Cisco IOS/CCP - Configurazione di DMVPN con Cisco CCP

Opzioni per il download

  • PDF     (1.7 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.0 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (2.3 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:27 settembre 2011
ID documento:113265

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene fornita una configurazione di esempio per il tunnel DMVPN (Dynamic Multipoint VPN) tra router hub e spoke tramite Cisco Configuration Professional (Cisco CP). Dynamic Multipoint VPN è una tecnologia che integra diversi concetti, quali GRE, crittografia IPSec, NHRP e routing, per fornire una soluzione sofisticata che consente agli utenti finali di comunicare in modo efficace tramite i tunnel IPSec spoke creati in modo dinamico.

Prerequisiti

Requisiti

Per ottenere le migliori funzionalità di DMVPN, è consigliabile eseguire il software Cisco IOS® versione 12.4 mainline, 12.4T e successive.

Componenti usati

Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:

  • Cisco IOS Router serie 3800 con software versione 12.4 (22)

  • Cisco IOS Router serie 1800 con software release 12.3 (8)

  • Cisco Configuration Professional versione 2.5

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Convenzioni

Fare riferimento a Cisco Technical Tips Conventions per ulteriori informazioni sulle convenzioni dei documenti.

Premesse

Questo documento offre informazioni su come configurare un router come spoke e un altro router come hub con Cisco CP. Inizialmente viene mostrata la configurazione spoke, ma più avanti nel documento, viene mostrata in dettaglio anche la configurazione relativa all'hub per fornire una migliore comprensione. È possibile configurare anche altri raggi utilizzando un approccio simile per la connessione all'hub. Lo scenario corrente utilizza i parametri seguenti:

  • Rete pubblica router hub - 209.165.201.0

  • Rete tunnel - 192.168.10.0

  • Protocollo di routing utilizzato - OSPF

Configurazione

In questa sezione vengono presentate le informazioni necessarie per configurare le funzionalità descritte più avanti nel documento.

Nota: per ulteriori informazioni sui comandi menzionati in questa sezione, usare lo strumento di ricerca dei comandi (solo utenti registrati).

Esempio di rete

Nel documento viene usata questa impostazione di rete:

dmvpn-ccp-router-01.gif

Configurazione spoke con Cisco CP

Questa sezione illustra come configurare un router come spoke utilizzando la procedura guidata DMVPN in Cisco Configuration Professional.

  1. Per avviare l'applicazione Cisco TCP e avviare la procedura guidata DMVPN, andare a Configurazione > Sicurezza > VPN > Dynamic Multipoint VPN. Quindi, selezionare l'opzione Crea un raggio in una VPN DMVPN e fare clic su Avvia l'attività selezionata.

    dmvpn-ccp-router-02.gif

  2. Fare clic su Next (Avanti) per iniziare.

    dmvpn-ccp-router-03.gif

  3. Selezionare l'opzione Rete Hub e Spoke e fare clic su Avanti.

    dmvpn-ccp-router-04.gif

  4. Specificare le informazioni relative all'hub, ad esempio l'interfaccia pubblica del router hub e l'interfaccia del tunnel del router hub.

    dmvpn-ccp-router-05.gif

  5. Specificare i dettagli dell'interfaccia tunnel dello spoke e l'interfaccia pubblica dello spoke. Quindi fare clic su Avanzate.

    dmvpn-ccp-router-06.gif

  6. Verificare i parametri tunnel e NHRP e assicurarsi che corrispondano perfettamente ai parametri Hub.

    dmvpn-ccp-router-07.gif

  7. Specificare la chiave già condivisa e fare clic su Avanti.

    dmvpn-ccp-router-08.gif

  8. Per aggiungere una proposta IKE separata, fare clic su Add (Aggiungi).

    dmvpn-ccp-router-09.gif

  9. Specificare i parametri di crittografia, autenticazione e hash. Quindi fare clic su OK.

    dmvpn-ccp-router-10.gif

  10. I nuovi criteri IKE possono essere visualizzati qui. Fare clic su Next (Avanti).

    dmvpn-ccp-router-11.gif

  11. Fare clic su Avanti per continuare con il set di trasformazioni predefinito.

    dmvpn-ccp-router-12.gif

  12. Selezionare il protocollo di routing desiderato. In questo caso, è selezionato OSPF.

    dmvpn-ccp-router-13.gif

  13. Specificare l'ID processo OSPF e l'ID area. Per aggiungere le reti che devono essere annunciate da OSPF, fare clic su Add (Aggiungi).

    dmvpn-ccp-router-14.gif

  14. Aggiungere la rete del tunnel e fare clic su OK.

    dmvpn-ccp-router-15.gif

  15. Aggiungere la rete privata dietro il router spoke. Fare quindi clic su Avanti.

    dmvpn-ccp-router-16.gif

  16. Fare clic su Fine per completare la configurazione della procedura guidata.

    dmvpn-ccp-router-17.gif

  17. Fare clic su Consegna per eseguire i comandi. Per salvare la configurazione, selezionare la casella di controllo Salva configurazione in esecuzione nella configurazione di avvio del dispositivo.

    dmvpn-ccp-router-18.gif

Configurazione CLI per spoke

La configurazione CLI correlata è mostrata di seguito:

Router Spoke 
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Configurazione hub con Cisco CP

In questa sezione viene mostrato un approccio graduale su come configurare il router hub per la VPN DMVPN.

  1. Selezionare Configura > Sicurezza > VPN > Dynamic Multipoint VPN e selezionare l'opzione Crea un hub in una VPN DPM. Fare clic su Avvia l'attività selezionata.

    dmvpn-ccp-router-19.gif

  2. Fare clic su Next (Avanti).

    dmvpn-ccp-router-20.gif

  3. Selezionare l'opzione Rete Hub e Spoke e fare clic su Avanti.

    dmvpn-ccp-router-21.gif

  4. Selezionare Hub primario. Fare quindi clic su Avanti.

    dmvpn-ccp-router-22.gif

  5. Specificare i parametri dell'interfaccia del tunnel e fare clic su Avanzate.

    dmvpn-ccp-router-23.gif

  6. Specificare i parametri Tunnel e NHRP. Quindi fare clic su OK.

    dmvpn-ccp-router-24.gif

  7. Specificare l'opzione in base alla configurazione della rete.

    dmvpn-ccp-router-25.gif

  8. Selezionare Chiavi già condivise e specificare le chiavi già condivise. Fare quindi clic su Avanti.

    dmvpn-ccp-router-26.gif

  9. Per aggiungere una proposta IKE separata, fare clic su Add (Aggiungi).

    dmvpn-ccp-router-27.gif

  10. Specificare i parametri di crittografia, autenticazione e hash. Quindi fare clic su OK.

    dmvpn-ccp-router-28.gif

  11. I nuovi criteri IKE possono essere visualizzati qui. Fare clic su Next (Avanti).

    dmvpn-ccp-router-29.gif

  12. Fare clic su Avanti per continuare con il set di trasformazioni predefinito.

    dmvpn-ccp-router-30.gif

  13. Selezionare il protocollo di routing desiderato. In questo caso, è selezionato OSPF.

    dmvpn-ccp-router-31.gif

  14. Specificare l'ID processo OSPF e l'ID area. Per aggiungere le reti che devono essere annunciate da OSPF, fare clic su Add (Aggiungi).

    dmvpn-ccp-router-32.gif

  15. Aggiungere la rete del tunnel e fare clic su OK.

    dmvpn-ccp-router-33.gif

  16. Aggiungere la rete privata dietro il router hub e fare clic su Avanti.

    dmvpn-ccp-router-34.gif

  17. Fare clic su Fine per completare la configurazione della procedura guidata.

    dmvpn-ccp-router-35.gif

  18. Fare clic su Consegna per eseguire i comandi.

    dmvpn-ccp-router-36.gif

Configurazione CLI per hub

Di seguito è illustrata la configurazione CLI correlata:

Router hub 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

Modificare la configurazione DMVPN utilizzando CCP

È possibile modificare manualmente i parametri del tunnel DMVPN esistenti quando si seleziona l'interfaccia del tunnel e si fa clic su Modifica.

dmvpn-ccp-router-37.gif

I parametri dell'interfaccia del tunnel, come MTU e chiave del tunnel, vengono modificati nella scheda Generale.

dmvpn-ccp-router-38.gif

  1. I parametri correlati a NHRP vengono individuati e modificati in base al requisito nella scheda NHRP. Nel caso di un router spoke, dovrebbe essere possibile visualizzare il servizio NHS come indirizzo IP del router hub. Per aggiungere il mapping NHRP, fare clic su Aggiungi nella sezione Mappa NHRP.

    dmvpn-ccp-router-39.gif

  2. A seconda dell'impostazione della rete, è possibile configurare i parametri di mapping NHRP come illustrato di seguito:

    dmvpn-ccp-router-40.gif

I parametri relativi al ciclo vengono visualizzati e modificati nella scheda Ciclo.

dmvpn-ccp-router-41.gif

Ulteriori informazioni

I tunnel DMVPN sono configurati nei due modi seguenti:

  • Comunicazione Spoke-to-Spoke attraverso l'hub

  • Comunicazione spoke-to-spoke senza hub

In questo documento viene illustrato solo il primo metodo. Per consentire la creazione di tunnel IPSec dinamici spoke-to-spoke, questo approccio viene utilizzato per aggiungere spoke al cloud DMVPN:

  1. Avviare la procedura guidata DMVPN e selezionare l'opzione di configurazione Spoke.

  2. Dalla finestra Topologia di rete DMVPN, selezionare l'opzione Rete a mesh completa anziché l'opzione Rete hub e spoke.

    dmvpn-ccp-router-42.gif

  3. Completare il resto della configurazione seguendo la stessa procedura delle altre configurazioni descritte in questo documento.

Verifica

Attualmente non è disponibile una procedura di verifica per questa configurazione.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
27-Sep-2011
Versione iniziale

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti