|
DMVPN
Ushbu bob Dinamik ko'p nuqtali virtual nuqta tarmog'ini (DMVPN) o'z ichiga oladi va bir nechta joylarni ulash uchun undan foydalanadigan korxonalarning afzalliklarini ko'rsatadi. Ushbu bobda GRE tunnellari, IPSec tunnellari, BGP va OSPFni o'z ichiga olish uchun 6 va 14-boblardagi turli mavzular qo'llaniladi. Biz DMVPN ning barcha uch bosqichini qamrab olamiz va Cisco tomonidan ishlab chiqilgan keyingi avlod FlexVPN bilan yakunlaymiz. Bobning oxirida siz o'rgangan narsalarni mustahkamlaydigan bir nechta qiyin mashqlar mavjud.
DMVPN
Dinamik ko'p nuqtali virtual nuqta tarmog'i (DMVPN) Cisco xususiy protokoli bo'lib, sizning tarmog'ingizni osongina masshtablash imkonini beradi. Biz DMVPNni yaratish uchun avval muhokama qilingan tushunchalardan foydalanamiz. DMVPN ko'p nuqtali GRE (mGRE) va IPSec-dan foydalanadi, bu esa boshqa barcha marshrutizatorlar yoki spikerlarni boshqarish uchun bitta GRE tunnelini, Keyingi Hop Rezolyutsiya Protokolini (NHRP) va hub routerda bitta IPSec profilini ishlatishga imkon beradi. Odatda bitta markaziy marshrutizator, hub spikerlar yoki filiallarga ulanadi, shuning uchun ular kompaniya resurslariga kirishadi. Biz DMVPN o'rnatishning uch bosqichini ko'rib chiqamiz. 1-bosqichda spikerlar faqat markazga ulanishi mumkin va boshqa spikerlar bilan aloqa uyadan o'tishi kerak. 1-bosqichda bir-biriga o‘zaro bog‘langan tunnellar mavjud emas. Spokeslar markazdan nuqtaga GRE uchun sozlanadi va keyingi hop serverda o‘zlarining mantiqiy IP-manzilini Broadcast Multi-access (NBMA) manzili bilan ishlatadi. (NHS) markazi.
NHRP - bu Manzilni aniqlash protokoli (ARP) ga o'xshash 2-darajali rezolyutsiya protokoli va keshidir. Hub router server rolini o'z zimmasiga oladi, spikerlar esa mijoz vazifasini bajaradi. Hub o'z spikerlarining umumiy IP manzillari bilan NHRP ma'lumotlar bazasini kuzatib boradi. Ko'p nuqtali GRE interfeyslari tunnel manzili bilan sozlanmagan. mGRE tunnellarida tunnel manzili aniqlanmaganligi sababli, markazdagi NHRP ma'lumotlar bazasi so'raladi va spikerlar o'zlarining VPN tunnelini qurishlari va paketni qaerga yuborishlari kerakligi haqida mGREga xabar beradi.
DMVPN bir qancha afzalliklarni beradi, bu esa undan foydalanishni korxonalar uchun foydali qiladi: Soddalashtirilgan arxitektura. Soddalashtirilgan hub router konfiguratsiyasi. Hub router konfiguratsiyasi hatto spikerli marshrutizatorlar qo'shilsa ham doimiy bo'lib qoladi. Dinamik IP manzillarga ega spoke routerlar qo'llab-quvvatlanadi. Har bir VPN tarmog‘i uchun bir nechta tunnel interfeyslari yo‘q. Bitta mGRE yoki IPSec profili kriptoga kirish roʻyxatiga ega boʻlmasdan, barcha spikerli routerlarni boshqarish uchun zarur boʻlgan narsadir.
Filiallar bir-biri bilan aloqa o'rnatganligi sababli, kerakli asosda gapiradigan tunnellarni dinamik yaratish. DMVPN arxitekturasi korporativ WAN-larni soddalashtiradi. IPSec shifrlash yordamida DMVPNlarni himoya qilish qobiliyati.
1-bosqich 24-1-rasm yordamida DMVPN 1-bosqichini sozlaymiz.
24-1-rasm. DMVPN diagrammasi
Statik xaritalash bilan DMVPN 1-bosqich.
Biz birinchi navbatda markazdan boshlaymiz, u statik xaritalar bilan sozlanadi, bunda mGRE markazda va GRE spikerlarda sozlangan. Bu shuni anglatadiki, tirbandlik faqat uyadan shpilkagacha oqib o'tadi, shpallardan spikerlarga emas. Spokes o'zini dinamik yoki statik ravishda ro'yxatdan o'tkazishi mumkin. Yuqorida aytib o'tilganidek, biz statik xaritalashdan boshlaymiz:
Headquarters(config-if)#interface Tunnel 0
Headquarters(config-if)#ip address 10.10.10.1 255.255.255.0 Headquarters(config-if)#tunnel source e0/0
Headquarters(config-if)#no ip redirects
Headquarters(config-if)#ip nhrp authentication DMVPN Headquarters(config-if)#ip nhrp map 10.10.10.2 172.1.2.1 Headquarters(config-if)#ip nhrp map 10.10.10.3 172.1.3.1 Headquarters(config-if)#ip nhrp network-id 100
Headquarters(config-if)#tunnel mode gre multipoint
Ko'rib turganimizdek, tunnel manzili buyrug'i tunnel rejimi gre ko'p nuqtali buyrug'i bilan almashtirildi, bu tunnelni ko'p nuqtali GRE tunneli sifatida belgilaydi. IP nhrp xaritasi hub router uchun statik xaritalash uchun ishlatiladi. IP nhrp map multicast dynamic buyrug'i multicast trafikni tunnel bo'ylab dinamik spikerlarga yo'naltirishga imkon beradi. Bu marshrutlash protokollari tomonidan talab qilinadi. Tarmoqlar haqida dinamik yangilanishlarni yuborish va qabul qilish uchun DMVPN-ni marshrutlash protokoli bilan sozlash yaxshidir. IP nhrp network-id 1 buyrug'i ushbu DMVPNni aniqlash uchun ishlatiladi. IP nhrp autentifikatsiya buyrug'i NHRP paketlarini autentifikatsiya qilish uchun ishlatiladi. Keling, spikerlarni sozlaymiz:
Branch1(config)#interface Tunnel 0
Branch1(config-if)#ip address 10.10.10.2 255.255.255.0
Branch1(config-if)#tunnel source e0/0
Branch1(config-if)#tunnel destination 172.1.1.1
Branch1(config-if)#no ip redirects
Branch1(config-if)#ip nhrp map 10.10.10.1 172.1.1.1
Branch1(config-if)#ip nhrp authentication DMVPN
Branch1(config-if)#ip nhrp network-id 200
Branch2 ni sozlash uchun biz tunnel IP manzilini almashtirishdan tashqari avvalgi konfiguratsiyadan foydalanamiz:
Branch2(config)#interface Tunnel 0
Branch2(config-if)#ip address 10.10.10.3 255.255.255.0
Branch2(config-if)#tunnel source e0/0
Branch2(config-if)#tunnel destination 172.1.1.1
Branch2(config-if)#no ip redirects
Branch2(config-if)#ip nhrp map 10.10.10.1 172.1.1.1
Branch2(config-if)#ip nhrp network-id 300
Branch2(config-if)#ip nhrp authentication DMVPN
DMVPN 1-bosqich konfiguratsiyasi spikerlarda ko'rib turganingizdek, bizda nuqtadan nuqtaga GRE tunnel mavjud. Biz buni bilamiz, chunki u tunnel manzilini o'z ichiga oladi, ya'ni u markaz orqali spikerlar bilan bog'lanadi. NHRP yoqilgan va markazning IP manzili uchun bitta xaritalash ko'rsatiladi. Shuni ham ta'kidlash kerakki, biz marshrutlash protokolida ishtirok etmaganimiz uchun statik marshrutlar kerak edi. Show ip nhrp buyrug'i bilan konfiguratsiyani tekshiring:
Biz markazimizning NHRP keshini ko'rishimiz mumkin. Tunnel manzili 10.10.10.2 bo'lgan spikerlar 172.1.2.1 NBMA manzilida va 10.10.10.3 tunnel manzilida 172.1.3.1 NBMA manzilida ro'yxatdan o'tganligini ko'rishimiz mumkin. Shuningdek, biz ulanish turi uchun statikni ko'ramiz.
Ulanishni tekshirish uchun uyadan spikerlarga ping yuboramiz:
Biz ulanishni tasdiqladik. Endi dinamik xaritalash bilan 1-bosqich konfiguratsiyasiga o'tamiz.
Do'stlaringiz bilan baham: |
