DMVPN na IPv6. Ondřej Folber (fol179) Marek Smolka (smo119)

Podobné dokumenty
Technologie počítačových sítí - LS 2016/2017. Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie.

IPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Zone-Based Firewall a CBAC na Cisco IOS

Základy IOS, Přepínače: Spanning Tree

Projekt VRF LITE. Jiří Otisk, Filip Frank

VLSM Statické směrování

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Semestrální projekt do předmětu SPS

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Možnosti Multi-Topology Routing v Cisco IOS (ISIS, OSPF, BGP, EIGRP)

Nezávislé unicast a multicast topologie s využitím MBGP

Průzkum a ověření konfigurace Private VLAN na Cisco Catalyst 3560

PROSECOM. Professional Secure Communications. Instalač ní př í řuč ka

Šifrování MPLS provozu: Realizace MPLS nad Cisco DM-VPN

Jiří Tic, TIC080 Lukáš Dziadkowiec, DZI016 VŠB-TUO. Typy LSA v OSPF Semestrální projekt: Směrované a přepínané sítě

Projekt k předmětu Směrované a přepínané sítě. Ověření kompatibility implementací OSPF na Cisco IOS a Linuxu - různé typy oblastí

5. Směrování v počítačových sítích a směrovací protokoly

Šifrování MPLS provozu: Realizace MPLS nad Cisco DM-VPN

Konfigurace sítě s WLAN controllerem

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Loop-Free Alternative (LFA)

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

IPv6 VPN přes IPv4 MPLS páteř

Projekt. Howto VRF/VPN na CISCO routerech v. 2. Zpracoval:BU KOVÁ Dagmar, BUC061

Technologie počítačových sítí - ZS 2015/2016 Kombinované studium

VLSM Statické směrování

NAS 323 NAS jako VPN Server

Směrování. 4. Přednáška. Směrování s částečnou znalostí sítě

Zone-Based Firewall a CBAC na Cisco IOS

Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco

BEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2

Semestrální projekt do SPS Protokol RSVP na Cisco routerech

Route reflektory protokolu BGP

VŠB - Technická univerzita Ostrava

IKEv2, peer-specific politiky pro negociaci IPSec tunelů

HSRP v1+v2, reakce na události object trackingu, vliv na zátěž CPU

Podpora QoS na DSLAM Zyxel IP Expres IES 1000

Možnosti vylaďování subsecond konvergence EIGRP

Typická využití atributu Community protokolu BGP - modelové situace

Příkazy Cisco IOS. 1 Přehled módů. 1.2 Uživatelský mód (User Mode) 1.3 Privilegovaný mód (Privileged Mode) 1.1 Klávesové zkratky

Počítačové sítě 1 Přednáška č.5

Protokol LLDP, srovnání s Cisco CDP, možnosti konfigurace na běžných platformách Cisco, Linux, Windows

Směrované a přepínané sítě

Bezpečnost vzdáleného přístupu. Jan Kubr

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Nasazení IPv6 v podnikových sítích a ve státní správě

MPLS MPLS. Label. Switching) Michal Petřík -

KAPITOLA 10. Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup

TheGreenBow IPSec VPN klient

EIGRP funkce Stub. Jiří Boštík (BOS031)

MPLS Penultimate Hop Popping

X36PKO Úvod Protokolová rodina TCP/IP

3 Prefix suppression v OSPFv3... 7

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

P-334U. Bezdrátový Wi-Fi router kompatibilní s normou a/g. Příručka k rychlé instalaci

Konfigurace směrovače, CDP

Protokol GLBP. Projekt do předmětu Správa počítačových systémů Radim Poloch (pol380), Jan Prokop (pro266)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

VPN - Virtual private networks

Co je to IPv6 Architektura adres Plug and Play Systém jmenných domén Přechod Současný stav IPv6

Uživatelský modul. WiFi STA

Administrace služby - GTS Network Storage

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

BGP dampening. Pavel Juška, Lukáš Kořistka

Konfigurace Cisco směrovače

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

OpenVPN a dynamické směrování

Směrovací protokoly, propojování sítí

SPARKLAN WX-7615A - návod k obsluze. Verze i4 Portfolio s.r.o.

HSRP a VRRP s využitím IPv6


Praktikum Směrování Linux

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Vítáme Vás 1 COPYRIGHT 2011 ALCATEL-LUCENT. ALL RIGHTS RESERVED.

Hlas. Robert Elbl COPYRIGHT 2011 ALCATEL-LUCENT ENTERPRISE. ALL RIGHTS RESERVED.

MPLS na platformě Mikrotik

Podmíněná propagace cest do protokolu BGP

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

CCNA I. 3. Connecting to the Network. CCNA I.: 3. Connecting to the network

1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS

Rychlý postup k nastavení VoIP gatewaye ASUS VP100

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

QoS na MPLS (Diffserv)

Analýza protokolů rodiny TCP/IP, NAT

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

BIRD Internet Routing Daemon

Použití Virtual NAT interfaces na Cisco IOS

Směrování a směrovací protokoly

Multicast Source Discovery Protocol (MSDP)

Protokol IP verze 6. Co je to IPv6. Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.

Testy kompatibility BGP a OSPF mezi Cisco a Mikrotik

Směrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.

Transkript:

DMVPN na IPv6 Ondřej Folber (fol179) Marek Smolka (smo119) Abstrakt: Tento dokument by měl sloužit pro vyzkoušení a osvojení si tvorby tunelů pomocí DMVPN na sítích s Ipv6. Také by měl ověřit znalosti a zkušenosti s adresováním pomocí Ipv6. Klíčová slova: DMVPN, Ipv6, NHRP, mgre 1 Úvod do problematiky...2 1.1 Požadavky...2 2 Schéma...2 3 Příkazy...3 3.1 Nastavení IPsec Profilu pro DMVPN na IPv6...3 3.2 Nastaveni HUB pro IPv6 na DMVPN...4 3.3 Nastavení NHRP přesměrování a zkratek na HUB zařízení...5 3.4 Nastavení SPOKE pro IPv6 na DMVPN...6 3.5 Připojení do páteře...8 4 Ukázkový příklad...9 4.1 Popis...9 4.2 Schéma...9 4.3 Konfigurace...9 4.4 Ověření funkčnosti...15 5 Literatura:...16 6 Závěr...17 listopa 2 1/17

1 Úvod do problematiky DMVPN (Dynamic Multipoint Virtual Private Network) jedná se o rozšíření VPN avšak DMVPN není protokol, jedná se jen o koncept, které již nepotřebují mít předkonfigurované statické IPsec klienty v konfiguraci kryptomapy a statický popis těchto klientů v ISAKMP. IPsec tunely mohou být dynamicky vytvořeny na základě potřeby spojení. Existují dvě možnosti propojení, tunel mezi HUB směrovačem a Spoke směrovačem, nebo mezi dvěma Spoke směrovači. První zmíněný způsob vyžaduje výkonnější HUB směrovač, neboť jde celá komunikace přes něj. Proto je lepší použít Hub-to-Spoke pro inicializaci tunelu a Spoke-to-Spoke, přes který už poběží následné data. Toto je možno udělat díky mgre tunelům podporujících NBMA (non-broadcast multiacces) sítě. Spoke se v DMVPN konfiguruje s jedním nebo více IP adresami HUB směrovače. Tyto adresy bývají typicky statické, neboť se může jednat o sídlo firmy, která bývá obvykle jedna. Na rozdíl od centrálního HUB směrovače, je nám jedno jakou bude mít lokální Spoke směrovač IP adresu, neboť se tunely vytvářejí dynamicky na základě požadavku. Díky tomuto centrálnímu uspořádání je dobré mít ještě jeden záložní HUB prvek. 1.1 Požadavky LAN s plnou podporou IPv6 (PC, Směrovače). Směrovače schopné podporovat následující protokoly. Navíc prvek HUB musí mít dostatečný výpočetní výkon z důvodu vyššího počtu zpracovávaných požadavků. 1 Podporované protokoly 2 Schéma Border Gateway Protocol (BGP) Enhanced Interior Gateway Routing Protocol(EIGRP) On-Demand Routing (ODR) Open Shrotest Path First (OSPF) Next Hop Resolution Protocol (NHRP) Internet Protocol Security (IPsec) listopa 2 2/17

ü ü 3 Příkazy 3.1 Nastavení IPsec Profilu pro DMVPN na IPv6 2 Prerekvizice Před nastavením samotného IPsec profilu musíte nastavit následující: Definovat transform set použitím příkazu: crypto ipsec transform-set Ujistit se že ISAKMP je nakonfigurován se výchozím ISAKMP nastavením 3 Seznam Příkazů 1. enable 2. configure terminal 3. crypto identity name 4. crypto ipsec profile name 5. set transform-set transform-set-name 6. set identity 7. set security-association lifetime {seconds seconds kilobytes kilobytes} 8. set pfs [group1 group2] 4 Příkazy podrobněji č. Příkaz Popis 1 enable Router> enable 2 configure terminal Přepnutí do privilegovaného módu. Někdy vyžaduje heslo, v závislosti na Přepnutí do globálního konfiguračního módu Router# configure terminal 3 crypto identity name Router(config)# crypto identity router1 4 crypto ipsec profile name Router(config)# crypto ipsec profile example_profile 5 set transform-set transform-set-name Router(config-crypto-map)# set transformset example-set 6 set identity Router(config-crypto-map)# set identity router1 7 set security-association lifetime {seconds seconds kilobytes kilobytes} Nastavení identity směrovače, který dostal ze seznamu (DNs) Definice IPsec parametrů, které budou použity pro šifrování komunikace typu hub and spoke a spoke and spoke Přepne se do crypto map configuration mode Specifikuje transform set, která bude použita pro daný IPsec profile (Optimální) Specifikuje identitu použitou pro IPsec profile. Pozor na duplicity (Optimální) Přepisuje globální dobu života pro IPsec profil Router(config-crypto-map)# set securityassociation lifetime seconds 1800 8 set pfs [group1 group2] (Optimální) Specifikuje zda IPsec se má ptát listopa 2 3/17

Router(config-crypto-map)# set pfs group2 na Perfect forvard secrecy (PFS), když žádá o nové bezpečné spojení 3.2 Nastaveni HUB pro IPv6 na DMVPN 5 Seznam Příkazů 1. enable 2. configure terminal 3. interface tunnel number 4. ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length} 5. ipv6 address ipv6-address/prefix-length link-local 6. ipv6 mtu bytes 7. ipv6 nhrp authentication string 8. ipv6 nhrp map multicast dynamic 9. ipv6 nhrp network-id network-id 10. tunnel source {ip-address ipv6-address interface-type interface-number} 6 Příkazy podrobněji č. Příkaz Popis 1 Enable Router> enable 2 configure terminal Router# configure terminal 3 Interface tunnel number Router(config)# interface tunnel 5 4 ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length} Router(config-if)# ipv6 address 2001:0db8:1:1::72/64 5 ipv6 address ipv6-address/prefix-length link-local Router(config-if)# ipv6 address fe80::2001 link-local 6 ipv6 mtu bytes Router(config-if)# ipv6 mtu 1400 7 ipv6 nhrp authentication string Router(config-if)# ipv6 nhrp authentication examplexx 8 ipv6 nhrp map multicast dynamic Router(config-if)# ipv6 nhrp map multicast dynamic Přepnutí do privilegovaného módu. Někdy vyžaduje heslo Přepnutí do globálního konfiguračního módu Přepnutí do konfiguračního módu daného rozhraní number určuje číslo tunelového rozhraní, které se vytváří nebo nastavuje. Neexistuje omezení počtu těchto tunelů (pro Cisco IOS). Nastavení IP adresy verze 6 na rozhraní. Nastavuje linkovou lokálni adresu pro rozhrani, také zapíná IPv6 procesy Unikátní IPv6 lokální linková adresa (zkrs všechny prvky v celé DMVPN síti) Nastavuje Maximum Transmission Unit (MTU) neboli maximální přenositelnou velikost IPv6 paketu. Nastavuje autentizační řetězec použitý pro NHRP Poznámka: NHRP autentizační řetězec musí být nastaven na všech HUB a SPOKE zařízení stejný pro jednu DMVPN síť Dovoluje NHRP automaticky přidávat směrovače do multicastové NHRP mapy. listopa 2 4/17

9 ipv6 nhrp network-id network-id Zapíná NHRP na rozhraní Router(config-if)# ipv6 nhrp network-id 99 10 tunnel source {ip-address ipv6-address interface-type interface-number} Router(config-if)# tunnel source ethernet 0 11 tunnel mode {aurp cayman dvmrp eon gre gre multipoint gre ipv6 ipip [decapsulate-any] ipsec ipv4 iptalk ipv6 ipsec ipv6 mpls nos rbscp} Router(config-if)# tunnel mode gre multipoint 12 tunnel protection ipsec profile name [shared] Router(config-if)# tunnel protection ipsec profile example_profile 13 bandwidth {interzone total session} {default zone zone-name} bandwidth-size Router(config-if)# bandwidth total 1200 14 ipv6 nhrp holdtime seconds Router(config-if)# ipv6 nhrp holdtime 3600 Nastavuje zdroj adres pro tunelové rozhraní Nastavuje módu zapouzdření. V našem případě na mgre pro tunelové rozhraní viz příklad Propojení tunelového rozhraní s IPsec profilem name parametr specifikuje IPsec profil, tato hodnota musí být totožná s tím co se zadalo v příkazu crypto ipsec profile name Nastavuje šířku pásma pro rozhraní protokolu vyšší vrstvy bandwidth-size (kb/s). Je doporučeno nastavovat 1000 (1Mb/s) a víc Změna doby ve vteřinách, kde NHRP NBMA adresy jsou považovány za validní v autoritativní NHRP odpovědi 3.3 Nastavení NHRP přesměrování a zkratek na HUB zařízení 7 Seznam Příkazů 1. enable 2. configure terminal 3. interface tunnel number 4. ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length } 5. ipv6 nhrp redirect [timeout seconds] 6. ipv6 nhrp shortcut 8 Příkazy podrobněji č. Příkaz Popis 1 enable Router> enable 2 configure terminal Router# configure terminal 3 Interface tunnel number Router(config)# interface tunnel 5 Přepnutí do privilegovaného módu. Někdy vyžaduje heslo Přepnutí do globálního konfiguračního módu Přepnutí do konfiguračního módu daného rozhraní number určuje číslo tunelového rozhraní, které se vytváří nebo nastavuje. listopa 2 5/17

4 ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length} Router(config-if)# ipv6 address 2001:0db8:1:1::72/64 5 ipv6 nhrp redirect [timeout seconds] Neexistuje omezení počtu těchto tunelů. Nastavení IP adresy verze 6 na daném rozhraní. Zapnutí NHRP přesměrování Router(config-if)# ipv6 nhrp redirect 6 ipv6 nhrp shortcut Zapnutí přepínání zkratek Router(config-if)# ipv6 nhrp shortcut 3.4 Nastavení SPOKE pro IPv6 na DMVPN 9 Seznam Příkazů 1. enable 2. configure terminal 3. interface tunnel number 4. ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length} 5. ipv6 address ipv6-address/prefix-length link-local 6. ipv6 mtu bytes 7. ipv6 nhrp authentication string 8. ipv6 nhrp map ipv6-address nbma-address 9. ipv6 nhrp map multicast ipv4-nbma-address 10. ipv6 nhrp nhs ipv6-nhs-address [net-address] 11. ipv6 nhrp network-id network-id 12. tunnel source {ip-address ipv6-address interface-type interface-number} 13. tunnel mode {aurp cayman dvmrp eon gre gre multipoint gre ipv6 ipip [decapsulate-any] ipsec ipv4 iptalk ipv6 ipsec ipv6 mpls nos rbscp} or tunnel destination {host-name ip-address ipv6-address} 14. tunnel protection ipsec profile name [shared] 15. bandwidth {interzone total session} {default zone zone-name} bandwidth-size 16. ipv6 nhrp holdtime seconds 10 Příkazy podrobněji Č. Příkaz Popis 1 enable Router> enable 2 configure terminal Router# configure terminal 3 Interface tunnel number Router(config)# interface tunnel 5 4 ipv6 address {ipv6-address/prefix-length prefix-name sub-bits/prefix-length} Přepnutí do privilegovaného módu. Někdy vyžaduje heslo Přepnutí do globálního konfiguračního módu Přepnutí do konfiguračního módu daného rozhraní number určuje číslo tunelového rozhraní, které se vytváří nebo nastavuje. Neexistuje omezení počtu těchto tunelů. Nastavení IP adresy verze 6, také tímto zapnete IPv6 procesy na rozhraní. listopa 2 6/17

Router(config-if)# ipv6 address 2001:0db8:1:1::72/64 5 ipv6 address ipv6-address/prefix-length link-local Router(config-if)# ipv6 address fe80::2001 link-local 6 ipv6 mtu bytes Router(config-if)# ipv6 mtu 1400 7 ipv6 nhrp authentication string Router(config-if)# ipv6 nhrp authentication examplexx 8 ipv6 nhrp map ipv6-address nbma-address Router(config-if)# ipv6 nhrp map 2001:0DB8:3333:4::5 10.1.1.1 9 ipv6 nhrp map multicast ipv4-nbma-address Router(config-if)# ipv6 nhrp map multicast 10.11.11.99 10 ipv6 nhrp nhs ipv6-nhs-address [net-address] Router(config-if)# ipv6 nhrp nhs 2001:0DB8:3333:4::5 2001:0DB8::/64 11 ipv6 nhrp network-id network-id Router(config-if)# ipv6 nhrp network-id 99 12 tunnel source {ip-address ipv6-address interface-type interface-number} Router(config-if)# tunnel source ethernet 0 13 tunnel mode {aurp cayman dvmrp eon gre gre multipoint gre ipv6 ipip [decapsulate-any] ipsec ipv4 iptalk ipv6 ipsec ipv6 mpls nos rbscp} Nebo tunnel destination {host-name ip-address ipv6-address} Nastavuje linkovou lokálni adresu pro rozhrani, také zapíná IPv6 procesy Unikátní IPv6 lokální linková adresa (zkrs všechny prvky v celé DMVPN síti) Nastavuje Maximum Transmission Unit (MTU) neboli maximální přenositelnou velikost IPv6 paketu. Nastavuje autentizační řetězec použitý pro NHRP Poznámka: NHRP autentizační řetězec musí být nastaven na všech HUB a SPOKE zařízení stejný pro jednu DMVPN síť Statické namapování IPv6-to-NBMA adres na IPv6 cíle v NBMA síti Mapy cílů IPv6 adres na IPv4 NBMA adresy Specifikuje adresy jednoho nebo více IPv6 NHRP servrů Zapíná NHRP na rozhraní Nastavuje zdroj adres pro tunelové rozhraní Nastavuje módu zapouzdření. V našem případě na mgre pro tunelové rozhraní viz příklad. Použije se tento příkaz pokud data chodí dynamicky Spoke-to-Spoke Nebo Specifikuje cil pro tunelové rozhraní. Používá se pokud data chodí HUB-to- Spoke tunelem Router(config-if)# tunnel mode gre multipoint Nebo Router(config-if)# tunnel destination 10.1.1.1 14 tunnel protection ipsec profile name [shared] Propojení tunelového rozhraní s IPsec profilem name parametr specifikuje IPsec profil, listopa 2 7/17

Router(config-if)# tunnel protection ipsec profile example_profile 15 bandwidth {interzone total session} {default zone zone-name} bandwidth-size Router(config-if)# bandwidth total 1200 16 ipv6 nhrp holdtime seconds Router(config-if)# ipv6 nhrp holdtime 3600 tato hodnota musí být totožná s tím co se zadalo v příkazu crypto ipsec profile name Nastavuje šířku pásma pro rozhraní protokolu vyšší vrstvy bandwidth-size (kb/s) v základu nastaven na 9. Je doporučeno nastavovat 1000 (1Mb/s) a víc Šířku pásma pro Spoke nemusí být totožná s šířkou pásma pro HUB. Je však jednodušší, když všechny Spoke zařízení mají stejnou šířku pásma, nebo podobnou. Změna doby ve vteřinách, kde NHRP NBMA adresy jsou považovány za validní v autoritativní NHRP odpovědi 3.5 Připojení do páteře 11 Základní nastavení rozhraní Ipv4 1. enable 2. configure terminal 3. interface interface x/y 4. ip address a.a.a.a m.m.m.m 5. no č. Příkaz Popis 1 enable Přepnutí do uživatelského režimu Router> enable 2 configure terminal Přepnutí do konfiguračního režimu Router# configure terminal 3 interface interface x/y Router(config)# interface fastethernet 0/0 4 ip address a.a.a.a m.m.m.m Přepnutí do konfigurace určitého rozhraní v tomto případě FastEthernet 0/0 Nastavení IP adresy a masky na rozhraní Router(config-if)#ip addres 10.0.0.1 255.255.255.0 5 no Zapnutí rozhraní Router(config-if)#no 12 Zapnutí směrování 1. router OSPF n 2. network a.a.a.a m.m.m.m č. Příkaz Popis 1 router OSPF n Přepnutí do konfigurace OSPF směrovače, n udává číslo procesu listopa 2 8/17

Router(config)#router OSPF 1 2 network a.a.a.a m.m.m.m Router(config-if)#network 10.0.0.0 255.255.255.0 Nastavení IP adresy a masky na rozhraní pro IPv4 zařízení 4 Ukázkový příklad 4.1 Popis Základ tvoří 4 směrovače s nastavením IPv4 mezi sebou navzájem. Toto nám nasimuluje IPv4 páteřní síť. Další 4 směrovače již budou simulovat lokální sítě s podorou IPv6, které budeme navzájem propojovat pomocí DMVPN. Na následujícím obrázku naleznete schéma zapojení zkušební sítě. 4.2 Schéma 4.3 Konfigurace - ukázky konfiguračních výpisů - jsou uvedeny P1, Hub, S1 - ostatní výpisy jsou přiloženy jako samostatné soubory P1: Building configuration... Current configuration : 1248 bytes Last configuration change at 19:42:12 UTC Sat Nov 20 2010 upgrade fpd auto version 15.0 service timestamps debug datetime msec service timestamps log datetime msec listopa 2 9/17

no service password-encryption hostname P1 boot-start-marker boot-end-marker no aaa new-model ip source-route ip cef no ipv6 cef multilink bundle-name authenticated redundancy interface FastEthernet0/0 duplex half interface FastEthernet1/0 ip address 10.0.0.1 255.255.255.252 duplex auto speed auto interface FastEthernet1/1 ip address 10.0.0.13 255.255.255.252 duplex auto speed auto interface FastEthernet2/0 ip address 172.16.1.1 255.255.255.0 duplex auto speed auto interface FastEthernet2/1 duplex auto speed auto router ospf 1 log-adjacency-changes network 10.0.0.0 0.0.0.3 area 0 network 10.0.0.12 0.0.0.3 area 0 network 172.16.1.0 0.0.0.255 area 0 ip forward-protocol nd no ip http server no ip http secure-server control-plane listopa 2 10/17

mgcp fax t38 ecm mgcp behavior g729-variants static-pt gatekeeper line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login end Hub: HUB#sh run Building configuration... Current configuration : 1955 bytes Last configuration change at 11:45:47 UTC Sun Nov 21 2010 upgrade fpd auto version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname HUB boot-start-marker boot-end-marker no aaa new-model ip source-route ip cef ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated redundancy crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco address 0.0.0.0 0.0.0.0 crypto ipsec transform-set cisco esp-3des esp-md5-hmac mode transport listopa 2 11/17

crypto ipsec profile cisco set transform-set cisco interface Loopback1 ipv6 address 2001:DB8:1111::1/64 interface Tunnel1 bandwidth 10000 no ip redirects ipv6 address FE80::B:B:B:8F link-local ipv6 address 2001:DB8::99/64 ipv6 enable ipv6 mtu 1400 ipv6 eigrp 1 no ipv6 split-horizon eigrp 1 ipv6 summary-address eigrp 1 2001:DB8:EEEE::/64 ipv6 nhrp authentication cisco ipv6 nhrp map multicast dynamic ipv6 nhrp network-id 99 ipv6 nhrp holdtime 3600 ipv6 nhrp shortcut ipv6 nhrp redirect tunnel source FastEthernet1/0 tunnel mode gre multipoint tunnel protection ipsec profile cisco interface FastEthernet0/0 duplex half interface FastEthernet1/0 ip address 172.16.1.2 255.255.255.0 duplex auto speed auto interface FastEthernet1/1 duplex auto speed auto ipv6 address 2001:DB8:EEEE::99/64 ipv6 enable ipv6 eigrp 1 interface GigabitEthernet2/0 negotiation auto ip forward-protocol nd no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 172.16.1.1 listopa 2 12/17

ipv6 router eigrp 1 control-plane mgcp fax t38 ecm mgcp behavior g729-variants static-pt gatekeeper line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login end S1: S1#sh run Building configuration... Current configuration : 1966 bytes Last configuration change at 12:09:33 UTC Sun Nov 21 2010 upgrade fpd auto version 15.0 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname S1 boot-start-marker boot-end-marker no aaa new-model ip source-route ip cef ipv6 unicast-routing ipv6 cef multilink bundle-name authenticated redundancy crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco address 0.0.0.0 0.0.0.0 listopa 2 13/17

crypto ipsec transform-set cisco esp-3des esp-md5-hmac mode transport crypto ipsec profile cisco set transform-set cisco interface Tunnel1 bandwidth 10000 no ip redirects ipv6 address FE80::B:B:B:B link-local ipv6 address 2001:DB8::11/64 ipv6 mtu 1400 no ipv6 redirects ipv6 eigrp 1 no ipv6 split-horizon eigrp 1 ipv6 summary-address eigrp 1 2001:DB8:DDDD::/64 255 ipv6 nhrp authentication cisco ipv6 nhrp map multicast 172.16.1.2 ipv6 nhrp map 2001:DB8::99/64 172.16.1.2 ipv6 nhrp network-id 99 ipv6 nhrp holdtime 3600 ipv6 nhrp nhs 2001:DB8::99 ipv6 nhrp shortcut tunnel source FastEthernet1/0 tunnel mode gre multipoint tunnel protection ipsec profile cisco interface FastEthernet0/0 duplex half interface FastEthernet1/0 ip address 172.16.4.2 255.255.255.0 duplex auto speed auto interface FastEthernet1/1 duplex auto speed auto ipv6 address 2001:DB8:DDDD::1/64 ipv6 enable ipv6 nd ra mtu suppress ipv6 eigrp 1 interface GigabitEthernet2/0 negotiation auto ip forward-protocol nd no ip http server no ip http secure-server ip route 0.0.0.0 0.0.0.0 172.16.4.1 listopa 2 14/17

ipv6 router eigrp 1 control-plane mgcp fax t38 ecm mgcp behavior g729-variants static-pt gatekeeper line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login end 4.4 Ověření funkčnosti Ověření proběhlo úspěšně pomocí příkazu ping. Možná se to zdá být málo a bylo by vhodnější třeba odchytit nějakou komunikaci a popsat ji, avšak v tomto případě, kde páteřní síť jede na IPv4, nám pro ověření funkčnosti stačí ping z IPv6 sítě do IPv6 sítě. Tudíž máme jistotu, že virtuální tunely pracují jak mají. listopa 2 15/17

5 Literatura: Cisco Systems Inc. [online]. 2008 [cit. 2010-12-29]. Cisco Virtual Office-Deploying DMVPN for IPv6. Dostupné z WWW: <http://www.cisco.com/en/us/solutions/collateral/ns340/ns517/ns430/ns855/white_paper_c11-490986.html>. listopa 2 16/17

Cisco Systems Inc. [online]. 2008 [cit. 2010-12-29]. Implementing Dynamic Multipoint VPN for IPv6. Dostupné z WWW: <http://www.cisco.com/en/us/docs/ios/ipv6/configuration/guide/ip6-dmvpn.html>. STRETCH, Jeremy. Packetlife.net [online]. 2008 [cit. 2010-12-29]. Dynamic Multipoint VPN (DMVPN). Dostupné z WWW: <http://www.cisco.com/en/us/docs/ios/ipv6/configuration/guide/ip6-dmvpn.html>. 6 Závěr DMVPN lze využít pro různě rozmístěné lokální sítě bez vzájemného propojení, pouze s připojením na internet. Centrální prvek HUB je v závislosti na počtu připojení klientských sítí vytěžován více než-li klientské směrovače, tudíž je potřeba více zainvestovat a pořídit si výkonější směrovač a i nějaké záložní řešení, aby připojení klientů bylo stabilní a bezpečné. DMVPN není pouze zjednodušení práce správcům sítě, neboť odpadá konfigurování HUB prvku při připojování nového klienta, ale také zefektivnění tvorby tunelů mezi jednotlivými sítěmi. listopa 2 17/17

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář