«

»

out 28 2008

Cisco Dynamic Multipoint VPN (DMVPN)

Este post trata, de forma breve, da feature DMVPN, que permite a implementação de redes virtuais privadas (VPNs) de pequeno, médio ou mesmo de grande porte, de forma simples e rápida, por meio da combinação de tunelamento GRE, IPSec e NHRP (Next Hop Resolution Protocol).

Sei que este tópico é um pouco avançado, mas com o advento do Dynamips, mesmo aqueles que não compreenderem plenamente a tecnologia será capaz de implementá-la em um ambiente de testes. Apesar de não ser algo novo, a primeira vez que tive contato com DMVPN foi na BT, ou seja, não faz muito tempo (pouco mais de 1 ano). Achei fantástica esta feature e, desde então, estou para escrever um post sobre ela.

Referências:

http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration_09186a008075ea98.pdf
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftgreips.pdf

É importante ressaltar que nem todas as versões do IOS suportam DMVPN. As referências acima indicam quais as versões suportadas.

DMVPN é uma feature de IOS baseada em 2 tecnologias Cisco muito bem difundidas e aceitas:

  • Next Hop Resolution Protocol (NHRP) – O HUB da topologia mantém uma base de dados com os endereços válidos (públicos / roteáveis) de todos os SPOKES da rede.
  • Multipoint GRE Tunnel Interface – Permite que uma única interface GRE suporte múltiplos túneis IPsec.

A feature DMVPN não altera túneis VPN padrão IPsec, mas altera o modo como estes são configurados. Os spokes mantém um túnel IPsec permanente com o HUB, porém, não entre eles. Quando um spoke precisa enviar um pacote com destino a outro spoke, ele realiza uma busca na base de dados NHRP para identificar o endereço público (roteável) do spoke em questão. O túnel entre os spokes é então estabelecido via interface mGRE.

É necessário ativar roteamento dinâmico nos túneis entre o hub e o spoke, uma vez que o spoke aprende os endereços de rede configurados em outros spokes e no hub via atualizações de roteamento. Dentre os protocolos de roteamento possíveis, temos: RIP, BGP, EIGRP e OSPF.

Em termos de configuração, como já foi mencionado, ela é bastante simplificada. O melhor modo de compreender isso é comparando o modo tradicional (IPsec + GRE) e o modo DMVPN.

A figura abaixo apresenta o modo tradicional. Observe que, no HUB, temos tantas interfaces “tunnel” quantas se fizerem necessárias: Uma para cada conexão com um spoke.

Observemos então, as linhas de configuração necessárias para estabelecimento do cenário anteriormente apresentado:

Notem a necessidade de se configurar uma interface tunnel para cada spoke. Temos cerca de 13 linhas para cada spoke! Se tivermos uma rede com 300 spokes, mais de 3900 linhas de configuração seriam necessárias! Isso pode “matar” um roteador facilmente.

A alternativa: Dynamic Multipoint VPN (DMVPN). Observem a topologia da mesma rede anteriormente mencionada, porém, agora com DMVPN sendo utilizado.

Notem que temos apenas 1 interface tunnel no HUB, agora. Vamos dar uma olhada na configuração do HUB:

Não é mais necessário 13 linhas de configuração por spoke! Agora, uma rede com 300 spokes consomem as mesmas 13 linhas de uma rede com apenas 1. Ótimo, não??

Vamos dar uma olhada nas configs dos spokes. Comecemos pelo spoke A:

Passemos ao spoke B:

Notem como as configs seguem uma uniformidade. Pouco se altera na config de um spoke para outro. Fica muito mais simples gerenciar e realizar troubleshooting em uma rede configurada desta forma.

O melhor de tudo: Pode-se praticar o que está sendo mostrado aqui no Dynamips, sem problemas (apenas tenham certeza que estão usando um IOS que suporte DMVPN).

Uma breve comparação entre os 2 métodos (tradicional X DMVPN) :

Por hora, é só! Espero que tenham gostado!

um abraço para todos!

Marco Filippetti



Comente usando o Facebook!
0
0

20 comentários

Pular para o formulário de comentário

  1. Rodrigo Freitas

    Excelente, Marco.

    Achei tb um LAB muito interessante sobre DMVPN

    http://www.gns3-labs.com/2008/09/14/gns3-labs-topology-dmvpn-with-vrf-and-eigrp-over-ipsec-tunnels/

    []´s

    0

    0
  2. Marcia Guimaraes

    hummm… Marco… interessante …

    e olha que vc falou somente “brevemente”… é extenso, eu sei…

    Ah… .Rodrigo, boa dica… vou baixar para dar uma “olhada”…. só para brincar e tomar gosto … 😉

    … e depois…. começo a estudar.

    abs,
    Márcia

    0

    0
  3. Fera

    Marco, tem algum motivo em especial do tamanho ta MTU ser 1420 nos tunneis!?

    Abs

    0

    0
  4. Marco Filippetti

    Fera, este seria o tamanho da MTU para o Cisco GRE. Lembrando que as 2 pontas devem estar configuradas para o mesmo MTU, do contrário, vc poderá ter problemas.

    Abs!

    Marco.

    0

    0
  5. Rafael Carvalho

    Interessante.

    Marco,
    Qual software que vc usou para desenhar essa topologia?

    0

    0
  6. Rodrigo C. Soave

    Aeeeee mulets do agreste! legal mesmo voce na foto entregando os donativos!

    To orgulhoso de voce, e seu pai tambem deve estar! hauhauha

    Abraços.

    Rodrigo

    0

    0
  7. Rodrigo C. Soave

    Ops, comentario certo no post errado. Era pra ser no do networkaridade.

    Marco,apaga ai essas mensagens!

    Abs

    0

    0
  8. Marco Filippetti

    ahahaha não vou apagar NADA!!! Vou deixar!!! Seu manezão! 🙂

    0

    0
  9. Marco Filippetti

    Rafael, essas topos são de uma apresentação da Cisco mesmo. Mas creio que foi usado o Visio, ou foi feito direto no PowerPoint. Abs!

    0

    0
  10. Richard

    Muito bom,

    Eu nem sabia que existia esse recurso no IOS.

    0

    0
  11. Chaider.lima

    Que tipo de roteadores suportam esta configuração ? ou existe roteadores especificos pra estya função ?

    0

    0
  12. Felipe Azevedo

    Que show! vou dar uma olhada mais a fundo posteriormente, creio que pode me ajudar no TCC. Boa Marco!

    0

    0
  13. Michel Perez

    Ótimo post, DMVPN é demais. Prefiro mil vezes ela do que uma vpn site-to-site (claro que depende o caso) ;D

    0

    0
  14. L.C.F.N

    Muito interessante o post, não conhecia nada a respeito.

    0

    0
  15. ricardoblass

    Olá pessoal! estou sumido desde a discussão sobre eigrp..rs mas sempre dou uma olhada no blog q é exelente.

    Marco,

    Achei esse artigo super interessante, mas não entendi como será feito a distribuição de ip nas interfaces físicas. Cada interface serial dos routers (spoke) está conectada a uma interface serial do router (HUB) correto? que ips serão distribuidos por estas interfaces. Deveríamos habilitar um DHCP server para distribuir os ips das intefaces físicas já que o ip será negociado (ip add negotiated) ??

    Abraco

    Ricardo

    0

    0
  16. Marcelo Nunes

    Pretendo me aprofundar mais nesse assunto. Muito bom mesmo Marco.
    Ficou bem apresentado os desenhos.

    Abraço
    Marcelo Nunes

    0

    0
  17. SDPradeep

    Olá pessoal. Marco, sou novo no blog.
    Os artigos publicados no Blog são mais do que bons.
    Obrigado a todos, tem muita leitura pela frente. Especialmente agora que tenho como meta a implantação de uma VPN na rede da empresa usando equipamentos Cisco.

    Abraço,
    Ronald (SDPradeep)

    0

    0
  18. Felipe Prado

    Bom dia Marco
    Estou implantando esta topologia para os links de backup de onde trabalho, este link sera via 3G e ja consegui estabelecer os tuneis.
    Agora estou fazendo os ajustes finos para ficar o mais estável possível e estou com alguns problemas.
    Primeiro é que no HUB, mesmo com a conexão ativa mostrando no “sh DMVPN” não consigo estabelecer conexão com os SPOKES, sendo o HUB a origem do trafego, mas se deixo um ping estendido do SPOKE para o HUB e depois no HUB faço também um ping para o SPOKE este funciona.
    Segundo preciso saber melhor a definição do “ip nhrp holdtime xxx” ou do uso do keepalive, para manter sempre um trafego neste link para que ele não desative.

    0

    0
  19. roger da luz

    marco,

    Por que o holdtime do HUB é menor que o dos spokes????

    0

    0
  20. ppcarvalhof

    Olá!

    Estou em dúvida m relação à efemeridade dos túneis entre os spokes no DMVPN. Esses tem a mesma criptografia que os túneis entre os spokes e o hub? Li em algum lugar que os túneis entre os spokes são “Dynamic” para não onerar demasiadamente os recursos das caixas (spokes). Bem, no meu entendimento, se a criptografia dos túneis gerados entre os spokes for a mesma do tunel hub-sopoke o uso de recursos não é aumentado, pois, bastaria “redirecionar” a saída do tunel GRE+IPsec para os devidos destinos. Isso faz sentido ou falei bobagem?

    0

    0

Deixe uma resposta