Cisco IOS/CCP - Configurar DMVPN com Cisco CP

Opções de download

  • PDF     (1.7 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.0 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (2.2 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:27 de setembro de 2011
ID do documento:113265

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento fornece uma configuração de exemplo para o túnel VPN Multiponto Dinâmico (DMVPN - Dynamic Multipoint VPN) entre roteadores hub e spoke usando o Cisco Configuration Professional (Cisco CP). Dynamic Multipoint VPN é uma tecnologia que integra diferentes conceitos, como GRE, criptografia IPSec, NHRP e roteamento para fornecer uma solução sofisticada que permite que os usuários finais se comuniquem com eficiência através dos túneis de IPSec spoke-to-spoke criados dinamicamente.

Prerequisites

Requirements

Para obter a melhor funcionalidade de DMVPN, é recomendável executar a versão principal do software Cisco IOS® 12.4, 12.4T e posterior.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Cisco IOS Router série 3800 com Software versão 12.4 (22)

  • Cisco IOS Router série 1800 com Software versão 12.3 (8)

  • Cisco Configuration Professional versão 2.5

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Este documento fornece informações sobre como configurar um roteador como um spoke e outro roteador como um hub usando o Cisco CP. Inicialmente, a configuração do spoke é mostrada, mas posteriormente no documento, a configuração relacionada ao hub também é mostrada em detalhes para fornecer uma melhor compreensão. Outros spokes também podem ser configurados usando a abordagem semelhante para se conectar ao hub. O cenário atual usa estes parâmetros:

  • Rede Pública do Roteador de Hub - 209.165.201.0

  • Rede de túnel - 192.168.10.0

  • Protocolo de roteamento usado - OSPF

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

dmvpn-ccp-router-01.gif

Configuração de spoke usando o Cisco CP

Esta seção mostra como configurar um roteador como um spoke usando o assistente de DMVPN passo a passo no Cisco Configuration Professional.

  1. Para iniciar o aplicativo Cisco CP e iniciar o assistente DMVPN, vá para Configurar > Segurança > VPN > Dynamic Multipoint VPN. Em seguida, selecione a opção Create a spoke in a DMVPN e clique em Launch the seleted task.

    dmvpn-ccp-router-02.gif

  2. Clique em Next (Avançar) para começar.

    dmvpn-ccp-router-03.gif

  3. Selecione a opção Hub and Spoke network e clique em Next.

    dmvpn-ccp-router-04.gif

  4. Especifique as informações relacionadas ao Hub, como a interface pública do roteador Hub e a interface de túnel do roteador Hub.

    dmvpn-ccp-router-05.gif

  5. Especifique os detalhes da interface túnel do spoke e a interface pública do spoke. Em seguida, clique em Avançado.

    dmvpn-ccp-router-06.gif

  6. Verifique os parâmetros do túnel e os parâmetros NHRP e certifique-se de que eles correspondam perfeitamente aos parâmetros do Hub.

    dmvpn-ccp-router-07.gif

  7. Especifique a chave pré-compartilhada e clique em Avançar.

    dmvpn-ccp-router-08.gif

  8. Clique em Adicionar para adicionar uma proposta IKE separada.

    dmvpn-ccp-router-09.gif

  9. Especifique os parâmetros de criptografia, autenticação e hash. Em seguida, clique em OK.

    dmvpn-ccp-router-10.gif

  10. A política de IKE recém-criada pode ser vista aqui. Clique em Next.

    dmvpn-ccp-router-11.gif

  11. Clique em Avançar para continuar com o conjunto de transformações padrão.

    dmvpn-ccp-router-12.gif

  12. Selecione o protocolo de roteamento necessário. Aqui, OSPF está selecionado.

    dmvpn-ccp-router-13.gif

  13. Especifique a ID do processo OSPF e a ID da área. Clique em Add para adicionar as redes a serem anunciadas pelo OSPF.

    dmvpn-ccp-router-14.gif

  14. Adicione a rede do túnel e clique em OK.

    dmvpn-ccp-router-15.gif

  15. Adicione a rede privada atrás do roteador spoke. Em seguida, clique em Avançar.

    dmvpn-ccp-router-16.gif

  16. Clique em Concluir para concluir a configuração do assistente.

    dmvpn-ccp-router-17.gif

  17. Clique em Deliver para executar os comandos. Marque a caixa de seleção Save running config to device's startup config se desejar salvar a configuração.

    dmvpn-ccp-router-18.gif

Configuração de CLI para Spoke

A configuração da CLI relacionada é mostrada aqui:

Spoke Router 
crypto ipsec transform-set ESP-3DES-SHA esp-sha-hmac esp-3des
 mode transport
 exit
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
 exit
interface Tunnel0
 exit
default interface Tunnel0
interface Tunnel0
 bandwidth 1000
 delay 1000
 ip nhrp holdtime 360
 ip nhrp network-id 100000
 ip nhrp authentication DMVPN_NW
 ip ospf network point-to-multipoint
 ip mtu 1400
 no shutdown
 ip address 192.168.10.5 255.255.255.0
 ip tcp adjust-mss 1360
 ip nhrp nhs 192.168.10.2
 ip nhrp map 192.168.10.2 209.165.201.2
 tunnel source FastEthernet0
 tunnel destination 209.165.201.2
 tunnel protection ipsec profile CiscoCP_Profile1
 tunnel key 100000
 exit
router ospf 10
 network 192.168.10.0 0.0.0.255 area 2
 network 172.16.18.0 0.0.0.255 area 2
 exit
crypto isakmp key ******** address 209.165.201.2
crypto isakmp policy 2
 authentication pre-share
 encr aes 192
 hash sha
 group 1
 lifetime 86400
 exit
crypto isakmp policy 1
 authentication pre-share
 encr 3des
 hash sha
 group 2
 lifetime 86400
 exit

Configuração de hub usando o Cisco CP

Uma abordagem passo a passo sobre como configurar o roteador de hub para o DMVPN é mostrada nesta seção.

  1. Vá para Configure > Security > VPN > Dynamic Multipoint VPN e selecione a opção Create a hub in a DMVPN. A, clique em Iniciar a tarefa selecionada.

    dmvpn-ccp-router-19.gif

  2. Clique em Next.

    dmvpn-ccp-router-20.gif

  3. Selecione a opção Hub and Spoke network e clique em Next.

    dmvpn-ccp-router-21.gif

  4. Selecione Primary Hub (Hub principal). Em seguida, clique em Avançar.

    dmvpn-ccp-router-22.gif

  5. Especifique os parâmetros da interface de túnel e clique em Avançado.

    dmvpn-ccp-router-23.gif

  6. Especifique os parâmetros do túnel e os parâmetros NHRP. Em seguida, clique em OK.

    dmvpn-ccp-router-24.gif

  7. Especifique a opção com base na configuração da rede.

    dmvpn-ccp-router-25.gif

  8. Selecione Chaves pré-compartilhadas e especifique as chaves pré-compartilhadas. Em seguida, clique em Avançar.

    dmvpn-ccp-router-26.gif

  9. Clique em Adicionar para adicionar uma proposta IKE separada.

    dmvpn-ccp-router-27.gif

  10. Especifique os parâmetros de criptografia, autenticação e hash. Em seguida, clique em OK.

    dmvpn-ccp-router-28.gif

  11. A política de IKE recém-criada pode ser vista aqui. Clique em Next.

    dmvpn-ccp-router-29.gif

  12. Clique em Avançar para continuar com o conjunto de transformações padrão.

    dmvpn-ccp-router-30.gif

  13. Selecione o protocolo de roteamento necessário. Aqui, OSPF está selecionado.

    dmvpn-ccp-router-31.gif

  14. Especifique a ID do processo OSPF e a ID da área. Clique em Add para adicionar as redes a serem anunciadas pelo OSPF.

    dmvpn-ccp-router-32.gif

  15. Adicione a rede do túnel e clique em OK.

    dmvpn-ccp-router-33.gif

  16. Adicione a rede privada atrás do roteador Hub e clique em Avançar.

    dmvpn-ccp-router-34.gif

  17. Clique em Concluir para concluir a configuração do assistente.

    dmvpn-ccp-router-35.gif

  18. Clique em Deliver para executar os comandos.

    dmvpn-ccp-router-36.gif

Configuração CLI para Hub

A configuração CLI relacionada é mostrada aqui:

Roteador de Hub 
!
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 2
 encr aes 192
 authentication pre-share
crypto isakmp key abcd123 address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile CiscoCP_Profile1
 set transform-set ESP-3DES-SHA
!
interface Tunnel0
 bandwidth 1000
 ip address 192.168.10.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMVPN_NW
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 360
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile CiscoCP_Profile1
!
router ospf 10
 log-adjacency-changes
 network 172.16.20.0 0.0.0.255 area 2
 network 192.168.10.0 0.0.0.255 area 2
!

Edite a configuração de DMVPN usando o CCP

Você pode editar os parâmetros de túnel DMVPN existentes manualmente ao selecionar a interface de túnel e clicar em Editar.

dmvpn-ccp-router-37.gif

Os parâmetros de interface de túnel, como MTU e chave de túnel, são modificados na guia Geral.

dmvpn-ccp-router-38.gif

  1. Os parâmetros relacionados ao NHRP são encontrados e modificados de acordo com o requisito na guia NHRP. Para um roteador spoke, você deve ser capaz de visualizar o NHS como o endereço IP do roteador Hub. Clique em Add na seção NHRP Map para adicionar o mapeamento NHRP.

    dmvpn-ccp-router-39.gif

  2. Dependendo da configuração da rede, os parâmetros de mapeamento NHRP podem ser configurados conforme mostrado aqui:

    dmvpn-ccp-router-40.gif

Os parâmetros relacionados ao roteamento são exibidos e modificados na guia Roteamento.

dmvpn-ccp-router-41.gif

Mais informações

Os túneis DMVPN são configurados destas duas maneiras:

  • Comunicação spoke-to-spoke através do hub

  • Comunicação spoke-to-spoke sem hub

Neste documento, apenas o primeiro método é discutido. Para permitir o estabelecimento de túneis IPSec dinâmicos spoke-to-spoke, essa abordagem é usada para adicionar o spoke à nuvem DMVPN:

  1. Inicie o assistente DMVPN e selecione a opção de configuração Spoke.

  2. Na janela DMVPN Network Topology, selecione a opção Full mesh network em vez da opção Hub and Spoke network.

    dmvpn-ccp-router-42.gif

  3. Conclua o resto da configuração usando as mesmas etapas das outras configurações neste documento.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
27-Sep-2011
Versão inicial

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos