Академический Документы
Профессиональный Документы
Культура Документы
Operação DetranpN
Os túneis GRE ponto a ponto têm exatamente dois pontos finais, e cada túnel
no roteador requer uma interface virtual separada com sua própria
configuração separada.
De outra forma, um túnel multiponto GRE permite que mais de dois
pontos finais existam e é tratado como uma rede de multi-acesso não
transmitida (NBMA).
1 primeiro
Enquanto uma configuração típica de "Hub and Spoke" exigiria três túneis
separados se expandindo do Roteador R1 para cada um dos roteadores
"Spoke", o MULTIpoint GRE permite que todos os quatro roteadores se
comuniquem usando uma única interface de túnel na mesma sub-rede IP
(192.168.0.0/24). Esta configuração do NBMA é habilitada pelo Protocolo de
Resolução do Próximo Salto, que permite que túneis de vários pontos sejam
construídos dinamicamente.
2 segundo
Configuração do DetranPN
interface FastEthernet0/0
ip address 172.16.15.2 255.255.255.252
!
interface Tunnel0
ip address 192.168.0.1 255.255.255.0
ip nhrp map multicast dynamic
ip nhrp network-id 1
tunnel source 172.16.15.2
A primeira coisa que provavelmente notamos é que o túnel não tem um alvo
explicitamente especificado. Isso ocorre porque os túneis de vários pontos são
construídos dinamicamente do DetranPN "Spokes" ao roteador "Hub"; o roteador
"Hub" não precisa ter os endereços "Spokes" pré-configurados. Observe também que
o modo túnel foi designado como "GRE multipoint".
Agora vemos dois novos comandos comparados aos usados no roteador "Hub".
O comando ip nhrp NHS 192.168.0.1 designa o roteador R1 como o NHS (que é a
única funcionalidade única do roteador "Hub"), e o ip nhrp mapa 192.168.0.1
172.16.15.2 que mapeia estaticamente o endereço NHS para o endereço físico do
roteador R1.
O comando ip
nhrp multicast também difere ligeiramente de como ele é aplicado no roteador "Hub"
em que o tráfego multicast só é permitido de "Spokes" para o "Hub", não de um
"Spoke" para outro "Spoke". Após concluir a configuração do túnel em cada roteador,
podemos verificar se foram estabelecidas sessões do DetranPN entre o roteador
"Hub" e cada "Spoke":
Túnel dinâmico
Adicionando criptografia
Até este ponto, os túneis foram configurados como texto simples para
simplificar o exemplo, mas no mundo real provavelmente gostaríamos de incluir
proteção IPsec a túneis que atravessam rotas não confiáveis.
Felizmente, a solução é tão simples quanto aplicar uma política de
proteção IPsec à interface do túnel em cada roteador. Aqui está um perfil IPsec
usando uma chave ISAKMP pré-compartilhada para demonstração: