Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
www.huawei.comHUAWEI TECHNOLOGIES CO., LTD.
Dynamiczny VPN
wielopunktowy
Piotr Głaska
#2 HUAWEI TECHNOLOGIES CO., LTD.
Centrala
Oddział 2
Sieć NBMA
Tunel statyczny
Tunel dynamiczny
Statyczny adres IP
Dynamicz...
#3 HUAWEI TECHNOLOGIES CO., LTD.
Porównanie DMVPN i GET VPN
Page 3
DMVPN /
DSVPN
GET VPN /
A2A VPN
Dynamiczne adresy
oddzi...
#4 HUAWEI TECHNOLOGIES CO., LTD.
Jak działa DMVPN / DSVPN
1. Gdzie skierować pakiet zaadresowany do innego oddziału?
• Rou...
#5 HUAWEI TECHNOLOGIES CO., LTD.
• Interfejs tunelu mGRE jest nieco podobny do zwykłego GRE. Tak samo posiada:
• Adres źró...
#6 HUAWEI TECHNOLOGIES CO., LTD.
Komunikat Wartość Znaczenie
NHRP Resolution Request 1
Zapytanie o adres IP (w sieci NBMA)...
#7 HUAWEI TECHNOLOGIES CO., LTD.
Adresacja
202.1.1.1/24: Adres IP w sieci NBMA (typowo adres publiczny interfejsu fizyczne...
#8 HUAWEI TECHNOLOGIES CO., LTD.
Scenariusze działania
1. Hub-Spoke (Phase 1)
2. Spoke-Spoke (Phase 2)
Adres Next Hop do o...
#9 HUAWEI TECHNOLOGIES CO., LTD.
Scenariusz 1: Hub-Spoke
AR1220
SpokeA SpokeB
Hub
192.168.1.1/24 192.168.2.1/24
192.168.0....
#10 HUAWEI TECHNOLOGIES CO., LTD.
Konfiguracja
Spoke HUAWEI:
interface Tunnel 0/0/0
ip address 10.0.0.11 24
tunnel-protoco...
#11 HUAWEI TECHNOLOGIES CO., LTD.
Weryfikacja rejestracji NHRP
[Huawei-Hub] display nhrp peer all
------------------------...
#12 HUAWEI TECHNOLOGIES CO., LTD.
Scenariusz 2: Spoke-Spoke
AR1220
SpokeA SpokeB
Hub
192.168.1.1/24 192.168.2.1/24
192.168...
#13 HUAWEI TECHNOLOGIES CO., LTD.
Zapytanie o adres innego oddziału
AR1220
SpokeA SpokeB
Hub
192.168.1.1/24 192.168.2.1/24...
#14 HUAWEI TECHNOLOGIES CO., LTD.
Zestawienie tunelu spoke-spoke
AR1220
SpokeA SpokeB
Hub
192.168.1.1/24 192.168.2.1/24
19...
#15 HUAWEI TECHNOLOGIES CO., LTD.
Weryfikacja wpisów NHRP na SpokeA
[Huawei-SpokeA] display nhrp peer all
----------------...
#16 HUAWEI TECHNOLOGIES CO., LTD.
Weryfikacja wpisów NHRP na SpokeB
[Huawei-SpokeB] display nhrp peer all
----------------...
#17 HUAWEI TECHNOLOGIES CO., LTD.
Konfiguracja tunelu mGRE
Hub HUAWEI
ip address 10.0.0.1 24
tunnel-protocol gre p2mp
sour...
#18 HUAWEI TECHNOLOGIES CO., LTD.
Konfiguracja routingu - Hub
Przykład z OSPF
ospf 301 router-id 10.0.0.1
area 0.0.0.0
net...
#19 HUAWEI TECHNOLOGIES CO., LTD.
Konfiguracja routingu - Spoke
Przykład z OSPF
ospf 301 router-id 10.0.0.11
area 0.0.0.0
...
#20 HUAWEI TECHNOLOGIES CO., LTD.
Scenariusz 3: Spoke-Spoke z przekierowaniem
AR1220
SpokeA SpokeB
Hub
192.168.1.1/24 192....
#21 HUAWEI TECHNOLOGIES CO., LTD.
Weryfikacja wpisów NHRP
[Huawei-SpokeA] display nhrp peer all
--------------------------...
#22 HUAWEI TECHNOLOGIES CO., LTD.
Konfiguracja
Hub:
ip address 10.0.0.1 24
tunnel-protocol gre p2mp
source 172.17.0.1
nhrp...
#23 HUAWEI TECHNOLOGIES CO., LTD.
Konfiguracja routingu dynamicznego - Hub
Przykład z OSPF
ospf 301 router-id 10.0.0.1
are...
#24 HUAWEI TECHNOLOGIES CO., LTD.
Konfiguracja routingu dynamicznego - Spoke
Przykład z OSPF
ospf 301 router-id 10.0.0.11
...
#25 HUAWEI TECHNOLOGIES CO., LTD.
Routing dynamiczny - podsumowanie
Page 25
Scenariusz RIP OSPF BGP
Non-Shortcut Wyłączyć ...
#26 HUAWEI TECHNOLOGIES CO., LTD.
DSVPN z IPsec
ipsec proposal dsvpn-proposal
esp authentication-algorithm sha2-512
esp en...
#27 HUAWEI TECHNOLOGIES CO., LTD.
• Spoke wysyła NHRP Registration Request do huba, z oryginalnym adresem IP w komunikacie...
#28 HUAWEI TECHNOLOGIES CO., LTD.
Dual-Hub Single DSVPN
Page 28
#29 HUAWEI TECHNOLOGIES CO., LTD.
Dual-Hub Single DSVPN
Konfiguracja na hubach:
interface Tunnel0/0/0
ip address 172.16.1....
#30 HUAWEI TECHNOLOGIES CO., LTD.
Dwa VPNy z pojedynczymi hubami – LTE Dual-SIM
#31 HUAWEI TECHNOLOGIES CO., LTD.
Monitorowanie LTE APN poprzez NQA
interface Cellular0/0/0
apn-profile orange priority 20...
#32 HUAWEI TECHNOLOGIES CO., LTD.
HUB_1
interface Tunnel0/0/1
ip address 172.16.1.1 255.255.255.0
tunnel-protocol gre p2mp...
#33 HUAWEI TECHNOLOGIES CO., LTD.
interface Tunnel0/0/1
ip address 172.10.1.2 255.255.255.0
rip metricin 1
tunnel-protocol...
#34 HUAWEI TECHNOLOGIES CO., LTD.
Wspierane platformy
CISCO (Dynamic Multipoint VPN):
IOS – m.in. routery ISR, przemysłowe...
#35 HUAWEI TECHNOLOGIES CO., LTD.
Dynamiczny VPN dla PKP Polskie Linie Kolejowe
WAN
2 x Cisco
ASR1000
Cisco ISRWiększe odd...
#36 HUAWEI TECHNOLOGIES CO., LTD.
WSZYSTKO MA SWÓJ KONIEC
...a tunel mGRE nawet nie jeden 
Upcoming SlideShare
Loading in …5
×

PLNOG16: Wielopunktowy VPN, Piotr Głaska

149 views

Published on

PLNOG16: Wielopunktowy VPN, Piotr Głaska

Published in: Internet
  • Be the first to comment

PLNOG16: Wielopunktowy VPN, Piotr Głaska

  1. 1. www.huawei.comHUAWEI TECHNOLOGIES CO., LTD. Dynamiczny VPN wielopunktowy Piotr Głaska
  2. 2. #2 HUAWEI TECHNOLOGIES CO., LTD. Centrala Oddział 2 Sieć NBMA Tunel statyczny Tunel dynamiczny Statyczny adres IP Dynamiczny adres IP Dynamiczny VPN wielopunktowy Oddział 1 Oddział 3
  3. 3. #3 HUAWEI TECHNOLOGIES CO., LTD. Porównanie DMVPN i GET VPN Page 3 DMVPN / DSVPN GET VPN / A2A VPN Dynamiczne adresy oddziałów X X Routing dynamiczny X X Dynamiczne tunele między oddziałami X X IKEv2 X X IPv6 X X IP Multicast X X NAT X Sieć publiczna X Interoperacyjność X (Cisco, Huawei, Adtran, Vyatta, Linux) X (poza serwerem kluczy) Wady GET VPN • Brak możliwości działania w sieciach publicznych • GET VPN używa wspólnego klucza do szyfrowania ruchu w całej sieci. Wystarczy uzyskać dostęp do routera w najsłabiej chronionym oddziale, aby uzyskać możliwość deszyfrowania całości ruchu w sieci WAN • GET VPN nie ukrywa informacji o wew. adresach, tym samym pozwala na nieautoryzowaną analizę ruchu w sieci, kto komunikuje się z kim, adresy serwerów itp. • Key Server musi być Cisco • W przypadku gdy sieć WAN nie obsługuje multicastów key serwery muszą mieć IOS 15.5T+, żeby obsługiwać drafty IETF do unicast rekey i anti-replay
  4. 4. #4 HUAWEI TECHNOLOGIES CO., LTD. Jak działa DMVPN / DSVPN 1. Gdzie skierować pakiet zaadresowany do innego oddziału? • Routing dynamiczny (RIP, OSPF, BGP) lub statyczny (brak wsparcia IS-IS) 2. Skąd informacja jaki jest aktualny dynamiczny adres IP innego oddziału? • NHRP (Next Hop Resolution Protocol) i mGRE (Multipoint Generic Routing Encapsulation) 3. Jak zaszyfrować transmisję? • IPSec
  5. 5. #5 HUAWEI TECHNOLOGIES CO., LTD. • Interfejs tunelu mGRE jest nieco podobny do zwykłego GRE. Tak samo posiada: • Adres źródłowy (fizyczny) • Adres interfejsu tunel • Różni się jednak jeżeli chodzi o: • Typ interfejsu w konfiguracji: GRE P2MP (GRE MULTIPOINT) zamiast GRE • Docelowy adres IP: • W GRE: jeden adres skonfigurowany statycznie • W mGRE: dynamicznie pobierany dzięki protokołowi NHRP. Interfejs mGRE posiada wiele docelowych adresów IP, ponieważ składa się z wielu tuneli GRE • Keep-Alive: w mGRE nie wspierane Multipoint GRE
  6. 6. #6 HUAWEI TECHNOLOGIES CO., LTD. Komunikat Wartość Znaczenie NHRP Resolution Request 1 Zapytanie o adres IP (w sieci NBMA) routera sieci docelowej NHRP Resolution Reply 2 NHRP Registration Request 3 Rejestrowanie oddziałów w routerach centralnych NHRP Registration Reply 4 NHRP Purge Request 5 Kasowanie nieaktualnych mapowań NHRP NHRP Purge Reply 6 NHRP Error Indication 7 Sygnalizacja błędów NHRP Redirect 8 Centrala wyzwala w routerze źródłowym proces zapytania o adres next-hop dla sieci docelowej Ethernet Link IP Header IPSec Header GRE header NHRP payload Enkapsulacja Pozwala urządzeniu w sieci NBMA (Non-Broadcast Multiple Access) uzyskać adres „publiczny” routera sieci docelowej Next Hop Resolution Protocol (NHRP) Rodzaje komunikatów
  7. 7. #7 HUAWEI TECHNOLOGIES CO., LTD. Adresacja 202.1.1.1/24: Adres IP w sieci NBMA (typowo adres publiczny interfejsu fizycznego WAN) 192.168.1.1/24: Adres IP sieci wewnętrznej (typowo adres prywatny interfejsu fizycznego LAN) 172.10.1.1/24: Adres IP interfejsu Tunnel Hub Spoke A Spoke B 192.168.0.1/24 192.168.2.1/24192.168.1.1/24 202.1.2.1/24 202.1.3.1/24 202.1.1.1/24 172.10.1.1/24 172.10.2.1/24 172.10.3.1/24
  8. 8. #8 HUAWEI TECHNOLOGIES CO., LTD. Scenariusze działania 1. Hub-Spoke (Phase 1) 2. Spoke-Spoke (Phase 2) Adres Next Hop do oddziału docelowego => adres tunelu mGRE routera docelowego 3. Spoke-Spoke z przekierowaniem (Phase 3) Adres Next Hop do oddziału docelowego => adres tunelu mGRE routera centralnego
  9. 9. #9 HUAWEI TECHNOLOGIES CO., LTD. Scenariusz 1: Hub-Spoke AR1220 SpokeA SpokeB Hub 192.168.1.1/24 192.168.2.1/24 192.168.0.1/24 NBMA address: 172.16.1.1/24 Tunnel address: 10.0.0.11 NBMA address: 172.16.2.1/24 Tunnel address: 10.0.0.12 Tunnel address: 10.0.0.1 NBMA address: 172.17.0.1/24 10.0.0.1—172.17.0.1 10.0.0.1—172.17.0.1 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 192.168.0.0 /16—>10.0.0.1 192.168.1.0 /24—>10.0.0.11 192.168.2.0 /24—>10.0.0.12 192.168.0.0 /16—>10.0.0.1 NHRP PEER Routing table NHRP registration packet
  10. 10. #10 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja Spoke HUAWEI: interface Tunnel 0/0/0 ip address 10.0.0.11 24 tunnel-protocol gre p2mp source 172.16.1.1 nhrp entry 10.0.0.1 172.17.0.1 register Hub HUAWEI: Interface Tunnel 0/0/0 ip address 10.0.0.1 24 tunnel-protocol gre p2mp source 172.17.0.1 Spoke CISCO: interface Tunnel0 ip address 10.0.0.11 255.255.255.0 tunnel mode gre multipoint tunnel source 172.16.1.1 ip nhrp network-id 1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp nhs 10.0.0.1 Hub CISCO: interface Tunnel0 ip address 10.0.0.1 255.255.255.0 tunnel mode gre multipoint tunnel source 172.17.0.1 ip nhrp network-id 1 Spoke CISCO: interface Tunnel0 ip address 10.0.0.11 255.255.255.0 tunnel destination 172.17.0.1 tunnel source 172.16.1.1 ip nhrp network-id 1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp nhs 10.0.0.1
  11. 11. #11 HUAWEI TECHNOLOGIES CO., LTD. Weryfikacja rejestracji NHRP [Huawei-Hub] display nhrp peer all ------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------- 10.0.0.11 32 172.16.1.1 10.0.0.11 dynamic route tunnel ------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34 ------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------- 10.0.0.12 32 172.16.2.1 10.0.0.12 dynamic route tunnel ------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34
  12. 12. #12 HUAWEI TECHNOLOGIES CO., LTD. Scenariusz 2: Spoke-Spoke AR1220 SpokeA SpokeB Hub 192.168.1.1/24 192.168.2.1/24 192.168.0.1/24 10.0.0.1—172.17.0.1 10.0.0.1—172.17.0.1 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 NHRP PEER Routing table NHRP registration packet Tunnel address: 10.0.0.1 NBMA address: 172.17.0.1/24 NBMA address: 172.16.1.1/24 Tunnel address: 10.0.0.11 NBMA address: 172.16.2.1/24 Tunnel address: 10.0.0.12
  13. 13. #13 HUAWEI TECHNOLOGIES CO., LTD. Zapytanie o adres innego oddziału AR1220 SpokeA SpokeB Hub 192.168.1.1/24 192.168.2.1/24 192.168.0.1/24 10.0.0.1—172.17.0.1 10.0.0.12—? 10.0.0.1—172.17.0.1 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 NHRP PEER Routing table Data packet NHRP Resolution packet Tunnel address: 10.0.0.1 NBMA address: 172.17.0.1/24 NBMA address: 172.16.1.1/24 Tunnel address: 10.0.0.11 NBMA address: 172.16.2.1/24 Tunnel address: 10.0.0.12
  14. 14. #14 HUAWEI TECHNOLOGIES CO., LTD. Zestawienie tunelu spoke-spoke AR1220 SpokeA SpokeB Hub 192.168.1.1/24 192.168.2.1/24 192.168.0.1/24 10.0.0.1—172.17.0.1 10.0.0.12—172.16.2.1 10.0.0.1—172.17.0.1 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 NHRP PEER Routing table Data packet NHRP Resolution packet Tunnel address: 10.0.0.1 NBMA address: 172.17.0.1/24 NBMA address: 172.16.1.1/24 Tunnel address: 10.0.0.11 NBMA address: 172.16.2.1/24 Tunnel address: 10.0.0.12
  15. 15. #15 HUAWEI TECHNOLOGIES CO., LTD. Weryfikacja wpisów NHRP na SpokeA [Huawei-SpokeA] display nhrp peer all ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.1 32 172.17.0.1 10.0.0.1 static hub ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 13:27:42 Expire time : -- ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.12 32 172.16.2.1 10.0.0.12 dynamic route tunnel ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34
  16. 16. #16 HUAWEI TECHNOLOGIES CO., LTD. Weryfikacja wpisów NHRP na SpokeB [Huawei-SpokeB] display nhrp peer all ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.1 32 172.17.0.1 10.0.0.1 static hub ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 13:27:42 Expire time : -- ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.11 32 172.16.1.1 10.0.0.11 dynamic route tunnel ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34 ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.12 24 172.16.2.1 10.0.0.12 dynamic local ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34
  17. 17. #17 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja tunelu mGRE Hub HUAWEI ip address 10.0.0.1 24 tunnel-protocol gre p2mp source 172.17.0.1 Spoke HUAWEI ip address 10.0.0.11 24 tunnel-protocol gre p2mp source 172.16.1.1 nhrp entry 10.0.0.1 172.17.0.1 register Spoke CISCO ip address 10.0.0.11 255.255.255.0 tunnel mode gre multipoint tunnel source 172.16.1.1 ip nhrp network-id 1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp nhs 10.0.0.1 Hub CISCO ip address 10.0.0.1 255.255.255.0 tunnel mode gre multipoint tunnel source 172.17.0.1 ip nhrp network-id 1
  18. 18. #18 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja routingu - Hub Przykład z OSPF ospf 301 router-id 10.0.0.1 area 0.0.0.0 network 10.0.0.1 0.0.0.255 interface Tunnel0/0/0 ospf network-type broadcast ospf dr-priority 255 nhrp entry multicast dynamic CISCO : ip nhrp map multicast dynamic Przykład z RIP rip 300 undo summary version 2 network 10.0.0.0 interface Tunnel0/0/0 undo rip split-horizon
  19. 19. #19 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja routingu - Spoke Przykład z OSPF ospf 301 router-id 10.0.0.11 area 0.0.0.0 network 192.168.1.0 0.0.0.255 network 10.0.0.0 0.0.0.255 interface Tunnel0/0/0 ospf network-type broadcast ospf dr-priority 0 CISCO: ip nhrp map multicast 172.17.0.1 Przykład z RIP rip 300 version 2 network 10.0.0.0 network 192.168.1.0
  20. 20. #20 HUAWEI TECHNOLOGIES CO., LTD. Scenariusz 3: Spoke-Spoke z przekierowaniem AR1220 SpokeA SpokeB Hub 192.168.1.1/24 192.168.2.1/24 192.168.0.1/24 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 192.168.0.0 /16—>10.0.0.1 192.168.1.0 /24—>10.0.0.11 192.168.2.0 /24—>10.0.0.12 192.168.0.0 /16—>10.0.0.1 NHRP PEER Routing table Data packet NHRP redirection packet NHRP Resolution packet Tunnel address: 10.0.0.1 NBMA address: 172.17.0.1/24 NBMA address: 172.16.1.1/24 Tunnel address: 10.0.0.11 NBMA address: 172.16.2.1/24 Tunnel address: 10.0.0.12
  21. 21. #21 HUAWEI TECHNOLOGIES CO., LTD. Weryfikacja wpisów NHRP [Huawei-SpokeA] display nhrp peer all ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.1 32 172.17.0.1 10.0.0.1 static hub ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 13:27:42 Expire time : -- ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 192.168.2.2 24 172.16.2.1 10.0.0.12 dynamic route network ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34 ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.12 32 172.16.2.1 10.0.0.12 dynamic route tunnel ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34
  22. 22. #22 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja Hub: ip address 10.0.0.1 24 tunnel-protocol gre p2mp source 172.17.0.1 nhrp redirect nhrp entry multicast dynamic SpokeA: ip address 10.0.0.11 24 tunnel-protocol gre p2mp source 172.16.1.1 nhrp shortcut nhrp entry 10.0.0.1 172.17.0.1 register SpokeB: ip address 10.0.0.12 24 tunnel-protocol gre p2mp source 172.16.2.1 nhrp shortcut nhrp entry 10.0.0.1 172.17.0.1 register CISCO Hub: ip nhrp redirect Spoke: ip nhrp shortcut
  23. 23. #23 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja routingu dynamicznego - Hub Przykład z OSPF ospf 301 router-id 10.0.0.1 area 0.0.0.0 network 10.0.0.1 0.0.0.255 interface Tunnel0/0/0 ospf network-type p2mp ospf dr-priority 255 Przykład z RIP rip 300 version 2 network 10.0.0.0 network 192.168.0.0 interface Tunnel0/0/0 rip summary-address 192.168.0.0 255.255.0.0
  24. 24. #24 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja routingu dynamicznego - Spoke Przykład z OSPF ospf 301 router-id 10.0.0.11 area 0.0.0.0 network 192.168.1.0 0.0.0.255 network 10.0.0.0 0.0.0.255 interface Tunnel0/0/0 ospf network-type p2mp ospf dr-priority 0 Przykład z RIP rip 300 version 2 network 10.0.0.0 network 192.168.1.0
  25. 25. #25 HUAWEI TECHNOLOGIES CO., LTD. Routing dynamiczny - podsumowanie Page 25 Scenariusz RIP OSPF BGP Non-Shortcut Wyłączyć split horizon i automatyczną agregację ścieżek na interfejsie mGRE huba ospf network-type broadcast na hubach i w oddziałach Wyłączona agregacja ścieżek na hubie Shortcut Włączyć split horizon i agregację ścieżek na interfejsie mGRE huba ospf network-type p2mp na hubach i w oddziałach Skonfigurować agregację ścieżek na hubie • Wspierane wszystkie protokoły z wyjątkiem IS-IS • W dużych sieciach rekomendowane BGP (w sieciach homogenicznych Cisco także EIGRP z Stub routing) • Huby wymieniają informacje routingowe z wszystkimi oddziałami i innymi hubami • Oddziały wymieniają informacje routingowe tylko z hubami
  26. 26. #26 HUAWEI TECHNOLOGIES CO., LTD. DSVPN z IPsec ipsec proposal dsvpn-proposal esp authentication-algorithm sha2-512 esp encryption-algorithm aes-256 ike proposal 10 encryption-algorithm aes-cbc-256 dh group14 ike peer HUB v1 pre-shared-key simple Huawei@1234 ike-proposal 10 ipsec profile DSPVN ike-peer HUB proposal dsvpn-proposal pfs dh-group14 interface Tunnel0/0/0 ip address 172.16.1.2 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf network-type broadcast ospf dr-priority 0 ipsec profile DSVPN nhrp entry 172.16.1.1 202.1.1.10 register CISCO: tunnel protection ipsec profile DMVPN
  27. 27. #27 HUAWEI TECHNOLOGIES CO., LTD. • Spoke wysyła NHRP Registration Request do huba, z oryginalnym adresem IP w komunikacie, hub więc może wykryć czy po drodze adres był zamieniony. Hub odpowiada komunikatem NHRP Registration Reply zawierającym publiczny adres IP oddziału • Oddział źródłowy wysyła zapytania NHRP Resolution Request ze swoim prywatnym i publicznym adresem IP do oddziału docelowego. Oddział docelowy wysyła odpowiedź NHRP Resolution Reply również ze swoimi obydwoma adresami IP NAT Traversal Ograniczenia: • Oddziały nie mogą być podłączone do tego samego urządzenia z NATem i translowane na ten sam adres publiczny • Urządzenia NATujące nie mogą robić PATa • Musi być skonfigurowany statyczny NAT SPOKE A SPOKE B HUB NAT NAT Tunnel0:172.10.1.1/24 Physical:202.1.1.1/24 Physical:10.1.3.1/24 Tunnel0:172.10.3.1/24 Physical:10.1.2.1/24 Tunnel0:172.10.2.1/24 10.1.2.1/24-->202.1.2.1/24 10.1.3.1/24-->202.1.3.1/24
  28. 28. #28 HUAWEI TECHNOLOGIES CO., LTD. Dual-Hub Single DSVPN Page 28
  29. 29. #29 HUAWEI TECHNOLOGIES CO., LTD. Dual-Hub Single DSVPN Konfiguracja na hubach: interface Tunnel0/0/0 ip address 172.16.1.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf cost 1000 ospf network-type p2mp nhrp redirect nhrp entry multicast dynamic Page 29 interface Tunnel0/0/0 ip address 172.16.1.254 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf cost 3000 ospf network-type p2mp nhrp redirect nhrp entry multicast dynamic Konfiguracja Spoke: interface Tunnel0/0/0 ip address 172.16.1.2 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf network-type p2mp nhrp shortcut nhrp registration interval 300 nhrp entry 172.16.1.1 202.1.1.10 register nhrp entry 172.16.1.254 202.1.254.10 register
  30. 30. #30 HUAWEI TECHNOLOGIES CO., LTD. Dwa VPNy z pojedynczymi hubami – LTE Dual-SIM
  31. 31. #31 HUAWEI TECHNOLOGIES CO., LTD. Monitorowanie LTE APN poprzez NQA interface Cellular0/0/0 apn-profile orange priority 200 track nqa admin tunnel0/0/1 admin tunnel0/0/2 apn-profile tmo priority 150 track nqa admin tunnel0/0/3 admin tunnel0/0/4 apn profile orange apn internet sim-id 1 apn profile tmo apn internet sim-id 2
  32. 32. #32 HUAWEI TECHNOLOGIES CO., LTD. HUB_1 interface Tunnel0/0/1 ip address 172.16.1.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 gre key 111 nhrp authentication cipher Huawei@1 nhrp entry multicast dynamic # interface Tunnel0/0/3 ip address 172.16.3.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet2/0/0 gre key 333 nhrp authentication cipher Huawei@3 nhrp entry multicast dynamic HUB_2 interface Tunnel0/0/2 ip address 172.16.2.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet2/0/0 gre key 222 nhrp authentication cipher Huawei@2 nhrp entry multicast dynamic # interface Tunnel0/0/4 ip address 172.16.4.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 gre key 444 nhrp authentication cipher Huawei@4 nhrp entry multicast dynamic Konfiguracja routerow centralnych gre key { plain key-number | [ cipher ] plain-cipher-text } W przypadku gdy kilka interfejsów mGRE używa tego samego źródłowego adresu IP lub interfejsu fizycznego
  33. 33. #33 HUAWEI TECHNOLOGIES CO., LTD. interface Tunnel0/0/1 ip address 172.10.1.2 255.255.255.0 rip metricin 1 tunnel-protocol gre p2mp source Cellular0/0/0 gre key 111 nhrp authentication cipher Huawei@1 nhrp registration interval 20 nhrp entry holdtime seconds 60 nhrp registration no-unique nhrp entry 172.10.1.1 202.10.1.2 register track apn orange interface Tunnel0/0/2 ip address 172.10.2.2 255.255.255.0 rip metricin 7 rip metricout 7 tunnel-protocol gre p2mp source Cellular0/0/0 gre key 222 nhrp authentication cipher Huawei@2 nhrp registration interval 20 nhrp entry holdtime seconds 60 nhrp registration no-unique nhrp entry 172.10.2.1 202.10.1.10 register track apn orange interface Tunnel0/0/3 ip address 172.10.3.2 255.255.255.0 rip metricin 4 rip metricout 4 tunnel-protocol gre p2mp source Cellular0/0/0 gre key 333 nhrp authentication cipher Huawei@3 nhrp registration interval 20 nhrp entry holdtime seconds 60 nhrp registration no-unique nhrp entry 172.10.3.1 202.10.1.6 register track apn tmo interface Tunnel0/0/4 ip address 172.10.4.2 255.255.255.0 rip metricin 10 rip metricout 10 tunnel-protocol gre p2mp source Cellular0/0/0 gre key 444 nhrp authentication cipher Huawei@4 nhrp registration interval 20 nhrp entry holdtime seconds 60 nhrp registration no-unique nhrp entry 172.10.4.1 202.10.1.14 register track apn tmo Konfiguracja routera Spoke
  34. 34. #34 HUAWEI TECHNOLOGIES CO., LTD. Wspierane platformy CISCO (Dynamic Multipoint VPN): IOS – m.in. routery ISR, przemysłowe CGR2010, switche Cat6500, 6880-X IOS XE – routery ISR4xxx, ASR1K Brak wsparcia na firewallach ASA HUAWEI (Dynamic Smart VPN): Routery AR G3, w tym przemysłowe AR530 (brak na SMB AR120, mobilnych AR500, switchach AR550) Firewalle USG, karty NGFW do przełączników modularnych Symulator eNSP ADTRAN: Netvanta Software: Vyatta vRouter; OpenNHRP + ipsec-tools Page 34
  35. 35. #35 HUAWEI TECHNOLOGIES CO., LTD. Dynamiczny VPN dla PKP Polskie Linie Kolejowe WAN 2 x Cisco ASR1000 Cisco ISRWiększe oddziały Mniejsze oddziały 2 lokalizacje centralne  Ok. 300 routerów, w tym 70+ routerów Huawei AR2240  Współpraca z DMVPN w ramach jednej heterogenicznej sieci WAN  Migracja z EIGRP na BGP  System zarządzania Huawei eSight2 x HUAWEI AR2240
  36. 36. #36 HUAWEI TECHNOLOGIES CO., LTD. WSZYSTKO MA SWÓJ KONIEC ...a tunel mGRE nawet nie jeden 

×