Check these out next
PLNOG16: Wielopunktowy VPN, Piotr Głaska
16 Mar 2016•0 j'aime•209 vues
1 j'aime
Soyez le premier à aimer ceci
afficher plus
vues
Nombre de vues
0
Sur Slideshare
0
À partir des intégrations
0
Nombre d'intégrations
0
Télécharger pour lire hors ligne
Signaler
Internet
PLNOG16: Wielopunktowy VPN, Piotr Głaska
PROIDEASuivre
PROIDEARecommandé
PLNOG16: Transport ruchu klientów - MPLS L2 i L3, Tomasz JedynakPROIDEA
PLNOG 9: Krzysztof Mazepa - Dostęp szerokopasmowy IPv6PROIDEA
PLNOG 9: Marcin Aronowski - Unified MPLSPROIDEA
PLNOg16: SDN dla entuzjastów i sceptyków. Co zaskoczyło mnie w rozwiązaniu wi...PROIDEA
PLNOG16: Budowa sieci dostępowej dla operatora, Marek MoskalPROIDEA
PLNOG 8: Bartłomiej Anszperger - MPLS - Co to jest? Z czym to gryźć? Jak i po...PROIDEA
PLNOG16: Wielopunktowy VPN, Piotr Głaska
- www.huawei.comHUAWEI TECHNOLOGIES CO., LTD. Dynamiczny VPN wielopunktowy Piotr Głaska
- #2 HUAWEI TECHNOLOGIES CO., LTD. Centrala Oddział 2 Sieć NBMA Tunel statyczny Tunel dynamiczny Statyczny adres IP Dynamiczny adres IP Dynamiczny VPN wielopunktowy Oddział 1 Oddział 3
- #3 HUAWEI TECHNOLOGIES CO., LTD. Porównanie DMVPN i GET VPN Page 3 DMVPN / DSVPN GET VPN / A2A VPN Dynamiczne adresy oddziałów X X Routing dynamiczny X X Dynamiczne tunele między oddziałami X X IKEv2 X X IPv6 X X IP Multicast X X NAT X Sieć publiczna X Interoperacyjność X (Cisco, Huawei, Adtran, Vyatta, Linux) X (poza serwerem kluczy) Wady GET VPN • Brak możliwości działania w sieciach publicznych • GET VPN używa wspólnego klucza do szyfrowania ruchu w całej sieci. Wystarczy uzyskać dostęp do routera w najsłabiej chronionym oddziale, aby uzyskać możliwość deszyfrowania całości ruchu w sieci WAN • GET VPN nie ukrywa informacji o wew. adresach, tym samym pozwala na nieautoryzowaną analizę ruchu w sieci, kto komunikuje się z kim, adresy serwerów itp. • Key Server musi być Cisco • W przypadku gdy sieć WAN nie obsługuje multicastów key serwery muszą mieć IOS 15.5T+, żeby obsługiwać drafty IETF do unicast rekey i anti-replay
- #4 HUAWEI TECHNOLOGIES CO., LTD. Jak działa DMVPN / DSVPN 1. Gdzie skierować pakiet zaadresowany do innego oddziału? • Routing dynamiczny (RIP, OSPF, BGP) lub statyczny (brak wsparcia IS-IS) 2. Skąd informacja jaki jest aktualny dynamiczny adres IP innego oddziału? • NHRP (Next Hop Resolution Protocol) i mGRE (Multipoint Generic Routing Encapsulation) 3. Jak zaszyfrować transmisję? • IPSec
- #5 HUAWEI TECHNOLOGIES CO., LTD. • Interfejs tunelu mGRE jest nieco podobny do zwykłego GRE. Tak samo posiada: • Adres źródłowy (fizyczny) • Adres interfejsu tunel • Różni się jednak jeżeli chodzi o: • Typ interfejsu w konfiguracji: GRE P2MP (GRE MULTIPOINT) zamiast GRE • Docelowy adres IP: • W GRE: jeden adres skonfigurowany statycznie • W mGRE: dynamicznie pobierany dzięki protokołowi NHRP. Interfejs mGRE posiada wiele docelowych adresów IP, ponieważ składa się z wielu tuneli GRE • Keep-Alive: w mGRE nie wspierane Multipoint GRE
- #6 HUAWEI TECHNOLOGIES CO., LTD. Komunikat Wartość Znaczenie NHRP Resolution Request 1 Zapytanie o adres IP (w sieci NBMA) routera sieci docelowej NHRP Resolution Reply 2 NHRP Registration Request 3 Rejestrowanie oddziałów w routerach centralnych NHRP Registration Reply 4 NHRP Purge Request 5 Kasowanie nieaktualnych mapowań NHRP NHRP Purge Reply 6 NHRP Error Indication 7 Sygnalizacja błędów NHRP Redirect 8 Centrala wyzwala w routerze źródłowym proces zapytania o adres next-hop dla sieci docelowej Ethernet Link IP Header IPSec Header GRE header NHRP payload Enkapsulacja Pozwala urządzeniu w sieci NBMA (Non-Broadcast Multiple Access) uzyskać adres „publiczny” routera sieci docelowej Next Hop Resolution Protocol (NHRP) Rodzaje komunikatów
- #7 HUAWEI TECHNOLOGIES CO., LTD. Adresacja 202.1.1.1/24: Adres IP w sieci NBMA (typowo adres publiczny interfejsu fizycznego WAN) 192.168.1.1/24: Adres IP sieci wewnętrznej (typowo adres prywatny interfejsu fizycznego LAN) 172.10.1.1/24: Adres IP interfejsu Tunnel Hub Spoke A Spoke B 192.168.0.1/24 192.168.2.1/24192.168.1.1/24 202.1.2.1/24 202.1.3.1/24 202.1.1.1/24 172.10.1.1/24 172.10.2.1/24 172.10.3.1/24
- #8 HUAWEI TECHNOLOGIES CO., LTD. Scenariusze działania 1. Hub-Spoke (Phase 1) 2. Spoke-Spoke (Phase 2) Adres Next Hop do oddziału docelowego => adres tunelu mGRE routera docelowego 3. Spoke-Spoke z przekierowaniem (Phase 3) Adres Next Hop do oddziału docelowego => adres tunelu mGRE routera centralnego
- #9 HUAWEI TECHNOLOGIES CO., LTD. Scenariusz 1: Hub-Spoke AR1220 SpokeA SpokeB Hub 192.168.1.1/24 192.168.2.1/24 192.168.0.1/24 NBMA address: 172.16.1.1/24 Tunnel address: 10.0.0.11 NBMA address: 172.16.2.1/24 Tunnel address: 10.0.0.12 Tunnel address: 10.0.0.1 NBMA address: 172.17.0.1/24 10.0.0.1—172.17.0.1 10.0.0.1—172.17.0.1 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 192.168.0.0 /16—>10.0.0.1 192.168.1.0 /24—>10.0.0.11 192.168.2.0 /24—>10.0.0.12 192.168.0.0 /16—>10.0.0.1 NHRP PEER Routing table NHRP registration packet
- #10 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja Spoke HUAWEI: interface Tunnel 0/0/0 ip address 10.0.0.11 24 tunnel-protocol gre p2mp source 172.16.1.1 nhrp entry 10.0.0.1 172.17.0.1 register Hub HUAWEI: Interface Tunnel 0/0/0 ip address 10.0.0.1 24 tunnel-protocol gre p2mp source 172.17.0.1 Spoke CISCO: interface Tunnel0 ip address 10.0.0.11 255.255.255.0 tunnel mode gre multipoint tunnel source 172.16.1.1 ip nhrp network-id 1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp nhs 10.0.0.1 Hub CISCO: interface Tunnel0 ip address 10.0.0.1 255.255.255.0 tunnel mode gre multipoint tunnel source 172.17.0.1 ip nhrp network-id 1 Spoke CISCO: interface Tunnel0 ip address 10.0.0.11 255.255.255.0 tunnel destination 172.17.0.1 tunnel source 172.16.1.1 ip nhrp network-id 1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp nhs 10.0.0.1
- #11 HUAWEI TECHNOLOGIES CO., LTD. Weryfikacja rejestracji NHRP [Huawei-Hub] display nhrp peer all ------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------- 10.0.0.11 32 172.16.1.1 10.0.0.11 dynamic route tunnel ------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34 ------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------- 10.0.0.12 32 172.16.2.1 10.0.0.12 dynamic route tunnel ------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34
- #12 HUAWEI TECHNOLOGIES CO., LTD. Scenariusz 2: Spoke-Spoke AR1220 SpokeA SpokeB Hub 192.168.1.1/24 192.168.2.1/24 192.168.0.1/24 10.0.0.1—172.17.0.1 10.0.0.1—172.17.0.1 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 NHRP PEER Routing table NHRP registration packet Tunnel address: 10.0.0.1 NBMA address: 172.17.0.1/24 NBMA address: 172.16.1.1/24 Tunnel address: 10.0.0.11 NBMA address: 172.16.2.1/24 Tunnel address: 10.0.0.12
- #13 HUAWEI TECHNOLOGIES CO., LTD. Zapytanie o adres innego oddziału AR1220 SpokeA SpokeB Hub 192.168.1.1/24 192.168.2.1/24 192.168.0.1/24 10.0.0.1—172.17.0.1 10.0.0.12—? 10.0.0.1—172.17.0.1 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 NHRP PEER Routing table Data packet NHRP Resolution packet Tunnel address: 10.0.0.1 NBMA address: 172.17.0.1/24 NBMA address: 172.16.1.1/24 Tunnel address: 10.0.0.11 NBMA address: 172.16.2.1/24 Tunnel address: 10.0.0.12
- #14 HUAWEI TECHNOLOGIES CO., LTD. Zestawienie tunelu spoke-spoke AR1220 SpokeA SpokeB Hub 192.168.1.1/24 192.168.2.1/24 192.168.0.1/24 10.0.0.1—172.17.0.1 10.0.0.12—172.16.2.1 10.0.0.1—172.17.0.1 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 192.168.2.0 /24—>10.0.0.12 192.168.1.0 /24—>10.0.0.11 NHRP PEER Routing table Data packet NHRP Resolution packet Tunnel address: 10.0.0.1 NBMA address: 172.17.0.1/24 NBMA address: 172.16.1.1/24 Tunnel address: 10.0.0.11 NBMA address: 172.16.2.1/24 Tunnel address: 10.0.0.12
- #15 HUAWEI TECHNOLOGIES CO., LTD. Weryfikacja wpisów NHRP na SpokeA [Huawei-SpokeA] display nhrp peer all ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.1 32 172.17.0.1 10.0.0.1 static hub ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 13:27:42 Expire time : -- ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.12 32 172.16.2.1 10.0.0.12 dynamic route tunnel ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34
- #16 HUAWEI TECHNOLOGIES CO., LTD. Weryfikacja wpisów NHRP na SpokeB [Huawei-SpokeB] display nhrp peer all ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.1 32 172.17.0.1 10.0.0.1 static hub ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 13:27:42 Expire time : -- ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.11 32 172.16.1.1 10.0.0.11 dynamic route tunnel ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34 ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.12 24 172.16.2.1 10.0.0.12 dynamic local ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34
- #17 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja tunelu mGRE Hub HUAWEI ip address 10.0.0.1 24 tunnel-protocol gre p2mp source 172.17.0.1 Spoke HUAWEI ip address 10.0.0.11 24 tunnel-protocol gre p2mp source 172.16.1.1 nhrp entry 10.0.0.1 172.17.0.1 register Spoke CISCO ip address 10.0.0.11 255.255.255.0 tunnel mode gre multipoint tunnel source 172.16.1.1 ip nhrp network-id 1 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp nhs 10.0.0.1 Hub CISCO ip address 10.0.0.1 255.255.255.0 tunnel mode gre multipoint tunnel source 172.17.0.1 ip nhrp network-id 1
- #18 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja routingu - Hub Przykład z OSPF ospf 301 router-id 10.0.0.1 area 0.0.0.0 network 10.0.0.1 0.0.0.255 interface Tunnel0/0/0 ospf network-type broadcast ospf dr-priority 255 nhrp entry multicast dynamic CISCO : ip nhrp map multicast dynamic Przykład z RIP rip 300 undo summary version 2 network 10.0.0.0 interface Tunnel0/0/0 undo rip split-horizon
- #19 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja routingu - Spoke Przykład z OSPF ospf 301 router-id 10.0.0.11 area 0.0.0.0 network 192.168.1.0 0.0.0.255 network 10.0.0.0 0.0.0.255 interface Tunnel0/0/0 ospf network-type broadcast ospf dr-priority 0 CISCO: ip nhrp map multicast 172.17.0.1 Przykład z RIP rip 300 version 2 network 10.0.0.0 network 192.168.1.0
- #20 HUAWEI TECHNOLOGIES CO., LTD. Scenariusz 3: Spoke-Spoke z przekierowaniem AR1220 SpokeA SpokeB Hub 192.168.1.1/24 192.168.2.1/24 192.168.0.1/24 10.0.0.11—172.16.1.1 10.0.0.12—172.16.2.1 192.168.0.0 /16—>10.0.0.1 192.168.1.0 /24—>10.0.0.11 192.168.2.0 /24—>10.0.0.12 192.168.0.0 /16—>10.0.0.1 NHRP PEER Routing table Data packet NHRP redirection packet NHRP Resolution packet Tunnel address: 10.0.0.1 NBMA address: 172.17.0.1/24 NBMA address: 172.16.1.1/24 Tunnel address: 10.0.0.11 NBMA address: 172.16.2.1/24 Tunnel address: 10.0.0.12
- #21 HUAWEI TECHNOLOGIES CO., LTD. Weryfikacja wpisów NHRP [Huawei-SpokeA] display nhrp peer all ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.1 32 172.17.0.1 10.0.0.1 static hub ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 13:27:42 Expire time : -- ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 192.168.2.2 24 172.16.2.1 10.0.0.12 dynamic route network ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34 ------------------------------------------------------------------------------------------------------- Protocol-addr Mask NBMA-addr NextHop-addr Type Flag ------------------------------------------------------------------------------------------------------- 10.0.0.12 32 172.16.2.1 10.0.0.12 dynamic route tunnel ------------------------------------------------------------------------------------------------------- Tunnel interface: Tunnel0/0/0 Created time : 03d:09h:30m:37s Expire time : 01:53:34
- #22 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja Hub: ip address 10.0.0.1 24 tunnel-protocol gre p2mp source 172.17.0.1 nhrp redirect nhrp entry multicast dynamic SpokeA: ip address 10.0.0.11 24 tunnel-protocol gre p2mp source 172.16.1.1 nhrp shortcut nhrp entry 10.0.0.1 172.17.0.1 register SpokeB: ip address 10.0.0.12 24 tunnel-protocol gre p2mp source 172.16.2.1 nhrp shortcut nhrp entry 10.0.0.1 172.17.0.1 register CISCO Hub: ip nhrp redirect Spoke: ip nhrp shortcut
- #23 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja routingu dynamicznego - Hub Przykład z OSPF ospf 301 router-id 10.0.0.1 area 0.0.0.0 network 10.0.0.1 0.0.0.255 interface Tunnel0/0/0 ospf network-type p2mp ospf dr-priority 255 Przykład z RIP rip 300 version 2 network 10.0.0.0 network 192.168.0.0 interface Tunnel0/0/0 rip summary-address 192.168.0.0 255.255.0.0
- #24 HUAWEI TECHNOLOGIES CO., LTD. Konfiguracja routingu dynamicznego - Spoke Przykład z OSPF ospf 301 router-id 10.0.0.11 area 0.0.0.0 network 192.168.1.0 0.0.0.255 network 10.0.0.0 0.0.0.255 interface Tunnel0/0/0 ospf network-type p2mp ospf dr-priority 0 Przykład z RIP rip 300 version 2 network 10.0.0.0 network 192.168.1.0
- #25 HUAWEI TECHNOLOGIES CO., LTD. Routing dynamiczny - podsumowanie Page 25 Scenariusz RIP OSPF BGP Non-Shortcut Wyłączyć split horizon i automatyczną agregację ścieżek na interfejsie mGRE huba ospf network-type broadcast na hubach i w oddziałach Wyłączona agregacja ścieżek na hubie Shortcut Włączyć split horizon i agregację ścieżek na interfejsie mGRE huba ospf network-type p2mp na hubach i w oddziałach Skonfigurować agregację ścieżek na hubie • Wspierane wszystkie protokoły z wyjątkiem IS-IS • W dużych sieciach rekomendowane BGP (w sieciach homogenicznych Cisco także EIGRP z Stub routing) • Huby wymieniają informacje routingowe z wszystkimi oddziałami i innymi hubami • Oddziały wymieniają informacje routingowe tylko z hubami
- #26 HUAWEI TECHNOLOGIES CO., LTD. DSVPN z IPsec ipsec proposal dsvpn-proposal esp authentication-algorithm sha2-512 esp encryption-algorithm aes-256 ike proposal 10 encryption-algorithm aes-cbc-256 dh group14 ike peer HUB v1 pre-shared-key simple Huawei@1234 ike-proposal 10 ipsec profile DSPVN ike-peer HUB proposal dsvpn-proposal pfs dh-group14 interface Tunnel0/0/0 ip address 172.16.1.2 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf network-type broadcast ospf dr-priority 0 ipsec profile DSVPN nhrp entry 172.16.1.1 202.1.1.10 register CISCO: tunnel protection ipsec profile DMVPN
- #27 HUAWEI TECHNOLOGIES CO., LTD. • Spoke wysyła NHRP Registration Request do huba, z oryginalnym adresem IP w komunikacie, hub więc może wykryć czy po drodze adres był zamieniony. Hub odpowiada komunikatem NHRP Registration Reply zawierającym publiczny adres IP oddziału • Oddział źródłowy wysyła zapytania NHRP Resolution Request ze swoim prywatnym i publicznym adresem IP do oddziału docelowego. Oddział docelowy wysyła odpowiedź NHRP Resolution Reply również ze swoimi obydwoma adresami IP NAT Traversal Ograniczenia: • Oddziały nie mogą być podłączone do tego samego urządzenia z NATem i translowane na ten sam adres publiczny • Urządzenia NATujące nie mogą robić PATa • Musi być skonfigurowany statyczny NAT SPOKE A SPOKE B HUB NAT NAT Tunnel0:172.10.1.1/24 Physical:202.1.1.1/24 Physical:10.1.3.1/24 Tunnel0:172.10.3.1/24 Physical:10.1.2.1/24 Tunnel0:172.10.2.1/24 10.1.2.1/24-->202.1.2.1/24 10.1.3.1/24-->202.1.3.1/24
- #28 HUAWEI TECHNOLOGIES CO., LTD. Dual-Hub Single DSVPN Page 28
- #29 HUAWEI TECHNOLOGIES CO., LTD. Dual-Hub Single DSVPN Konfiguracja na hubach: interface Tunnel0/0/0 ip address 172.16.1.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf cost 1000 ospf network-type p2mp nhrp redirect nhrp entry multicast dynamic Page 29 interface Tunnel0/0/0 ip address 172.16.1.254 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf cost 3000 ospf network-type p2mp nhrp redirect nhrp entry multicast dynamic Konfiguracja Spoke: interface Tunnel0/0/0 ip address 172.16.1.2 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 ospf network-type p2mp nhrp shortcut nhrp registration interval 300 nhrp entry 172.16.1.1 202.1.1.10 register nhrp entry 172.16.1.254 202.1.254.10 register
- #30 HUAWEI TECHNOLOGIES CO., LTD. Dwa VPNy z pojedynczymi hubami – LTE Dual-SIM
- #31 HUAWEI TECHNOLOGIES CO., LTD. Monitorowanie LTE APN poprzez NQA interface Cellular0/0/0 apn-profile orange priority 200 track nqa admin tunnel0/0/1 admin tunnel0/0/2 apn-profile tmo priority 150 track nqa admin tunnel0/0/3 admin tunnel0/0/4 apn profile orange apn internet sim-id 1 apn profile tmo apn internet sim-id 2
- #32 HUAWEI TECHNOLOGIES CO., LTD. HUB_1 interface Tunnel0/0/1 ip address 172.16.1.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 gre key 111 nhrp authentication cipher Huawei@1 nhrp entry multicast dynamic # interface Tunnel0/0/3 ip address 172.16.3.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet2/0/0 gre key 333 nhrp authentication cipher Huawei@3 nhrp entry multicast dynamic HUB_2 interface Tunnel0/0/2 ip address 172.16.2.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet2/0/0 gre key 222 nhrp authentication cipher Huawei@2 nhrp entry multicast dynamic # interface Tunnel0/0/4 ip address 172.16.4.1 255.255.255.0 tunnel-protocol gre p2mp source GigabitEthernet1/0/0 gre key 444 nhrp authentication cipher Huawei@4 nhrp entry multicast dynamic Konfiguracja routerow centralnych gre key { plain key-number | [ cipher ] plain-cipher-text } W przypadku gdy kilka interfejsów mGRE używa tego samego źródłowego adresu IP lub interfejsu fizycznego
- #33 HUAWEI TECHNOLOGIES CO., LTD. interface Tunnel0/0/1 ip address 172.10.1.2 255.255.255.0 rip metricin 1 tunnel-protocol gre p2mp source Cellular0/0/0 gre key 111 nhrp authentication cipher Huawei@1 nhrp registration interval 20 nhrp entry holdtime seconds 60 nhrp registration no-unique nhrp entry 172.10.1.1 202.10.1.2 register track apn orange interface Tunnel0/0/2 ip address 172.10.2.2 255.255.255.0 rip metricin 7 rip metricout 7 tunnel-protocol gre p2mp source Cellular0/0/0 gre key 222 nhrp authentication cipher Huawei@2 nhrp registration interval 20 nhrp entry holdtime seconds 60 nhrp registration no-unique nhrp entry 172.10.2.1 202.10.1.10 register track apn orange interface Tunnel0/0/3 ip address 172.10.3.2 255.255.255.0 rip metricin 4 rip metricout 4 tunnel-protocol gre p2mp source Cellular0/0/0 gre key 333 nhrp authentication cipher Huawei@3 nhrp registration interval 20 nhrp entry holdtime seconds 60 nhrp registration no-unique nhrp entry 172.10.3.1 202.10.1.6 register track apn tmo interface Tunnel0/0/4 ip address 172.10.4.2 255.255.255.0 rip metricin 10 rip metricout 10 tunnel-protocol gre p2mp source Cellular0/0/0 gre key 444 nhrp authentication cipher Huawei@4 nhrp registration interval 20 nhrp entry holdtime seconds 60 nhrp registration no-unique nhrp entry 172.10.4.1 202.10.1.14 register track apn tmo Konfiguracja routera Spoke
- #34 HUAWEI TECHNOLOGIES CO., LTD. Wspierane platformy CISCO (Dynamic Multipoint VPN): IOS – m.in. routery ISR, przemysłowe CGR2010, switche Cat6500, 6880-X IOS XE – routery ISR4xxx, ASR1K Brak wsparcia na firewallach ASA HUAWEI (Dynamic Smart VPN): Routery AR G3, w tym przemysłowe AR530 (brak na SMB AR120, mobilnych AR500, switchach AR550) Firewalle USG, karty NGFW do przełączników modularnych Symulator eNSP ADTRAN: Netvanta Software: Vyatta vRouter; OpenNHRP + ipsec-tools Page 34
- #35 HUAWEI TECHNOLOGIES CO., LTD. Dynamiczny VPN dla PKP Polskie Linie Kolejowe WAN 2 x Cisco ASR1000 Cisco ISRWiększe oddziały Mniejsze oddziały 2 lokalizacje centralne Ok. 300 routerów, w tym 70+ routerów Huawei AR2240 Współpraca z DMVPN w ramach jednej heterogenicznej sieci WAN Migracja z EIGRP na BGP System zarządzania Huawei eSight2 x HUAWEI AR2240
- #36 HUAWEI TECHNOLOGIES CO., LTD. WSZYSTKO MA SWÓJ KONIEC ...a tunel mGRE nawet nie jeden