DMVPN na IPv6. Ondřej Folber (fol179) Marek Smolka (smo119)

Transkript

1 DMVPN na IPv6 Ondřej Folber (fol179) Marek Smolka (smo119) Abstrakt: Tento dokument by měl sloužit pro vyzkoušení a osvojení si tvorby tunelů pomocí DMVPN na sítích s Ipv6. Také by měl ověřit znalosti a zkušenosti s adresováním pomocí Ipv6. Klíčová slova: DMVPN, Ipv6, NHRP, mgre 1 Úvod do problematiky Požadavky Schéma Příkazy Nastavení IPsec Profilu pro DMVPN na IPv Nastaveni HUB pro IPv6 na DMVPN Nastavení NHRP přesměrování a zkratek na HUB zařízení Nastavení SPOKE pro IPv6 na DMVPN Připojení do páteře Ukázkový příklad Popis Schéma Konfigurace Ověření funkčnosti Literatura: Závěr...17 listopa 2 1/17

2 1 Úvod do problematiky DMVPN (Dynamic Multipoint Virtual Private Network) jedná se o rozšíření VPN avšak DMVPN není protokol, jedná se jen o koncept, které již nepotřebují mít předkonfigurované statické IPsec klienty v konfiguraci kryptomapy a statický popis těchto klientů v ISAKMP. IPsec tunely mohou být dynamicky vytvořeny na základě potřeby spojení. Existují dvě možnosti propojení, tunel mezi HUB směrovačem a Spoke směrovačem, nebo mezi dvěma Spoke směrovači. První zmíněný způsob vyžaduje výkonnější HUB směrovač, neboť jde celá komunikace přes něj. Proto je lepší použít Hub-to-Spoke pro inicializaci tunelu a Spoke-to-Spoke, přes který už poběží následné data. Toto je možno udělat díky mgre tunelům podporujících NBMA (non-broadcast multiacces) sítě. Spoke se v DMVPN konfiguruje s jedním nebo více IP adresami HUB směrovače. Tyto adresy bývají typicky statické, neboť se může jednat o sídlo firmy, která bývá obvykle jedna. Na rozdíl od centrálního HUB směrovače, je nám jedno jakou bude mít lokální Spoke směrovač IP adresu, neboť se tunely vytvářejí dynamicky na základě požadavku. Díky tomuto centrálnímu uspořádání je dobré mít ještě jeden záložní HUB prvek. 1.1 Požadavky LAN s plnou podporou IPv6 (PC, Směrovače). Směrovače schopné podporovat následující protokoly. Navíc prvek HUB musí mít dostatečný výpočetní výkon z důvodu vyššího počtu zpracovávaných požadavků. 1 Podporované protokoly 2 Schéma Border Gateway Protocol (BGP) Enhanced Interior Gateway Routing Protocol(EIGRP) On-Demand Routing (ODR) Open Shrotest Path First (OSPF) Next Hop Resolution Protocol (NHRP) Internet Protocol Security (IPsec) listopa 2 2/17

3 ü ü 3 Příkazy 3.1 Nastavení IPsec Profilu pro DMVPN na IPv6 2 Prerekvizice Před nastavením samotného IPsec profilu musíte nastavit následující: Definovat transform set použitím příkazu: crypto ipsec transform-set Ujistit se že ISAKMP je nakonfigurován se výchozím ISAKMP nastavením 3 Seznam Příkazů 1. enable 2. configure terminal 3. crypto identity name 4. crypto ipsec profile name 5. set transform-set transform-set-name 6. set identity 7. set security-association lifetime {seconds seconds kilobytes kilobytes} 8. set pfs [group1 group2] 4 Příkazy podrobněji č. Příkaz Popis 1 enable Router> enable 2 configure terminal Přepnutí do privilegovaného módu. Někdy vyžaduje heslo, v závislosti na Přepnutí do globálního konfiguračního módu Router# configure terminal 3 crypto identity name Router(config)# crypto identity router1 4 crypto ipsec profile name Router(config)# crypto ipsec profile example_profile 5 set transform-set transform-set-name Router(config-crypto-map)# set transformset example-set 6 set identity Router(config-crypto-map)# set identity router1 7 set security-association lifetime {seconds seconds kilobytes kilobytes} Nastavení identity směrovače, který dostal ze seznamu (DNs) Definice IPsec parametrů, které budou použity pro šifrování komunikace typu hub and spoke a spoke and spoke Přepne se do crypto map configuration mode Specifikuje transform set, která bude použita pro daný IPsec profile (Optimální) Specifikuje identitu použitou pro IPsec profile. Pozor na duplicity (Optimální) Přepisuje globální dobu života pro IPsec profil Router(config-crypto-map)# set securityassociation lifetime seconds set pfs [group1 group2] (Optimální) Specifikuje zda IPsec se má ptát listopa 2 3/17

4 Router(config-crypto-map)# set pfs group2 na Perfect forvard secrecy (PFS), když žádá o nové bezpečné spojení 3.2 Nastaveni HUB pro IPv6 na DMVPN 5 Seznam Příkazů 1. enable 2. configure terminal 3. interface tunnel number 4. ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length} 5. ipv6 address ipv6-address/prefix-length link-local 6. ipv6 mtu bytes 7. ipv6 nhrp authentication string 8. ipv6 nhrp map multicast dynamic 9. ipv6 nhrp network-id network-id 10. tunnel source {ip-address ipv6-address interface-type interface-number} 6 Příkazy podrobněji č. Příkaz Popis 1 Enable Router> enable 2 configure terminal Router# configure terminal 3 Interface tunnel number Router(config)# interface tunnel 5 4 ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length} Router(config-if)# ipv6 address 2001:0db8:1:1::72/64 5 ipv6 address ipv6-address/prefix-length link-local Router(config-if)# ipv6 address fe80::2001 link-local 6 ipv6 mtu bytes Router(config-if)# ipv6 mtu ipv6 nhrp authentication string Router(config-if)# ipv6 nhrp authentication examplexx 8 ipv6 nhrp map multicast dynamic Router(config-if)# ipv6 nhrp map multicast dynamic Přepnutí do privilegovaného módu. Někdy vyžaduje heslo Přepnutí do globálního konfiguračního módu Přepnutí do konfiguračního módu daného rozhraní number určuje číslo tunelového rozhraní, které se vytváří nebo nastavuje. Neexistuje omezení počtu těchto tunelů (pro Cisco IOS). Nastavení IP adresy verze 6 na rozhraní. Nastavuje linkovou lokálni adresu pro rozhrani, také zapíná IPv6 procesy Unikátní IPv6 lokální linková adresa (zkrs všechny prvky v celé DMVPN síti) Nastavuje Maximum Transmission Unit (MTU) neboli maximální přenositelnou velikost IPv6 paketu. Nastavuje autentizační řetězec použitý pro NHRP Poznámka: NHRP autentizační řetězec musí být nastaven na všech HUB a SPOKE zařízení stejný pro jednu DMVPN síť Dovoluje NHRP automaticky přidávat směrovače do multicastové NHRP mapy. listopa 2 4/17

5 9 ipv6 nhrp network-id network-id Zapíná NHRP na rozhraní Router(config-if)# ipv6 nhrp network-id tunnel source {ip-address ipv6-address interface-type interface-number} Router(config-if)# tunnel source ethernet 0 11 tunnel mode {aurp cayman dvmrp eon gre gre multipoint gre ipv6 ipip [decapsulate-any] ipsec ipv4 iptalk ipv6 ipsec ipv6 mpls nos rbscp} Router(config-if)# tunnel mode gre multipoint 12 tunnel protection ipsec profile name [shared] Router(config-if)# tunnel protection ipsec profile example_profile 13 bandwidth {interzone total session} {default zone zone-name} bandwidth-size Router(config-if)# bandwidth total ipv6 nhrp holdtime seconds Router(config-if)# ipv6 nhrp holdtime 3600 Nastavuje zdroj adres pro tunelové rozhraní Nastavuje módu zapouzdření. V našem případě na mgre pro tunelové rozhraní viz příklad Propojení tunelového rozhraní s IPsec profilem name parametr specifikuje IPsec profil, tato hodnota musí být totožná s tím co se zadalo v příkazu crypto ipsec profile name Nastavuje šířku pásma pro rozhraní protokolu vyšší vrstvy bandwidth-size (kb/s). Je doporučeno nastavovat 1000 (1Mb/s) a víc Změna doby ve vteřinách, kde NHRP NBMA adresy jsou považovány za validní v autoritativní NHRP odpovědi 3.3 Nastavení NHRP přesměrování a zkratek na HUB zařízení 7 Seznam Příkazů 1. enable 2. configure terminal 3. interface tunnel number 4. ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length } 5. ipv6 nhrp redirect [timeout seconds] 6. ipv6 nhrp shortcut 8 Příkazy podrobněji č. Příkaz Popis 1 enable Router> enable 2 configure terminal Router# configure terminal 3 Interface tunnel number Router(config)# interface tunnel 5 Přepnutí do privilegovaného módu. Někdy vyžaduje heslo Přepnutí do globálního konfiguračního módu Přepnutí do konfiguračního módu daného rozhraní number určuje číslo tunelového rozhraní, které se vytváří nebo nastavuje. listopa 2 5/17

6 4 ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length} Router(config-if)# ipv6 address 2001:0db8:1:1::72/64 5 ipv6 nhrp redirect [timeout seconds] Neexistuje omezení počtu těchto tunelů. Nastavení IP adresy verze 6 na daném rozhraní. Zapnutí NHRP přesměrování Router(config-if)# ipv6 nhrp redirect 6 ipv6 nhrp shortcut Zapnutí přepínání zkratek Router(config-if)# ipv6 nhrp shortcut 3.4 Nastavení SPOKE pro IPv6 na DMVPN 9 Seznam Příkazů 1. enable 2. configure terminal 3. interface tunnel number 4. ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length} 5. ipv6 address ipv6-address/prefix-length link-local 6. ipv6 mtu bytes 7. ipv6 nhrp authentication string 8. ipv6 nhrp map ipv6-address nbma-address 9. ipv6 nhrp map multicast ipv4-nbma-address 10. ipv6 nhrp nhs ipv6-nhs-address [net-address] 11. ipv6 nhrp network-id network-id 12. tunnel source {ip-address ipv6-address interface-type interface-number} 13. tunnel mode {aurp cayman dvmrp eon gre gre multipoint gre ipv6 ipip [decapsulate-any] ipsec ipv4 iptalk ipv6 ipsec ipv6 mpls nos rbscp} or tunnel destination {host-name ip-address ipv6-address} 14. tunnel protection ipsec profile name [shared] 15. bandwidth {interzone total session} {default zone zone-name} bandwidth-size 16. ipv6 nhrp holdtime seconds 10 Příkazy podrobněji Č. Příkaz Popis 1 enable Router> enable 2 configure terminal Router# configure terminal 3 Interface tunnel number Router(config)# interface tunnel 5 4 ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length} Přepnutí do privilegovaného módu. Někdy vyžaduje heslo Přepnutí do globálního konfiguračního módu Přepnutí do konfiguračního módu daného rozhraní number určuje číslo tunelového rozhraní, které se vytváří nebo nastavuje. Neexistuje omezení počtu těchto tunelů. Nastavení IP adresy verze 6, také tímto zapnete IPv6 procesy na rozhraní. listopa 2 6/17

7 Router(config-if)# ipv6 address 2001:0db8:1:1::72/64 5 ipv6 address ipv6-address/prefix-length link-local Router(config-if)# ipv6 address fe80::2001 link-local 6 ipv6 mtu bytes Router(config-if)# ipv6 mtu ipv6 nhrp authentication string Router(config-if)# ipv6 nhrp authentication examplexx 8 ipv6 nhrp map ipv6-address nbma-address Router(config-if)# ipv6 nhrp map 2001:0DB8:3333:4:: ipv6 nhrp map multicast ipv4-nbma-address Router(config-if)# ipv6 nhrp map multicast ipv6 nhrp nhs ipv6-nhs-address [net-address] Router(config-if)# ipv6 nhrp nhs 2001:0DB8:3333:4::5 2001:0DB8::/64 11 ipv6 nhrp network-id network-id Router(config-if)# ipv6 nhrp network-id tunnel source {ip-address ipv6-address interface-type interface-number} Router(config-if)# tunnel source ethernet 0 13 tunnel mode {aurp cayman dvmrp eon gre gre multipoint gre ipv6 ipip [decapsulate-any] ipsec ipv4 iptalk ipv6 ipsec ipv6 mpls nos rbscp} Nebo tunnel destination {host-name ip-address ipv6-address} Nastavuje linkovou lokálni adresu pro rozhrani, také zapíná IPv6 procesy Unikátní IPv6 lokální linková adresa (zkrs všechny prvky v celé DMVPN síti) Nastavuje Maximum Transmission Unit (MTU) neboli maximální přenositelnou velikost IPv6 paketu. Nastavuje autentizační řetězec použitý pro NHRP Poznámka: NHRP autentizační řetězec musí být nastaven na všech HUB a SPOKE zařízení stejný pro jednu DMVPN síť Statické namapování IPv6-to-NBMA adres na IPv6 cíle v NBMA síti Mapy cílů IPv6 adres na IPv4 NBMA adresy Specifikuje adresy jednoho nebo více IPv6 NHRP servrů Zapíná NHRP na rozhraní Nastavuje zdroj adres pro tunelové rozhraní Nastavuje módu zapouzdření. V našem případě na mgre pro tunelové rozhraní viz příklad. Použije se tento příkaz pokud data chodí dynamicky Spoke-to-Spoke Nebo Specifikuje cil pro tunelové rozhraní. Používá se pokud data chodí HUB-to- Spoke tunelem Router(config-if)# tunnel mode gre multipoint Nebo Router(config-if)# tunnel destination tunnel protection ipsec profile name [shared] Propojení tunelového rozhraní s IPsec profilem name parametr specifikuje IPsec profil, listopa 2 7/17

8 Router(config-if)# tunnel protection ipsec profile example_profile 15 bandwidth {interzone total session} {default zone zone-name} bandwidth-size Router(config-if)# bandwidth total ipv6 nhrp holdtime seconds Router(config-if)# ipv6 nhrp holdtime 3600 tato hodnota musí být totožná s tím co se zadalo v příkazu crypto ipsec profile name Nastavuje šířku pásma pro rozhraní protokolu vyšší vrstvy bandwidth-size (kb/s) v základu nastaven na 9. Je doporučeno nastavovat 1000 (1Mb/s) a víc Šířku pásma pro Spoke nemusí být totožná s šířkou pásma pro HUB. Je však jednodušší, když všechny Spoke zařízení mají stejnou šířku pásma, nebo podobnou. Změna doby ve vteřinách, kde NHRP NBMA adresy jsou považovány za validní v autoritativní NHRP odpovědi 3.5 Připojení do páteře 11 Základní nastavení rozhraní Ipv4 1. enable 2. configure terminal 3. interface interface x/y 4. ip address a.a.a.a m.m.m.m 5. no č. Příkaz Popis 1 enable Přepnutí do uživatelského režimu Router> enable 2 configure terminal Přepnutí do konfiguračního režimu Router# configure terminal 3 interface interface x/y Router(config)# interface fastethernet 0/0 4 ip address a.a.a.a m.m.m.m Přepnutí do konfigurace určitého rozhraní v tomto případě FastEthernet 0/0 Nastavení IP adresy a masky na rozhraní Router(config-if)#ip addres no Zapnutí rozhraní Router(config-if)#no 12 Zapnutí směrování 1. router OSPF n 2. network a.a.a.a m.m.m.m č. Příkaz Popis 1 router OSPF n Přepnutí do konfigurace OSPF směrovače, n udává číslo procesu listopa 2 8/17

9 Router(config)#router OSPF 1 2 network a.a.a.a m.m.m.m Router(config-if)#network Nastavení IP adresy a masky na rozhraní pro IPv4 zařízení 4 Ukázkový příklad 4.1 Popis Základ tvoří 4 směrovače s nastavením IPv4 mezi sebou navzájem. Toto nám nasimuluje IPv4 páteřní síť. Další 4 směrovače již budou simulovat lokální sítě s podorou IPv6, které budeme navzájem propojovat pomocí DMVPN. Na následujícím obrázku naleznete schéma zapojení zkušební sítě. 4.2 Schéma 4.3 Konfigurace - ukázky konfiguračních výpisů - jsou uvedeny P1, Hub, S1 - ostatní výpisy jsou přiloženy jako samostatné soubory P1: Building configuration... Current configuration : 1248 bytes Last configuration change at 19:42:12 UTC Sat Nov upgrade fpd auto version 15.0 service timestamps debug datetime msec service timestamps log datetime msec listopa 2 9/17

10 no service password-encryption hostname P1 boot-start-marker boot-end-marker no aaa new-model ip source-route ip cef no ipv6 cef multilink bundle-name authenticated redundancy interface FastEthernet0/0 duplex half interface FastEthernet1/0 ip address duplex auto speed auto interface FastEthernet1/1 ip address duplex auto speed auto interface FastEthernet2/0 ip address duplex auto speed auto interface FastEthernet2/1 duplex auto speed auto router ospf 1 log-adjacency-changes network area 0 network area 0 network area 0 ip forward-protocol nd no ip http server no ip http secure-server control-plane listopa 2 10/17

11 mgcp fax t38 ecm mgcp behavior g729-variants static-pt gatekeeper line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login end Hub: HUB#sh run Building configuration... Current configuration : 1955 bytes Last configuration change at 11:45:47 UTC Sun Nov upgrade fpd auto version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname HUB boot-start-marker boot-end-marker no aaa new-model ip source-route ip cef ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated redundancy crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco address crypto ipsec transform-set cisco esp-3des esp-md5-hmac mode transport listopa 2 11/17

12 crypto ipsec profile cisco set transform-set cisco interface Loopback1 ipv6 address 2001:DB8:1111::1/64 interface Tunnel1 bandwidth no ip redirects ipv6 address FE80::B:B:B:8F link-local ipv6 address 2001:DB8::99/64 ipv6 enable ipv6 mtu 1400 ipv6 eigrp 1 no ipv6 split-horizon eigrp 1 ipv6 summary-address eigrp :DB8:EEEE::/64 ipv6 nhrp authentication cisco ipv6 nhrp map multicast dynamic ipv6 nhrp network-id 99 ipv6 nhrp holdtime 3600 ipv6 nhrp shortcut ipv6 nhrp redirect tunnel source FastEthernet1/0 tunnel mode gre multipoint tunnel protection ipsec profile cisco interface FastEthernet0/0 duplex half interface FastEthernet1/0 ip address duplex auto speed auto interface FastEthernet1/1 duplex auto speed auto ipv6 address 2001:DB8:EEEE::99/64 ipv6 enable ipv6 eigrp 1 interface GigabitEthernet2/0 negotiation auto ip forward-protocol nd no ip http server no ip http secure-server ip route listopa 2 12/17

13 ipv6 router eigrp 1 control-plane mgcp fax t38 ecm mgcp behavior g729-variants static-pt gatekeeper line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login end S1: S1#sh run Building configuration... Current configuration : 1966 bytes Last configuration change at 12:09:33 UTC Sun Nov upgrade fpd auto version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname S1 boot-start-marker boot-end-marker no aaa new-model ip source-route ip cef ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated redundancy crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco address listopa 2 13/17

14 crypto ipsec transform-set cisco esp-3des esp-md5-hmac mode transport crypto ipsec profile cisco set transform-set cisco interface Tunnel1 bandwidth no ip redirects ipv6 address FE80::B:B:B:B link-local ipv6 address 2001:DB8::11/64 ipv6 mtu 1400 no ipv6 redirects ipv6 eigrp 1 no ipv6 split-horizon eigrp 1 ipv6 summary-address eigrp :DB8:DDDD::/ ipv6 nhrp authentication cisco ipv6 nhrp map multicast ipv6 nhrp map 2001:DB8::99/ ipv6 nhrp network-id 99 ipv6 nhrp holdtime 3600 ipv6 nhrp nhs 2001:DB8::99 ipv6 nhrp shortcut tunnel source FastEthernet1/0 tunnel mode gre multipoint tunnel protection ipsec profile cisco interface FastEthernet0/0 duplex half interface FastEthernet1/0 ip address duplex auto speed auto interface FastEthernet1/1 duplex auto speed auto ipv6 address 2001:DB8:DDDD::1/64 ipv6 enable ipv6 nd ra mtu suppress ipv6 eigrp 1 interface GigabitEthernet2/0 negotiation auto ip forward-protocol nd no ip http server no ip http secure-server ip route listopa 2 14/17

15 ipv6 router eigrp 1 control-plane mgcp fax t38 ecm mgcp behavior g729-variants static-pt gatekeeper line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login end 4.4 Ověření funkčnosti Ověření proběhlo úspěšně pomocí příkazu ping. Možná se to zdá být málo a bylo by vhodnější třeba odchytit nějakou komunikaci a popsat ji, avšak v tomto případě, kde páteřní síť jede na IPv4, nám pro ověření funkčnosti stačí ping z IPv6 sítě do IPv6 sítě. Tudíž máme jistotu, že virtuální tunely pracují jak mají. listopa 2 15/17

16 5 Literatura: Cisco Systems Inc. [online] [cit ]. Cisco Virtual Office-Deploying DMVPN for IPv6. Dostupné z WWW: < listopa 2 16/17

17 Cisco Systems Inc. [online] [cit ]. Implementing Dynamic Multipoint VPN for IPv6. Dostupné z WWW: < STRETCH, Jeremy. Packetlife.net [online] [cit ]. Dynamic Multipoint VPN (DMVPN). Dostupné z WWW: < 6 Závěr DMVPN lze využít pro různě rozmístěné lokální sítě bez vzájemného propojení, pouze s připojením na internet. Centrální prvek HUB je v závislosti na počtu připojení klientských sítí vytěžován více než-li klientské směrovače, tudíž je potřeba více zainvestovat a pořídit si výkonější směrovač a i nějaké záložní řešení, aby připojení klientů bylo stabilní a bezpečné. DMVPN není pouze zjednodušení práce správcům sítě, neboť odpadá konfigurování HUB prvku při připojování nového klienta, ale také zefektivnění tvorby tunelů mezi jednotlivými sítěmi. listopa 2 17/17