Cisco IOS/CCP - Konfigurieren von DMVPN mit Cisco CP

Download-Optionen

  • PDF     (1.7 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (2.0 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.3 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:27. September 2011
Dokument-ID:113265

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

Dieses Dokument enthält eine Beispielkonfiguration für einen DMVPN-Tunnel (Dynamic Multipoint VPN) zwischen Hub-and-Spoke-Routern mithilfe von Cisco Configuration Professional (Cisco CP). Dynamic Multipoint VPN ist eine Technologie, die verschiedene Konzepte wie GRE, IPSec-Verschlüsselung, NHRP und Routing integriert, um eine fortschrittliche Lösung bereitzustellen, die es Endbenutzern ermöglicht, effektiv über die dynamisch erstellten Spoke-to-Spoke-IPSec-Tunnel zu kommunizieren.

Voraussetzungen

Anforderungen

Für eine optimale DMVPN-Funktionalität wird empfohlen, die Cisco IOS® Software Release 12.4 Mainline, 12.4T und höher auszuführen.

Verwendete Komponenten

Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:

  • Cisco IOS Router der Serie 3800 mit Softwareversion 12.4 (22)

  • Cisco IOS Router der Serie 1800 mit Softwareversion 12.3 (8)

  • Cisco Configuration Professional Version 2.5

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netz Live ist, überprüfen Sie, ob Sie die mögliche Auswirkung jedes möglichen Befehls verstehen.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie in den Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Hintergrundinformationen

Dieses Dokument enthält Informationen zum Konfigurieren eines Routers als Spoke-Router und eines anderen Routers als Hub mit Cisco CP. Die erste Spoke-Konfiguration wird angezeigt, später wird jedoch im Dokument die Hub-bezogene Konfiguration detailliert dargestellt, um ein besseres Verständnis zu ermöglichen. Andere Stationen können ebenfalls mit dem gleichen Ansatz für die Verbindung mit dem Hub konfiguriert werden. Im aktuellen Szenario werden folgende Parameter verwendet:

  • Öffentliches Hub-Router-Netzwerk - 209.165.201.0

  • Tunnel Network - 192.168.10.0

  • Verwendetes Routing-Protokoll - OSPF

Konfigurieren

In diesem Abschnitt erfahren Sie, wie Sie die in diesem Dokument beschriebenen Funktionen konfigurieren können.

Hinweis: Verwenden Sie das Command Lookup Tool (nur registrierte Kunden), um weitere Informationen zu den in diesem Abschnitt verwendeten Befehlen zu erhalten.

Netzwerkdiagramm

In diesem Dokument wird die folgende Netzwerkeinrichtung verwendet:

dmvpn-ccp-router-01.gif

Spoke-Konfiguration mit Cisco CP

In diesem Abschnitt wird die Konfiguration eines Routers als Spoke mit dem Schritt-für-Schritt-DMVPN-Assistenten im Cisco Configuration Professional beschrieben.

  1. Um die Cisco CP-Anwendung zu starten und den DMVPN-Assistenten zu starten, gehen Sie zu Konfigurieren > Sicherheit > VPN > Dynamic Multipoint VPN. Wählen Sie dann die Option Create a Spoke in a DMVPN (Spoke in einem DMVPN erstellen) aus und klicken Sie auf Launch the selected task (Ausgewählte Aufgabe starten).

    dmvpn-ccp-router-02.gif

  2. Klicken Sie zum Starten auf Weiter.

    dmvpn-ccp-router-03.gif

  3. Wählen Sie die Option Hub-and-Spoke-Netzwerk aus, und klicken Sie auf Weiter.

    dmvpn-ccp-router-04.gif

  4. Geben Sie die Hub-bezogenen Informationen an, z. B. die öffentliche Schnittstelle des Hub-Routers und die Tunnelschnittstelle des Hub-Routers.

    dmvpn-ccp-router-05.gif

  5. Geben Sie die Details der Tunnelschnittstelle für das Spoke und die öffentliche Schnittstelle des Spokes an. Klicken Sie anschließend auf Erweitert.

    dmvpn-ccp-router-06.gif

  6. Überprüfen Sie die Tunnelparameter und NHRP-Parameter, und stellen Sie sicher, dass sie den Hub-Parametern entsprechen.

    dmvpn-ccp-router-07.gif

  7. Geben Sie den vorinstallierten Schlüssel an, und klicken Sie auf Weiter.

    dmvpn-ccp-router-08.gif

  8. Klicken Sie auf Hinzufügen, um ein separates IKE-Angebot hinzuzufügen.

    dmvpn-ccp-router-09.gif

  9. Geben Sie die Verschlüsselungs-, Authentifizierungs- und Hash-Parameter an. Klicken Sie anschließend auf OK.

    dmvpn-ccp-router-10.gif

  10. Die neu erstellte IKE-Richtlinie ist hier zu sehen. Klicken Sie auf Weiter.

    dmvpn-ccp-router-11.gif

  11. Klicken Sie auf Weiter, um mit dem standardmäßigen Umwandlungssatz fortzufahren.

    dmvpn-ccp-router-12.gif

  12. Wählen Sie das gewünschte Routing-Protokoll aus. Hier wird OSPF ausgewählt.

    dmvpn-ccp-router-13.gif

  13. Geben Sie die OSPF-Prozess-ID und die Area-ID an. Klicken Sie auf Hinzufügen, um die Netzwerke hinzuzufügen, die von OSPF angekündigt werden sollen.

    dmvpn-ccp-router-14.gif

  14. Fügen Sie das Tunnelnetzwerk hinzu, und klicken Sie auf OK.

    dmvpn-ccp-router-15.gif

  15. Fügen Sie das private Netzwerk hinter dem Spoke-Router hinzu. Klicken Sie anschließend auf Weiter.

    dmvpn-ccp-router-16.gif

  16. Klicken Sie auf Fertig stellen, um die Assistentenkonfiguration abzuschließen.

    dmvpn-ccp-router-17.gif

  17. Klicken Sie auf Deliver, um die Befehle auszuführen. Aktivieren Sie das Kontrollkästchen Aktuelle Konfiguration in der Startkonfiguration des Geräts speichern, wenn Sie die Konfiguration speichern möchten.

    dmvpn-ccp-router-18.gif

CLI-Konfiguration für Spoke

Die entsprechende CLI-Konfiguration wird hier angezeigt:

Spoke-Router 
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Hub-Konfiguration mit Cisco CP

In diesem Abschnitt wird ein schrittweiser Ansatz zur Konfiguration des Hub-Routers für das DMVPN beschrieben.

  1. Gehen Sie zu Configure > Security > VPN > Dynamic Multipoint VPN, und wählen Sie die Option Create a Hub in a DMVPN aus. Klicken Sie auf Ausgewählte Aufgabe starten.

    dmvpn-ccp-router-19.gif

  2. Klicken Sie auf Weiter.

    dmvpn-ccp-router-20.gif

  3. Wählen Sie die Option Hub-and-Spoke-Netzwerk aus, und klicken Sie auf Weiter.

    dmvpn-ccp-router-21.gif

  4. Wählen Sie Primary Hub (Primärer Hub). Klicken Sie anschließend auf Weiter.

    dmvpn-ccp-router-22.gif

  5. Geben Sie die Tunnel-Schnittstellenparameter an, und klicken Sie auf Erweitert.

    dmvpn-ccp-router-23.gif

  6. Geben Sie die Tunnel-Parameter und NHRP-Parameter an. Klicken Sie anschließend auf OK.

    dmvpn-ccp-router-24.gif

  7. Geben Sie die Option basierend auf Ihrer Netzwerkeinrichtung an.

    dmvpn-ccp-router-25.gif

  8. Wählen Sie Pre-shared Keys (Vorinstallierte Schlüssel) aus, und geben Sie die vorinstallierten Schlüssel an. Klicken Sie anschließend auf Weiter.

    dmvpn-ccp-router-26.gif

  9. Klicken Sie auf Hinzufügen, um ein separates IKE-Angebot hinzuzufügen.

    dmvpn-ccp-router-27.gif

  10. Geben Sie die Verschlüsselungs-, Authentifizierungs- und Hash-Parameter an. Klicken Sie anschließend auf OK.

    dmvpn-ccp-router-28.gif

  11. Die neu erstellte IKE-Richtlinie ist hier zu sehen. Klicken Sie auf Weiter.

    dmvpn-ccp-router-29.gif

  12. Klicken Sie auf Weiter, um mit dem standardmäßigen Umwandlungssatz fortzufahren.

    dmvpn-ccp-router-30.gif

  13. Wählen Sie das gewünschte Routing-Protokoll aus. Hier wird OSPF ausgewählt.

    dmvpn-ccp-router-31.gif

  14. Geben Sie die OSPF-Prozess-ID und die Area-ID an. Klicken Sie auf Hinzufügen, um die Netzwerke hinzuzufügen, die von OSPF angekündigt werden sollen.

    dmvpn-ccp-router-32.gif

  15. Fügen Sie das Tunnelnetzwerk hinzu, und klicken Sie auf OK.

    dmvpn-ccp-router-33.gif

  16. Fügen Sie das private Netzwerk hinter dem Hub-Router hinzu, und klicken Sie auf Weiter.

    dmvpn-ccp-router-34.gif

  17. Klicken Sie auf Fertig stellen, um die Assistentenkonfiguration abzuschließen.

    dmvpn-ccp-router-35.gif

  18. Klicken Sie auf Deliver, um die Befehle auszuführen.

    dmvpn-ccp-router-36.gif

CLI-Konfiguration für Hub

Die entsprechende CLI-Konfiguration wird hier angezeigt:

Hub-Router 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

Bearbeiten der DMVPN-Konfiguration mithilfe von CCP

Sie können die vorhandenen DMVPN-Tunnelparameter manuell bearbeiten, wenn Sie die Tunnelschnittstelle auswählen und auf Bearbeiten klicken.

dmvpn-ccp-router-37.gif

Tunnel-Schnittstellenparameter wie MTU und Tunnel-Schlüssel werden auf der Registerkarte Allgemein geändert.

dmvpn-ccp-router-38.gif

  1. NHRP-bezogene Parameter werden gemäß den Anforderungen auf der Registerkarte NHRP gefunden und geändert. Bei einem Spoke-Router sollten Sie den NHS als IP-Adresse des Hub-Routers anzeigen können. Klicken Sie im Abschnitt NHRP-Karte auf Hinzufügen, um die NHRP-Zuordnung hinzuzufügen.

    dmvpn-ccp-router-39.gif

  2. Je nach Netzwerkeinrichtung können die NHRP-Zuordnungsparameter wie folgt konfiguriert werden:

    dmvpn-ccp-router-40.gif

Die Routingparameter werden auf der Registerkarte Routing angezeigt und geändert.

dmvpn-ccp-router-41.gif

Weitere Informationen

Die DMVPN-Tunnel werden auf zwei Arten konfiguriert:

  • Spoke-to-Spoke-Kommunikation über den Hub

  • Spoke-to-Spoke-Kommunikation ohne Hub

In diesem Dokument wird nur die erste Methode behandelt. Um die Einrichtung von Spoke-to-Spoke-dynamischen IPSec-Tunneln zu ermöglichen, wird dieser Ansatz verwendet, um die Spoke-to-Spoke-Topologie der DMVPN-Cloud hinzuzufügen:

  1. Starten Sie den DMVPN-Assistenten, und wählen Sie die Option Spoke-Konfiguration aus.

  2. Wählen Sie im Fenster DMVPN-Netzwerktopologie die Option Full Meshed Network (Vollvernetztes Netzwerk) anstelle der Option Hub and Spoke (Hub- und Spoke-Netzwerk) aus.

    dmvpn-ccp-router-42.gif

  3. Schließen Sie die restliche Konfiguration mit den gleichen Schritten wie die anderen Konfigurationen in diesem Dokument ab.

Überprüfung

Für diese Konfiguration ist derzeit kein Überprüfungsverfahren verfügbar.

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
27-Sep-2011
Erstveröffentlichung

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.