DMVPN

Dynamic Multipoint VPN

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 1
¿Por qué es interesante usar DMVPN?
Para tener comunicaciones eficientes de tipo spoke-to-spoke
en topologías hub-and-spoke.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 2
¿Cómo se implementan estos túneles?
 Con el Protocolo Next Hop Resolution Protocol (NHRP)

NHRP: Indica al hub como servidor, permitiendo así que

el tráfico de tipo multicast fluya hacia el servidor.

 Mediante Túneles Multipoint Generic Routing

Encapsulation (mGRE)

 Con mecanismos de encriptación IP Security (IPsec).

Habilitando encriptación IPSec en los túneles

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 3
 Dynamic Multipoint VPN
La topología mantiene conectividad en la red del ISP, no
debe haber conectividad entre las redes privadas.

ISP

Sobre esta red se implementa túneles VPN (con GRE) para conectar las
redes de PC1, PC2 y PC3
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 4
 Dynamic Multipoint VPN

Hub

ISP

Spoke1 Spoke2

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 5
 Dynamic Multipoint VPN
Configuración del HUB (R1)

Fase 1 de ISAKMP

crypto isakmp policy 1

encr aes
hash md5
authentication pre-share
group 2

crypto isakmp key MYKEY address 0.0.0.0

Primero establecemos el intercambio de claves de manera segura, el

otro extremo es identificado con la IP 0.0.0.0 (multipoint)

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 6
 Dynamic Multipoint VPN

Configurar la encriptación de datos

que pasan por los túneles.

Configuración del HUB (R1)

Fase 2 de ISAKMP

crypto ipsec transform-set MYSET esp-aes esp-md5-hmac

crypto ipsec profile MGRE

set security-association lifetime seconds 86400
set transform-set MYSET

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 7
 Dynamic Multipoint VPN
Configuración del HUB (R1)
Configuración de Interface Tunnel 0

interface Tunnel 0
ip address 172.16.123.1 255.255.255.0
no ip split-horizon eigrp 10

tunnel mode gre multipoint

tunnel source FastEthernet0/0
tunnel protection ipsec profile MGRE

El Split-horizon desactivado para usar EIGRP.

En la interfaz Tunnel el modo debe ser el GRE Multipoint
Se indica el origen del tunel, para el destino se usa NHRP
Se usa IPsec para encriptar los datos que viajan por el túnel (profile
MGRE)
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 8
 Dynamic Multipoint VPN
Configuración del HUB (R1)
Configuración de Interface Tunnel 0

interface Tunnel0

ip nhrp authentication CISCO

ip nhrp network-id 1
ip nhrp map multicast dynamic

El protocolo NHRP (Next Hop Resolution Protocol) permite resolver

las direcciones privadas del túnel (172.16.123.2) a la dirección del
ISP (192.168.123.2).
Para la seguridad al usar NHRP se usa autenticación.
El mapeo se establece como dinámico
Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 9
 Dynamic Multipoint VPN
Configuración del SPOKE1 (R2)

Fase 1 de ISAKMP

crypto isakmp policy 1

encr aes
hash md5
authentication pre-share
group 2

crypto isakmp key MYKEY address 0.0.0.0

Similar al HUB, establecemos el intercambio de claves de manera

segura en los SPOKE.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 10
 Dynamic Multipoint VPN

La encriptación de datos en los SPOKE

debe ser la misma que en el HUB.

Configuración del SPOKE1 (R2)

Fase 2 de ISAKMP

crypto ipsec transform-set MYSET esp-aes esp-md5-hmac

crypto ipsec profile MGRE

set security-association lifetime seconds 86400
set transform-set MYSET

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 11
 Dynamic Multipoint VPN
Configuración del SPOKE1 (R2)
Configuración de Interface Tunnel 0

interface Tunnel 0
ip address 172.16.123.2 255.255.255.0

tunnel mode gre multipoint

tunnel source FastEthernet0/0
tunnel protection ipsec profile MGRE

En la interfaz Tunnel el modo debe ser el GRE Multipoint

Se usa IPsec para encriptar los datos que viajan por el túnel (profile
MGRE)

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 12
 Dynamic Multipoint VPN
Configuración del HUB (R1)
Configuración de Interface Tunnel 0

interface Tunnel0
ip nhrp authentication CISCO
ip nhrp network-id 1
ip nhrp map multicast dynamic

ip nhrp map multicast 192.168.123.1

ip nhrp map 172.16.123.1 192.168.123.1
ip nhrp nhs 172.16.123.1
Mapear la dirección del túnel del HUB (172.16.123.1) a la dirección del ISP
192.168.123.1.
Indicar que el next hop server (nhs) o el servidor nhrp tiene la dirección
172.16.123.1. El HUB funciona como “servidor” NHRP.

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 13
 Ajustes en los túneles en la red

Cisco recomienda reducir el MTU a 1400, para contemplar la creación

del túnel:
ip mtu 1400
Modifique también el tamaño máximo del segmento (mss), considera 20
bytes del TCP y 20 bytes del IP:
ip tcp adjust-mss 1360
Presentation_ID 14
© 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco
 Dynamic Multipoint VPN

Hub

ISP

Spoke1 Spoke2

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 15
 Actividades prácticas

Presentation_ID © 2014 Cisco Systems, Inc. Todos los derechos reservados. Información confidencial de Cisco 16