Configuração DMVPN Com Single HUB No

Enviado por

Elias Manuel Ferreira Ferreira
39 visualizações12 páginas

Título original

Configuração DMVPN com Single HUB no.docx

Direitos autorais

© © All Rights Reserved

Formatos disponíveis

DOCX, PDF, TXT ou leia online no Scribd

Você considera este documento útil?

Este conteúdo é inapropriado?

Denunciar este documento

Direitos autorais:

© All Rights Reserved
Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
Sinalizar o conteúdo como inadequado
39 visualizações12 páginas

Configuração DMVPN Com Single HUB No

Título original:

Configuração DMVPN com Single HUB no.docx

Enviado por

Elias Manuel Ferreira Ferreira

Direitos autorais:

© All Rights Reserved
Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
Sinalizar o conteúdo como inadequado
de 12

Configuração DMVPN com

Single HUB no Cisco

 DMVPN ou rede privada virtual dinâmica multiponto dinâmica é um


protocolo de encapsulamento, que ajuda a criar redes privadas virtuais (VPNs)
IPsec escalonáveis. Nesta lição, aprenderemos a configurar o DMVPN no
roteador Cisco com um único HUB.
DMVPN é uma combinação de

o mGRE (GRE multiponto permite que uma única interface suporte


múltiplos túneis IPSec.)

o NHRP (Protocolo de resolução do próximo salto)

o Encaminhamento

o IPsec (não obrigatório, mas recomendado)

Configuração DMVPN:
Neste laboratório, usaremos o diagrama abaixo
DMVPN configuration:

In this lab we will be using below diagram-

Primeiro de tudo, vamos configurar os endereços IP em todos os roteadores,


incluindo o ISP. Depois disso, configuraremos o OSPF entre roteadores, para que os
IPs da WAN possam alcançar um ao outro.
HO:
interface GigabitEthernet0/0
description ***WAN Interface***
ip address 103.21.40.2 255.255.255.252
no shutdown

interface GigabitEthernet0/1
description ***LAN Interface***
ip address 10.10.0.1 255.255.255.0
no shutdown
BRA-01:
interface GigabitEthernet0/0
description ***WAN Interface***
ip address 59.152.100.2 255.255.255.252
no shutdown

interface GigabitEthernet0/1
description ***LAN Interface***
ip address 10.10.1.1 255.255.255.0
no shutdown
BRA-02:
interface GigabitEthernet0/0
description ***WAN Interface***
ip address 202.7.0.2 255.255.255.252
no shutdown
interface GigabitEthernet0/1
description ***LAN Interface***
ip address 10.10.2.1 255.255.255.0
no shutdown
ISP:
interface GigabitEthernet0/0
description ***To HO***
ip address 103.21.40.1 255.255.255.252
no shutdown

interface GigabitEthernet0/1
description ***To BRA-01***
ip address 59.152.100.1 255.255.255.252
no shutdown

interface GigabitEthernet0/2
description ***To BRA-02***
ip address 202.7.0.1 255.255.255.252
no shutdown

Agora precisamos configurar o roteamento entre roteadores. Aqui, estou usando o


OSPF para conectar-se ao ISP.
HO:

router ospf 1

interface GigabitEthernet0/0

ip ospf 1 area 0

BRA-01:

router ospf 1

interface GigabitEthernet0/0

ip ospf 1 area 0

BRA-02:

router ospf 1
!

interface GigabitEthernet0/0

ip ospf 1 area 0

ISP:
router ospf 1
!
interface GigabitEthernet0/0
ip ospf 1 area 0
interface GigabitEthernet0/1
ip ospf 1 area 0
interface GigabitEthernet0/2
ip ospf 1 area 0

Agora, vamos verificar a acessibilidade de HO a BRA-01 e BRA-02.

HO#ping 59.152.100.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 59.152.100.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/6 ms

HO#ping 202.7.0.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 202.7.0.2, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/5 ms

A comunicação é bem sucedida. Portanto, a próxima parte da configuração será a


configuração DMVPN.

mGRE and NHRP Configuration


HO (HUB):
interface Tunnel99
description ***DMVPN Interface***
ip address 192.168.0.1 255.255.255.0
ip nhrp authentication LetsConf
ip nhrp map multicast dynamic
ip nhrp network-id 1
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint

Explicação:
A autenticação nhrp ++ ajuda a impedir a entrada de pares não
autorizados. LetsConf é a chave aqui.
++ nhrp network-id precisa ser o mesmo para todos os sites.
++ O túnel GRE regular tem endereço de destino, mas o mGRE não possui nenhum
destino específico. Portanto, o modo de túnel de comando gre multiponto indica
que ele precisa fazer o par com vários IPs.
++ nhrp map dinâmica multicast ajuda a encaminhar o tráfego multicast através
do túnel.
BRA-01 & BRA-02 (SPOKE):
interface Tunnel99
description ***DMVPN Interface***
ip address 192.168.0.3 255.255.255.0
ip nhrp authentication LetsConf
ip nhrp map multicast dynamic
ip nhrp map 192.168.0.1 103.21.40.2
ip nhrp map multicast 103.21.40.2
ip nhrp network-id 1
ip nhrp nhs 192.168.0.1
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint

Explicação:
++ ip nhrp map 192.168.0.1 O comando 103.21.40.2 é usado para configurar
estaticamente o mapeamento de endereço IP-para-não-broadcast (NBMA) de
múltiplos acessos de destinos IP conectados a uma rede NBMA.
O comando ip nhrp nhs especifica o endereço dos servidores NHRP.
Até agora, configuramos o mGRE e o NHRP. Nesta posição, podemos verificar o
status da DMVPN usando o comando show dmvpn .
HO#show dmvpn

Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete


N - NATed, L - Local, X - No Socket

T1 - Route Installed, T2 - Nexthop-override

C - CTS Capable

# Ent --> Number of NHRP entries with same NBMA peer

NHS Status: E --> Expecting Replies, R --> Responding, W -->


Waiting

UpDn Time --> Up or Down Time for a Tunnel

===================================================

Interface: Tunnel99, IPv4 NHRP Details

Type:Hub, NHRP Peers:2,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb

----- --------------- --------------- ----- -------- -----

1 59.152.100.2 192.168.0.2 UP 00:20:08 D

1 202.7.0.2 192.168.0.3 UP 00:19:15 D

A partir da saída acima, podemos ver claramente que temos o túnel GRE
estabelecido com filiais. Embora o túnel esteja ativo, mas sem roteamento, um site
não poderá acessar outro site. Então, vamos adicionar rotas entre eles. Neste
exemplo, vou usar o roteamento estático, no entanto, você pode usar qualquer
roteamento dinâmico.
HO:

ip route 10.10.1.0 255.255.255.0 192.168.0.2

ip route 10.10.2.0 255.255.255.0 192.168.0.3

BRA-01:

ip route 10.10.0.0 255.255.255.0 192.168.0.1


ip route 10.10.2.0 255.255.255.0 192.168.0.3

BRA-02:
ip route 10.10.0.0 255.255.255.0 192.168.0.1
ip route 10.10.1.0 255.255.255.0 192.168.0.2

Vamos verificar a acessibilidade do HO-PC aos PCs da filial.

HO-PC> ping 10.10.1.10

84 bytes from 10.10.1.10 icmp_seq=1 ttl=62 time=5.023 ms

84 bytes from 10.10.1.10 icmp_seq=2 ttl=62 time=3.349 ms

HO-PC> ping 10.10.2.10

84 bytes from 10.10.2.10 icmp_seq=1 ttl=62 time=16.078 ms

84 bytes from 10.10.2.10 icmp_seq=2 ttl=62 time=3.679 ms

Ainda agora, estamos usando o tunelamento básico sem nenhuma


criptografia. Vamos adicionar um pouco de criptografia usando IPSec no mGRE.
IPSec configuration for HO, BRA-01, & BRA-02
crypto isakmp policy 99
encr 3des
hash sha256
authentication pre-share
group 2
lifetime 86400

crypto isakmp key LetsConf address 0.0.0.0 0.0.0.0

crypto ipsec transform-set TS esp-3des esp-sha256-hmac

crypto ipsec profile DMVPN-PRO


set security-association lifetime seconds 86400
set transform-set TS

Agora, precisamos aplicar isso na interface do túnel em HO, BRA-01 e BRA-02.

interface Tunnel99

tunnel protection ipsec profile DMVPN-PRO

Por fim, podemos verificar o IPSec usando o comando show crypto session .


Sessão de criptografia HO # show

Status atual da sessão de criptografia


Interface: Tunnel99 Session status: UP-ACTIVE Peer: 202.7.0.2 port 500
Session ID: 0 IKEv1 SA: local 103.21.40.2/500 remote 202.7.0.2/500
Active IPSEC FLOW: permit 47 host 103.21.40.2 host 202.7.0.2 Active
SAs: 4, origin: crypto map Interface: Tunnel99 Session status: UP-
ACTIVE Peer: 59.152.100.2 port 500 Session ID: 0 IKEv1 SA: local
103.21.40.2/500 remote 59.152.100.2/500 Active IPSEC FLOW: permit 47
host 103.21.40.2 host 59.152.100.2 Active SAs: 4, origin: crypto map

Como configurar Telnet em


dispositivos Cisco IOS
Olá a todos. O tópico de hoje é como configurar o Telnet em seus dispositivos
Cisco IOS. Se você não está familiarizado com o Telnet, lembre-se; Telnet é um
protocolo de rede que permite obter acesso remoto aos seus dispositivos. Ao final
deste artigo, você terá a confiança necessária para configurar e solucionar
problemas relacionados ao Telnet em roteadores e switches Cisco. Então vamos
começar.

Em primeiro lugar, verificaremos nossos IPs de interface executando show ip


interface brief e escolheremos uma interface para telnet.
Cisco-RTR#show ip interface brief

Interface IP-Address OK? Method Status


Protocol

GigabitEthernet0/0 10.1.1.50 YES NVRAM up


up
GigabitEthernet0/1 172.16.0.1 YES NVRAM up
up

GigabitEthernet0/2 172.16.1.1 YES NVRAM up


up

GigabitEthernet0/3 unassigned YES NVRAM administratively


down down

GigabitEthernet0/4 unassigned YES NVRAM administratively


down down

Você pode ver que a interface gig0 / 0 para gig0 / 2 tem endereços IP. E, podemos
telnet qualquer IPs desta lista, desde que tenhamos a acessibilidade. Neste exemplo,
faremos o telnet em 10.1.1.50.
A configuração do Telnet estará na parte inferior do arquivo de configuração. Você
pode usar o comando show run para ver a configuração. Você também pode usar
comandos de filtro para fazer a configuração telnet executar diretamente
usando show run | section vty .
Cisco-RTR#show running-config | section vty

line vty 0 4

login

transport input none

VTY é uma porta virtual que ajuda a obter acesso Telnet ou SSH ao
dispositivo. E, vamos habilitar nosso telnet sob a linha vty.
Antes de habilitar o telnet, você deve saber que podemos habilitar o telnet de duas
maneiras. Na primeira forma, adicionaremos uma senha para telnet. Dessa forma,
sempre que alguém tenta fazer telnet para o dispositivo, ele só precisa usar a senha,
sem nome de usuário. O problema com este método é que você não será capaz de
identificar quem ingressou na sessão telnet.
Na 2ª forma, podemos habilitar o telnet para usuários locais, onde um usuário telnet
precisa ter uma conta no dispositivo.
Vamos configurar o telnet primeiro.

Método 1:
Cisco-RTR#configure terminal

Cisco-RTR(config)#line vty 0 4

Cisco-RTR(config-line)#transport input telnet

Cisco-RTR(config-line)#password cisco

Cisco-RTR(config-line)#login

Explicação:
transport input telnet:Ativando telnet.
password cisco: Configurando a senha para telnet. A senha é cisco .
login: Permitindo login

That’s it for 1st way. Now we can test our configuration. Let’s open a putty session
and try to telnet 10.1.1.50.

Como esperado, ele está pedindo a senha. Depois de usar a senha cisco e logarmos


com sucesso.
Agora, vamos identificar o problema com este método. Executaremos
o comando show users .
Você pode ver, duas pessoas estão logadas, uma está usando o console e a outra está
em vty. Porém, você não será capaz de identificar quem fez o login usando vty.
Agora, vamos passar para o segundo método.

Método 2:
Abaixo estão nossa configuração-
Cisco-RTR#configure terminal

Cisco-RTR(config)#line vty 0 4

Cisco-RTR(config-line)#transport input telnet

Cisco-RTR(config-line)#login local

Explanation:

transport input telnet: Ativando telnet.


login local: Permitindo o login usando credenciais locais.

Agora, testaremos nossa configuração telnet fazendo o telnet para o


dispositivo. Vamos telnetar para 10.1.1.50.

Você pode ver que ele está pedindo nome de usuário, vamos usar o nome de
usuário rajib e então usar a senha associada.
Agora, vamos verificar quem está conectado ao dispositivo executando
o comando show users.
Você pode ver que na sessão vty o usuário rajib está conectado. Devido a isso, o
método 2 é mais preferido do que o método 1.

Você também pode gostar