DMVPN ist mehr als das hier, aber in aller Kürze die wichtigsten Befehle. Das Labor bestand aus einem Hub mit der IP 192.168.19.1 (Tunnel: 172.16.1.1) und mehreren Spokes mit den IPs 192.168.19.5 – .10 (Tunnel: 172.16.1.5 – .10) Die Config der Spokes ist natürlich bis auf die IPs identisch.
Die IPSec Config ist Standard und für alle Router identisch.
HUB:
conf t interface Tunnel1 description ### HUB1 ### bandwidth 10000 ! Bandbreite der Verbindung, Metrik für Routing Protokolle ip address 172.16.1.1 255.255.255.0 no ip redirects ! Kein ICMP Redirect senden ip mtu 1400 ! Interface MTU auf 1400byte vermindert ip nhrp authentication NHRPkey1 ! NHRP Passwort, wird zur Authentifizierung benutzt. Alle Router im gleichen NBMA Netz müssen den gleichen Key nutzen ip nhrp map multicast dynamic ! Dynamisches Mapping für Multicast Ströme ip nhrp network-id 20 ! Eindeutige Network ID, schaltet NHRP ein ip nhrp holdtime 300 ip nhrp redirect ! Der redirect Eintrag ist für DMVPN Phase 3 nötig. Damit tauscht der Hub die Informationen der Spokes aus und ermöglicht so die Spoke-Spoke Tunnel ! NHRP MAP Einträge sind für 300s gültig ip tcp adjust-mss 1360 ! Paketgröße in TCP Streams auf 1360 Byte begrenzen um Fragmentierung zu vermeiden tunnel source Gi2 ! SourceInterface für diesen Tunnel tunnel mode gre multipoint ! Mode GRE Multipoint (mGRE) tunnel key 100001 ! Tunnel Key, wird benötigt um mehrere Tunnel auf einem Gerät von einander zu trennen. Ist auf Spokes mit 2 oder mehr Tunneln wichtig. tunnel protection ipsec profile DMVPN ! IPSec auf diesem Tunnel aktivieren exit
Spoke 1:
conf t interface Tunnel1 description ### TO-HUB1 ### bandwidth 10000 ip address 172.16.1.5 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication NHRPkey1 ip nhrp map 172.16.1.1 192.168.19.1 ! statische NHRP MAP für den HUB (Auflösung TunnelIP zu PhysischerIP) ip nhrp map multicast 192.168.19.1 ! statische NHRP MAP für Multicast (wird an HUB gesendet) ip nhrp network-id 20 ip nhrp holdtime 30 ip nhrp shortcut ! Shortcut wird für DMVPN Phase 3 benötigt. Ansonsten wird alles über den Hub gesendet. ! NHRP MAP Einträge sind für 30s gültig ip nhrp nhs 172.16.1.1 ! Statischer NHS Eintrag (HUB) ip tcp adjust-mss 1360 timeout absolute 1 0 tunnel source Gi2 tunnel mode gre multipoint tunnel key 100001 tunnel protection ipsec profile DMVPN shared exit
IPSec:
conf t crypto isakmp policy 1 encr aes 256 hash sha512 authentication pre-share group 14 crypto isakmp key DMVPNkey address 0.0.0.0 0.0.0.0 crypto isakmp keepalive 10 ! ! crypto ipsec transform-set TS esp-aes esp-sha512-hmac mode transport ! crypto ipsec profile DMVPN set transform-set TS end