Scribd
Cargar
193 vistas16 páginas

DMVPN

que fue presentada por el geógrafo peruano Javier Pulgar Vidal en la III Asamblea General del Instituto Panamericano de Geografía e Historia reunida en Lima en 1941. El Dr. Javier Pulgar Vidal plantea que dicha obra es una recopilación de los conocimientos del antiguo hombre peruano y que había sido dejada de lado por el hombre moderno desde la invasión de los españoles.

Cargado por

╭∩╮⎝⏠⥐⏠⎠╭∩╮ Yared Yassat
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd
193 vistas16 páginas

DMVPN

que fue presentada por el geógrafo peruano Javier Pulgar Vidal en la III Asamblea General del Instituto Panamericano de Geografía e Historia reunida en Lima en 1941. El Dr. Javier Pulgar Vidal plantea que dicha obra es una recopilación de los conocimientos del antiguo hombre peruano y que había sido dejada de lado por el hombre moderno desde la invasión de los españoles.

Cargado por

╭∩╮⎝⏠⥐⏠⎠╭∩╮ Yared Yassat
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PPTX, PDF, TXT o lee en línea desde Scribd

DMVPN

Dynamic Multipoint VPN

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 1
Por qu es interesante usar DMVPN?
Para tener comunicaciones eficientes de tipo spoke-to-spoke
en topologas hub-and-spoke.

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 2
Cmo se implementan estos tneles?
Con el Protocolo Next Hop Resolution Protocol (NHRP)

NHRP: Indica al hub como servidor, permitiendo as que


el trfico de tipo multicast fluya hacia el servidor.

Mediante Tneles Multipoint Generic Routing


Encapsulation (mGRE)

Con mecanismos de encriptacin IP Security (IPsec).


Habilitando encriptacin IPSec en los tneles

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 3
Dynamic Multipoint VPN
La topologa mantiene conectividad en la red del ISP, no
debe haber conectividad entre las redes privadas.

ISP

Sobre esta red se implementa tneles VPN (con GRE) para conectar las
redes de PC1, PC2 y PC3
Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 4
Dynamic Multipoint VPN

Hub

ISP

Spoke1 Spoke2

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 5
Dynamic Multipoint VPN
Configuracin del HUB (R1)

Fase 1 de ISAKMP

crypto isakmp policy 1


encr aes
hash md5
authentication pre-share
group 2

crypto isakmp key MYKEY address [Link]

Primero establecemos el intercambio de claves de manera segura, el


otro extremo es identificado con la IP [Link] (multipoint)

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 6
Dynamic Multipoint VPN

Configurar la encriptacin de datos


que pasan por los tneles.

Configuracin del HUB (R1)


Fase 2 de ISAKMP

crypto ipsec transform-set MYSET esp-aes esp-md5-hmac

crypto ipsec profile MGRE


set security-association lifetime seconds 86400
set transform-set MYSET

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 7
Dynamic Multipoint VPN
Configuracin del HUB (R1)
Configuracin de Interface Tunnel 0

interface Tunnel 0
ip address [Link] [Link]
no ip split-horizon eigrp 10

tunnel mode gre multipoint


tunnel source FastEthernet0/0
tunnel protection ipsec profile MGRE

El Split-horizon desactivado para usar EIGRP.


En la interfaz Tunnel el modo debe ser el GRE Multipoint
Se indica el origen del tunel, para el destino se usa NHRP
Se usa IPsec para encriptar los datos que viajan por el tnel (profile
MGRE)
Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 8
Dynamic Multipoint VPN
Configuracin del HUB (R1)
Configuracin de Interface Tunnel 0

interface Tunnel0

ip nhrp authentication CISCO


ip nhrp network-id 1
ip nhrp map multicast dynamic

El protocolo NHRP (Next Hop Resolution Protocol) permite resolver


las direcciones privadas del tnel ([Link]) a la direccin del
ISP ([Link]).
Para la seguridad al usar NHRP se usa autenticacin.
El mapeo se establece como dinmico
Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 9
Dynamic Multipoint VPN
Configuracin del SPOKE1 (R2)

Fase 1 de ISAKMP

crypto isakmp policy 1


encr aes
hash md5
authentication pre-share
group 2

crypto isakmp key MYKEY address [Link]

Similar al HUB, establecemos el intercambio de claves de manera


segura en los SPOKE.

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 10
Dynamic Multipoint VPN

La encriptacin de datos en los SPOKE


debe ser la misma que en el HUB.

Configuracin del SPOKE1 (R2)


Fase 2 de ISAKMP

crypto ipsec transform-set MYSET esp-aes esp-md5-hmac

crypto ipsec profile MGRE


set security-association lifetime seconds 86400
set transform-set MYSET

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 11
Dynamic Multipoint VPN
Configuracin del SPOKE1 (R2)
Configuracin de Interface Tunnel 0

interface Tunnel 0
ip address [Link] [Link]

tunnel mode gre multipoint


tunnel source FastEthernet0/0
tunnel protection ipsec profile MGRE

En la interfaz Tunnel el modo debe ser el GRE Multipoint


Se usa IPsec para encriptar los datos que viajan por el tnel (profile
MGRE)

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 12
Dynamic Multipoint VPN
Configuracin del HUB (R1)
Configuracin de Interface Tunnel 0

interface Tunnel0
ip nhrp authentication CISCO
ip nhrp network-id 1
ip nhrp map multicast dynamic

ip nhrp map multicast [Link]


ip nhrp map [Link] [Link]
ip nhrp nhs [Link]
Mapear la direccin del tnel del HUB ([Link]) a la direccin del ISP
[Link].
Indicar que el next hop server (nhs) o el servidor nhrp tiene la direccin
[Link]. El HUB funciona como servidor NHRP.

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 13
Ajustes en los tneles en la red

Cisco recomienda reducir el MTU a 1400, para contemplar la creacin


del tnel:
ip mtu 1400
Modifique tambin el tamao mximo del segmento (mss), considera 20
bytes del TCP y 20 bytes del IP:
ip tcp adjust-mss 1360
Presentation_ID 14
2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco
Dynamic Multipoint VPN

Hub

ISP

Spoke1 Spoke2

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 15
Actividades prcticas

Presentation_ID 2014 Cisco Systems, Inc. Todos los derechos reservados. Informacin confidencial de Cisco 16

También podría gustarte