Cisco IOS/CCP - DMVPN configureren met Cisco CP

Inleiding

Dit document biedt een voorbeeldconfiguratie voor Dynamic Multipoint VPN (DMVPN) tunnel tussen hub en gedeelde routers met Cisco Configuration Professional (Cisco CP). Dynamic Multipoint VPN is een technologie die verschillende concepten integreert zoals GRE, IPSec-encryptie, NHRP en Routing om een geavanceerde oplossing te bieden die de eindgebruikers in staat stelt effectief te communiceren via de dynamisch gemaakte IPSec-tunnels met een spaak.

Voorwaarden

Vereisten

Voor de beste DMVPN-functionaliteit wordt aanbevolen om Cisco IOS® softwarerelease 12.4, hoofdlijn 12.4T en hoger uit te voeren.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco IOS-router 3800 Series met softwarerelease 12.4(22)XR

• Cisco IOS-router 1800 Series met softwarerelease 12.3(8)

• Cisco Configuration Professional versie 2.5

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Achtergrondinformatie

Dit document geeft informatie hoe u een router als een gezochte router en een andere router als een hub kunt configureren met behulp van Cisco CP. Aanvankelijk gesproken configuratie wordt getoond, maar later in het document wordt de configuratie van de hub-gerelateerde ook in detail weergegeven om een beter begrip te bieden. Andere spokes kunnen ook worden geconfigureerd met behulp van de gelijksoortige benadering om verbinding te maken met een hub. Bij het huidige scenario worden deze parameters gebruikt:

• Hub routernetwerk - 209.165.201.0

• Tunnelnetwerk - 192.168.10.0

• Routing Protocol gebruikt - OSPF

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

Spraakconfiguratie met Cisco CP

Deze paragraaf laat zien hoe u een router als gesproken kunt configureren met behulp van de stapsgewijze DMVPN-wizard in Cisco Configuration Professional.

1. Om de Cisco CP-toepassing te starten en de wizard DMVPN te starten, gaat u naar Configureren > Security > VPN > Dynamic Multipoint VPN. Selecteer vervolgens de optie Een onderwerp maken in een DMVPN en klik op De geselecteerde taak starten.

   

2. Klik op Volgende om te beginnen.

   

3. Selecteer de optie Hub and Spoke Network en klik op Volgende.

   

4. Specificeer de informatie over de hub, zoals de openbare interface van de hubrouter en de tunnelinterface van de hubrouter.

   

5. Specificeer de details van de tunnelinterface van het woord en de openbare interface van het woord. Klik vervolgens op Geavanceerd.

   

6. Controleer de tunnelparameters en NHRP parameters en zorg ervoor dat ze perfect overeenkomen met de Hub parameters.

   

7. Specificeer de vooraf gedeelde toets en klik op Volgende.

   

8. Klik op Toevoegen om een afzonderlijk IKE-voorstel toe te voegen.

   

9. Specificeer de parameters voor codering, verificatie en hantering. Klik vervolgens op OK.

   

10. Het nieuwe IKE-beleid is hier te zien. Klik op Volgende.

    

11. Klik op Volgende om door te gaan met de standaardinstelling voor het omzetten.

    

12. Selecteer het gewenste routingprotocol. Hier is OSPF geselecteerd.

    

13. Specificeer de OSPF-proces-ID en -id. Klik op Add om de netwerken toe te voegen die door OSPF moeten worden geadverteerd.

    

14. Voeg het tunnelnetwerk toe en klik op OK.

    

15. Voeg het privé netwerk achter de uitgesproken router toe. Klik vervolgens op Volgende.

    

16. Klik op Voltooien om de configuratie van de wizard te voltooien.

    

17. Klik op Deliver om de opdrachten uit te voeren. Controleer de Save run configuratie to device's startup check box als u de configuratie wilt opslaan.

    

CLI-configuratie voor Spoke

De hiermee samenhangende CLI-configuratie wordt hier getoond:

crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Hub-configuratie met Cisco-CP

Een stap-voor-stap benadering van de configuratie van de hubrouter voor DMVPN wordt in deze sectie getoond.

1. Ga om te configureren > Beveiliging > VPN > Dynamisch multipoint VPN en selecteer de optie Een hub maken in een DMVPN-optie. Klik op Start de geselecteerde taak.

   

2. Klik op Volgende.

   

3. Selecteer de optie Hub and Spoke Network en klik op Volgende.

   

4. Selecteer Primaire hub. Klik vervolgens op Volgende.

   

5. Specificeer de interfaceparameters van de Tunnel en klik op Geavanceerd.

   

6. Specificeer de tunnelparameters en NHRP-parameters. Klik vervolgens op OK.

   

7. Specificeer de optie op basis van uw netwerkinstellingen.

   

8. Selecteer Voorgedeelde toetsen en specificeer de voorgedeelde toetsen. Klik vervolgens op Volgende.

   

9. Klik op Toevoegen om een afzonderlijk IKE-voorstel toe te voegen.

   

10. Specificeer de parameters voor codering, verificatie en hantering. Klik vervolgens op OK.

    

11. Het nieuwe IKE-beleid is hier te zien. Klik op Volgende.

    

12. Klik op Volgende om door te gaan met de standaardinstelling voor het omzetten.

    

13. Selecteer het gewenste routingprotocol. Hier is OSPF geselecteerd.

    

14. Specificeer de OSPF-proces-ID en -id. Klik op Add om de netwerken toe te voegen die door OSPF moeten worden geadverteerd.

    

15. Voeg het tunnelnetwerk toe en klik op OK.

    

16. Voeg het privé netwerk achter de router van de Hub toe en klik Volgende.

    

17. Klik op Voltooien om de configuratie van de wizard te voltooien.

    

18. Klik op Deliver om de opdrachten uit te voeren.

    

CLI-configuratie voor hub

Gerelateerde CLI-configuratie wordt hier weergegeven:

!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

De DMVPN-configuratie bewerken met CCP

U kunt de bestaande DMVPN-tunnelparameters handmatig bewerken wanneer u de tunnelinterface selecteert en op Bewerken klikt.

De de interfaceparameters van de tunnels zoals MTU en de sleutel van de Tunnel, worden gewijzigd onder het tabblad Algemeen.

1. NHRP-gerelateerde parameters worden gevonden en aangepast volgens het vereiste onder het NHRP-tabblad. Voor een bepaalde router, zou u NHS als het IP adres van de Hub router moeten kunnen bekijken. Klik op Add in de sectie NHRP Map om de NHRP-mapping toe te voegen.

   

2. Afhankelijk van de netwerkinstelling kunnen NHRP-kaartparameters worden ingesteld zoals hieronder wordt weergegeven:

   

De routing-gerelateerde parameters worden bekeken en aangepast onder het tabblad Routing.

Meer informatie

De DMVPN-tunnels zijn op deze twee manieren geconfigureerd:

• Spoke-to-Spoke communicatie via de hub

• Spoke-to-Spoke communicatie zonder de hub

In dit document wordt alleen de eerste methode besproken. Om de bouw van sprak-aan-sprak dynamische IPSec tunnels toe te staan, wordt deze benadering gebruikt om de toespraak aan de DMVPN wolk toe te voegen:

1. Start de wizard DMVPN en selecteer de optie Spoelconfiguratie.

2. Selecteer in het venster DMVPN Network Topology de optie Full-netwerk in plaats van de hub en de optie Spoke-netwerk.

   

3. Voltooi de rest van de configuratie met dezelfde stappen als de andere configuraties in dit document.

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Gerelateerde informatie

• Cisco Dynamic Multipoint VPN: Eenvoudig en beveiligd Vestiging-aan-Vestigingscommunicatie
• IOS 12.2 Dynamic Multipoint VPN (DMVPN)
• Technische ondersteuning en documentatie – Cisco Systems