Introduction au dmvpn
Qu’est-ce que c’est?
DMVPN (pour Dynamic Multipoint VPN) . D’un point de vue High-level, il s’agit de « Point to Multipoint overlay VPN Tunneling » ou Overlay veut dire que le DMVPN fonctionne au dessus d’autres protocoles (GRE / IPsec).
D’un point de vue Low-level, il s’agit de tunnels GRE over IPsec site-to-site tunnels – Gérables dynamiquement et évolutifs.
High-level design & operations
– Les sites distants (spokes) montent des tunnels statiques vers un central (Hub & spoke).
– Les Spokes échangent des informations de routage avec les hub au travers du tunnel statique (EIGRP, OSPF, RIP…).
– Le trafic Spoke to hub est routé directement dans le tunnel statique.
– Le trafic Spoke to Spoke est routé dynamiquement avec des tunnels à la demande.
(voir http://www.networklife.net/2014/10/introduction-au-dmvpn/)
Fonctionnement du DMVPN
Il s’agit d’un réseau Full mesh de tunnels IPsec à la demande, avec un minimum de configuration grâce aux protocoles suivants :
– Multipoint GRE Tunnels (mGRE)
– NHRP (Permet au Hub de retrouver les adresses IP des Hub dynamiquement).
– IPsec crypto profiles (Encryption).
– Routage (underlay/overlay)
La technologie DMVPN réduit le besoin de configurer un full mesh (n*(n-1)/2) de tunnels statiques, ici nous n’avons qu’un seul tunnel mGRE sur le Hub pour tous. Les tunnels sont ensuite montés à la demande entre les différents nœuds, selon le trafic, entre les spokes. Le chiffrement via IPsec est optionnel.
Deux IGP (Interior gateway protocol) sont requis:
Underlying: Pour la connectivité IP publique et monter les tunnels GRE.
Overlay: Pour s’échanger des routes privées une fois le tunnel monté.
Architecture de test
Configuration du HUB (EC2LT-SENEGAL)
interface Tunnel0
ip address 10.1.1.1 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication KACHOU12
ip nhrp map multicast dynamic
ip nhrp network-id 1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 0
!
interface FastEthernet0/0
ip address 154.125.134.1 255.255.255.0
duplex auto
speed auto
!
ip dhcp excluded-address 192.168.1.1 192.168.1.10
ip dhcp excluded-address 154.125.134.1 154.125.134.10
!
ip dhcp pool LAN
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
!
ip dhcp pool WAN
network 154.125.134.0 255.255.255.0
default-router 154.125.134.1
!
Configuration du SPOKE (EC2LT-TCHAD)
interface Tunnel0
ip address 10.1.1.2 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication KACHOU12
ip nhrp map multicast 154.125.134.1
ip nhrp map 10.1.1.1 154.125.134.1
ip nhrp network-id 1
ip nhrp nhs 10.1.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 0
!
interface FastEthernet0/0
ip address dhcp
duplex auto
speed auto
!
Configuration du SPOKE (EC2LT-CAMEROUN)
interface Tunnel0
ip address 10.1.1.3 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication KACHOU12
ip nhrp map multicast 154.125.134.1
ip nhrp map 10.1.1.1 154.125.134.1
ip nhrp network-id 1
ip nhrp nhs 10.1.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 0
!
interface FastEthernet0/0
ip address dhcp
duplex auto
speed auto
!
Configuration du SPOKE (EC2LT-GABON)
interface Tunnel0
ip address 10.1.1.4 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication KACHOU12
ip nhrp map multicast 154.125.134.1
ip nhrp map 10.1.1.1 154.125.134.1
ip nhrp network-id 1
ip nhrp nhs 10.1.1.1
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 0
!
interface FastEthernet0/0
ip address dhcp
duplex auto
speed auto
!
Test
NHRP Registration Request du côté du SPOKE
Debug du côté du HUB
On vérifie que notre tunnel DMVPN est bien monté sur le Spoke:
On vérifie que notre tunnel DMVPN est bien monté sur le HUB:
Verification
