در بخش اول آشنایی با Cisco Dynamic Multipoint VPN (DMVPN) با مکانیزم DMVPN و مزایای استفاده از این ساختار برای ارتباطات آشنا شدیم در این بخش می خواهیم وارد بحث فنی شده و به صورت عمیق تر به نحوه راه اندازی این سرویس به صورت Hub-and-Spoke بپردازیم. در این طرح ارتباطات بینSpoke ها از طریق HUB انجام می گیرد. مزیت اصلی این روش نسبت به مکانیزم Point-to-Point GRE کاهش تعداد تونل در نقطه HUB می باشد.
![]()
با توجه به شکل نکات زیر قابل توجه می باشد:
- برای پیاده سازی تانل سمت HUB از mGRE و تانل GRE نوع Point-To-Point در سمت Spokeها استفاده می شود.تفاوت mGRE با GRE در این است که در mGRE مقصد تونل نامعلوم است اما در GRE مبدا و مقصد تونل مشخص است.
- آدرس اینترفیسTunnel در HUB و Spoke ها از محدوده آدرس 172.19.0.0/24 انتخاب شده است ، با توجه به اینکه دفتر مرکزی (HUB)و دفاتر تابعه (Spoke)با یک ابر مشترک DMVPN به هم متصل هستند، بنابراین محدوده آدرس اینترفیس Tunnel در همه روترها یکسان است.
- برای شبیه سازی اتصال دفاتر با شعبه مرکزی در اینترنت و یا هر شبکه wan دیگر از یک روتر به نام Internet استفاده شده است، این روتر همانند اینترنت آیپی های فیزیکی شبکه های مختلف را به یکدیگر متصل می کند.
- پروتکلNHRP وظیفه تبدیل آدرس Tunnel به آدرس فیزیکی روتر را برعهده دارد و روتر HUB به عنوان NHRP Server و دو روتر Spoke به عنوان NHRP Client استفاده می شود. در روتر HUB جدولی به نام NHRP Table ایجاد خواهد شد که معادل آدرس فیزیکی آدرس تونل روترهای Spoke در آن ذخیره می گردد در آن قرار دارد. نگاشت آدرس اینترفیس Tunnel به آدرس فیزیکی روتر HUB را به صورت دستی روی روترهای Spoke وارد می نماییم. روترهای Spoke نیز هر یک مستقلا آدرس فیزیکی و آدرس اینترفیس Tunnel خود را به NHRP Server اعلام می کنند. جدول NHRP در ذیل نشان داده است که در آن معادل آدرس 19.0.2 آدرس فیزیکی 10.1.3.1 و معادل آدرس 172.19.0.3 آدرس فیزیکی 10.1.2.1 تعیین شده است. حتما به خاطر دارید که هر روتر Spoke، نگاشت بین آدرس فیزیکی و آدرس تونل خود را قبلا در اختیار روتر HUB قرار داده است.
![]()
تنظیمات IPSec:
برای امن سازی ارتباط بهتر است که از پرتوکل IPsec استفاده شود لذا نیز تنظیمات زیر را در هر دو سمت HUB و Spoke می زنیم ، crypto مربوطه با یک کلید رمز می شود که این ipsec profile Dmvpn-ipsec در اینترفیس تانل assign می شود.
![]()
پیکربندی Tunnel سمت Hub :
برای اینترفیس تانل از رنجی اختصاص می دهیم که اینترفیس تانل Spoke ها نیز در آن رنج قرار دارد.
ip nhrp authentication javaheri: این پارامتر برای احراز هویت NHRP است و می بایست برای هر دوسمت یکسان تنظیم شود.
ip nhrp map multicast dynamic: این پارامتر اجاز می دهد که NHRP به صورت اتوماتیک spoke ها را به مالتی کست NHRP نگاشت کند.
Tunnel key 10000 : کلید شماره شناسایی Tunnle که یک عدد بین 0 تا 4294967295 است و می بایست مقدارش بین تمامی تانل ها یکسان باشد.
Tunnel source 10.1.1.1 : آیپی فیزیکی روی اینترفیس روتر یا loopback است ، این آیپی است که روتر به وسیله آن به شبکه متصل است.
ip tcp adjust-mss 1360: تغیر مقدار ماکسیمم سگمنت سایز ، مقدار توصیه شده سیسکو 1360 است، تغیرات این مقدارمی تواند بین 500 تا 1460 باشد ،بیشتر از 1460 باعث ایجاد فرگمنشن و به طبع آن مشکلات میشود، مقدارماکزیموم این پارامتر از تفاضل
GRE Tunnel Maximum Size (36بایت )با مقدار MTU حاصل می شود به دست می آید یعنی 1460=40-1500
ضمناٌ در اینجا سیسکو پیشنهاد میدهد که مقدار mtuرا 1400 در نظر گرفته شودکه به طبع آن مقدار مقدار ماکسیمم سگمنت سایز 1360 میشود.
![]()
پیکربندی Tunnel سمت Spoke :
Tunnel source 10.1.3.1: آیپی فیزیکی روی اینترفیس روتر یا loopback است ، این آیپی است که روتر به وسیله آن به شبکه متصل است.
ip nhrp map multicast 10.1.1.1 : برای فعال کردن روتینگ مالتی کست پرتوکل بین Spoke و Hub ،ضمناً آدرس فیزیکی روتر Hub را تعیین می کند که ترافیک broadcast و multicast ارسالی به مقصد Hub به این آدرس ارسال می گردد.
Tunnel mode gre multipoint: تنظیم کردن encapsulation به mGRE برای اینترفیس تانل.
ip nhrp nhs 172.19.0.1 : با این دستور آدرس nhrp server را تعیین می کنیم.
![]()
روتینگ پرتوکل :
برای روتینگ پرتوکل DMPVN می توان از دو روتینگ پرتوکل OSPF و EIGRP استفاده نمود که در اینجا ما از روتینگ پرتوکل OSPF استفاده می کنیم.
تنظیمات OSPF سمت HUB :
![]()
تنظیمات OSPF سمت Spoke :
پس انجام تنظیمات فوق می توان اتصال spoke ها را به hub با دستور زیر بر روی روتر Hub مشاهده کرد و می بایست خروجی زیر را نمایش دهد:
همچنین می توان صحت اتصال روتینگ پروتوکل را با استفاده از دستور show ip ospf neighber در روتر های hub و spoke مشاهده کرد.
همچنین می توان روتینگ پروتوکل را با استفاده از دستور show ip route در روترهای hub و spoke مشاهده کرد. همانطور که در شکل زیر می بینیم ، روتر Hub شبکه 172.16.16.0/24 را که شبکه داخلی Spoke1 است را از طریق OSPF و از اینترفیس Tunnel با Spoke1 در یافت می کند و همچنین نتورک 192.168.110.0 /24 را که شبکه داخلی Spoke2 است را از طریق OSPF و از اینترفیس Tunnel با Spoke2 در یافت می کند .
همچنین spoke ها نیز می توانند شبکه 192.168.37.0/24 را که شبکه داخلی Hub است را با OSPF مشاهده می کنند .
دانلود فایل های کانفیگ سناریو DMVPN
پایان بخش دوم
- Design
بسیار عالی
بسیارعالی