Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Configuração DMVPN Com Single HUB No

    Enviado por

    Elias Manuel Ferreira Ferreira
    108 visualizações12 páginas
    Este documento descreve como configurar uma rede DMVPN com um único hub no Cisco usando os protocolos mGRE, NHRP e OSPF. Primeiramente, os endereços IP são configurados em todos os roteadores e o OSPF é configurado para fornecer roteamento entre eles. Em seguida, a interface mGRE é configurada no hub e nos spokes para estabelecer os túneis, juntamente com NHRP para mapeamento de endereços. Rotas estáticas são adicionadas para conectividade entre redes. Por fim, IPSec é aplicado

    Descrição original:

    Título original

    Configuração DMVPN com Single HUB no.docx

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    DOCX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Este documento descreve como configurar uma rede DMVPN com um único hub no Cisco usando os protocolos mGRE, NHRP e OSPF. Primeiramente, os endereços IP são configurados em todos os roteadores e o OSPF é configurado para fornecer roteamento entre eles. Em seguida, a interface mGRE é configurada no hub e nos spokes para estabelecer os túneis, juntamente com NHRP para mapeamento de endereços. Rotas estáticas são adicionadas para conectividade entre redes. Por fim, IPSec é aplicado

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    108 visualizações12 páginas

    Configuração DMVPN Com Single HUB No

    Enviado por

    Elias Manuel Ferreira Ferreira
    Este documento descreve como configurar uma rede DMVPN com um único hub no Cisco usando os protocolos mGRE, NHRP e OSPF. Primeiramente, os endereços IP são configurados em todos os roteadores e o OSPF é configurado para fornecer roteamento entre eles. Em seguida, a interface mGRE é configurada no hub e nos spokes para estabelecer os túneis, juntamente com NHRP para mapeamento de endereços. Rotas estáticas são adicionadas para conectividade entre redes. Por fim, IPSec é aplicado

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato DOCX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 12

    Configuração DMVPN com

    Single HUB no Cisco

     DMVPN ou rede privada virtual dinâmica multiponto dinâmica é um


    protocolo de encapsulamento, que ajuda a criar redes privadas virtuais (VPNs)
    IPsec escalonáveis. Nesta lição, aprenderemos a configurar o DMVPN no
    roteador Cisco com um único HUB.
    DMVPN é uma combinação de

    o mGRE (GRE multiponto permite que uma única interface suporte


    múltiplos túneis IPSec.)

    o NHRP (Protocolo de resolução do próximo salto)

    o Encaminhamento

    o IPsec (não obrigatório, mas recomendado)

    Configuração DMVPN:
    Neste laboratório, usaremos o diagrama abaixo
    DMVPN configuration:

    In this lab we will be using below diagram-

    Primeiro de tudo, vamos configurar os endereços IP em todos os roteadores,


    incluindo o ISP. Depois disso, configuraremos o OSPF entre roteadores, para que os
    IPs da WAN possam alcançar um ao outro.
    HO:
    interface GigabitEthernet0/0
    description ***WAN Interface***
    ip address 103.21.40.2 255.255.255.252
    no shutdown

    interface GigabitEthernet0/1
    description ***LAN Interface***
    ip address 10.10.0.1 255.255.255.0
    no shutdown
    BRA-01:
    interface GigabitEthernet0/0
    description ***WAN Interface***
    ip address 59.152.100.2 255.255.255.252
    no shutdown

    interface GigabitEthernet0/1
    description ***LAN Interface***
    ip address 10.10.1.1 255.255.255.0
    no shutdown
    BRA-02:
    interface GigabitEthernet0/0
    description ***WAN Interface***
    ip address 202.7.0.2 255.255.255.252
    no shutdown
    interface GigabitEthernet0/1
    description ***LAN Interface***
    ip address 10.10.2.1 255.255.255.0
    no shutdown
    ISP:
    interface GigabitEthernet0/0
    description ***To HO***
    ip address 103.21.40.1 255.255.255.252
    no shutdown

    interface GigabitEthernet0/1
    description ***To BRA-01***
    ip address 59.152.100.1 255.255.255.252
    no shutdown

    interface GigabitEthernet0/2
    description ***To BRA-02***
    ip address 202.7.0.1 255.255.255.252
    no shutdown

    Agora precisamos configurar o roteamento entre roteadores. Aqui, estou usando o


    OSPF para conectar-se ao ISP.
    HO:

    router ospf 1

    interface GigabitEthernet0/0

    ip ospf 1 area 0

    BRA-01:

    router ospf 1

    interface GigabitEthernet0/0

    ip ospf 1 area 0

    BRA-02:

    router ospf 1
    !

    interface GigabitEthernet0/0

    ip ospf 1 area 0

    ISP:
    router ospf 1
    !
    interface GigabitEthernet0/0
    ip ospf 1 area 0
    interface GigabitEthernet0/1
    ip ospf 1 area 0
    interface GigabitEthernet0/2
    ip ospf 1 area 0

    Agora, vamos verificar a acessibilidade de HO a BRA-01 e BRA-02.

    HO#ping 59.152.100.2

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 59.152.100.2, timeout is 2 seconds:

    !!!!!

    Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/6 ms

    HO#ping 202.7.0.2

    Type escape sequence to abort.

    Sending 5, 100-byte ICMP Echos to 202.7.0.2, timeout is 2 seconds:

    !!!!!

    Success rate is 100 percent (5/5), round-trip min/avg/max = 3/3/5 ms

    A comunicação é bem sucedida. Portanto, a próxima parte da configuração será a


    configuração DMVPN.

    mGRE and NHRP Configuration


    HO (HUB):
    interface Tunnel99
    description ***DMVPN Interface***
    ip address 192.168.0.1 255.255.255.0
    ip nhrp authentication LetsConf
    ip nhrp map multicast dynamic
    ip nhrp network-id 1
    tunnel source GigabitEthernet0/0
    tunnel mode gre multipoint

    Explicação:
    A autenticação nhrp ++ ajuda a impedir a entrada de pares não
    autorizados. LetsConf é a chave aqui.
    ++ nhrp network-id precisa ser o mesmo para todos os sites.
    ++ O túnel GRE regular tem endereço de destino, mas o mGRE não possui nenhum
    destino específico. Portanto, o modo de túnel de comando gre multiponto indica
    que ele precisa fazer o par com vários IPs.
    ++ nhrp map dinâmica multicast ajuda a encaminhar o tráfego multicast através
    do túnel.
    BRA-01 & BRA-02 (SPOKE):
    interface Tunnel99
    description ***DMVPN Interface***
    ip address 192.168.0.3 255.255.255.0
    ip nhrp authentication LetsConf
    ip nhrp map multicast dynamic
    ip nhrp map 192.168.0.1 103.21.40.2
    ip nhrp map multicast 103.21.40.2
    ip nhrp network-id 1
    ip nhrp nhs 192.168.0.1
    tunnel source GigabitEthernet0/0
    tunnel mode gre multipoint

    Explicação:
    ++ ip nhrp map 192.168.0.1 O comando 103.21.40.2 é usado para configurar
    estaticamente o mapeamento de endereço IP-para-não-broadcast (NBMA) de
    múltiplos acessos de destinos IP conectados a uma rede NBMA.
    O comando ip nhrp nhs especifica o endereço dos servidores NHRP.
    Até agora, configuramos o mGRE e o NHRP. Nesta posição, podemos verificar o
    status da DMVPN usando o comando show dmvpn .
    HO#show dmvpn

    Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete


    N - NATed, L - Local, X - No Socket

    T1 - Route Installed, T2 - Nexthop-override

    C - CTS Capable

    # Ent --> Number of NHRP entries with same NBMA peer

    NHS Status: E --> Expecting Replies, R --> Responding, W -->


    Waiting

    UpDn Time --> Up or Down Time for a Tunnel

    ===================================================

    Interface: Tunnel99, IPv4 NHRP Details

    Type:Hub, NHRP Peers:2,

    # Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb

    ----- --------------- --------------- ----- -------- -----

    1 59.152.100.2 192.168.0.2 UP 00:20:08 D

    1 202.7.0.2 192.168.0.3 UP 00:19:15 D

    A partir da saída acima, podemos ver claramente que temos o túnel GRE
    estabelecido com filiais. Embora o túnel esteja ativo, mas sem roteamento, um site
    não poderá acessar outro site. Então, vamos adicionar rotas entre eles. Neste
    exemplo, vou usar o roteamento estático, no entanto, você pode usar qualquer
    roteamento dinâmico.
    HO:

    ip route 10.10.1.0 255.255.255.0 192.168.0.2

    ip route 10.10.2.0 255.255.255.0 192.168.0.3

    BRA-01:

    ip route 10.10.0.0 255.255.255.0 192.168.0.1


    ip route 10.10.2.0 255.255.255.0 192.168.0.3

    BRA-02:
    ip route 10.10.0.0 255.255.255.0 192.168.0.1
    ip route 10.10.1.0 255.255.255.0 192.168.0.2

    Vamos verificar a acessibilidade do HO-PC aos PCs da filial.

    HO-PC> ping 10.10.1.10

    84 bytes from 10.10.1.10 icmp_seq=1 ttl=62 time=5.023 ms

    84 bytes from 10.10.1.10 icmp_seq=2 ttl=62 time=3.349 ms

    HO-PC> ping 10.10.2.10

    84 bytes from 10.10.2.10 icmp_seq=1 ttl=62 time=16.078 ms

    84 bytes from 10.10.2.10 icmp_seq=2 ttl=62 time=3.679 ms

    Ainda agora, estamos usando o tunelamento básico sem nenhuma


    criptografia. Vamos adicionar um pouco de criptografia usando IPSec no mGRE.
    IPSec configuration for HO, BRA-01, & BRA-02
    crypto isakmp policy 99
    encr 3des
    hash sha256
    authentication pre-share
    group 2
    lifetime 86400

    crypto isakmp key LetsConf address 0.0.0.0 0.0.0.0

    crypto ipsec transform-set TS esp-3des esp-sha256-hmac

    crypto ipsec profile DMVPN-PRO


    set security-association lifetime seconds 86400
    set transform-set TS

    Agora, precisamos aplicar isso na interface do túnel em HO, BRA-01 e BRA-02.

    interface Tunnel99

    tunnel protection ipsec profile DMVPN-PRO

    Por fim, podemos verificar o IPSec usando o comando show crypto session .


    Sessão de criptografia HO # show

    Status atual da sessão de criptografia


    Interface: Tunnel99 Session status: UP-ACTIVE Peer: 202.7.0.2 port 500
    Session ID: 0 IKEv1 SA: local 103.21.40.2/500 remote 202.7.0.2/500
    Active IPSEC FLOW: permit 47 host 103.21.40.2 host 202.7.0.2 Active
    SAs: 4, origin: crypto map Interface: Tunnel99 Session status: UP-
    ACTIVE Peer: 59.152.100.2 port 500 Session ID: 0 IKEv1 SA: local
    103.21.40.2/500 remote 59.152.100.2/500 Active IPSEC FLOW: permit 47
    host 103.21.40.2 host 59.152.100.2 Active SAs: 4, origin: crypto map

    Como configurar Telnet em


    dispositivos Cisco IOS
    Olá a todos. O tópico de hoje é como configurar o Telnet em seus dispositivos
    Cisco IOS. Se você não está familiarizado com o Telnet, lembre-se; Telnet é um
    protocolo de rede que permite obter acesso remoto aos seus dispositivos. Ao final
    deste artigo, você terá a confiança necessária para configurar e solucionar
    problemas relacionados ao Telnet em roteadores e switches Cisco. Então vamos
    começar.

    Em primeiro lugar, verificaremos nossos IPs de interface executando show ip


    interface brief e escolheremos uma interface para telnet.
    Cisco-RTR#show ip interface brief

    Interface IP-Address OK? Method Status


    Protocol

    GigabitEthernet0/0 10.1.1.50 YES NVRAM up


    up
    GigabitEthernet0/1 172.16.0.1 YES NVRAM up
    up

    GigabitEthernet0/2 172.16.1.1 YES NVRAM up


    up

    GigabitEthernet0/3 unassigned YES NVRAM administratively


    down down

    GigabitEthernet0/4 unassigned YES NVRAM administratively


    down down

    Você pode ver que a interface gig0 / 0 para gig0 / 2 tem endereços IP. E, podemos
    telnet qualquer IPs desta lista, desde que tenhamos a acessibilidade. Neste exemplo,
    faremos o telnet em 10.1.1.50.
    A configuração do Telnet estará na parte inferior do arquivo de configuração. Você
    pode usar o comando show run para ver a configuração. Você também pode usar
    comandos de filtro para fazer a configuração telnet executar diretamente
    usando show run | section vty .
    Cisco-RTR#show running-config | section vty

    line vty 0 4

    login

    transport input none

    VTY é uma porta virtual que ajuda a obter acesso Telnet ou SSH ao
    dispositivo. E, vamos habilitar nosso telnet sob a linha vty.
    Antes de habilitar o telnet, você deve saber que podemos habilitar o telnet de duas
    maneiras. Na primeira forma, adicionaremos uma senha para telnet. Dessa forma,
    sempre que alguém tenta fazer telnet para o dispositivo, ele só precisa usar a senha,
    sem nome de usuário. O problema com este método é que você não será capaz de
    identificar quem ingressou na sessão telnet.
    Na 2ª forma, podemos habilitar o telnet para usuários locais, onde um usuário telnet
    precisa ter uma conta no dispositivo.
    Vamos configurar o telnet primeiro.

    Método 1:
    Cisco-RTR#configure terminal

    Cisco-RTR(config)#line vty 0 4

    Cisco-RTR(config-line)#transport input telnet

    Cisco-RTR(config-line)#password cisco

    Cisco-RTR(config-line)#login

    Explicação:
    transport input telnet:Ativando telnet.
    password cisco: Configurando a senha para telnet. A senha é cisco .
    login: Permitindo login

    That’s it for 1st way. Now we can test our configuration. Let’s open a putty session
    and try to telnet 10.1.1.50.

    Como esperado, ele está pedindo a senha. Depois de usar a senha cisco e logarmos


    com sucesso.
    Agora, vamos identificar o problema com este método. Executaremos
    o comando show users .
    Você pode ver, duas pessoas estão logadas, uma está usando o console e a outra está
    em vty. Porém, você não será capaz de identificar quem fez o login usando vty.
    Agora, vamos passar para o segundo método.

    Método 2:
    Abaixo estão nossa configuração-
    Cisco-RTR#configure terminal

    Cisco-RTR(config)#line vty 0 4

    Cisco-RTR(config-line)#transport input telnet

    Cisco-RTR(config-line)#login local

    Explanation:

    transport input telnet: Ativando telnet.


    login local: Permitindo o login usando credenciais locais.

    Agora, testaremos nossa configuração telnet fazendo o telnet para o


    dispositivo. Vamos telnetar para 10.1.1.50.

    Você pode ver que ele está pedindo nome de usuário, vamos usar o nome de
    usuário rajib e então usar a senha associada.
    Agora, vamos verificar quem está conectado ao dispositivo executando
    o comando show users.
    Você pode ver que na sessão vty o usuário rajib está conectado. Devido a isso, o
    método 2 é mais preferido do que o método 1.

    Você também pode gostar