.0.1 tunnel key 100000 tunnel protection ipsec profile vpnprof

interface Serial1/0

ip address negotiated


Tunel p-pGRE


Konfiguracja NHRP

Podsieć /24


Szyfrowanie tunelu


interface Tunnel0

bandwidth 1000 ip address 10.0.0.12 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp network-id 100000 ip nhrp holdtime 360 ip nhrp nhs 10.0.0.1 delay 1000 tunnel source Serial1/0 ip tcp adjust-mss 1360 tunnel destination 172.17.0.1 tunnel key 100000 tunnel protection ipsec profile vpnprof

interface Serial1/0

ip address negotiated


C 172.17.0.0/30 is directly connected, Serial1/0 C 10.0.0.0/24 is directly connected, Tunnel0 C 192.168.0.0/24 is directly connected, Ethernet0/0 D 192.168.1.0/24 [90/2841600] via 10.0.0.11, 22:39:04, Tunnel0 D 192.168.2.0/24 [90/2841600] via 10.0.0.12, 22:39:10, Tunnel0 . . . S* 0.0.0.0/0 [1/0] via 172.17.0.2 D 192.168.0.0/16 is a summary, 00:04:13, Null0

C 172.16.1.0/30 is directly connected, Serial1/0 C 10.0.0.0/24 is directly connected, Tunnel0 C 192.168.1.0/24 is directly connected, Ethernet0/0 S* 0.0.0.0/0 is directly connected, Serial1/0 D 192.168.0.0/16 [90/2841600] via 10.0.0.1, 00:00:08, Tunnel0

C 172.16.2.0/30 is directly connected, Serial1/0 C 10.0.0.0/24 is directly connected, Tunnel0 C 192.168.2.0/24 is directly connected, Ethernet0/0 S* 0.0.0.0/0 is directly connected, Serial1/0 D 192.168.0.0/16 [90/2841600] via 10.0.0.1, 00:00:05, Tunnel0

Spoke A

Spoke B

Hub


•  10 – 20% ruchu wymaga relacji spoke-to-spoke •  Są pewne rodzaje ruchu IP, które z definicji występują

w relacji spoke–to-spoke (np. ruch audio/video) •  Powoduje to obciążenie routerów centralnych

oraz obciążenie łączy w węźle centralnym •  W Fazie 1 tracimy zalety podkładowej (transportowej)

sieci IP VPN (np. MPLS lub Internet)

•  Problem rozwiązuje zastosowanie interfejsów mGRE w spoke’ach a także mechanizmy NHRP Resolution oraz NHRP Redirect

VPN


Spoke A

Spoke B

192.168.2.0/24

.1

192.168.1.0/24

.1

192.168.0.0/24 .1

Physical: 172.17.0.1 Tunnel0: 10.0.0.1

Physical: 172.16.1.1 Tunnel0: 10.0.0.11

Physical: 172.16.2.1 Tunnel0: 10.0.0.12

Web

.37

.25

Komputer PC (192.168.1.25) w podsieci węzła Spoke A, chce

skontaktować się z serwerem web (192.168.2.37) w podsieci węzła

Spoke B. Wysyła pakiet w kierunku serwera.

PC


Spoke A

Spoke B

192.168.2.0/24 .1

192.168.1.0/24 .1

.1

Physical: 172.17.0.1 Tunnel0: 10.0.0.1

Physical: 172.16.1.1 Tunnel0: 10.0.0.11

Physical: 172.16.2.1 Tunnel0: 10.0.0.12

.37

.25

192.168.0.0/24 à 10.0.0.1 192.168.2.0/24 à 10.0.0.12

192.168.0.0/24 Router w węźle Spoke A sprawdza

routing do sieci docelowej (192.168.2.0). Według tablicy

routingu podsieć docelowa jest dostępna poprzez 10.0.0.12,

poprzez interfejs tunnel0.

Web

PC


Spoke A

Spoke B

192.168.2.0/24 .1

192.168.1.0/24 .1

.1

Physical: 172.17.0.1 Tunnel0: 10.0.0.1

Physical: 172.16.1.1 Tunnel0: 10.0.0.11

Physical: 172.16.2.1 Tunnel0: 10.0.0.12

.37

.25

10.0.0.1 à 172.17.0.1

192.168.0.0/24

Web

PC

Router Spoke A sprawdza swoją tabelę NHRP pod względem

adresu przeznaczenia 10.0.0.12 i nie znajduje wpisu. Wysyła

zapytanie NHRP query do serwera NHRP.


Spoke A

Spoke B

192.168.2.0/24 .1

192.168.1.0/24 .1

.1

Physical: 172.17.0.1 Tunnel0: 10.0.0.1

Physical: 172.16.1.1 Tunnel0: 10.0.0.11

Physical: 172.16.2.1 Tunnel0: 10.0.0.12

.37

.25

10.0.0.11 à 172.16.1.1 10.0.0.12 à 172.16.2.1 . . . . . .

192.168.0.0/24

Web

PC

Serwer NHRP (węzeł Hub) rozwiązuje adres 10.0.0.12

na odpowiedni adres publiczny (172.16.2.1) i wysyła odpowiedź

do routera Spoke A.

30 © 2013-2014 Cisco and/or its affiliates. All rights reserved. = Dynamiczny, tymczasowy tunel IPSec Spoke-to-spoke

Spoke A

Spoke B

192.168.2.0/24 .1

192.168.1.0/24 .1

.1

Physical: 172.17.0.1 Tunnel0: 10.0.0.1

Physical: 172.16.1.1 Tunnel0: 10.0.0.11

Physical: 172.16.2.1 Tunnel0: 10.0.0.12

.37

.25

10.0.0.1 à 172.17.0.1 10.0.0.12 à 172.16.2.1

192.168.0.0/24

Web

PC

Router Spoke A odbiera odpowiedź NHRP i umieszcza ją w swojej tabeli mapowania NHRP - to uruchamia budowę tunelu

GREoIPSec bezpośrednio do adresu 172.16.2.1. Spoke A używa

swojego adresu publicznego.


Spoke A

Spoke B

192.168.2.0/24 .1

192.168.1.0/24 .1

.1

Physical: 172.17.0.1 Tunnel0: 10.0.0.1

Physical: 172.16.1.1 Tunnel0: 10.0.0.11

Physical: 172.16.2.1 Tunnel0: 10.0.0.12

.37

.25

= Dynamiczny, tymczasowy tunel IPSec Spoke-to-spoke

192.168.0.0/24

Web

PC

Tunel do Spoke B został zestawiony i rozpoczyna się przesyłanie

danych ze Spoke A do Spoke B. UWAGA: tunel przesyła ruch tylko

w jedną stronę.


Spoke A

Spoke B

192.168.2.0/24 .1

192.168.1.0/24 .1

.1

Physical: 172.17.0.1 Tunnel0: 10.0.0.1

Physical: 172.16.1.1 Tunnel0: 10.0.0.11

Physical: 172.16.2.1 Tunnel0: 10.0.0.12

.37

.25


192.168.0.0/24

Web

PC

Serwer web otrzymuje pakiet od PC i wysyła odpowiedź do PC.

Ruch zwrotny powoduje procedurę weryfikacji routingu oraz

sprawdzenie NHRP dla routera Spoke A. Pakiet jest wysyłany

bezpośrednio do Spoke A.


Spoke A

Spoke B

192.168.2.0/24 .1

192.168.1.0/24 .1

.1

Physical: 172.17.0.1 Tunnel0: 10.0.0.1

Physical: 172.16.1.1 Tunnel0: 10.0.0.11

Physical: 172.16.2.1 Tunnel0: 10.0.0.12

.37

.25

10.0.0.1 à 172.17.0.1

10.0.0.12 à 172.16.2.1


192.168.0.0/24

Web

PC

Po upłynięciu skonfigurowanego limitu czasowego, wpisy NHRP

przedawniają się i tunel IPSec od Spoke A do Spoke B przestaje

istnieć.


crypto isakmp policy 1 encr aes authentication pre-share group 2 crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode transport crypto ipsec profile TP set transform-set TSET

interface Tunnel ip address 10.0.0.1 255.255.255.0 no ip redirects ip nhrp authentication cisco ip nhrp map multicast dynamic ip nhrp network-id 1111 ip nhrp redirect tunnel key 10 no ip split-horizon eigrp 10 ip summary-address eigrp 10 192.168.0.0 255.255.0.0 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile TP


crypto isakmp policy 1 encr aes authentication pre-share group 2 crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode transport crypto ipsec profile TP set transform-set TSET

interface Tunnel ip address 10.0.0.2 255.255.255.0 no ip redirect ip nhrp authentication cisco ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.1 ip nhrp network-id 1111 ip nhrp nhs 10.0.0.1 ip nhrp shortcut tunnel key 10 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile TP


36

§  Enable FVRF DMVPN on the Spokes

§  Allow the ISP learned Default Route in the FVRF and used for tunnel establishment

§  Global Table contains Default Route learned via tunnel. User data traffic follow Tunnel to INSIDE interface on firewall

§  Allow for consistency for implementing corporate security policy for all users

Keeping the Defaults in Separate VRFs

Internet

VPN-DMZ

Internet Edge Block

default

default

INSIDE

OUTSIDE default

EIGRP

(200)

default

default

EIG

RP

default

Internet


ip vrf FVRF rd 100:1 !

crypto keyring DMVPN vrf FVRF pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123 ! Interface Tunnel0 ip address 172.50.1.1 255.255.255.0 ip nhrp authentication HBfR3lpl ip nhrp map multicast 3.3.3.3 ip nhrp map 172.50.1.254 3.3.3.3 ip nhrp network-id 1 ip nhrp nhs 172.50.1.254 ip nhrp shortcut tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel vrf FVRF tunnel protection ipsec profile dmvpn ! Interface GigabitEthernet 0/0 description WAN interface to ISP in vrf ip address dhcp ip vrf forwarding FVRF

Interface GigabitEthernet 0/1 description LAN interface In Global Table

Since WAN interface is in a VRF, pre-shared key needs to be

defined in the VRF

Tunnel Destination lookup forced in VRF FVRF

WAN interface defined in the VRF – LAN interface stays in

Global Table


•  IWAN CVD http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Jan2015/CVD-IWANDesignGuide-JAN15.pdf

•  Introduction to IWAN (2015 Melbourne) https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION_ID=82772&backBtn=true

•  Intelligent WAN (IWAN) Architecture (2015 Milan)https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION_ID=81978&backBtn=true

•  IWAN and AVC Management with Cisco Prime Infrastructure (2015 Milan)https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION_ID=81876&backBtn=true

•  Whitepapers, presentations, case studieshttp://www.cisco.com/c/en/us/solutions/enterprise-networks/intelligent-wan/index.html

•  DMVPN http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/15-s/sec-conn-dmvpn-15-s-book.html

•  ISR and ASR AX Ordering Guide http://www.cisco.com/c/en/us/products/collateral/routers/3900-series-integrated-services-routers-isr/guide_c07-726864.html

Dziękuję J

Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

Documents

DMVPN, · Tunelowany VPN Tunel Multi-Point GRE ! ... • Przy szyfrowaniu IPSec tuneli GRE stosowany jest tryb tunelowy ... konfiguracja hub