Обсуждение:Настройка DMVPN на маршрутизаторах Cisco

Материал из Xgu.ru

Перейти к: навигация, поиск

Вопрос:

Я хотел бы реализовать конфигурацию описанную в вашей статье "Настройка DMVPN на маршрутизаторах Cisco", не могли бы вы мне подсказать реально ли это сделать в эмуляторе GNS3(основан на Dynamips) если он эмулирует роботу оборудования Cisco? Вопрос возник потому, что реализация данной конфигурации производилась на Xentaur о котором я ничего не знаю. Но насколько я понимаю разницы в конфигурационных файлах маршрутизаторов быть не должно?

Ответ:
Да, разницы в конфигурационных файлах маршрутизаторов не будет никакой.
Xentaur тоже используется dynamips как один из компонентов виртуальной сети, так что для маршрутизаторов конфигурация будет абсолютно идентичной.
В схеме статьи кроме dynamips использовались виртуальные машины Linux, как маршрутизаторы и хосты. Но Вы конечно же можете заменить их абсолютно без проблем dynamips.

Вопрос:

Нужны ли какие-то особые настройки для маршрутизатора qua2 (который как я понял имитирует сеть Интернет) нужно ли на нем настраивать динамическую маршрутизацию или просто прописать статические маршруты ко всем внутренним сетям или вообще маршрутизацию настраивать не нужно?

Ответ:
На маршрутизаторе qua2 не надо настраивать маршрутизацию. На нем просто настроены адреса на соответствующих интерфейсах.
Маршруты к внутренним сетям прописывать не нужно, так как задача построения DMVPN как раз в том чтобы соединить эти внутренние сети.
Маршрутизатор qua2 -- это линукс с запущенной в нем quagga. Синтаксис команд почти такой же как и в cisco, так что Вы можете просто посмотреть настройки этого маршрутизатора и сделать аналогично.
Настройки qua2: http://xgu.ru/wiki/Dmvpn/config#qua2
Вопрос:
Тогда я не могу понять зачем настраивать статические маршруты между внешними интерфейсами маршрутизаторов???(в самом начале статьи?) DMVPN ведь позволяет чтоб адреса споуков были динамическими и чтоб подключение нового споука не нуждалось в дополнительной настройке хаба, а статические маршруты идут в разрез с этим. Или я не прав???
Ответ:
Вы всё правильно говорите -- DMVPN позволяет использовать динамические адреса на spoke. В этой схеме они просто статически назначены, но могут быть и динамически.
Статические маршруты, которые прописывались в начале статьи не идут в разрез с этим. Статические маршруты прописаны в сети, а не к маршрутизаторам.
То есть, если абстрагироваться от схемы тестовой сети, то получается:
Есть у Вас три офиса, есть какие-то честные адреса, которые Вам выдал провайдер или которые назначаются динамически -- это тут не принципиально. Адреса провайдер выдает Вам из какого-то своего диапазона сетей. Как правило, в самом простом случае у Вас просто маршрут по умолчанию указан на провайдера.
Теперь получается, что Вы знаете за счет этого маршрута по умолчанию как передать данные провайдеру, а дальше уже провайдер знает о всех сетях Интернета. И такая ситуация в каждом офисе.
То есть, должны быть маршруты между внешними интерфейсами маршрутизаторов, но не буквально к их адресу (так как он может динамически назначаться и быть заранее неизвестным), а главное чтобы был маршрут в ту сеть. Обычно этим всем занимается провайдер, а у вас только маршрут по умолчанию есть (ну или же Вы тоже поднимаете BGP и так далее).
Так как тут схема простая, то самый простой вариант был прописать статические маршруты в другие сети. Можно было обойтись и маршрутом по умолчанию на qua2, но я специально явно прописала маршруты так, чтобы не было сомнений, что нет маршрутов в локальные сети за маршрутизаторами.
В общем, в этой схеме Вы за провайдера прописываете маршруты в "интернете" из одного маршрутизатора.


Вопрос:

У меня к вам еще один вопрос, нужно ли отдельно настраивать хаб как сервер для раздачи сертификатов или автоматическая настройка произойдет автоматически если использовать политику isakmp с аутентификацией по сертификатам??? В конфигурационных файлах я вижу настройка хаба как СА уже присутствует ее нужно делать исходя из ссылки на статью о сертификатах???

Ответ:
Автоматически сертификаты не будут раздаваться.
Нужно настраивать HUB (или любой другой маршрутизатор, но хаб конечно же логичнее) как центр сертификатов. Настройки Вам нужны со страницы Центр сертификатов на маршрутизаторе Cisco
  1. На Hub-маршрутизаторе надо поднять центр сертификатов [1]
  2. настроить spoke-маршрутизаторы для получения сертификатов [2]
  3. и настроить сам hub для получения сертификата от самого себя [3]

Ещё один момент насчет конфигурационных файлов приведенных на странице DMVPN:

В файлах указаны две политики isakmp:
crypto isakmp policy 10 -- эта политика предполагает аутентификацию по сертификатам
и
crypto isakmp policy 20 -- эта политика предполагает аутентификацию по pre-shared key
authentication pre-share
crypto isakmp key isakmpkey address 0.0.0.0 0.0.0.0 -- это соответствующий pre-shared key
Тут достаточно было бы настроить одну политику (одинаковую на всех маршрутизаторах). Две указаны исключительно для примера настроек.


Вопрос: Доброго времени суток, я правильно понял? Что адреса на внешние интерфейсы раздает например ADSL модем. Тоесть на WAN модема привязана либо статика либо динамика, а на LAN это сеть 192.168.1.0 /24 к примеру, где 192.168.1.1 это WAN роутера, а 192.168.1.2 это LAN интерфейса модема. А если использовать в конфигурации блоки реальных IP адресов, как будет выглядеть конфигурация? Нужен ли NHRP. Спасибо.

Ответ:
В статье адреса 10.0.0.0 это приватные адреса, а 192.168.0.0 -- реальные адреса.
Считается, что эти маршрутизаторы пограничные, то есть они смотрят на провайдера.