Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

Dynamic Multipoint VPN (DMVPN)

Anuncio 
Dynamic Multipoint VPN (DMVPN)
Descargue este capítulo
Dynamic Multipoint VPN (DMVPN)
Descargue el libro completo
Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB)
Feedback
Contenidos
Dynamic Multipoint VPN (DMVPN)
Encontrar la información de la característica
Contenido
Prerrequisitos de Dynamic Multipoint VPN (DMVPN)
Restricciones de Dynamic Multipoint VPN (DMVPN)
Soporte DMVPN en el Cisco 6500 y el Cisco 7600
Información sobre VPN Multipunto Dinámica (DMVPN)
Ventajas de Dynamic Multipoint VPN (DMVPN)
Diseño de la Función Dynamic Multipoint VPN (DMVPN)
Perfiles de ipsec
DMVPN Integrado VRF
DMVPN — Habilitar la segmentación del tráfico dentro del DMVPN
DMVPN que Reconoce la Transparencia NAT
Control de Admisión de Llamadas con DMVPN
Mecanismo de Limitación de Velocidad NHRP
Cómo Configurar Dynamic Multipoint VPN (DMVPN)
Configurar un perfil de ipsec
Prerrequisitos
Pasos Siguientes
Configurar el concentrador para el DMVPN
Configurar el spoke para el DMVPN
Configurar la expedición de los paquetes IP de los datos del texto claro en un VRF
Configurar la expedición de los paquetes del túnel encriptado en un VRF
Configuración de DMVPN — Traffic Segmentation Within DMVPN
Prerrequisitos
Habilitación de MPLS en el Túnel VPN
Configuración de BGP Multiprotocolo en el Router del Hub
Configuración de BGP Multiprotocolo en los Routers Spoke
Troubleshooting de VPN Multipunto Dinámica (DMVPN)
Pasos Siguientes
Ejemplos de Configuración de la Función Dynamic Multipoint VPN (DMVPN)
Ejemplo: Configuración del hub para el DMVPN
Ejemplo: Configuración radial para el DMVPN
Ejemplo: VRF DMVPN enterado
Ejemplo: 2547oDMVPN con la segmentación del tráfico (con el BGP solamente)
Ejemplo: 2547oDMVPN con la segmentación del tráfico (Central corporativa)
Referencias adicionales
Documentos Relacionados
Estándares
MIB
RFC
Asistencia Técnica
Información sobre la Función Dynamic Multipoint VPN (DMVPN)
Glosario
Dynamic Multipoint VPN (DMVPN)
Primera publicación: De noviembre el 25 de 2002
Última actualización: 3 de febrero de 2009
La característica del Dynamic Multipoint VPN (DMVPN) permite que los usuarios escalen mejor el Redes privadas virtuales
(VPN) grande y pequeño de la seguridad IP (IPSec) combinando los túneles, la encripción de IPSec, y el Next Hop Resolution
Protocol (NHRP) del Generic Routing Encapsulation (GRE).
Encontrar la información de la característica
Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y
advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información
sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada
característica, vea “información de la característica para la sección del Dynamic Multipoint VPN (DMVPN)”.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no
se requiere.
Contenido
•
Prerrequisitos de Dynamic Multipoint VPN (DMVPN)
•
Restricciones de Dynamic Multipoint VPN (DMVPN)
•
Información sobre VPN Multipunto Dinámica (DMVPN)
•
Cómo Configurar Dynamic Multipoint VPN (DMVPN)
•
Ejemplos de Configuración de la Función Dynamic Multipoint VPN (DMVPN)
•
Referencias adicionales
•
Información sobre la Función Dynamic Multipoint VPN (DMVPN)
•
Glosario
Prerrequisitos de Dynamic Multipoint VPN (DMVPN)
• Antes de un GRE de múltiples puntos (mGRE) y del túnel IPsec puede ser establecido, usted debe definir una directiva
del Internet Key Exchange (IKE) usando crypto isakmp policy el comando.
• Para que la mejora enterada de la Transparencia NAT trabaje, usted debe utilizar al modo de transporte de IPSec en el
conjunto de la transformación. También, aunque la Transparencia NAT puede apoyar a dos pares (IKE y IPSec) que es
traducida al la misma dirección IP (usando el protocolo UDP [UDP] vira hacia el lado de babor para distinguirlo [that is, Peer
Address Translation (PAT)]), estas funciones no se soportan para el DMVPN. Todos los spokes DMVPN deben tener una
dirección IP después de que hayan sido traducidos por NAT. Pueden tener la misma dirección IP antes de su traducción con
NAT.
• Para habilitar 2547oDMPVN — Segmentación del tráfico dentro del DMVPN usted debe configurar el Multiprotocol Label
Switching (MPLS) usando mpls ip el comando.
Restricciones de Dynamic Multipoint VPN (DMVPN)
• Si usted utiliza la creación dinámica para el spoke al spoke hace un túnel la ventaja de esta característica, usted debe
utilizar las claves del preshared de los Certificados o del comodín IKE para la autenticación del protocolo internet security
association key management (ISAKMP).
Nota se recomienda altamente que usted no utiliza las claves del preshared del comodín porque el atacante tendrá
acceso al VPN si comprometen a un router radial.
• El Keepalives del túnel GRE (es decir, keepalive el comando bajo interfaz GRE) no se soporta en los túneles GRE de
punto a punto o de múltiples puntos en una red DMVPN.
• Para las mejores funciones DMVPN, se recomienda que usted funciona con el último Cisco IOS Software Release
12.4 mainline,12.4T, o 12.2(18)SXF.
• Si un spoke está detrás de un dispositivo NAT y otro diverso spoke está detrás de otro dispositivo NAT, y traducción de
la dirección de peer (PALMADITA) es el tipo de NAT usado en ambos dispositivos NAT, después una sesión iniciada entre
los dos spokes no puede ser establecida.
Un ejemplo de una configuración de la PALMADITA en una interfaz NAT es:
ip nat inside source list nat_acl interface FastEthernet0/1 overload
Soporte DMVPN en el Cisco 6500 y el Cisco 7600
Intercambio de la Cuchilla-a-cuchilla en el Cisco 6500 y el Cisco 7600
•
El DMVPN no soporta el intercambio de la cuchilla-a-cuchilla en el Cisco 6500 y el Cisco 7600.
Cisco 6500 o Cisco 7600 como concentrador DMVPN
• Un Cisco 6500 o Cisco 7600 que está funcionando pues un concentrador DMVPN no se puede establecer detrás de un
router NAT.
• Si un Cisco 6500 o el Cisco 7600 está funcionando como un concentrador DMVPN, el spoke detrás del NAT debe ser un
Cisco 6500 o el Cisco 7600, respectivamente, o el router se debe actualizar al Cisco IOS Software Release 12.3(11)T02 o a
una versión posterior.
Cisco 6500 o Cisco 7600 como spoke DMVPN
•
Si un Cisco 6500 o el Cisco 7600 está funcionando como un spoke, el concentrador no puede estar detrás de NAT.
• Si un Cisco 6500 o el Cisco 7600 está funcionando como un DMVPN habló detrás del NAT, el concentrador debe ser un
Cisco 6500 o el Cisco 7600, respectivamente, o el router se debe actualizar al Cisco IOS Release 12.3(11)T02 o a una
versión posterior.
Supervisor Engine del concentrador o del spoke DMVPN
• Solamente un Supervisor Engine 720 se puede utilizar como un concentrador o spoke DMVPN. Un Supervisor Engine 2
no puede ser utilizado.
Multicast cifrado con el GRE
•
El Multicast cifrado con el GRE no se soporta en el Cisco 6500 ni en el Cisco 7600.
interfaces del mGRE
• Si hay dos interfaces del mGRE en el mismo nodo DMVPN y ambas no tienen una clave del túnel, las dos interfaces del
mGRE deben cada uno tener una dirección de origen del túnel único (o interfaz) configurada.
• En el Cisco 6500 y el Cisco 7600, cada interfaz GRE (de múltiples puntos o de punto a punto) debe tener una dirección
de origen del túnel único (o interfaz).
• Los siguientes comandos no se soportan bajo el mGRE con el DMVPN: ip tcp adjust-mss qos pre-classify tunnel vrf
tunnel path-mtu-discovery, y tunnel vrf.
Calidad del servicio (QoS)
•
Usted no puede utilizar QoS para los paquetes DMVPN en un Cisco 6500 o el Cisco 7600.
Clave del túnel
• El uso de una clave del túnel en una interfaz (de múltiples puntos o de punto a punto) GRE no se soporta en el Hardware
Switching Asics en las Plataformas del Cisco 6500 y del Cisco 7600. Si se configura una clave del túnel, el desempeño del
rendimiento de procesamiento se reduce grandemente.
• En el Cisco IOS Release 12.3(11)T3 y la versión 12.3(14)T, el requisito que una interfaz del mGRE debe tener una clave
del túnel fue quitado. Por lo tanto, en una red DMVPN que incluya un Cisco 6500 o el Cisco 7600 como nodo DMVPN, usted
debe quitar la clave del túnel de todos los Nodos DMVPN en la red DMVPN, así preservando el desempeño del rendimiento
de procesamiento en las Plataformas del Cisco 6500 y del Cisco 7600.
• Si la clave del túnel no se configura en ningún nodo DMVPN dentro de una red DMVPN, no debe ser configurada en
todos los Nodos DMVPN con la red DMVPN.
Escenarios que reconoce VRF DMVPN
•
mls mpls tunnel-recir El comando se debe configurar en el concentrador del equipo del proveedor (PE) DMVPN si
necesidad del spokes del equipo del cliente (CE) DMVPN “de hablar” con otros CE a través de la nube MPLS.
• La interfaz del mGRE se debe configurar con bastante grande una unidad máxima de transmisión IP (1400 paquetes a
evitar tener el Route Processor que hace la fragmentación.
•
El Enhanced Interior Gateway Routing Protocol (EIGRP) debe ser evitado.
Información sobre VPN Multipunto Dinámica (DMVPN)
•
Ventajas de Dynamic Multipoint VPN (DMVPN)
•
Diseño de la Función Dynamic Multipoint VPN (DMVPN)
•
Perfiles de ipsec
•
DMVPN Integrado VRF
•
DMVPN — Enabling Traffic Segmentation Within DMVPN
•
DMVPN que Reconoce la Transparencia NAT
•
Control de Admisión de Llamadas con DMVPN
•
Mecanismo de Limitación de Velocidad NHRP
Ventajas de Dynamic Multipoint VPN (DMVPN)
Reducción de la configuración del router de eje de conexión
• Actualmente, para cada router radial, hay un bloque separado de las líneas de configuración en el router de eje de
conexión que definen las características de la correspondencia de criptografía, la lista de acceso crypto, y la interfaz de túnel
GRE. Esta característica permite que los usuarios configuren una sola interfaz de túnel MGRE, un solo perfil de ipsec, y
ningunas Listas de acceso crypto en el router de eje de conexión para manejar todos los routeres radiales. Así, los tamaños
de la configuración en el router de eje de conexión siguen siendo constantes incluso si agregan a los routeres radiales a la
red.
• La arquitectura DMVPN puede agrupar mucho spokes en una sola interfaz de múltiples puntos GRE, quitando la
necesidad de una comprobación distinta o la interfaz lógica para cada spoke en una instalación nativa del IPSec.
Iniciación automática de encripción de IPsec
• El GRE tiene las direcciones de origen y de destino del par configuradas o resueltas con el NHRP. Así, esta
característica permite que el IPSec sea accionado inmediatamente para la tunelización GRE de punto a punto o cuando
resuelven a la dirección de peer GRE vía el NHRP para el túnel GRE de múltiples puntos.
Soporte para los routeres radiales dinámicamente dirigidos
• Al usar las redes VPN del Punto a punto GRE y del hub-and-spoke del IPSec, la dirección IP de la interfaz física de los
routeres radiales debe ser sabida al configurar el router de eje de conexión porque la dirección IP se debe configurar como
la dirección destino del túnel GRE. Esta característica permite que los routeres radiales tengan IP Addresses dinámicos de
la interfaz física (comunes para el cable y las conexiones DSL). Cuando viene el router radial en línea, enviará los paquetes
de inscripción al router de eje de conexión: dentro de estos paquetes de inscripción, es la dirección IP actual de la interfaz
física de este spoke.
Creación dinámica para los túneles del spoke al spoke
• Esta característica elimina la necesidad de la configuración del spoke al spoke para los túneles directos. Cuando un
router radial quiere transmitir un paquete a otro router radial, puede ahora utilizar el NHRP para determinar dinámicamente
el direccionamiento de destino requerido del router radial de la blanco. (El router de eje de conexión actúa como el servidor
NHRP, manejando el pedido el router radial de la fuente.) Los dos routeres radiales crean dinámicamente un túnel IPsec
entre ellos así que los datos pueden ser transferidos directamente.
DMVPN Integrado VRF
• Los DMVPN se pueden utilizar para extender las redes del Multiprotocol Label Switching (MPLS) que son desplegadas
por los proveedores de servicio para aprovecharse de la facilidad de la configuración del concentrador y del spokes, para
proporcionar el soporte para el Customer Premises Equipment dinámicamente dirigido (CPEs), y para proporcionar el
aprovisionamiento del cero-tacto para agregar el nuevo spokes en un DMVPN.
Diseño de la Función Dynamic Multipoint VPN (DMVPN)
La característica del Dynamic Multipoint VPN (DMVPN) combina los túneles GRE, la encripción de IPSec, y la encaminamiento
NHRP para proporcionar a los usuarios una facilidad de la configuración vía los perfiles crypto — que reemplazan el requisito
para definir las correspondencias de criptografía estática — y de la detección dinámica de puntos finales del túnel.
Esta característica confía en las dos Tecnologías estándar aumentadas Cisco siguientes:
• NHRP: un protocolo de cliente y servidor donde el hub es el servidor y las radios son los clientes. El hub mantiene una
base de datos NHRP de las direcciones de interfaz pública de cada radio. Cada spoke registra su dirección real cuando
arranca y consulta en la base de datos NHRP las direcciones reales de los spokes de destino con el fin de crear túneles
directos.
• interfaz de túnel MGRE — Permite que una sola interfaz GRE soporte los túneles IPsec múltiples y simplifica los
tamaños y la complejidad de la configuración.
La topología mostrada en el cuadro 1 y los puntos negros correspondientes explican cómo esta característica trabaja.
Figura 1
MGRE de la muestra y topología de la integración del IPSec
• Cada spoke tiene un túnel IPsec permanente al concentrador, no al otro spokes dentro de la red. Cada radio se registra
como cliente del servidor NHRP.
• Cuando una radio necesita enviar un paquete a una subred (privada) de destino en otra radio, consulta al servidor NHRP
para obtener la dirección (externa) real de la radio de destino.
• Después de que el spoke que origina “aprenda” a la dirección de peer del spoke de la blanco, puede iniciar un túnel
IPsec dinámico al spoke de la blanco.
•
El túnel del spoke al spoke se construye sobre la interfaz de múltiples puntos GRE.
• Los links de radio a radio se establecen según la demanda cada vez que hay tráfico entre radios. Después de eso, los
paquetes pueden desviar el concentrador y utilizar el túnel del spoke al spoke.
Observe después de una cantidad preconfigurada de inactividad en los túneles del spoke al spoke, el router
derribará esos túneles para salvar los recursos ([SAs] de las asociaciones de seguridad IPSec).
Perfiles de ipsec
Los perfiles de ipsec resumen la información de política del IPSec en una sola entidad de configuración, que puede ser referida
por nombre de otras partes de la configuración. Por lo tanto, los usuarios pueden configurar las funciones tales como protección
del túnel GRE con una sola línea de la configuración. Refiriéndose a un perfil de ipsec, el usuario no tiene que configurar una
configuración entera de la correspondencia de criptografía. Un perfil de ipsec contiene solamente la información de IPSec; es
decir, no contiene ninguna información de la lista de acceso o la información del peering.
DMVPN Integrado VRF
El VPN Routing and Forwarding (VRF) DMVPN integrado permite a los usuarios para asociar las interfaces multipunto DMVPN
en el MPLS VPNs. Esta asignación permite que los Proveedores de servicios de Internet (ISP) amplíen sus servicios existentes
del MPLS VPN asociando los sitios fuera de la red (típicamente una sucursal) a su MPLS VPNs respectivo. Terminan al Routers
del equipo del cliente (CE) en el router DMVPN PE, y el tráfico se pone en el caso VRF de un MPLS VPN.
El DMVPN puede obrar recíprocamente con el MPLS VPNs de dos maneras:
1. ip vrf forwarding Se utiliza el comando de inyectar los paquetes IP de los datos (esos paquetes dentro del túnel del
mGRE+IPsec) en el MPLS VPN. ip vrf forwarding El comando se soporta para el DMVPN en el Cisco IOS Release
12.3(6) y la versión 12.3(7)T.
2. tunnel vrf Se utiliza el comando de transportar (ruta) el paquete del túnel sí mismo del mGRE+IPsec dentro de un
MPLS VPN. tunnel vrf El comando se soporta en el Cisco IOS Release 12.3(11)T pero no en el Cisco IOS Release
12.2(18)SXE.
Los paquetesIP de los datos del texto claro de la nota se remiten en un VRF usando ip vrf forwarding el comando, y los
paquetes IP del túnel encriptado se remiten en un VRF usando tunnel vrf el comando.
ip vrf forwarding Y tunnel vrf los comandos puede ser utilizado al mismo tiempo. Si se utilizan al mismo tiempo, el nombre
VRF de cada comando puede ser el lo mismo o diferente.
Para la información sobre configurar la expedición de los paquetes IP de los datos del texto claro en un VRF, vea la sección el
“configurar de la expedición de los paquetes IP de los datos del texto claro en un VRF.” Para la información sobre configurar la
expedición de los paquetes del túnel encriptado en un VRF, vea la sección el “configurar de la expedición de los paquetes del
túnel encriptado en un VRF.”
Para más información sobre configurar el VRF, vea que la referencia en “relacionó la sección de los documentos”.
El cuadro 2 ilustra un escenario integrado VRF típico DMVPN.
Cuadro 2 VRF DMVPN integrado
DMVPN — Habilitar la segmentación del tráfico dentro del DMVPN
El Cisco IOS Release 12.4(11)T proporciona una mejora que permita que usted divida el tráfico VPN en segmentos dentro de
un túnel DMVPN. Los casos VRF se etiquetan, usando el MPLS, para indicar su fuente y destino.
El diagrama en el cuadro 3 y los puntos negros correspondientes explican cómo la segmentación del tráfico dentro del DMVPN
trabaja.
Cuadro 3 segmentación del tráfico con el DMVPN
•
El concentrador mostrado en el diagrama es un WAN-PE y un reflector de ruta, y el spokes (Routers PE) es clientes.
•
Hay tres VRF, señalados “rojo,” “verde,” y “azul.”
• Cada spoke tiene una relación de vecino con el concentrador ([MP-iBGP] multiprotocol del protocolo Protocolo de la
puerta de enlace marginal (BGP) que mira) y un túnel GRE al concentrador.
•
Cada spoke hace publicidad de sus rutas y prefijos del VPNv4 al concentrador.
• El concentrador fija su propia dirección IP mientras que la ruta del Next-Hop para todo el VPNv4 lo dirige aprende del
spokes y asigna una escritura de la etiqueta local MPLS para cada VPN cuando hace publicidad de las rutas de nuevo al
spokes. Como consecuencia, el tráfico de habló A al spoke B se rutea vía el concentrador.
Un ejemplo ilustra el proceso:
1. Habló A hace publicidad de una ruta del VPNv4 al concentrador, y aplica la escritura de la etiqueta X al VPN.
2. El concentrador cambia la escritura de la etiqueta a Y cuando el concentrador hace publicidad de la ruta al spoke B.
3. Cuando el spoke B tiene el tráfico a enviar a habló A, aplica Y la escritura de la etiqueta, y el tráfico va al concentrador.
4. El concentrador intercambia la escritura de la etiqueta VPN, quitando Y la escritura de la etiqueta y aplicando X una
escritura de la etiqueta, y envía el tráfico al spoke A.
DMVPN que Reconoce la Transparencia NAT
El spokes DMVPN se sitúa a menudo detrás de un router NAT (que sea controlado a menudo por el ISP para el sitio radial) con
la dirección de interfaz externa del router radial que es asignado dinámicamente por el ISP usando un IP Address privado (por
de la Fuerza de tareas de ingeniería en Internet (IETF) el RFC 1918 [IETF]).
Antes del Cisco IOS Release 12.3(6) y de 12.3(7)T, estos routeres radiales tuvieron que utilizar el modo del túnel IPsec para
participar en una red DMVPN. Además, su interfaz exterior asignada IP address privado tuvo que ser única a través de la red
DMVPN. Aunque el ISAKMP y el IPSec negociarían el NAT-T y “aprenda” a la dirección pública correcta NAT para el IP address
privado de este spoke, el NHRP podría “ver” y utilizar solamente el IP Address privado del spoke para sus entradas de la
asignación. Eficaz con la mejora enterada de la Transparencia NAT DMVPN, el NHRP puede ahora aprender y utilizar a la
dirección pública NAT para sus asignaciones mientras utilicen al modo de transporte de IPSec (que es el modo IPsec de la
recomendación para las redes DMVPN). Se ha quitado la restricción que la dirección IP de la interfaz privada del spoke debe
ser única a través de la red DMVPN. Se recomienda que actualicen a todo el Routers DMVPN al nuevo código antes de que
usted intente utilizar las nuevas funciones aunque los routeres radiales que no están detrás de NAT no necesitan ser
actualizados. Además, usted no puede convertir a los routeres radiales actualizados que están detrás de NAT a la nueva
configuración (modo de transporte de IPSec) hasta que se hayan actualizado los routeres de eje de conexión.
También se agrega en los Cisco IOS Releases 12.3(9a) y 12.3(11)T la capacidad para tener el router del concentrador DMVPN
detrás del NAT estático. Esto era un cambio en el soporte ISAKMP NAT-T. Para que estas funciones sean utilizadas, todos los
routeres radiales y los routeres de eje de conexión DMVPN deben ser actualizados, y el IPSec debe utilizar el modo de
transporte.
Para que estas mejoras enteradas de la Transparencia NAT trabajen, usted debe utilizar al modo de transporte de IPSec en el
conjunto de la transformación. También, aunque la Transparencia NAT (IKE y IPSec) puede apoyar a dos pares (IKE y IPSec)
que son traducidos a la misma dirección IP (usando el UDP vira hacia el lado de babor para distinguirlos), estas funciones no se
soportan para el DMVPN. Todos los spokes DMVPN deben tener una dirección IP después de que hayan sido traducidos por
NAT. Pueden tener la misma dirección IP antes de su traducción con NAT.
El cuadro 4 ilustra un escenario enterado de la Transparencia NAT DMVPN.
Observeen el Cisco IOS Release 12.4(6)T o Anterior, spokes DMVPN detrás del NAT no participará en los túneles directos
dinámicos del spoke al spoke. Cualquier tráfico a o desde un spoke que esté detrás de NAT será remitido usando los
routeres de eje de conexión DMVPN. El spokes DMVPN que no está detrás de NAT en la misma red DMVPN puede crear
los túneles directos dinámicos del spoke al spoke entre uno a.
En las versiones del Cisco IOS Release 12.4(6)T o Posterior, el spokes DMVPN detrás del NAT participará en los túneles
directos dinámicos del spoke al spoke. El spokes debe estar detrás de los cuadros NAT que están preformando el NAT, no
patente. El cuadro NAT debe traducir habló a la misma dirección IP exterior NAT para las conexiones del spoke-spoke como el
cuadro NAT hace para la conexión del spoke-concentrador. Si hay más de un DMVPN habló detrás del mismo cuadro NAT,
después el cuadro NAT debe traducir el spokes DMVPN a diversos IP Addresses exteriores NAT. Es también probable que
usted no pueda poder construir un túnel directo del spoke-spoke entre este spokes. Si un túnel del spoke-spoke no puede
formar, después los paquetes del spoke-spoke continuarán siendo remitidos vía la trayectoria del spoke-concentrador-spoke.
Cuadro 4 Transparencia NAT DMVPN enterado
Control de Admisión de Llamadas con DMVPN
En una red DMVPN, es fácil que un router DMVPN “abrumarse” con el número de túneles que está intentando construir. El
control de admisión de llamadas se puede utilizar para limitar el número de túneles que se puedan construir a cualquier
momento, así protegiendo la memoria del router y de los recursos de la CPU.
Es más probable que el control de admisión de llamadas será utilizado en un DMVPN habló para limitar el número total de
sesiones ISAKMP (túneles DMVPN) que un router radial intente iniciar o validar. Esto que limita es lograda configurando un
límite IKE SA bajo control de admisión de llamadas, que configura al router para caer las nuevas peticiones de la sesión
ISAKMP (entrante y saliente) si el número actual de ISAKMP SA excede el límite.
Es más probable que el control de admisión de llamadas será utilizado en un concentrador DMVPN al límite de velocidad el
número de túneles DMVPN que estén intentando ser construidos al mismo tiempo. La limitación de la tarifa es lograda
configurando un límite de los recursos del sistema bajo control de admisión de llamadas, que configura al router para caer las
nuevas peticiones de la sesión ISAKMP (nuevos túneles DMVPN) cuando la utilización del sistema está sobre un porcentaje
especificado. Los pedidos de sesión caídos permiten que el router de eje de conexión DMVPN complete las peticiones actuales
de la sesión ISAKMP, y cuando la utilización del sistema cae, puede procesar las sesiones previamente caídas cuando se
reintentan.
No se requiere ninguna configuración especial para utilizar el control de admisión de llamadas con el DMVPN. Para la
información sobre configurar el control de admisión de llamadas, vea que la referencia en la sección “relacionó los documentos.”
Mecanismo de Limitación de Velocidad NHRP
El NHRP tiene un mecanismo de limitación de velocidad que restrinja el número total de paquetes nhrp de cualquier interfaz
dada. Los valores predeterminados, que se fijan usando el comando ip nhrp max-send, son 100 paquetes cada 10 segundos
por la interfaz. Si se excede el límite, usted conseguirá el mensaje del sistema siguiente:
%NHRP-4-QUOTA: Max-send quota of [int]pkts/[int]Sec. exceeded on [chars]
Para más información sobre este mensaje del sistema, vea la guía de mensajes del sistema del documento 12.4T.
Cómo Configurar Dynamic Multipoint VPN (DMVPN)
Para habilitar el mGRE y tunelización de IPSec para el Routers del hub and spoke, usted debe configurar un perfil de ipsec que
utilice una plantilla de política global del IPSec y configura su túnel del mGRE para la encripción de IPSec. Esta sección
contiene los siguientes procedimientos:
•
Configurando un perfil de ipsec (requerido)
•
Configurando el concentrador para el DMVPN (requerido)
•
Configurando el spoke para el DMVPN (requerido)
•
Configurando la expedición de los paquetes IP de los datos del texto claro en un VRF (opcional)
•
Configurando la expedición de los paquetes del túnel encriptado en un VRF (opcional)
•
Configuración de DMVPN — Traffic Segmentation Within DMVPN
•
Localización de averías del Dynamic Multipoint VPN (DMVPN) (opcional)
Configurar un perfil de ipsec
El perfil de ipsec comparte la mayor parte de los mismos comandos con la configuración de la correspondencia de criptografía,
pero solamente un subconjunto de los comandos es válido en un perfil de ipsec. Los únicos comandos que pertenecen a una
directiva del IPSec se pueden publicar bajo perfil de ipsec; usted no puede especificar el direccionamiento o el Access Control
List (ACL) del peer IPSec para hacer juego los paquetes que deben ser cifrados.
Prerrequisitos
Antes de configurar un perfil de ipsec, usted debe definir una transformación fijada usando crypto ipsec transform-set el
comando.
PASOS SUMARIOS
1. enable
2. configure terminal
3. crypto ipsec profile name
4. set transform-set transform-set-name
5. set identity
6. set security association lifetime {seconds seconds | kilobytes kilobytes}
7. set pfs [group1 | group2]
PASOS DETALLADOS
Comando o acción
Paso enable
1
Example:
Router> enable
Paso configure terminal
2
Propósito
Habilita niveles de privilegio más altos, como el
modo EXEC privilegiado.
Ingrese su contraseña si se le pide que lo haga.
Ingresa en el modo de configuración global.
Example:
Router# configure terminal
Paso crypto ipsec profile name
3
Define los parámetros de IPSec que deben ser
utilizados para la encripción de IPSec entre
Example:
Router(config)# crypto ipsec “spoke y concentrador” y el Routers del “spoke y
del spoke”.
profile vpnprof
Este comando ingresa al modo de configuración
de la correspondencia de criptografía.
•
name El argumento especifica el nombre
del perfil de ipsec.
Paso set transform-set transform- Especifica cuáles transforman los conjuntos se
set-name
4
pueden utilizar con el perfil de ipsec.
Example:
Router(config-cryptomap)# set transform-set
trans2
Paso set identity
5
Example:
•
transform-set-name El argumento
especifica el nombre del conjunto de la
transformación.
(Opcional) especifica las restricciones de la
identidad que se utilizarán con el perfil de ipsec.
El router (config-crypto-mapa) # fijó
la identidad
Paso set security association
lifetime {seconds seconds |
6
kilobytes kilobytes}
Example:
El router (config-crypto-mapa) # fijó
los segundos 1800 del curso de la
vida de la asociación de seguridad
(Opcional) reemplaza el valor global del curso de
la vida para el perfil de ipsec.
•
seconds seconds La opción especifica el
número de segundos que una asociación de
seguridad vivirá antes de expirar; kilobytes
kilobytes la opción especifica el volumen de
tráfico (en los kilobytes) que puede pasar entre
los peeres IPSecs que usan a una asociación
de seguridad dada antes que expira la
asociación de seguridad.
• El valor por defecto para seconds el
argumento es 3600 segundos.
Paso set pfs [group1 | group2]
7
Example:
Router(config-cryptomap)# set pfs group2
(Opcional) especifica que el IPSec debe pedir el
Confidencialidad directa perfecta (PFS) al pedir a
las nuevas asociaciones de seguridad para este
perfil de ipsec. Si este comando no se especifica,
el valor por defecto (group1) será habilitado.
•
group1 La palabra clave especifica que el
IPSec debe utilizar el grupo del módulo de la
prima del Diffie-Hellman (DH) del 768-bit al
realizar el nuevo intercambio DH; group2 la
palabra clave especifica el grupo del módulo
de la prima 1024-bit DH.
Pasos Siguientes
Proceden a las secciones siguientes “configurar el concentrador para el DMVPN” y “configurar el spoke para el DMVPN.”
Configurar el concentrador para el DMVPN
Para configurar el router de eje de conexión para el mGRE y la integración del IPSec (es decir, asocie el túnel al perfil de ipsec
configurado en el procedimiento previo), utilice los siguientes comandos:
La red NHRPID de la nota es localmente - significativo y puede ser diferente. Tiene sentido de una perspectiva del
despliegue y del mantenimiento de utilizar los números de ID de la red única (usando ip nhrp network-id el comando) a
través de todo el Routers en una red DMVPN, pero no es necesario que sean lo mismo.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interface tunnel number
4. ip address ip-address mask []secondary
5. ip mtu bytes
6. ip nhrp authentication string
7. ip nhrp map multicast dynamic
8. ip nhrp network-id number
9. tunnel source {ip-address | type number}
10. tunnel key key-number
11. tunnel mode gre multipoint
12. tunnel protection ipsec profile name
13. bandwidth kbps
14. ip tcp adjust-mss max-segment-size
15. ip nhrp holdtime seconds
16. delay number
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
enable
Habilita niveles de privilegio más altos, como
el modo EXEC privilegiado.
Example:
Router> enable
Paso 2
configure terminal
Ingrese su contraseña si se le pide que lo
haga.
Ingresa en el modo de configuración global.
Example:
Router# configure terminal
Paso 3
interface tunnel number
Example:
Router(config)# interface
tunnel 5
Paso 4
Configura una interfaz del túnel y ingresa al
modo de configuración de la interfaz
•
number El argumento especifica el
número de la interfaz del túnel que usted
quiere crear o configurar. No existe límite
en el número de interfaces de túnel que
se pueden crear.
ip address ip-address mask [ Establece una dirección IP primaria o
secondary]
secundaria para la interfaz de túnel.
Example:
Router(config-if)# ip
address 10.0.0.1
Observetodo el Hubs y el spokes que
está en la misma red DMVPN se debe
255.255.255.0
Paso 5
ip mtu bytes
Example:
Router(config-if)# ip mtu
1400
Paso 6
ip nhrp authentication string
Example:
Router(config-if)# ip nhrp
authentication donttell
Paso 7
ip nhrp map multicast
dynamic
Example:
dirigir en la misma subred IP.
Fija los Tamaños de la unidad máxima de
transmisión (MTU), en los bytes, de los
paquetes IP enviados en una interfaz.
Configura la cadena de la autenticación de
una interfaz usando NHRP.
Observeautenticación nhrp la cadena
debe ser fijado al mismo valor en todo
el Hubs y spokes que estén en la
misma red DMVPN.
Permite que el NHRP agregue
automáticamente a los routeres radiales a los
mapeos NHRP del Multicast.
Router (config-if) # Multicast de la
correspondencia del nhrp del IP
dinámico
Paso 8
ip nhrp network-id number
Example:
Router(config-if)# ip nhrp
network-id 99
Paso 9
tunnel source {ip-address |
type number}
Habilita NHRP en una interfaz.
•
number El argumento especifica el
identificador de red de 32 bits único a
global - de una red del acceso múltiple sin
broadcast (NBMA). El rango es a partir la
1 a 4294967295.
Fija a la dirección de origen para una interfaz
del túnel.
Example:
Router (config-if)# tunnel
source Ethernet0
Paso 10 tunnel key key-number
Example:
Router (config-if)# tunnel
key 100000
(Opcional) habilita una clave ID para una
interfaz del túnel.
•
key-number El argumento especifica
un número a partir de la 0 a
4.294.967.295 que identifica la clave del
túnel.
Observeel número dominante debe ser
fijado al mismo valor en todo el Hubs y
spokes que estén en la misma red
DMVPN.
Observeeste comando no debe ser
configurado si usted está utilizando una
plataforma del Cisco 6500 o del Cisco
7600.
Paso 11 tunnel mode gre multipoint
Example:
Establece el modo de encapsulación en
mGRE de la interfaz de túnel.
Router (config-if) # gre del modo
túnel de múltiples puntos
Paso 12 tunnel protection ipsec
profile name
Example:
Router(config-if)# tunnel
protection ipsec profile
vpnprof
Paso 13 bandwidth kbps
Example:
Router(config-if)# bandwidth
1000
Asocia una interfaz de túnel con un perfil
IPSec.
•
name El argumento especifica el
nombre del perfil de ipsec; este valor debe
hacer juego name especificado en crypto
ipsec profile name el comando.
Fija el valor de ancho de banda actual para
una interfaz en protocolos de mayor nivel.
•
kbps El argumento especifica el
ancho de banda en los kilobites por
segundo. El valor predeterminado es 9. El
valor de ancho de banda recomendado es
1000 o mayor.
La determinación del valor de ancho de
banda por lo menos a 1000 es crítica si el
EIGRP se utiliza sobre la interfaz del túnel.
Los valores del ancho de banda mayor
pueden ser necesarios dependiendo del
número de spokes soportado por un
concentrador.
Paso 14 ip tcp adjust-mss maxsegment-size
Example:
Router(config-if)# ip tcp
adjust-mss 1360
Ajusta el valor del Tamaño de segmento
máximo (MSS) de los paquetes TCP que
pasan por un router.
•
max-segment-size El argumento
especifica el Maximum Segment Size, en
los bytes. El rango es a partir el 500 a
1460.
El valor recomendado es 1360 cuando el
número de bytes IP MTU se fija a 1400. Con
esta configuración recomendada, las
sesiones TCP se vuelven a escalar
rápidamente a paquetes IP de 1400 bytes
para que éstos “quepan” en el túnel.
Paso 15 ip nhrp holdtime seconds
Example:
Router(config-if)# ip nhrp
holdtime 450
Paso 16 delay number
Example:
Router(config-if)# delay
1000
Cambia el número de segundos que se
anuncian las direcciones NHRP NBMA como
válidas en las respuestas NHRP autorizadas.
•
seconds El argumento especifica el
tiempo en los segundos de que los
direccionamientos NBMA se hacen
publicidad como válidos en las respuestas
autoritarias positivas NHRP. El valor
recomendado se sitúa entre 300 y 600
segundos.
(Opcional) Se utiliza para cambiar la métrica
de ruteo EIGRP para las rutas aprendidas
sobre la interfaz de túnel.
•
number El argumento especifica el
tiempo de retraso en los segundos. El
valor recomendado es 1000.
Configurar el spoke para el DMVPN
Para configurar a los routeres radiales para el mGRE y la integración del IPSec, utilice los siguientes comandos.
La red NHRPID de la nota es localmente - significativo y puede ser diferente. Tiene sentido de una perspectiva del
despliegue y del mantenimiento de utilizar los números de ID de la red única (usando ip nhrp network-id el comando) a
través de todo el Routers en una red DMVPN, pero no es necesario que sean lo mismo.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interface tunnel number
4. ip address ip-address mask []secondary
5. ip mtu bytes
6. ip nhrp authentication string
7. ip nhrp map hub-tunnel-ip-address hub-physical-ip-address
8. ip nhrp map multicast hub-physical-ip-address
9. ip nhrp nhs hub-tunnel-ip-address
10. ip nhrp network-id number
11 tunnel source {ip-address | type number}
12. tunnel key key-number
13. tunnel mode gre multipoint
o
tunnel destination hub-physical-ip-address
14. tunnel protection ipsec profile name
15. bandwidth kbps
16. ip tcp adjust-mss max-segment-size
17. ip nhrp holdtime seconds
18. delay number
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
enable
Habilita niveles de privilegio más altos, como
el modo EXEC privilegiado.
Example:
Router> enable
Paso 2
configure terminal
Ingrese su contraseña si se le pide que lo
haga.
Ingresa en el modo de configuración global.
Example:
Router# configure terminal
Paso 3
interface tunnel number
Example:
Router(config)# interface
tunnel 5
Paso 4
ip address ip-address mask [
secondary]
Example:
Router(config-if)# ip
address 10.0.0.2
255.255.255.0
Paso 5
ip mtu bytes
Configura una interfaz de túnel e ingresa en
el modo de configuración de la interfaz.
•
number El argumento especifica el
número de la interfaz del túnel que usted
quiere crear o configurar. No existe límite
en el número de interfaces de túnel que
se pueden crear.
Establece una dirección IP primaria o
secundaria para la interfaz de túnel.
Observetodo el Hubs y el spokes que
está en la misma red DMVPN se debe
dirigir en la misma subred IP.
Fija la talla del MTU, en los bytes, de los
paquetes IP enviados en una interfaz.
Example:
Router(config-if)# ip mtu
1400
Paso 6
Paso 7
ip nhrp authentication string
Configura la cadena de la autenticación de
una interfaz usando NHRP.
Example:
Router(config-if)# ip nhrp
authentication donttell
Observeautenticación nhrp la cadena
se fije al mismo valor en todo el Hubs y
spokes que estén en la misma red
DMVPN.
ip nhrp map hub-tunnel-ipaddress hub-physical-ipaddress
Configura estáticamente la correspondencia
de direcciones IP-a-NBMA de los destinos IP
conectados con una red MBMA.
Example:
Router (config-if) # correspondencia
10.0.0.1 172.17.0.1 del nhrp del IP
• hub-tunnel-ip-address — Define el
servidor NHRP en el concentrador, que se
asocia permanentemente al IP Address
público estático del concentrador.
• hub-physical-ip-address — Define al
IP Address público estático del
concentrador.
Paso 8
ip nhrp map multicast hubphysical-ip-address
Example:
Router (config-if) # Multicast
172.17.0.1 de la correspondencia
del nhrp del IP
Paso 9
ip nhrp nhs hub-tunnel-ip-address
Habilita el uso de un Dynamic Routing
Protocol entre el spoke y el concentrador, y
envía los paquetes de multidifusión al router
de eje de conexión.
Configura el router de eje de conexión como
el servidor de Next Hop NHRP.
Example:
Router (config-if) # nhs 10.0.0.1 del
nhrp del IP
Paso 10
ip nhrp network-id number
Habilita NHRP en una interfaz.
Example:
Router(config-if)# ip nhrp
network-id 99
Paso 11 tunnel source {ip-address |
type number}
•
number El argumento especifica el
identificador de red de 32 bits único a
global - de una red NBMA. El rango es a
partir la 1 a 4294967295.
Fija la dirección de origen para una interfaz
de túnel.
Example:
Router (config-if)# tunnel
source Ethernet0
Paso 12 tunnel key key-number
Example:
Router (config-if)# tunnel
key 100000
(Opcional) habilita una clave ID para una
interfaz del túnel.
•
key-number El argumento especifica
un número a partir de la 0 a
4.294.967.295 que identifica la clave del
túnel.
• El número dominante se debe fijar al
mismo valor en todo el Hubs y spokes que
estén en la misma red DMVPN.
Observeeste comando no debe ser
configurado si usted está utilizando una
plataforma del Cisco 6500 o del Cisco
7600.
Paso 13 tunnel mode gre multipoint
o
tunnel destination hubphysical-ip-address
Example:
Router (config-if) # gre del modo
túnel de múltiples puntos
Establece el modo de encapsulación en
mGRE de la interfaz de túnel.
Utilice este comando si el tráfico de datos
puede utilizar el tráfico dinámico del spoke al
spoke.
Especifica el destino para una interfaz de
túnel.
o
Utilice este comando si el tráfico de datos
Router (config-if) # destino del túnel puede utilizar los túneles del hub-and-spoke.
172.17.0.1
Paso 14 tunnel protection ipsec
profile name
Example:
Router(config-if)# tunnel
protection ipsec profile
vpnprof
Paso 15 bandwidth kbps
Example:
Router(config-if)# bandwidth
1000
Asocia una interfaz de túnel con un perfil
IPSec.
•
name El argumento especifica el
nombre del perfil de ipsec; este valor debe
hacer juego name especificado en crypto
ipsec profile name el comando.
Fija el valor de ancho de banda actual para
una interfaz en protocolos de mayor nivel.
•
kbps El argumento especifica el
ancho de banda en los kilobites por
segundo. El valor predeterminado es 9. El
valor de ancho de banda recomendado es
1000 o mayor.
La configuración de ancho de banda para el
spoke no necesita igualar la configuración de
ancho de banda para el concentrador
DMVPN. Es generalmente más fácil si todo el
uso del spokes el mismo o el valor similar.
Paso 16 ip tcp adjust-mss maxsegment-size
Example:
Router(config-if)# ip tcp
adjust-mss 1360
Ajusta el valor del Tamaño de segmento
máximo (MSS) de los paquetes TCP que
pasan por un router.
•
max-segment-size El argumento
especifica el Maximum Segment Size, en
los bytes. El rango es a partir el 500 a
1460.
El valor de la cantidad recomendada es 1360
cuando el número de bytes IP MTU se fija a
1400. Con esta configuración recomendada,
las sesiones TCP se vuelven a escalar
rápidamente a paquetes IP de 1400 bytes
para que éstos “quepan” en el túnel.
Paso 17 ip nhrp holdtime seconds
Cambia el número de segundos que se
Example:
Router(config-if)# ip nhrp
holdtime 450
Paso 18 delay number
Example:
Router(config-if)# delay
1000
anuncian las direcciones NHRP NBMA como
válidas en las respuestas NHRP autorizadas.
•
seconds El argumento especifica el
tiempo en los segundos de que los
direccionamientos NBMA se hacen
publicidad como válidos en las respuestas
autoritarias positivas NHRP. El valor
recomendado se sitúa entre 300 y 600
segundos.
(Opcional) Se utiliza para cambiar la métrica
de ruteo EIGRP para las rutas aprendidas
sobre la interfaz de túnel.
•
number El argumento especifica el
tiempo de retraso en los segundos. El
valor recomendado es 1000.
Configurar la expedición de los paquetes IP de los datos del texto claro en un VRF
Para configurar la expedición de los paquetes IP de la fecha del texto claro en un VRF, realice los pasos siguientes. Esta
configuración asume que el VRF BLUE se ha configurado ya.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interface type number
4. ip vrf forwarding vrf-name
PASOS DETALLADOS
Paso
1
Comando o acción
Propósito
enable
Habilita niveles de privilegio más altos, como el
modo EXEC privilegiado.
Example:
Router> enable
Paso
2
configure terminal
Paso
3
interface type number
Paso
4
ip vrf forwarding vrf-name
Ingrese su contraseña si se le pide que lo haga.
Ingresa en el modo de configuración global.
Example:
Router# configure terminal
Example:
Router (config)# interface
tunnel0
Example:
Configura un tipo de interfaz e ingresa en el
modo de configuración de la interfaz.
Asocia un VRF de VPN a una interfaz o
subinterfaz.
Router (config-if) # IP VRF
remitiendo el AZUL
Configurar la expedición de los paquetes del túnel encriptado en un VRF
Para configurar la expedición de los paquetes del túnel encriptado en un VRF, realice los pasos siguientes. Esta configuración
asume que el ROJO VRF se ha configurado ya.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interfaz type number
4. tunnel vrf vrf-name
PASOS DETALLADOS
Paso
1
Comando o acción
Propósito
enable
Habilita niveles de privilegio más altos, como el
modo EXEC privilegiado.
Example:
Router> enable
Ingrese su contraseña si se le pide que lo haga.
Paso
2
configure terminal
Ingresa en el modo de configuración global.
Paso
3
interface type number
Paso
4
tunnel vrf vrf-name
Example:
Router# configure
terminal
Example:
Router (config)#
interface tunnel0
Example:
Router (config-if)#
tunnel vrf RED
Configura un tipo de interfaz e ingresa en el modo
de configuración de la interfaz.
Asocia un caso VPN VRF a un destino del túnel, a
una interfaz, o a una subinterfaz específica.
Configuración de DMVPN — Traffic Segmentation Within DMVPN
No hay comandos new de utilizar para configurar la segmentación del tráfico, sino que hay le encarga debe completar para
dividir el tráfico en segmentos dentro de un túnel DMVPN:
•
Habilitación de MPLS en el Túnel VPN
•
Configuración de BGP Multiprotocolo en el Router del Hub
•
Configuración de BGP Multiprotocolo en los Routers Spoke
Prerrequisitos
Las tareas que siguen asumen que el túnel y los VRF “rojo” y “azul” DMVPN se han configurado ya.
Para la información sobre configurar un túnel DMVPN, vea “configurando el concentrador para la sección DMVPN” y
“configurando el spoke para la sección DMVPN”. Para más información sobre la configuración de VRF, vea “configurando la
expedición de los paquetes IP de los datos del texto claro en la sección VRF” y “configurando la expedición de los paquetes del
túnel encriptado en la sección VRF”.
Habilitación de MPLS en el Túnel VPN
Porque la segmentación del tráfico dentro de un túnel DMVPN depende del MPLS, usted debe configurar el MPLS para cada
caso VRF en el cual el tráfico sea dividido en segmentos. Para información detallada sobre configurar el MPLS, vea la guía de
configuración del Multiprotocol Label Switching del Cisco IOS, la versión 12,4.
PASOS SUMARIOS
1. enable
2. configure terminal
3. interfaz type number
4. mpls ip
PASOS DETALLADOS
Paso
1
Comando o acción
Propósito
enable
Habilita niveles de privilegio más altos, como el modo
EXEC privilegiado.
Example:
Router> enable
Paso
2
configure terminal
Paso
3
interface type number
Paso
4
mpls ip
Ingrese su contraseña si se le pide que lo haga.
Ingresa en el modo de configuración global.
Example:
Router# configure
terminal
Example:
Router (config)#
interface tunnel0
Example:
Router (config-if)# mpls
ip
Configura un tipo de interfaz e ingresa en el modo de
configuración de la interfaz.
El marcar con etiqueta de los permisos MPLS de los
paquetes en la interfaz del túnel especificado.
Configuración de BGP Multiprotocolo en el Router del Hub
Usted debe configurar el iBGP multiprotocol (MP-iBGP) para habilitar el anuncio de los prefijos y de las escrituras de la etiqueta
del VPNv4 que se aplicarán al tráfico VPN. Utilice el BGP para configurar el concentrador como reflector de ruta. Para forzar
todo el tráfico a ser ruteado vía el concentrador, configure el reflector de la ruta BGP para cambiar el salto siguiente a sí mismo
cuando hace publicidad de los prefijos del VPNv4 a los Route Reflector Client (spokes).
Para más información sobre el Routing Protocol BGP, vea “el capítulo del mapa de ruta de las características BGP” en el
Routing IP del Cisco IOS: Guía de configuración BGP.
PASOS SUMARIOS
1. enable
2. configure terminal
3. router bgp
4. neighbor ipaddresstelecontrol-comoas -number
5. neighbor ipaddressactualización-fuente interface
6. address-family vpnv4
7. neighbor ipaddress activate
8. neighbor ipaddress send-community extended
9. neighbor ipaddress route-reflector-client
10. neighbor ipaddress route-map nexthop out
11. exit-address family
12. address-family ipv4 vrf-name
13. redistribute connected
14. route-map
15. set ip next-hop ipaddress
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
enable
Habilita niveles de privilegio más altos, como el
modo EXEC privilegiado.
Example:
Router> enable
Paso 2
configure terminal
• Ingrese su contraseña si se le pide que lo
haga.
Ingresa en el modo de configuración global.
Example:
Router# configure
terminal
Paso 3
router bgp
Ingresa al modo de configuración de BGP.
Example:
Router (config)# router
bgp
Paso 4
neighbor ipaddress
remote-as as-number
Añade una entrada al BGP o a la tabla de
vecinos BGP multiprotocolo.
Example:
Router (config)# neighbor
10.0.0.11 remote-as 1
Paso 5
neighbor ipaddress
update-source interface
Example:
Router (config)# neighbor
10.10.10.11 update-source
Tunnel1
Paso 6
Paso 7
address-family vpnv4
Configura el software de Cisco IOS para permitir
que las sesiones BGP utilicen cualquier interfaz
operativa para las conexiones TCP.
Example:
Router (config)# addressfamily vpnv4
Ingresa al modo de configuración de la familia de
direcciones para configurar una sesión de ruteo
usando prefijos de dirección de VPN (Virtual
Private Network) Versión 4.
neighbor ipaddress
activate
Habilita el intercambio de información con un
vecino BGP.
Example:
Router (config)# neighbor
10.0.0.11 activate
Paso 8
neighbor ipaddress sendcommunity extended
Especifica que los atributos de la comunidad
ampliada se deben enviar a un vecino BGP.
Example:
Router (config)# neighbor
10.0.0.11 send-community
extended
Paso 9
neighbor ipaddress routereflector-client
Configura el router como reflector de ruta BGP y
configura al vecino especificado como su cliente.
Example:
Router (config)# neighbor
10.0.0.11 routereflector-client
Paso 10 neighbor ipaddress routemap nexthop out
Fuerza todo el tráfico a ser ruteado vía el
concentrador.
Example:
Router (config)# neighbor
10.0.0.11 route-map
nexthop out
Paso 11 exit-address-family
Example:
Router (config)# exitaddress-family
Paso 12 address-family ipv4 vrfname
Example:
Router (config)# addressfamily ipv4 vrf red
Paso 13 redistribute connected
Example:
Router (config)#
redistribute connected
Paso 14 route-map
Example:
Router (config)# routemap nexthop permit 10
Paso 15 set ip next-hop ipaddress
Da salida al modo de configuración de la familia
del direccionamiento para el VPNv4.
Ingresa en el modo de configuración de la familia
de direcciones para configurar una sesión de
ruteo usando prefijos de dirección IP estándar de
la versión 4.
Redistribuye las rutas que se establecen
automáticamente en virtud de haber habilitado IP
en una interfaz de un dominio de ruteo en otro
dominio de ruteo.
Ingresa al modo de configuración del Route Map
para configurar el Next-Hop que será hecho
publicidad al spokes.
Fija el salto siguiente para ser el concentrador.
Example:
Router (config)# set ip
next-hop 10.0.0.1
Configuración de BGP Multiprotocolo en los Routers Spoke
el Multiprotocol-iBGP (MP-iBGP) se debe configurar en los routeres radiales y el concentrador. Siga los pasos abajo para cada
router radial en el DMVPN.
PASOS SUMARIOS
1. enable
2. configure terminal
3. router bgp
4. neighbor ipaddresstelecontrol-comoas -number
5. neighbor ipaddressactualización-fuente interface
6. address-family vpnv4
7. neighbor ipaddress activate
8. neighbor ipaddress send-community extended
9. exit-address-family
10. address-family ipv4 vrf-name
11. redistribute connected
12. exit-address-family
PASOS DETALLADOS
Paso 1
Comando o acción
Propósito
enable
Habilita niveles de privilegio más altos, como el
modo EXEC privilegiado.
Example:
Router> enable
Paso 2
configure terminal
• Ingrese su contraseña si se le pide que lo
haga.
Ingresa en el modo de configuración global.
Example:
Router# configure
terminal
Paso 3
router bgp
Ingresa al modo de configuración de BGP.
Example:
Router (config)# router
bgp 1
Paso 4
neighbor ipaddress
remote-as as-number
Añade una entrada al BGP o a la tabla de
vecinos BGP multiprotocolo.
Example:
Router (config)# neighbor
10.0.0.1 remote-as 1
Paso 5
neighbor ipaddress
update-source interface
Example:
Router (config)# neighbor
10.10.10.1 update-source
Tunnel1
Paso 6
address-family vpnv4
Paso 7
neighbor ipaddress
activate
Configura el software de Cisco IOS para permitir
que las sesiones BGP utilicen cualquier interfaz
operativa para las conexiones TCP.
Ingresa al modo de configuración de la familia de
direcciones para configurar una sesión de ruteo
Example:
Router (config)# address- usando prefijos de dirección de VPN (Virtual
Private Network) Versión 4.
family vpnv4
Habilita el intercambio de información con un
vecino BGP.
Example:
Router (config)# neighbor
10.0.0.1 activate
Paso 8
neighbor ipaddress sendcommunity extended
Especifica que los atributos de la comunidad
ampliada se deben enviar a un vecino BGP.
Example:
Router (config)# neighbor
10.0.0.1 send-community
extended
Paso 9
exit-address-family
Example:
Router (config)# exitaddress-family
Sale del modo de configuración de la familia de
direcciones.
Paso 10 address-family ipv4 vrf-
Ingresa en el modo de configuración de la familia
de direcciones para configurar una sesión de
ruteo usando prefijos de dirección IP estándar de
Example:
Router (config)# address- la versión 4.
name
family ipv4 vrf red
Paso 11 redistribute connected
Example:
Router (config)#
redistribute connected
Paso 12 exit-address-family
Example:
Router (config)# exitaddress-family
Redistribuye las rutas que se establecen
automáticamente en virtud de haber habilitado IP
en una interfaz de un dominio de ruteo en otro
dominio de ruteo.
Sale del modo de configuración de la familia de
direcciones.
Observerelanzan los pasos 10-12 para
cada VRF.
Troubleshooting de VPN Multipunto Dinámica (DMVPN)
Después de configurar el DMVPN, para verificar que el DMVPN está actuando correctamente, para borrar las estadísticas
DMVPN o las sesiones, o para hacer el debug del DMVPN, usted puede realizar los pasos opcionales siguientes:
PASOS SUMARIOS
1. clear dmvpn session [peer {nbma | tunnel} ip-address] []interface tunnel numberdel []vrf vrf-namedel [{}]static
2. clear dmvpn statistics [peer {nbma | tunnel} ip-address] []interface tunnel numberdel [{}]vrf vrf-name
3. debug dmvpn {[{[]condition unmatched | [peer [nbma | tunnel {ip-address}]] | [{}]vrf vrf-name | [{}]interface tunnel
number}] | [{error | detail | packet | all} {nhrp | crypto | tunnel | socket | all}]}
4. debug nhrp condition
5. debug nhrp error
6. logging dmvpn []rate-limit seconds
7. show crypto ipsec sa [active | standby]
8. show crypto isakmp sa
9. show crypto map
10. show dmvpn [peer [nbma | tunnel {ip-address}] | []network ip-addressdel []del []vrf-namedel [{}]interface tunnel
numberdel [vrf {}]detail del [{} {mask}]static]debug-condition
11 show ip nhrp traffic [{}]interface tunnel number
PASOS DETALLADOS
clear dmvpn session Paso 1 Se utiliza el comando de borrar las sesiones DMVPN.
El siguiente ejemplo borra solamente las sesiones dinámicas DMVPN:
Router- clear dmvpn session peer nbma
El siguiente ejemplo borra todas las sesiones DMVPN, estáticas y dinámicas, para el túnel especificado:
Router- clear dmvpn session interface tunnel 100 static
clear dmvpn statistics Paso 2 Se utiliza el comando de borrar los contadores relacionados DMVPN. El siguiente
ejemplo muestra cómo borrar los contadores relacionados DMVPN de la sesión para la interfaz del túnel
especificado:
Router- clear dmvpn statistics peer tunnel 192.0.2.3
debug dmvpn Paso 3 Se utiliza el comando de hacer el debug de las sesiones DMVPN. Usted puede habilitar o
inhabilitar el debugging DMVPN basado en una condición específica. Hay tres niveles de debugging DMVPN,
enumerados en la orden de los detalles de lo más bajo posible a lo más arriba posible:
•
Nivel de error
•
Detalle llano
•
Paquete llano
Las demostraciones del siguiente ejemplo cómo habilitar el debugging condicional DMVPN que visualiza todo el error hacen el
debug de para el protocolo next hop routing (NHRP), los socketes, la protección del túnel y la información crypto:
Router- debug dmvpn error all
debug nhrp condition Paso 4 El comando habilita o inhabilita el debugging basado en una condición específica. El
siguiente ejemplo muestra cómo habilitar el debugging condicional NHRP:
Router- debug nhrp condition
debug nhrp error Paso 5 El comando visualiza la información sobre la actividad del error NHRP. El siguiente ejemplo
muestra cómo habilitar el debugging para los mensajes de error NHRP:
Router- debug nhrp error
logging dmvpn Paso 6 Se utiliza el comando de habilitar el Registro del sistema DMVPN. El siguiente comando
muestra cómo habilitar el Registro del sistema DMVPN al índice de 1 mensaje cada 20 segundos:
Router(config)# logging dmvpn rate-limit 20
El siguiente ejemplo muestra un registro del sistema de la muestra con los mensajes DMVPN:
%DMVPN-7-CRYPTO_SS: Tunnel101-192.0.2.1 socket is UP
%DMVPN-5-NHRP_NHS: Tunnel101 192.0.2.251 is UP
%DMVPN-5-NHRP_CACHE: Client 192.0.2.2 on Tunnel1 Registered.
%DMVPN-5-NHRP_CACHE: Client 192.0.2.2 on Tunnel101 came UP.
%DMVPN-3-NHRP_ERROR: Registration Request failed for 192.0.2.251 on Tunnel101
show crypto ipsec sa Paso 7 El comando visualiza las configuraciones usadas por los SA actuales. La salida de
siguiente ejemplo muestra el estatus IPSec SA solamente del dispositivo activo:
interface: Ethernet0/0
Crypto map tag: to-peer-outside, local addr 209.165.201.3
protected vrf: (none
local
ident (addr/mask/prot/port): (192.168.0.1/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.16.0.1/255.255.255.255/0/0)
current_peer 209.165.200.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 209.165.201.3, remote crypto endpt.: 209.165.200.225
path mtu 1500, media mtu 1500
current outbound spi: 0xD42904F0(3559458032)
inbound esp sas:
spi: 0xD3E9ABD0(3555306448)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2006, flow_id: 6, crypto map: to-peer-outside
sa timing: remaining key lifetime (k/sec): (4586265/3542)
HA last key lifetime sent(k): (4586267)
ike_cookies: 9263635C CA4B4E99 C14E908E 8EE2D79C
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE
show crypto isakmp sa Paso 8 El comando visualiza todo el IKE actual SA en un par. Por ejemplo, se visualiza la
salida de muestra siguiente después de que las negociaciones IKE hayan completado con éxito entre dos
pares.
Router# show crypto isakmp sa
dst
src
state
conn-id
slot
172.17.63.19
172.16.175.76
QM_IDLE
2
0
172.17.63.19
172.17.63.20
QM_IDLE
1
0
172.16.175.75
172.17.63.19
QM_IDLE
3
0
show crypto map Paso 9 El comando visualiza la configuración de la correspondencia de criptografía.
Se visualiza la salida de muestra siguiente después de que se haya configurado una correspondencia de criptografía:
Router# show crypto map
Crypto Map "Tunnel5-head-0" 10 ipsec-isakmp
Profile name: vpnprof
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
Crypto Map "Tunnel5-head-0" 20 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.16.175.75
Extended IP access list
access-list permit gre host 172.17.63.19 host 172.16.175.75
Current peer: 172.16.175.75
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
Crypto Map "Tunnel5-head-0" 30 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.17.63.20
Extended IP access list
access-list permit gre host 172.17.63.19 host 172.17.63.20
Current peer: 172.17.63.20
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
Crypto Map "Tunnel5-head-0" 40 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.16.175.76
Extended IP access list
access-list permit gre host 172.17.63.19 host 172.16.175.76
Current peer: 172.16.175.76
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
Interfaces using crypto map Tunnel5-head-0:
Tunnel5
show dmvpn Paso 10 El comando visualiza la información de la sesión del específico DMVPN. El siguiente ejemplo
muestra el resumen de resultado del ejemplo:
Router# show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
! The line below indicates that the sessions are being displayed for Tunnel1.
! Tunnel1 is acting as a spoke and is a peer with three other NBMA peers.
Tunnel1, Type: Spoke, NBMA Peers: 3,
# Ent
Peer NBMA Addr Peer Tunnel Add State
UpDn Tm Attrb
----- --------------- --------------- ----- -------- ----2
192.0.2.21
192.0.2.116
1
192.0.2.102
192.0.2.11
1
192.0.2.225
192.0.2.10
IKE
3w0d D
NHRP 02:40:51 S
UP
3w0d S
Tunnel2, Type: Spoke, NBMA Peers: 1,
# Ent
Peer NBMA Addr Peer Tunnel Add State
UpDn Tm Attrb
----- --------------- --------------- ----- -------- ----1
192.0.2.25
192.0.2.171
IKE
never S
show ip nhrp traffic Paso 11 El comando visualiza las estadísticas NHRP. El siguiente ejemplo muestra la salida de
un túnel específico, tunnel7:
Router- show ip nhrp traffic interface tunnel7
Tunnel7: Max-send limit:100Pkts/10Sec, Usage:0%
Sent: Total 79
18 Resolution Request
10 Resolution Reply
0 Registration Reply
3 Purge Request
0 Error Indication
0 Traffic Indication
42 Registration Request
Rcvd: Total 69
6 Purge Reply
10 Resolution Request
15 Resolution Reply
36 Registration Reply
6 Purge Request
0 Error Indication
0 Traffic Indication
0 Registration Request
2 Purge Reply
Pasos Siguientes
Si usted ha localizado averías su configuración DMVPN y procede al Soporte técnico del contacto, show tech-support el
comando incluye la información para las sesiones DMVPN. Para más información, vea show tech-support el comando en la
referencia de comandos de los fundamentales de la configuración del Cisco IOS.
Ejemplos de Configuración de la Función Dynamic Multipoint VPN (DMVPN)
Esta sección proporciona los ejemplos siguientes de la configuración general:
•
Ejemplo: Configuración del hub para el DMVPN
•
Ejemplo: Configuración radial para el DMVPN
•
Ejemplo: VRF DMVPN enterado
Ejemplo: Configuración del hub para el DMVPN
En el siguiente ejemplo, que configura el router de eje de conexión para la integración de múltiples puntos GRE y del IPSec, no
hay líneas de la Configuración explícita necesarias para cada spoke; es decir, el concentrador se configura con una plantilla de
política global del IPSec con la cual todos los routeres radiales puedan hablar. En este ejemplo, el EIGRP se configura para
funcionar con encima la interfaz física privada y la interfaz del túnel.
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco47 address 0.0.0.0
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile vpnprof
set transform-set trans2
!
interface Tunnel0
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
! Ensures longer packets are fragmented before they are encrypted; otherwise, the
receiving router would have to do the reassembly.
ip mtu 1400
! The following line must match on all nodes that "want to use" this mGRE tunnel:
ip nhrp authentication donttell
! Note that the next line is required only on the hub.
ip nhrp map multicast dynamic
! The following line must match on all nodes that want to use this mGRE tunnel:
ip nhrp network-id 99
ip nhrp holdtime 300
! Turns off split horizon on the mGRE tunnel interface; otherwise, EIGRP will not
advertise routes that are learned via the mGRE interface back out that interface.
no ip split-horizon eigrp 1
! Enables dynamic, direct spoke-to-spoke tunnels when using EIGRP.
no ip next-hop-self eigrp 1
ip tcp adjust-mss 1360
delay 1000
! Sets IPsec peer address to Ethernet interface's public address.
tunnel source Ethernet0
tunnel mode gre multipoint
! The following line must match on all nodes that want to use this mGRE tunnel.
tunnel key 100000
tunnel protection ipsec profile vpnprof
!
interface Ethernet0
ip address 172.17.0.1 255.255.255.0
!
interface Ethernet1
ip address 192.168.0.1 255.255.255.0
!
router eigrp 1
network 10.0.0.0 0.0.0.255
network 192.168.0.0 0.0.0.255
!
Para la información sobre la definición y configurar de los perfiles ISAKMP, vea que las referencias en “relacionaron la sección
de los documentos”.
Ejemplo: Configuración radial para el DMVPN
En el siguiente ejemplo, todo el spokes se configura lo mismo a excepción del direccionamiento del túnel y de la interfaz local,
de tal modo, reduciendo las configuraciones necesarias para el usuario:
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco47 address 0.0.0.0
!
crypto ipsec transform-set trans2 esp-des esp-md5-hmac
mode transport
!
crypto ipsec profile vpnprof
set transform-set trans2
!
interface Tunnel0
bandwidth 1000
ip address 10.0.0.2 255.255.255.0
ip mtu 1400
! The following line must match on all nodes that want to use this mGRE tunnel:
ip nhrp authentication donttell
! Definition of NHRP server at the hub (10.0.0.1), which is permanently mapped to the
static public address of the hub (172.17.0.1).
ip nhrp map 10.0.0.1 172.17.0.1
! Sends multicast packets to the hub router, and enables the use of a dynamic routing
protocol between the spoke and the hub.
ip nhrp map multicast 172.17.0.1
! The following line must match on all nodes that want to use this mGRE tunnel:
ip nhrp network-id 99
ip nhrp holdtime 300
! Configures the hub router as the NHRP next-hop server.
ip nhrp nhs 10.0.0.1
ip tcp adjust-mss 1360
delay 1000
tunnel source Ethernet0
tunnel mode gre multipoint
! The following line must match on all nodes that want to use this mGRE tunnel:
tunnel key 100000
tunnel protection ipsec profile vpnprof
!
! This is a spoke, so the public address might be dynamically assigned via DHCP.
interface Ethernet0
ip address dhcp hostname Spoke1
!
interface Ethernet1
ip address 192.168.1.1 255.255.255.0
!
! EIGRP is configured to run over the inside physical interface and the tunnel.
router eigrp 1
network 10.0.0.0 0.0.0.255
network 192.168.1.0 0.0.0.255
Ejemplo: VRF DMVPN enterado
Al configurar VRF DMVPN enterado, usted debe crear una red DMVPN separada para cada caso VRF. En el siguiente ejemplo,
hay dos redes DMVPN: AZUL y ROJO. Además, una interfaz de origen separada se ha utilizado en el concentrador para cada
túnel DMVPN — una necesidad para el Cisco IOS Release 12.2(18)SXE. Para otras versiones del Cisco IOS, usted puede
configurar el mismo origen de túnel para ambas interfaces del túnel, pero usted debe configurar tunnel key y tunnel protection
(tunnel protection ipsec profile {name} shared) los comandos.
Observesi usted utilizan shared la palabra clave, después usted debe ser Cisco IOS Release 12.4(5) o la versión
corriente 12.4(6)T, o una versión posterior. Si no los túneles IPsec/GRE bajo dos interfaces de túnel MGRE pueden no
funcionar correctamente.
Configuración del hub
interface Tunnel0
! Note the next line.
ip vrf forwarding BLUE
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
ip mtu 1436
! Note the next line.
ip nhrp authentication BLUE!KEY
ip nhrp map multicast dynamic
! Note the next line
ip nhrp network-id 100000
ip nhrp holdtime 600
no ip split-horizon eigrp 1
no ip next-hop-self eigrp 1
ip tcp adjust-mss 1360
delay 1000
! Note the next line.
tunnel source Ethernet0
tunnel mode gre multipoint
tunnel protection ipsec profile vpnprof!
interface Tunnel1
! Note the next line.
ip vrf forwarding RED
bandwidth 1000
ip address 10.0.0.1 255.255.255.0
ip mtu 1436
! Note the next line.
ip nhrp authentication RED!KEY
ip nhrp map multicast dynamic
! Note the next line.
ip nhrp network-id 20000
ip nhrp holdtime 600
no ip split-horizon eigrp 1
no ip next-hop-self eigrp 1
ip tcp adjust-mss 1360
delay 1000
! Note the next line.
tunnel source Ethernet1
tunnel mode gre multipoint
tunnel protection ipsec profile vpnprof!
interface Ethernet0
ip address 172.17.0.1 255.255.255.0
interface Ethernet1
ip address 192.0.2.171 255.255.255.0
Observepara la Configuración del hub mostrada arriba, una red DMVPN separada se configura para cada VPN. La red NHRP
ID y las claves de autenticación deben ser únicas en las dos interfaces del mGRE.
Configuración EIGRP en el concentrador
router eigrp 1
auto-summary
!
address-family ipv4 vrf BLUE
network 10.0.0.0 0.0.0.255
no auto-summary
autonomous-system 1
exit-address-family
!
address-family ipv4 vrf RED
network 10.0.0.0 0.0.0.255
no auto-summary
autonomous-system 1
exit-address-family
Configuraciones de Spoke
Spoke1:
interface Tunnel0
bandwidth 1000
ip address 10.0.0.2 255.255.255.0
ip mtu 1436
! Note the next line.
ip nhrp authentication BLUE!KEY
ip nhrp map 10.0.0.1 172.17.0.1
ip nhrp network-id 100000
ip nhrp holdtime 300
ip nhrp nhs 10.0.0.1
ip tcp adjust-mss 1360
delay 1000
tunnel mode gre multipoint
tunnel source Ethernet0
tunnel destination 172.17.0.1
tunnel protection ipsec profile vpnprof
Spoke2
interface Tunnel0
bandwidth 1000
ip address 10.0.0.2 255.255.255.0
ip mtu 1436
ip nhrp authentication RED!KEY
ip nhrp map 10.0.0.1 192.0.2.171
ip nhrp network-id 200000
ip nhrp holdtime 300
ip nhrp nhs 10.0.0.1
ip tcp adjust-mss 1360
delay 1000
tunnel source Ethernet0
tunnel destination 192.0.2.171
tunnel protection ipsec profile vpnprof!
Ejemplo: 2547oDMVPN con la segmentación del tráfico (con el BGP solamente)
La demostración del siguiente ejemplo una configuración de la segmentación del tráfico en la cual el tráfico se divide en
segmentos entre dos spokes que sirve como dispositivos del borde del proveedor (PE).
Configuración del hub
hostname hub-pe1
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
!This section refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des
mode transport
crypto ipsec profile prof
set transform-set t1
interface Tunnel1
ip address 10.9.9.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 1
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
interface Loopback0
ip address 10.0.0.1 255.255.255.255
interface Ethernet0/0
ip address 172.0.0.1 255.255.255.0
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop
information to set itself as the next-hop and assigns a new VPN label for the prefixes
learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp log-neighbor-changes
neighbor 10.0.0.11 remote-as 1
neighbor 10.0.0.11 update-source Tunnel1
neighbor 10.0.0.12 remote-as 1
neighbor 10.0.0.12 update-source Tunnel1
no auto-summary
address-family vpnv4
neighbor 10.0.0.11 activate
neighbor 10.0.0.11 send-community extended
neighbor 10.0.0.11 route-reflector-client
neighbor 10.0.0.11 route-map NEXTHOP out
neighbor 10.0.0.12 activate
neighbor 10.0.0.12 send-community extended
neighbor 10.0.0.12 route-reflector-client
neighbor 10.0.0.12 route-map NEXTHOP out
exit-address-family
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
no ip http server
no ip http secure-server
!In this route map information, the hub sets the next hop to itself, and the VPN prefixes
are advertised:
route-map NEXTHOP permit 10
set ip next-hop 10.0.0.1
control-plane
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
end
Configuraciones de Spoke
Spoke 2
hostname spoke-pe2
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
!This section refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des
mode transport
crypto ipsec profile prof
set transform-set t1
interface Tunnel1
ip address 10.0.0.11 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp map 10.0.0.1 172.0.0.1
ip nhrp map multicast 172.0.0.1
ip nhrp network-id 1
ip nhrp nhs 10.0.0.1
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
interface Loopback0
ip address 10.9.9.11 255.255.255.255
interface Ethernet0/0
ip address 172.0.0.11 255.255.255.0
!
!
interface Ethernet1/0
ip vrf forwarding red
ip address 192.168.11.2 255.255.255.0
interface Ethernet2/0
ip vrf forwarding blue
ip address 192.168.11.2 255.255.255.0
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop
information to set itself as the next-hop and assigns a new VPN label for the prefixes
learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp log-neighbor-changes
neighbor 10.0.0.1 remote-as 1
neighbor 10.0.0.1 update-source Tunnel1
no auto-summary
address-family vpnv4
neighbor 10.0.0.1 activate
neighbor 10.0.0.1 send-community extended
exit-address-family
!
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
!
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
no ip http server
no ip http secure-server
control-plane
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
end
Spoke 3
hostname spoke-PE3
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
!This section refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des
mode transport
crypto ipsec profile prof
set transform-set t1
interface Tunnel1
ip address 10.0.0.12 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp map 10.0.0.1 172.0.0.1
ip nhrp map multicast 172.0.0.1
ip nhrp network-id 1
ip nhrp nhs 10.0.0.1
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
!
interface Loopback0
ip address 10.9.9.12 255.255.255.255
interface Ethernet0/0
ip address 172.0.0.12 255.255.255.0
interface Ethernet1/0
ip vrf forwarding red
ip address 192.168.12.2 255.255.255.0
interface Ethernet2/0
ip vrf forwarding blue
ip address 192.168.12.2 255.255.255.0
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop
information to set itself as the next-hop and assigns a new VPN label for the prefixes
learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp log-neighbor-changes
neighbor 10.0.0.1 remote-as 1
neighbor 10.0.0.1 update-source Tunnel1
no auto-summary
address-family vpnv4
neighbor 10.0.0.1 activate
neighbor 10.0.0.1 send-community extended
exit-address-family
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
no ip http server
no ip http secure-server
control-plane
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
end
Ejemplo: 2547oDMVPN con la segmentación del tráfico (Central corporativa)
El siguiente ejemplo muestra una configuración para dividir el tráfico en segmentos entre dos spokes situados en las sucursales
de una empresa. En este ejemplo, el EIGRP se configura para aprender las rutas para alcanzar a los vecinos BGP dentro del
DMVPN.
Configuración del hub
hostname HUB
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
!This refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des
mode transport
crypto ipsec profile prof
set transform-set t1
interface Tunnel1
ip address 10.0.0.1 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp network-id 1
!EIGRP is enabled on the DMVPN network to learn the IGP prefixes:
no ip split-horizon eigrp 1
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
!This address is advertised by EIGRP and used as the BGP endpoint:
interface Loopback0
ip address 10.9.9.1 255.255.255.255
interface Ethernet0/0
ip address 172.0.0.1 255.255.255.0
!EIGRP is configured to learn the BGP peer addresses (10.9.9.x networks)
router eigrp 1
network 10.9.9.1 0.0.0.0
network 10.0.0.0 0.0.0.255
no auto-summary
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop
information to set itself as the next-hop and assigns a new VPN label for the prefixes
learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp router-id 10.9.9.1
bgp log-neighbor-changes
neighbor 10.9.9.11 remote-as 1
neighbor 10.9.9.11 update-source Loopback0
neighbor 10.9.9.12 remote-as 1
neighbor 10.9.9.12 update-source Loopback0
no auto-summary
address-family vpnv4
neighbor 10.9.9.11 activate
neighbor 10.9.9.11 send-community extended
neighbor 10.9.9.11 route-reflector-client
neighbor 10.9.9.12 activate
neighbor 10.9.9.12 send-community extended
neighbor 10.9.9.12 route-reflector-client
exit-address-family
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
no ip http server
no ip http secure-server
control-plane
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
end
Configuraciones de Spoke
Spoke 2
hostname Spoke2
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
!This section refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des
mode transport
crypto ipsec profile prof
set transform-set t1
interface Tunnel1
ip address 10.0.0.11 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp map 10.0.0.1 172.0.0.1
ip nhrp map multicast 172.0.0.1
ip nhrp network-id 1
ip nhrp nhs 10.0.0.1
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
!This address is advertised by EIGRP and used as the BGP endpoint:
interface Loopback0
ip address 10.9.9.11 255.255.255.255
interface Ethernet0/0
ip address 172.0.0.11 255.255.255.0
interface Ethernet1/0
ip vrf forwarding red
ip address 192.168.11.2 255.255.255.0
interface Ethernet2/0
ip vrf forwarding blue
ip address 192.168.11.2 255.255.255.0
!EIGRP is enabled on the DMVPN network to learn the IGP prefixes:
router eigrp 1
network 10.9.9.11 0.0.0.0
network 10.0.0.0 0.0.0.255
no auto-summary
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop
information to set itself as the next-hop and assigns a new VPN label for the prefixes
learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp router-id 10.9.9.11
bgp log-neighbor-changes
neighbor 10.9.9.1 remote-as 1
neighbor 10.9.9.1 update-source Loopback0
no auto-summary
address-family vpnv4
neighbor 10.9.9.1 activate
neighbor 10.9.9.1 send-community extended
exit-address-family
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
no ip http server
no ip http secure-server
control-plane
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
end
Spoke 3
hostname Spoke3
boot-start-marker
boot-end-marker
no aaa new-model
resource policy
clock timezone EST 0
ip cef
no ip domain lookup
!This section refers to the forwarding table for VRF blue:
ip vrf blue
rd 2:2
route-target export 2:2
route-target import 2:2
!This section refers to the forwarding table for VRF red:
ip vrf red
rd 1:1
route-target export 1:1
route-target import 1:1
mpls label protocol ldp
crypto isakmp policy 1
authentication pre-share
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto ipsec transform-set t1 esp-des
mode transport
crypto ipsec profile prof
set transform-set t1
interface Tunnel1
ip address 10.0.0.12 255.255.255.0
no ip redirects
ip nhrp authentication cisco
ip nhrp map multicast dynamic
ip nhrp map 10.0.0.1 172.0.0.1
ip nhrp map multicast 172.0.0.1
ip nhrp network-id 1
ip nhrp nhs 10.0.0.1
!The command below enables MPLS on the DMVPN network:
mpls ip
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile prof
!This address is advertised by EIGRP and used as the BGP endpoint:
interface Loopback0
ip address 10.9.9.12 255.255.255.255
interface Ethernet0/0
ip address 172.0.0.12 255.255.255.0
interface Ethernet1/0
ip vrf forwarding red
ip address 192.168.12.2 255.255.255.0
interface Ethernet2/0
ip vrf forwarding blue
ip address 192.168.12.2 255.255.255.0
!EIGRP is enabled on the DMVPN network to learn the IGP prefixes:
router eigrp 1
network 10.9.9.12 0.0.0.0
network 10.0.0.0 0.0.0.255
no auto-summary
!The multiprotocol BGP route reflector (the hub) configuration changes the next-hop
information to set itself as the next-hop and assigns a new VPN label for the prefixes
learned from the spokes and advertises the VPN prefix:
router bgp 1
no synchronization
bgp router-id 10.9.9.12
bgp log-neighbor-changes
neighbor 10.9.9.1 remote-as 1
neighbor 10.9.9.1 update-source Loopback0
no auto-summary
address-family vpnv4
neighbor 10.9.9.1 activate
neighbor 10.9.9.1 send-community extended
exit-address-family
address-family ipv4 vrf red
redistribute connected
no synchronization
exit-address-family
address-family ipv4 vrf blue
redistribute connected
no synchronization
exit-address-family
no ip http server
no ip http secure-server
control-plane
line con 0
logging synchronous
line aux 0
line vty 0 4
no login
end
Salida del Comando de Ejemplo: show mpls ldp bindings
Spoke2# show mpls ldp bindings
tib entry: 10.9.9.1/32, rev 8
local binding:
tag: 16
remote binding: tsr: 10.9.9.1:0, tag: imp-null
tib entry: 10.9.9.11/32, rev 4
local binding:
tag: imp-null
remote binding: tsr: 10.9.9.1:0, tag: 16
tib entry: 10.9.9.12/32, rev 10
local binding:
tag: 17
remote binding: tsr: 10.9.9.1:0, tag: 17
tib entry: 10.0.0.0/24, rev 6
local binding:
tag: imp-null
remote binding: tsr: 10.9.9.1:0, tag: imp-null
tib entry: 172.0.0.0/24, rev 3
local binding:
tag: imp-null
remote binding: tsr: 10.9.9.1:0, tag: imp-null
Spoke2#
Salida del Comando de Ejemplo: show mpls forwarding-table
Spoke2# show mpls forwarding-table
Local
Outgoing
Prefix
Bytes tag
Outgoing
Next Hop
tag
tag or VC
or Tunnel Id
switched
interface
16
Pop tag
10.9.9.1/32
0
Tu1
10.0.0.1
17
17
10.9.9.12/32
0
Tu1
10.0.0.1
18
Aggregate
192.168.11.0/24[V]
\
0
19
Aggregate
192.168.11.0/24[V]
\
0
Spoke2#
Salida del Comando de Ejemplo: muestre el rojo del vrf de la ruta de IP
Spoke2# show ip route vrf red
Routing Table: red
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
B
192.168.12.0/24 [200/0] via 10.9.9.12, 00:00:02
C
192.168.11.0/24 is directly connected, Ethernet1/0
Spoke2#
Salida del Comando de Ejemplo: muestre el azul del vrf de la ruta de IP
Spoke2# show ip route vrf blue
Routing Table: blue
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
B
192.168.12.0/24 [200/0] via 10.9.9.12, 00:00:08
C
192.168.11.0/24 is directly connected, Ethernet2/0
Spoke2#
Spoke2# show ip cef vrf red 192.168.12.0
192.168.12.0/24, version 5, epoch 0
0 packets, 0 bytes
tag information set
local tag: VPN-route-head
fast tag rewrite with Tu1, 10.0.0.1, tags imposed: {17 18}
via 10.9.9.12, 0 dependencies, recursive
next hop 10.0.0.1, Tunnel1 via 10.9.9.12/32
valid adjacency
tag rewrite with Tu1, 10.0.0.1, tags imposed: {17 18}
Spoke2#
Salida del Comando de Ejemplo: muestre a los vecinos BGP del IP
Spoke2# show ip bgp neighbors
BGP neighbor is 10.9.9.1,
remote AS 1, internal link
BGP version 4, remote router ID 10.9.9.1
BGP state = Established, up for 00:02:09
Last read 00:00:08, last write 00:00:08, hold time is 180, keepalive interval is 60
seconds
Neighbor capabilities:
Route refresh: advertised and received(old & new)
Address family IPv4 Unicast: advertised and received
Address family VPNv4 Unicast: advertised and received
Message statistics:
InQ depth is 0
OutQ depth is 0
Sent
Rcvd
Opens:
1
1
Notifications:
0
0
Updates:
4
4
Keepalives:
4
4
Route Refresh:
0
0
Total:
9
9
Default minimum time between advertisement runs is 0 seconds
For address family: IPv4 Unicast
BGP table version 1, neighbor version 1/0
Output queue size : 0
Index 1, Offset 0, Mask 0x2
1 update-group member
Sent
Rcvd
----
----
Prefixes Current:
0
0
Prefixes Total:
0
0
Implicit Withdraw:
0
0
Explicit Withdraw:
0
0
Used as bestpath:
n/a
0
Used as multipath:
n/a
0
Prefix activity:
Local Policy Denied Prefixes:
Outbound
Inbound
--------
-------
0
0
Total:
Number of NLRIs in the update sent: max 0, min 0
For address family: VPNv4 Unicast
BGP table version 9, neighbor version 9/0
Output queue size : 0
Index 1, Offset 0, Mask 0x2
1 update-group member
Prefix activity:
Sent
Rcvd
----
----
Prefixes Current:
2
2 (Consumes 136 bytes)
Prefixes Total:
4
2
Implicit Withdraw:
2
0
Explicit Withdraw:
0
0
n/a
2
Used as bestpath:
Used as multipath:
n/a
0
Outbound
Inbound
--------
-------
n/a
2
Bestpath from this peer:
4
n/a
Total:
4
2
Local Policy Denied Prefixes:
ORIGINATOR loop:
Number of NLRIs in the update sent: max 1, min 1
Connections established 1; dropped 0
Last reset never
Connection state is ESTAB, I/O status: 1, unread input bytes: 0
Connection is ECN Disabled
Local host: 10.9.9.11, Local port: 179
Foreign host: 10.9.9.1, Foreign port: 12365
Enqueued packets for retransmit: 0, input: 0
mis-ordered: 0 (0 bytes)
Event Timers (current time is 0x2D0F0):
Timer
Starts
Wakeups
Next
Retrans
6
0
0x0
TimeWait
0
0
0x0
AckHold
7
3
0x0
SendWnd
0
0
0x0
KeepAlive
0
0
0x0
GiveUp
0
0
0x0
PmtuAger
0
0
0x0
DeadWait
0
0
0x0
iss: 3328307266
snduna: 3328307756
sndnxt: 3328307756
irs: 4023050141
rcvnxt: 4023050687
rcvwnd:
16384
SRTT: 165 ms, RTTO: 1457 ms, RTV: 1292 ms, KRTT: 0 ms
minRTT: 0 ms, maxRTT: 300 ms, ACK hold: 200 ms
Flags: passive open, nagle, gen tcbs
IP Precedence value : 6
sndwnd:
15895
delrcvwnd:
0
Datagrams (max data segment is 536 bytes):
Rcvd: 13 (out of order: 0), with data: 7, total data bytes: 545
Sent: 11 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 0), with
data: 6, total data bytes: 489
Spoke2#
Referencias adicionales
Documentos Relacionados
Tema relacionado
Título del documento
Comandos de Cisco IOS
El Cisco IOS domina los comandos list, todos las versiones
Control de admisión de llamadas
Call Admission Control for IKE
Información del keepalive del
túnel GRE
Keepalive de túnel del Generic Routing Encapsulation (GRE),
Cisco IOS Release 12.2(8)T
Tareas de la configuración IKE
tales como definición de una
política IKE
El capítulo el “que configura intercambio de claves de Internet
para el IPSec VPN” en la guía de configuración de la Seguridad
de Cisco IOS: Conectividad segura
Tareas de la configuración IPSec
El capítulo “Configurar directivo de seguridad para los VPN con el
IPSec” en la guía de configuración de la Seguridad de Cisco IOS:
Conectividad segura
Configurar el IPSec que reconoce El capítulo “IPSec que reconoce VRF” en la guía de
VRF
configuración de la Seguridad de Cisco IOS: Conectividad segura
Configuración de MPLS
El capítulo el “que configura Multiprotocol Label Switching” en la
guía de configuración del Multiprotocol Label Switching del Cisco
IOS
Configuración de BGP
El capítulo “descripción de Cisco BGP” en el Routing IP del Cisco
IOS: Guía de configuración de los protocolos BGP
Mensajes del sistema
Guía de mensajes del sistema
Definiendo y configurando los
perfiles ISAKMP
“Certificado capítulo a la asignación del perfil ISAKMP” en la guía
de configuración de la Seguridad de Cisco IOS: Conectividad
segura
Estándares
Estándares
Título
Ninguno
—
MIB
MIB
Link del MIB
Ninguno Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software
de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado
en el URL siguiente:
http://www.cisco.com/cisco/web/LA/support/index.html
RFC
RFC
Título
RFC 2547
BGP/MPLS VPN
Asistencia Técnica
Descripción
Link
El Web site del soporte y de la documentación http://www.cisco.com/cisco/web/LA/support/index.html
de Cisco proporciona los recursos en línea
para descargar la documentación, el software,
y las herramientas. Utilice estos recursos para
instalar y para configurar el software y para
resolver problemas y para resolver los
problemas técnicos con los Productos Cisco y
las Tecnologías. El acceso a la mayoría de las
herramientas en el Web site del soporte y de
la documentación de Cisco requiere una
identificación del usuario y una contraseña del
cisco.com.
Información sobre la Función Dynamic Multipoint VPN (DMVPN)
La tabla 1 muestra las funciones de este módulo y proporciona links a información de configuración específica.
Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del
software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software,
un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a
http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.
Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un
tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión
de software también soportan esa característica.
Nombre de la
función
Versiones
Información sobre la Función
DMVPN — Habilitar 12.4(11)T
la segmentación del
tráfico dentro del
DMVPN
La característica 2547oDMVPN permite que los usuarios dividan
el tráfico VPN en segmentos dentro de un túnel DMVPN
aplicando las escrituras de la etiqueta MPLS a los casos VRF
para indicar la fuente y el destino de cada VRF.
Mejoras de
12.4(9)T
Mangeability para el
DMVPN
La sesión DMVPN manageabilty fue ampliada con los comandos
específicos DMVPN para hacer el debug de, salida de la
demostración, sesión y control de contador, e información del
registro del sistema.
Las secciones siguientes proporcionan información acerca de
esta función:
•
Troubleshooting de VPN Multipunto Dinámica (DMVPN)
Los siguientes comandos fueron introducidos o modificados por
esta característica: clear dmvpn session, clear dmvpn
statistics debug dmvpn debug nhrp condition debug nhrp
error logging dmvpn show dmvpn show ip nhrp traffic.
Fase 2 DMVPN
12.2(18)SXE Las funciones del spoke al spoke DMVPN fueron hechas más
12.3(9)a
producción lista. Si usted está utilizando estas funciones en una
12.3(8)T1
red de producción, la versión mínima es la versión 12.3(9a) o la
versión 12.3(8)T1.
En la versión 12.2(18)SXE, el soporte fue agregado para el Cisco
Catalyst 6500 Series Switch y el Cisco 7600 Series Router.
—
12.3(6)
12.3(7)T
El envío de la ruta virtual integró DMVPN y la Traduccióntransparencia de la dirección de red (NAT-T) que las mejoras
enteradas DMVPN fueron agregadas. Además, las funciones del
Concentrador-a-spoke DMVPN fueron hechas más producción
lista. Si usted está utilizando estas funciones en una red de
producción, el requisito de la versión mínima es Cisco
IOS Release12.3(6) o 12.3(7)T.
Las mejoras agregadas en el Cisco IOS Release 12.3(6) eran
integradas en el Cisco IOS Release 12.3(7)T.
Dynamic Multipoint
VPN (DMVPN)
Phase 1
12.2(13)T
La característica del Dynamic Multipoint VPN (DMVPN) permite
que los usuarios escalen mejor el Redes privadas virtuales (VPN)
grande y pequeño del IPSec combinando los túneles del Generic
Routing Encapsulation (GRE), el cifrado de la seguridad IP
(IPSec), y el Next Hop Resolution Protocol (NHRP).
Glosario
— modo agresivo. Un modo durante la negociación IKE. Comparado al MM, la elimina varios pasos, haciéndolo más rápido
pero los asegura menos que el MM. El Cisco IOS Software responderá en el modo agresivo a un par IKE que inicie al modo
agresivo.
GRE: Generic Routing Encapsulation Túneles que proporcionan una ruta específica a través de WAN compartido y encapsulan
el tráfico con los nuevos encabezados de paquete para asegurar la salida a los destinos específicos. La red es privada porque
el tráfico puede ingresar un túnel solamente en un punto final. Los túneles no proporcionan la confidencialidad verdadera (el
cifrado hace) pero pueden llevar el tráfico encriptado.
La tunelización GRE se puede también utilizar para encapsular el tráfico no IP en el IP y para enviarlo sobre Internet o la red del
IP. El Internet Package Exchange (IPX) y los protocolos Appletalk son ejemplos del tráfico no IP.
IKE — Intercambio de claves de Internet. Un protocolo híbrido que implementa el intercambio de claves del Oakley y el
intercambio de claves de Skeme dentro del marco ISAKMP. Aunque el IKE se pueda utilizar con otros protocolos, su
instrumentación inicial está con el IPSec. El IKE proporciona la autenticación de los peeres IPSecs, negocia las claves del
IPSec, y negocia a las asociaciones de seguridad IPSec.
IPSec — Seguridad IP. Un marco de los estándares abiertos desarrolló por la Fuerza de tareas de ingeniería en Internet (IETF)
(IETF). El IPSec proporciona la seguridad para la transmisión de la información vulnerable sobre las redes no protegidas tales
como Internet. El IPSec actúa en la capa de red, protegiendo y autenticando los paquetes IP entre los dispositivos participantes
del IPSec (“pares”), por ejemplo los routeres Cisco.
ISAKMP — Protocolo internet security association key management. Una estructura del protocolo que define los formatos de
carga, los mecánicos de implementar un Key Exchange Protocol, y la negociación de una asociación de seguridad.
MM — modo principal. Modo que es más lento que el modo agresivo pero más seguro y flexible que éste, porque puede ofrecer
a un peer IKE más ofertas de seguridad. La acción predeterminada para la autenticación IKE (RSA-SIG, RSA-encr, o
preshared) es iniciar al modo principal.
NHRP — Next Hop Resolution Protocol. El Routers, el Access Server, y los hosts pueden utilizar el NHRP para descubrir los
direccionamientos de otro Routers y hosts conectados con una red NBMA.
La implementación de Cisco del NHRP soporta la versión 11 del borrador IETF del Next Hop Resolution Protocol (NHRP)
NBMA.
La implementación de Cisco del NHRP soporta versión IP 4, las capas de red del Internet Packet Exchange (IPX), y, en la capa
de link, la atmósfera, los Ethernetes, el S DS, y las redes de túneles de múltiples puntos. Aunque el NHRP esté disponible en
los Ethernetes, el NHRP no necesita ser implementado sobre los medios Ethernet porque el Ethernet es capaz de la difusión.
Los Ethernetes soportan son innecesarios (y no proporcionado) para el IPX.
PFS — Perfecta reserva hacia adelante. Una característica criptográfica se asoció a un valor derivado del secreto compartido.
Con PFS, si se compromete una llave, las llaves anteriores y subsiguientes no se comprometen, porque las llaves subsiguientes
no derivan de las llaves anteriores.
SA: Asociación de seguridad. Describe cómo dos o más entidades utilizarán los Servicios de seguridad para comunicar con
seguridad. Por ejemplo, un SA IPSec define el algoritmo de encripción (si se utiliza), el algoritmo de autenticación y la llave de
sesión compartida que se utilizarán durante la conexión IPSec.
IPSec e IKE requieren y utilizan SAs para identificar los parámetros de sus conexiones. IKE puede negociar y establecer su
propia SA. El SA de IPSec se establece por el IKE o por la configuración de usuario manual.
transforme — La lista de operaciones hechas en un flujo de datos para proporcionar la autenticación de datos, la
confidencialidad de los datos, y la Compresión de datos. Por ejemplo, una transformación es el protocolo ESP con el algoritmo
de autenticación HMAC-MD5; otra transformación es el protocolo AH con el algoritmo de encripción DES de 56 bits y el
protocolo ESP con el algoritmo de autenticación HMAC-SHA.
VPN — Red privada virtual. Un marco que consiste en los peeres múltiples que transmiten los datos privados con seguridad a
uno otro sobre una infraestructura de otra manera pública. En este marco, el tráfico de red entrante y saliente se protege
mediante protocolos que tunelizan y encriptan todos los datos. Este marco permite que las redes se extiendan más allá de su
topología local, mientras ofrecen a los usuarios remotos el aspecto y la funcionalidad de una conexión de red directa.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks
can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word
partner does not imply a partnership relationship between Cisco and any other company. (1005R)
Any Internet Protocol (IP) addresses used in this document are not intended to be actual addresses. Any examples, command display output, and
figures included in the document are shown for illustrative purposes only. Any use of actual IP addresses in illustrative content is unintentional and
coincidental.
© 2002-2009 Cisco Systems, Inc. All rights reserved.
© 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados.
Fecha de Generación del PDF: 2 Agosto 2013
http://www.cisco.com/cisco/web/support/LA/107/1074/1074085_sec_DMVPN_ps6922_TSD_Products_Configuration_Guide_Chapter.html
Documentos relacionados
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Desarrollo del mantenimiento de red
Actividad de clase: Elaboración del registro
Actividad de clase: Elaboración del registro
Laboratorio: identificación de dispositivos y cables de red
Laboratorio: identificación de dispositivos y cables de red
Actividad de clase: Propuesta de trabajo a distancia
Actividad de clase: Propuesta de trabajo a distancia
Packet Tracer: configuración del reenvío de puertos en un router Linksys (instrucciones)
Packet Tracer: configuración del reenvío de puertos en un router Linksys (instrucciones)
Enunciado del trabajo
Enunciado del trabajo
Reto de habilidades de integración de Packet Tracer (instrucciones)
Reto de habilidades de integración de Packet Tracer (instrucciones)
Conectando Redes - Universidad Tecnológica de Pereira
Conectando Redes - Universidad Tecnológica de Pereira
Actividad de clase: enviar o recibir (instrucciones)
Actividad de clase: enviar o recibir (instrucciones)
Tres sugerencias para optimizar el rendimiento y la
Tres sugerencias para optimizar el rendimiento y la
Descargar
Anuncio
Anuncio