DMVPN: инструкция по настройке

Содержание статьи

DMVPN: инструкция по настройке

Dynamic Multipoint Virtual Private Network, DMVPN - динамическая многоточечная виртуальная частная сеть, представляет собой способ создания ВПН без предварительной настройки всех возможных конечных точек туннеля. Обычно она настраивается для формирования сети типа "центр-точка", где каждая новая точка может присоединиться к сети с минимальными усилиями. Главные плюсы DMVPN включают упрощение настройки маршрутизаторов, высокую масштабируемость, хорошую производительность с увеличенной пропускной способностью и безопасную маршрутизацию с применением IPsec.

Из чего состоит и как настроить DMVPN

DMVPN имеет три варианта, которые определяют маршрутизацию данных:

  1. Фаза 1: весь трафик направляется от точек к центру и через него.
  2. Фаза 2: начинается с Фазы 1 и допускает туннели между точками. При этом маршрутизация осуществляется через IP-таблицу маршрутизации, и точки достигают других сетей по IP-адресу следующего узла для конкретной сети.
  3. Фаза 3: улучшает масштабируемость и имеет меньше ограничений, чем Фаза 2. Она позволяет суммировать маршруты от центра к точкам. При этом точки даже не нуждаются в собственных маршрутах, а могут использовать шлюз по умолчанию к центральному маршрутизатору.

Сегодня рассмотрим инструкции по настройке DMVPN Фаза 3 между "центром" и двумя "точками".

Инструкция по настройке DMVPN центр - 2 точки

В настоящее время BGP является единственным стабильным решением для динамической маршрутизации, которое может работать с DMVPN. Если у вас возникли проблемы с поиском определенной страницы или параметров на веб-интерфейсе вашего устройства, включите "Расширенный веб-интерфейс" (Advanced WebUI). Это можно сделать, нажав кнопку "Basic" под "Mode" в правом верхнем углу веб-интерфейса.

Сначала настроим экземпляр DMVPN, чтобы установить соединение. Затем установим параметры протокола BGP (Border Gateway Protocol) в качестве решения для динамической маршрутизации.

В настоящее время BGP является единственным стабильным решением для динамической маршрутизации, которое может работать с DMVPN. Если у вас возникли проблемы с поиском определенной страницы или параметров на веб-интерфейсе вашего устройства, включите "Расширенный веб-интерфейс" (Advanced WebUI). Это можно сделать, нажав кнопку "Basic" под "Mode" в правом верхнем углу веб-интерфейса.

  • Перейдите в веб-интерфейсе устройства на страницу Services → ВПН → DMVPN.
  • Выберите интерфейс HUB (центр) в поле "Tunnel source".
  • Укажите локальный IP-адрес GRE интерфейса (например, 10.0.0.254).
  • Задайте маску подсети GRE интерфейса 255.255.255.255.
  • Установите значение MTU GRE интерфейса на 1420 (или даже ниже, например, 1400, если используется мобильный интерфейс).
  • Исходящие/входящие ключи не обязательны, в этом примере они останутся по умолчанию.
  • Укажите общий ключ IPsec (например, простой 654321).
  • Настройка параметров DMVPN Фаза 1: установите алгоритм шифрования на AES 128, выберите аутентификацию SHA256, задайте группу DH - MODP3072.
  • Настройка параметров DMVPN Фаза 2: алгоритм шифрования - AES 128, алгоритм хеширования - SHA256, задайте группу PFS - MODP3072.
  • Настройка параметров DMVPN NHRP. В разделе параметров NHRP важно включить опцию REDIRECT, которая необходима для нашей конфигурации Фазы 3. Сохраните изменения.
  • Настройка точки Spoke 1 BGP: перейдите в раздел "Сеть" → "Маршрутизация" → "Динамические маршруты" → "Протокол BGP" и включите BGP, настройте основные параметры. Включите vty, установите автономную систему (AS) на 65001, укажите сеть как 192.168.10.0/24. Далее создайте пир для BGP: укажите удаленную автономную систему (AS) как 65000, установите удаленный адрес как 10.0.0.254, оставьте остальные параметры по умолчанию.
  • Настройка точки Spoke 2 DMVPN: перейдите в раздел "Сервисы" → "VPN" → "DMVPN" и создайте новый экземпляр DMVPN. Добавьте адрес HUB (общедоступный IP-адрес устройства HUB). Выберите исходный туннель (исходящий интерфейс, достижимый до IP-адреса HUB через Интернет). Укажите локальный IP-адрес GRE интерфейса (уникальный в VPN сети). Добавьте удаленный IP-адрес GRE интерфейса (IP-адрес устройства HUB). Установите MTU GRE на 1420. Установите локальный идентификатор (для настроек за NAT), удаленный идентификатор и введите тот же предварительно общий ключ. Настройте параметры DMVPN Фаза 1 и Фаза 2. Включите опцию REDIRECT в параметрах NHRP.
  • Настройка точки Spoke 2 BGP: перейдите в раздел "Сеть" → "Маршрутизация" → "Динамические маршруты" → "Протокол BGP" и следуйте указанным инструкциям. Включите BGP и настройте основные параметры: включите vty, установите автономную систему (AS) на 65002, укажите сеть как 192.168.20.0/24, создайте пир для BGP, укажите удаленную автономную систему (AS) как 65000, установите удаленный адрес как 10.0.0.254. Оставьте остальные параметры по умолчанию.

Важное замечание: для HUB в разделе "Сеть" → "Брандмауэр" измените зону GRE с REJECT на ACCEPT в разделе FORWARD. Также отключите маскирование на HUB и всех точек spoke для переадресации GRE → LAN зон.

Тестирование работоспособности DMVPN

Для проверки состояния туннеля вы можете воспользоваться командой ipsec statusall в интерфейсе командной строки (CLI) или через SSH. Она предоставит детальную информацию о текущем состоянии соединения или всех соединениях, если не указан аргумент. При правильной настройке должно отобразиться, что туннель установлен.

Для проверки доступности между HUB и SPOKES вы можете использовать команду ping. Для проверки маршрутов на HUB выполните команду vtysh -c "show ip nhrp". Если вам необходимо перезагрузить туннель, выполните команду /etc/init.d/ipsec restart.

На этом этапе завершена базовая настройка DMVPN, и Фаза 3 активируется, обеспечивая динамическое установление связи между spoke. Этот метод позволяет добавлять новые узлы и конечные точки в существующую топологию без изменений на узле HUB.

Теперь ваша сеть DMVPN должна быть готова к использованию. Если у вас возникли проблемы с настройкой или пониманием какого-либо шага, всегда можно обратиться к документации или сообществу поддержки.

Личный ВПН-сервер: эффективен на любой позиции инфраструктуры сети

Личный ВПН-сервер может быть интегрирован в DMVPN-сеть, выступая в роли HUB (центрального узла), который обеспечивает связь с другими устройствами (например, мобильными устройствами, удаленными офисами и т. д.), расположенными на позиции spoke (точек), через динамически устанавливаемые туннели. Также личный ВПН-сервер может быть одной из конечных точек в DMVPN-сети.

Купить личный ВПН-сервер и выбрать наилучший сервис, соответствующий конкретным задачам, теперь стало проще благодаря VPN.how. Этот веб-сайт не только предлагает выгодные условия для покупки ВПН-сервера, но также предлагает исчерпывающую информацию о различных аспектах его использования, начиная с вариантов оплаты и заканчивая ответами на часто задаваемые вопросы в разделе FAQ.

Поделитесь статьёй:
Рэнсомвар: что это и как с ним бороться?
Многовекторные кибератаки: что это и как с ними бороться