Cisco IOS/CCP - Configurer DMVPN avec Cisco CP

Introduction

Ce document fournit un exemple de configuration pour le tunnel DMVPN (Dynamic Multipoint VPN) entre les routeurs concentrateurs et en étoile à l'aide de Cisco Configuration Professional (Cisco CP). Dynamic Multipoint VPN est une technologie qui intègre différents concepts tels que GRE, le cryptage IPSec, NHRP et le routage pour fournir une solution sophistiquée qui permet aux utilisateurs finaux de communiquer efficacement via les tunnels IPSec en étoile créés dynamiquement.

Conditions préalables

Conditions requises

Pour une fonctionnalité DMVPN optimale, il est recommandé d'exécuter le logiciel Cisco IOS® version 12.4 mainline,12.4T et ultérieure.

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Routeur Cisco IOS série 3800 avec logiciel version 12.4 (22)

• Routeur Cisco IOS de la gamme 1800 avec logiciel version 12.3 (8)

• Cisco Configuration Professional version 2.5

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Ce document fournit des informations sur la configuration d'un routeur en étoile et d'un autre routeur en concentrateur à l'aide de Cisco CP. La configuration en étoile initiale est affichée, mais plus loin dans le document, la configuration liée au concentrateur est également présentée en détail afin de fournir une meilleure compréhension. D'autres rayons peuvent également être configurés à l'aide d'une approche similaire pour se connecter au concentrateur. Le scénario actuel utilise les paramètres suivants :

• Réseau public du routeur concentrateur - 209.165.201.0

• Réseau de tunnel - 192.168.10.0

• Protocole de routage utilisé - OSPF

Configuration

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque : utilisez l'outil de recherche de commandes (clients enregistrés uniquement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Configuration satellite à l'aide de Cisco CP

Cette section explique comment configurer un routeur en étoile à l'aide de l'assistant DMVPN étape par étape dans Cisco Configuration Professional.

1. Afin de démarrer l'application Cisco CP et de lancer l'assistant DMVPN, accédez à Configure > Security > VPN > Dynamic Multipoint VPN. Ensuite, sélectionnez l'option Créer un rayon dans un DMVPN et cliquez sur Lancer la tâche sélectionnée.

   

2. Cliquez sur Suivant pour commencer.

   

3. Sélectionnez l'option Réseau Hub and Spoke et cliquez sur Suivant.

   

4. Spécifiez les informations associées au concentrateur, telles que l'interface publique du routeur concentrateur et l'interface de tunnel du routeur concentrateur.

   

5. Spécifiez les détails de l'interface de tunnel du rayon et de l'interface publique du rayon. Ensuite, cliquez sur Avancé.

   

6. Vérifiez les paramètres de tunnel et de NHRP, et assurez-vous qu'ils correspondent parfaitement aux paramètres du concentrateur.

   

7. Spécifiez la clé pré-partagée et cliquez sur Suivant.

   

8. Cliquez sur Add afin d'ajouter une proposition IKE distincte.

   

9. Spécifiez les paramètres de chiffrement, d'authentification et de hachage. Cliquez ensuite sur OK.

   

10. La nouvelle stratégie IKE est visible ici. Cliquez sur Next (Suivant).

    

11. Cliquez sur Suivant pour continuer avec le jeu de transformation par défaut.

    

12. Sélectionnez le protocole de routage requis. Ici, OSPF est sélectionné.

    

13. Spécifiez l'ID de processus OSPF et l'ID de zone. Cliquez sur Add afin d'ajouter les réseaux à annoncer par OSPF.

    

14. Ajoutez le réseau du tunnel et cliquez sur OK.

    

15. Ajoutez le réseau privé derrière le routeur en étoile. Cliquez ensuite sur Next.

    

16. Cliquez sur Terminer pour terminer la configuration de l'assistant.

    

17. Cliquez sur Deliver pour exécuter les commandes. Cochez la case Enregistrer la configuration en cours dans la configuration de démarrage du périphérique si vous voulez enregistrer la configuration.

    

Configuration CLI pour Spoke

La configuration CLI associée est présentée ici :

crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Configuration du concentrateur à l'aide de Cisco CP

Cette section présente une approche pas à pas de la configuration du routeur concentrateur pour le DMVPN.

1. Accédez à Configure > Security > VPN > Dynamic Multipoint VPN et sélectionnez l'option Create a hub in a DMVPN. Cliquez sur Lancer la tâche sélectionnée.

   

2. Cliquez sur Next (Suivant).

   

3. Sélectionnez l'option Réseau Hub and Spoke et cliquez sur Suivant.

   

4. Sélectionnez Concentrateur principal. Cliquez ensuite sur Next.

   

5. Spécifiez les paramètres d'interface du tunnel et cliquez sur Avancé.

   

6. Spécifiez les paramètres de tunnel et NHRP. Cliquez ensuite sur OK.

   

7. Spécifiez l'option en fonction de la configuration de votre réseau.

   

8. Sélectionnez Clés prépartagées et spécifiez les clés prépartagées. Cliquez ensuite sur Next.

   

9. Cliquez sur Add afin d'ajouter une proposition IKE distincte.

   

10. Spécifiez les paramètres de chiffrement, d'authentification et de hachage. Cliquez ensuite sur OK.

    

11. La nouvelle stratégie IKE est visible ici. Cliquez sur Next (Suivant).

    

12. Cliquez sur Suivant pour continuer avec le jeu de transformation par défaut.

    

13. Sélectionnez le protocole de routage requis. Ici, OSPF est sélectionné.

    

14. Spécifiez l'ID de processus OSPF et l'ID de zone. Cliquez sur Add afin d'ajouter les réseaux à annoncer par OSPF.

    

15. Ajoutez le réseau du tunnel et cliquez sur OK.

    

16. Ajoutez le réseau privé derrière le routeur Hub et cliquez sur Next (Suivant).

    

17. Cliquez sur Terminer pour terminer la configuration de l'assistant.

    

18. Cliquez sur Deliver pour exécuter les commandes.

    

Configuration CLI pour concentrateur

La configuration CLI associée est présentée ici :

!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

Modifier la configuration DMVPN à l'aide de CCP

Vous pouvez modifier manuellement les paramètres de tunnel DMVPN existants lorsque vous sélectionnez l'interface du tunnel et cliquez sur Modifier.

Les paramètres d'interface de tunnel tels que MTU et la clé de tunnel sont modifiés sous l'onglet Général.

1. Les paramètres liés au PNRDS sont trouvés et modifiés conformément aux exigences de l'onglet PNRDS. Pour un routeur en étoile, vous devez être en mesure d'afficher le NHS comme adresse IP du routeur concentrateur. Cliquez sur Add dans la section NHRP Map afin d'ajouter le mappage NHRP.

   

2. Selon la configuration du réseau, les paramètres de mappage NHRP peuvent être configurés comme indiqué ici :

   

Les paramètres liés au routage sont affichés et modifiés sous l'onglet Routage.

Plus d'informations

Les tunnels DMVPN sont configurés de deux manières :

• Communication satellite à satellite via le concentrateur

• Communication satellite à satellite sans concentrateur

Dans ce document, seule la première méthode est abordée. Afin de permettre l'établissement de tunnels IPSec dynamiques de rayon à rayon, cette approche est utilisée pour ajouter le rayon au cloud DMVPN :

1. Lancez l'assistant DMVPN et sélectionnez l'option de configuration Spoke.

2. Dans la fenêtre Topologie du réseau DMVPN, sélectionnez l'option Réseau maillé complet au lieu de l'option Réseau concentrateur et satellite.

   

3. Complétez le reste de la configuration en suivant les mêmes étapes que les autres configurations de ce document.

Vérification

Aucune procédure de vérification n'est disponible pour cette configuration.

Informations connexes

• VPN multipoint dynamique Cisco : Communications de filiale à filiale simples et sécurisées
• VPN multipoint dynamique (DMVPN) IOS 12.2
• Support et documentation techniques - Cisco Systems