01/07/2016

Cisco – DMVPN Basic Config

 

dmvpn01

 

Hub01 – minimale Config:

Hier legen wir die ISAKMP Policy mit den angefuehrten Werten an

crypto isakmp policy 1
 encr aes 256
 hash sha256
 authentication pre-share
 group 14

 

Der ISAKMP Key (pass) und von wo aus ueberall der Zugriff erlaubt ist (ueberall)

crypto isakmp key pass address 0.0.0.0

 

Das IPsec Transform-Set. Theoretisch koennen wir DMVPN auch ohne IPsec machen, in der Praxis aber eher unwahrscheinlich… Die Werte muessen bei Hub und Spokes natuerlich uebereinstimmen!!!

crypto ipsec transform-set AES-TS ah-sha256-hmac esp-aes 256
 mode transport

 

Das IPsec Profil. Hier wird einzig und allein das Transform-Set referenziert. Im Tunnel Interface koennen wir nur ein IPsec PROFIL angeben, daher dieser „Umweg“.

crypto ipsec profile IPsecProfile
 set transform-set AES-TS

 

Das Tunnel Interface des Hubs

interface Tunnel0
 ip address 192.168.0.254 255.255.255.0
     Alle Tunnel Interfaces (Hubs und Spokes) muessen im selben IP Netz sein!
 ip nhrp authentication TUNPASS
     Ein optionales Kennwort. Muss auf allen Routern in diesem Netzwerk 
     zusammenstimmen. Max 8 Zeichen.
 ip nhrp map multicast dynamic
     Hier definieren wir wohin Multicast geschickt wird. Am Hub nehmen wir 
     dynamic, das heisst wir replizieren Multicast zu allen Spokes die via
     NHRP registriert sind. Auf den Spokes geben wir hier die IP des Hubs 
     an (siehe spaeter). Das Mapping ist notwendig, damit Multicast 
     Anwendungen wie zB Routing Protokolle funktionieren!
 ip nhrp network-id 1
     Die Netzwerk ID. Muss bei allen Routern identisch sein. In erweiterten 
     Szenarien kann man hiermit das logische NBMA Netz aufteilen (Mandatory).
 ip ospf network point-to-multipoint
     Benoetigt, falls wir OSPF verwenden. Es muss zwar nicht zwingend P2M sein,
     Type Broadcast (plus Multicast Support) ginge auch, aber Default ist P2P
     und das wuerde nicht funtkionieren, sondern die Adjacency permanent flappen.
 tunnel source 10.0.0.2
     Die Tunnel Source - Das Uplink Interface Richtung Internet.
 tunnel mode gre multipoint
     Tunnel Mode fuer DMVPN ist GRE Multipoint. Je nach Phase auch auf den Spokes!
 tunnel key 1
     Muss auch bei allen uebereinstimmen. Ein Plaintext Kennwort. Optional.
 tunnel protection ipsec profile IPsecProfile
     Hier referenzieren wir das oben erstellte IPsec Profil (optional, aber 
     dringend empfohlen).

 

 

Spoke 01 – minimale Config:

========= identisch mit Hub =========

crypto isakmp policy 1
 encr aes 256
 hash sha256
 authentication pre-share
 group 14
crypto isakmp key pass address 0.0.0.0
crypto ipsec transform-set AES-TS ah-sha256-hmac esp-aes 256
 mode transport
crypto ipsec profile IPsecProfile
 set transform-set AES-TS

========= identisch mit Hub =========

 

Das Tunnel Interface des/der Spokes

interface Tunnel0
 ip address 192.168.0.1 255.255.255.0
     Die Tunnel IP - selbes Netz bei allen beteiligten Routern!
 ip nhrp authentication TUNPASS
     Authentication - Muss mit dem Hub uerbeinstimmen!
 ip nhrp map multicast 10.0.0.2
     Das Multicast Mapping aus Sicht des Spokes. Geht zur OEFFENTLICHEN NBMA
     WAN IP des Hubs!!!
 ip nhrp map 192.168.0.254 10.0.0.2
     Hier mappen wir die Tunnel IP des Hubs auf die OEFFENTLICHEN NBMA WAN IP des Hubs.
 ip nhrp network-id 1
     Network ID - Muss mit dem Hub uerbeinstimmen!
 ip nhrp nhs 192.168.0.254
     Die Adresse (Tunnel IP!!!) des NHS (Next Hop Server = Hub).
 ip ospf network point-to-multipoint
     Benoetigt, falls wir OSPF verwenden.
 tunnel source 10.1.1.2
     Die Tunnel Source (WAN IP oder WAN Interface!) des Spokes.
 tunnel mode gre multipoint
     Tunnel Mode fuer DMVPN ist GRE Multipoint (ab Phase 2).
 tunnel key 1
     Muss auch bei allen uebereinstimmen. Ein Plaintext Kennwort. Optional.
 tunnel protection ipsec profile IPsecProfile
     Hier referenzieren wir das oben erstellte IPsec Profil (optional, aber 
     dringend empfohlen).

Man sieht hier nirgendwo eine Tunnel Destination. Der Grund hierfuer ist, dass wir ab Phase 2 Spoke to Spoke machen koennen und somit evtl ja mehr als eine Destination haben. Somit tragen wir keine statische Destination ein, sondern NHRP macht fuer uns die Aufloesung bzw das Mapping und wir koennen mehrere (dynamische) Destinationen haben. Statt tunnel destination brauchen wir in diesem Fall ip nhrp nhs a.b.c.d

 

Spoke to Spoke Tunnel

Optional, aber natuerlich dringend empfohlen da wahrscheinlich eines der coolsten Features von DMVPN (DMVPN Phase 3).

Hub:

interface Tunnel0
 ip nhrp redirect
     Diese Config am Hub erlaubt im DMVPN Netz Shortcuts. Ohne die 
     Config am Hub koennen die Spokes zwar fuer Shortscuts konfiguriert 
     sein, es wird aber nicht erlaubt.

 

Spoke:

interface Tunnel0
 ip nhrp shortcut
     Der Gegenpart auf den Spokes. Dies erlaubt dem Spoke einen Shortcut 
     fuer Spoke to Spoke aufzubauen (sofern vom Hub aus genehmigt). Wenn 
     auf einem Spoke ip nhrp shortcut konfiguriert ist, aber auf dem 
     anderen Spoke nicht, zu welchem der Traffic gehen soll, dann wird der 
     Tunnel trotzdem gebaut!

 

PS: 2016 waere IKEv2 evtl schon angebracht, aber das mach ich in einem anderen HowTo 😉

 

Kommentar verfassen