Configuration du DMVPN sur des routeurs Cisco 2951

Le but de cet article est de montrer comment configurer DMVPN sur des routeurs Cisco.

Introduction
DMVPN: Dynamic Multiple Virtual Private Network. Le DMVPN permet de dployer rapidement un grand nombre de sites de manire scurise et volutive. DMVPN correspond en fait un ensemble de technologies telles qu IPSec, mGRE et NHRP qui, combines, facilitent le dploiement de rseaux privs virtuels IPSec.

Dans notre cas, latout majeur du DMVPN est sa facilit dans le dploiement. Une fois tablie, la configuration des routeurs Hub demeure inchange. Lajout de sites de type Client se fait de manire automatique alors que son adresse IP ct Internet est non connue et dynamique. DMVPN est la combinaison des technologies suivantes : mGRE NHRP EIGRP IPsec

Fonctionnement du DMVPN
1- mGRE mGRE: Multipoint Generic Routing Encapsulation Les tunnels GRE classiques sont de type point point. Le mGRE permet des liaisons multipoint afin quune mme interface GRE supporte plusieurs tunnels vers diffrentes destinations. Le rseau mGRE est de type NBMA (Non-Broadcast Multi Access) : Le broadcast nest pas possible. Les liaisons sont multipoints. Pour joindre un lment dfini par son adresse logique, il faut un mcanisme afin de connaitre son adresse physique. Dans le cas du mGRE, ladresse logique correspond ladresse prive (interface tunnel), ladresse physique est ladresse publique. Chacun des rout eurs Spoke (Cisco 881) initie un tunnel mGRE vers chacun des routeurs HUB (Cisco 2951). Ltablissement dynamique dun tunnel entre les Spokes na pas t retenu dans le cas de cet exemple.

2- NHRP NHRP: Next Hop Resolution Protocol Le protocole NHRP permet deffectuer la rsolution de ladressage logique en ladressage physique dans les rseaux NBMA. Dans le cadre du DMVPN, le NHRP sert rsoudre les adresses IP prives du rseau mGRE en des adresses IP publiques Internet. NHRP est un protocole de type client/serveur : les routeurs HUBs sont les

serveurs NHS (Next Hop Server); les routeurs Spoke sont les clients NHC (Next Hop Client). Chaque HUB maintien la table de mapping NHRP. Chaque Spoke y enregistre son adresse publique au dmarrage. Pour que lenregistrement soit possible, chaque NHC doit avoir dans sa configuration la connaissance dun ou plusieurs NHS. Au dmarrage, le Spoke (qui est client NHC) initie la connexion du tunnel GRE vers ladresse IP publique du ou des HUBs (qui sont serveurs NHS). Cette initialisation est ncessaire car le HUB na pas dinformation sur ladresse IP publique du Spoke (car dynamique). Le HUB ajoute le Spoke dans sa table mapping unicast NHRP. Avec ce mapping, le routeur HUB a une connaissance pour chaque Spoke de la correspondance adresse IP prive mGRE <-> adresse IP publique. Le HUB peut donc router les paquets IP Unicast au routeur Spoke travers le tunnel mGRE/IPsec. Le HUB ajoute galement le Spoke dans sa table mapping multicast NHRP permettant ainsi lchange de paquets multicast ncessaires au protocole de routage dynamique EIGRP. Le HUB et Spoke peuvent devenir voisins EIGRP et schanger leurs routes.

3-EIGRP EIGRP: Enhaced Interior Gateway Routing Protocol Dans cet exemple, lEIGRP permet aux Spokes de connatre la disponibilit des HUBs. Il permet aux HUBs de connatre les diffrents LAN internes des Spokes. LEIGRP permet donc aux Spokes dannoncer leur rseau local aux HUBs, et ces derniers denvoyer une route par dfaut aux Spokes. LEIGRP est activ sur les interfaces suivantes : Lensemble des interfaces Tunnels mGRE: cela permet lchange de routes entre chaque routeur HUB dune part et le reste des routeurs de lautre part. Les interfaces Tunnels mG RE partagent le

mme sous rseau (subnet) IP, cette configuration est ncessaire pour tablir les voisinages EIGRP entre les diffrents extrmits des tunnels mGRE. Linterface LAN des routeurs HUB: lEIGRP est activ sur cette interface pour assurer le bon fonctionnement de la solution en cas de perte de linterface WAN du HUB qui porte linterface HSRP primaire. Une authentification est mise en uvre au pour interdire tout change de routes en EIGRP avec des routeurs externes sur ce VLAN. Linterface LAN du routeur Spoke est configure comme tant une interface EIGRP. Le rseau IP associ cette interface est annonc en EIGRP grce la commande Network dans la configuration EIGRP. 4- IPsec IPsec: Internet Protocol security Le protocole IPSec chiffre toutes les informations (donnes utilisateurs, messages EIGRP, messages NHRP) qui transitent entre les sites.

L'architecture + la configuration

Architecture Physique

Quelques lments cls sur la configuration des quipements: 1- VLAN: Les routeurs Hub ne possdent que des interfaces routes. Il ny aura donc pas de notions de VLANs. Les routeurs Spoke nayant quun seul rseau local, il ny aura que le VLAN 1 qui est le VLAN par dfaut. 2- Le protocole IP Chaque routeur Hub prsente 3 types de rseaux : Rseau joignable depuis lInternet. Rseau priv dinterconnexion Interne. Rseau priv pour lEIGRP. Chaque routeur Spoke possde 3 types de rseaux : Rseau joignable depuis lInternet. Rseau priv interne.

Rseau priv pour lEIGRP (commun aux Hub) Sur les routeurs HUBs et Spokes, une VRF (Virtual Routing and Forwarding) nomme Externe est cre afin disoler les flux provenant dInternet (les flux qui ne proviennent pas du tunnel DMVPN). Le principe est davoir une table de routage pour linterne (globale) et une table de routage pour lexterne (VRF Externe ). Les deux tant isoles lune de lautre. 3- NHRP Le NHRP permet aux Hub de maintenir de manire dynamique :

sa table de mapping unicast qui fait correspondre pour ch acun des Spoke ladresse ip prive mGRE avec ladresse ip publique. Le Hub peut donc forwarder les paquets IP Unicast au routeur Spoke travers le tunnel mGRE/IPSec.

sa table de mapping multicast, permettant au protocole EIGRP de fonctionner. Deux types de configuration NHRP sont utiliss :

o o o

Dynamique sur les HUBs : permet donc de maintenir sa table de mapping unicast et multicast, Statique sur les Spoke : permet dtablir la connectivit unicast et multicast vers les HUBs, Statique sur les HUB pour la connectivit HUB vers HUB.

4-IPsec: Dans le mode transport, ce sont uniquement les donnes transfres (la partie payload du paquet IP) qui sont chiffres et authentifies. Lentte IP des paquets est inchang et non chiffr. Le mode transport neffectue pas dencapsulation (ie, pas de tunnelisation). Lencapsulation au niveau IPSec nest pas ncessaire car le tunnel mGRE a dj effectu une encapsulation. De plus, le DMVPN require le mode transport lorsque le NAT est prsent (pour le protocole NHRP).

5-MTU: MTU: Maximum Transmission Unit Les htes et les routeurs doivent fragmenter lorsque la trame IP est plus grande que la MTU. La fragmentation doit tre vite au maximum : Car elle augmente le nombre de paquets perdus Car elle augmente la consommation CPU Dans cette architecture DMVPN, il faut prendre en compte les diverses encapsulations afin de spcifier une valeur de MTU vitant au maximum la fragmentation : En-tte PPPoE dans le cas du vDSL

En-tte GRE En-tte IPSec Le protocole GRE fragmente avant lencapsulation. IPSec fragmente aprs le chiffrement. Il peut donc y avoir une double fragmentation. De ce fait, la prconisation est de spcifier la MTU sur toutes les interfaces tunnel GRE des quipements avec une valeur 1400.

Configuration:
HUB A version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HUBA ! boot-start-marker boot-end-marker ! aaa new-model ! aaa session-id common memory-size iomem 5 ip cef ! ip vrf Externe description Internet rd 100:1 ! ip vrf forwarding ! no ip domain lookup ip domain name lab.local ! key chain EIGRP-CHAIN key 1 key-string 7 044904131B2842492D3433273C ! crypto keyring vpn1 vrf Externe pre-shared-key address 0.0.0.0 0.0.0.0 key VpNTh0M$euR0P! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 14400 crypto isakmp keepalive 60 ! crypto ipsec transform-set gre_set esp-3des esp-sha-hmac mode transport !

crypto ipsec profile DMVPN set transform-set gre_set ! interface Tunnel0 bandwidth 1000000 ip address 192.168.1.1 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication maquette ip nhrp map multicast dynamic ip nhrp map multicast 192.168.0.2 ip nhrp map 192.168.1.2 192.168.0.2 ip nhrp network-id 100 ip nhrp holdtime 60 ip tcp adjust-mss 1360 no ip split-horizon eigrp 10 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 100000 tunnel path-mtu-discovery tunnel vrf Externe tunnel protection ipsec profile DMVPN ! interface FastEthernet0/0 ip vrf forwarding Externe ip address 192.168.0.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.10.1 255.255.255.0 ip authentication mode eigrp 10 md5 ip authentication key-chain eigrp 10 EIGRP-CHAIN duplex auto speed auto standby 1 ip 192.168.10.3 standby 1 priority 110 standby 1 preempt standby 1 authentication md5 key-string 7 033073242B0A345E41191C213A243B220C393934 ! interface FastEthernet1/0 no ip address shutdown duplex auto speed auto ! router eigrp 10 redistribute static passive-interface default no passive-interface FastEthernet0/1 no passive-interface Tunnel0 network 192.168.1.0 network 192.168.10.0 distribute-list 1 out static no auto-summary ! ip forward-protocol nd ip route 20.20.20.0 255.255.255.0 192.168.10.2 ! ip http server

no ip http secure-server ! access-list 1 permit 20.20.20.0 0.0.0.255 access-list 1 deny any ! control-plane ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 ! end HUB B version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname HUB2 ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! ip vrf Externe description Internet rd 100:1 ! no ip domain lookup ip domain name lab.local ! crypto keyring vpn1 vrf Externe pre-shared-key address 0.0.0.0 0.0.0.0 key VpNTh0M$euR0P! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 14400 crypto isakmp keepalive 60 ! crypto ipsec transform-set gre_set esp-3des esp-sha-hmac mode transport ! crypto ipsec profile DMVPN set transform-set gre_set ! interface Tunnel0 bandwidth 1000000 ip address 192.168.1.2 255.255.255.0

no ip redirects ip mtu 1400 ip nhrp authentication maquette ip nhrp map multicast dynamic ip nhrp map multicast 192.168.0.1 ip nhrp map 192.168.1.1 192.168.0.1 ip nhrp network-id 100 ip nhrp holdtime 60 ip tcp adjust-mss 1360 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 100000 tunnel path-mtu-discovery tunnel vrf Externe tunnel protection ipsec profile DMVPN ! interface FastEthernet0/0 ip vrf forwarding Externe ip address 192.168.0.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.10.2 255.255.255.0 duplex auto speed auto standby 1 ip 192.168.10.3 standby 1 priority 110 standby 1 preempt standby 1 authentication md5 key-string 7 033073242B0A345E41191C213A243B220C393934 ! interface FastEthernet1/0 no ip address shutdown duplex auto speed auto ! router eigrp 10 redistribute static offset-list 0 out 10 Tunnel0 network 192.168.1.0 network 192.168.10.0 distribute-list 1 out static no auto-summary no eigrp log-neighbor-changes ! ip forward-protocol nd ip route 10.10.10.0 255.255.255.0 192.168.10.1 ! ! no ip http server no ip http secure-server ! access-list 1 permit 10.10.10.0 0.0.0.255 access-list 1 deny any ! control-plane ! line con 0

exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login ! end

Spoke A version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SpokeA ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! ip vrf Externe description Internet rd 100:1 ! no ip domain lookup ip domain name lab.local ! crypto keyring vpn1 vrf Externe pre-shared-key address 0.0.0.0 0.0.0.0 key VpNTh0M$euR0P! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 14400 crypto isakmp keepalive 60 ! crypto ipsec transform-set gre_set esp-3des esp-sha-hmac mode transport ! crypto ipsec profile DMVPN set transform-set gre_set ! interface Tunnel0 bandwidth 1000000 ip address 192.168.1.10 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication maquette ip nhrp map multicast 192.168.0.1 ip nhrp map 192.168.1.1 192.168.0.1

ip nhrp map multicast 192.168.0.2 ip nhrp map 192.168.1.2 192.168.0.2 ip nhrp network-id 100 ip nhrp holdtime 60 ip nhrp nhs 192.168.1.1 ip nhrp nhs 192.168.1.2 ip tcp adjust-mss 1360 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 100000 tunnel path-mtu-discovery tunnel vrf Externe tunnel protection ipsec profile DMVPN ! interface FastEthernet0/0 ip vrf forwarding Externe ip address 192.168.0.10 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.100.1 255.255.255.0 duplex auto speed auto ! router eigrp 10 passive-interface default no passive-interface Tunnel0 network 192.168.1.0 network 192.168.100.0 no auto-summary no eigrp log-neighbor-changes ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login ! end

Spoke B version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption

! hostname SpokeB ! boot-start-marker boot-end-marker ! no aaa new-model memory-size iomem 5 ip cef ! ip vrf Externe description Internet rd 100:1 ! no ip domain lookup ip domain name lab.local ! crypto keyring vpn1 vrf Externe pre-shared-key address 0.0.0.0 0.0.0.0 key VpNTh0M$euR0P! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 14400 crypto isakmp keepalive 60 ! crypto ipsec transform-set gre_set esp-3des esp-sha-hmac mode transport ! crypto ipsec profile DMVPN set transform-set gre_set ! interface Tunnel0 bandwidth 1000000 ip address 192.168.1.11 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication maquette ip nhrp map multicast 192.168.0.1 ip nhrp map 192.168.1.1 192.168.0.1 ip nhrp map multicast 192.168.0.2 ip nhrp map 192.168.1.2 192.168.0.2 ip nhrp network-id 100 ip nhrp holdtime 60 ip nhrp nhs 192.168.1.1 ip nhrp nhs 192.168.1.2 ip tcp adjust-mss 1360 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 100000 tunnel path-mtu-discovery tunnel vrf Externe tunnel protection ipsec profile DMVPN ! interface FastEthernet0/0 ip vrf forwarding Externe ip address 192.168.0.11 255.255.255.0 duplex auto speed auto

! interface FastEthernet0/1 ip address 192.168.101.1 255.255.255.0 duplex auto speed auto ! router eigrp 10 passive-interface default no passive-interface Tunnel0 network 192.168.1.0 network 192.168.101.0 no auto-summary no eigrp log-neighbor-changes ! ip forward-protocol nd ! no ip http server no ip http secure-server ! control-plane ! line con 0 exec-timeout 0 0 privilege level 15 logging synchronous line aux 0 exec-timeout 0 0 privilege level 15 logging synchronous line vty 0 4 login ! end

Ces commandes permettent de vrifier la configuration injecte, telles que: A. show ip route eigrp B. show ip nhrp