Una introducción a DMVPN Una introducción a DMVPN
En el siguiente artículo trataremos de explicar qué es y cómo funciona Cisco DMVPN, es una arquitectura centralizada de túneles VPN que provee una... Una introducción a DMVPN

En el siguiente artículo trataremos de explicar qué es y cómo funciona Cisco DMVPN, es una arquitectura centralizada de túneles VPN que provee una implementación «sencilla» y escalable. Los componentes principales de este tipo de VPN son:

  •  mGRE: Multipoint GRE, permite una interfaz GRE soportar multiples tuneles Ipsec simplificando el tamaño y la complejidad de la configuración.
  • Dynamic Discovery Ipsec: La configuracion estatica de los perfiles crypto se elimina, no es necesario definir un crypto map para cada par de peers en la configuración de Ipsec.
  • Routing Protocol: Se usan para enviar las redes entre hub y spokes
  • NHRP (Next Hop Resolution Protocol): Permite a los spoke ser implementados de manera dinámica asignando ip pública.

Existen tres tipos de DMVPN:

  • Phase 1: Este tipo provee conectividad hub-and-spoke, el tunel GRE se construye solo entre el HUB y el Spoke. En esta Phase 1, todo el tráfico destinado a redes tras un Spoke ha de pasar primero por el HUB.

El siguiente gráfico muestra la arquitectura:

Si trazamos una ruta hacia una red tras el Spoke3 podemos ver que el tráfico se encamina atravesando el  HUB.

Spoke2#traceroute 192.168.3.5 source ethernet 0/0
Type escape sequence to abort.
Tracing the route to 192.168.3.5
VRF info: (vrf in name/id, vrf out name/id)
1 10.0.1.1 5 msec 4 msec 2 msec
2 10.0.1.3 2 msec 5 msec 5 msec

Esto, evidentemente, es muy ineficiente ya que en en la Phase 1 todo el tráfico se tendrá que pasar obligatóriamente por el HUB. Aquí entra en juego la Phase2.

  • Phase 2: Permite a los spokes crear tuneles entre ellos de manera dinámica y bajo demanda tuneles spoke-to-spoke. Hay que tener en cuenta que los spokes deben recibir rutas especificas para las redes remotas de cada spoke.

Si con esta nueva implementación intentamos alcanzar una red 192.168.3.0/24 desde el Spoke2, veremos que el primer paquete llega al HUB porque todavia no ha completado la adyacencia.

Spoke2#show adjacency 10.0.1.3
Protocol Interface                 Address
IP       Tunnel1                   10.0.1.3(7) (incomplete)

El Spoke2 envia un mensaje «NHRP resolution request» con la dirección NBMA del Spoke3 al HUB, el HUB reenvia este mensaje al Spoke3 y este contesta directamente al Spoke2 con la información del mapeo.

Cuando esta resolución NHRP ha sido completada, este túnel dinámico puede establecerse y el tráfico ya no pasará más por el HUB, la comunicación entre Spoke2 y Spoke3 se hará de manera directa.

Spoke2#show ip nhrp dynamic
10.0.1.3/32 via 10.0.1.3
   Tunnel1 created 00:00:16, expire 00:04:43
   Type: dynamic, Flags: router nhop
   NBMA address: 57.57.57.5
  • Phase 3: Permite a los spoke crear túneles spoke-to-spoke y además superar las restricciones de la Phase 2. Para ello usa mensajes NHRP para que el hub difunda la mejor ruta para alcanzar un determinado objetivo. Esta función se habilita configuranod ip nhrp redirect en el HUB y ip nhrp shortcut en los spoke.

Del mismo modo, si intentamos alcanzar la red 192.168.3.0/24, el primer paquete ira al HUB, este lo envia al Spoke3, ahora el HUB dispara el proceso NHRP y establece las indicaciones para el Spoke2 diciendo el mejor camino a esa red.

En este punto, el spoke modifica su tabla de enrutamiento EIGRP y refleja este cambio a modo de NHRP shortcut (acceso directo a esa red)

gpinero

No hay comentarios

Se el primero en dejar un comentario.

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

CAPTCHA ImageChange Image