Базовые настройки сети

Настройку сети DMVPN будем выполнять на условном примере, отражающем ключевые

особенности сетей, в которых целесообразно использовать эту технологию.

За каждым маршрутизатором находится сеть, которая имитирует локальную сеть офисов:

 dyn1 — 10.1.1.0/24;

 dyn3 — 10.1.3.0/24;

 dyn5 — 10.1.5.0/24.

Для внешних интерфейсов выбраны сети:

 dyn1 — 192.168.1.0/24;

 dyn3 — 192.168.3.0/24;

 dyn5 — 192.168.5.0/24.
Настройка маршрутизации между внешними интерфейсами
маршрутизаторов
В данной тестовой сети на каждом маршрутизаторе прописаны статические маршруты к
сетям внешних интерфейсов других маршрутизаторов.

Статические маршруты на hub-маршрутизаторе (dyn1):

dyn1(config)# ip route 192.168.3.0 255.255.255.0 192.168.1.2

dyn1(config)# ip route 192.168.5.0 255.255.255.0 192.168.1.2
Но можно сделать проще - прописать default GW:

dyn1(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.2

[править]mGRE-туннели

В топологии звезда (hub-n-spoke) использование GRE-туннелей точка-точка приведёт к

большому количеству настроек, так как IP-адреса всех spoke-маршрутизаторов должны быть
известны и настроены на центральном маршрутизаторе (hub).

Альтернативой GRE-туннелей точка-точка является multipoint GRE (mGRE) туннель, который

позволяет терминировать на себе несколько GRE-туннелей. mGRE-туннель позволяет
одному GRE-интерфейсу поддерживать несколько IPsec-туннелей и упрощает количество и
сложность настроек, по сравнению с GRE-туннелями точка-точка.

Кроме того, mGRE-интерфейс позволяет использовать динамически назначенные IP-адреса

на spoke-маршрутизаторах.

[править]Настройка mGRE-туннелей
Для адресации туннелей выделена сеть 10.10.10.0/24, все туннели находятся в одной сети.
На hub-маршрутизаторе и spoke-маршрутизаторах mGRE-туннели настраиваются аналогично
(далее пример для hub-маршрутизатора).

Создание туннельного интерфейса:

dyn1(config)#interface Tunnel0

Задание IP-адреса на интерфейсе:

dyn1(config-if)#ip address 10.10.10.1 255.255.255.0

Так как GRE добавляет дополнительные заголовки к IP-пакету, необходимо изменить

значение MTU на интерфейсе:

dyn1(config-if)#ip mtu 1416

В качестве адреса отправителя в пакете выходящем из mGRE-интерфейса будет

использоваться IP-адрес физического интерфейса, а адрес получателя будет выучен
динамически с помощью протокола NHRP.

Настройка соответствия между туннельным интерфейсом и физическим:

dyn1(config-if)#tunnel source FastEthernet1/0

Включение mGRE-туннеля:

dyn1(config-if)#tunnel mode gre multipoint

(Опционально) Задание ключа, который идентифицирует туннель:

dyn1(config-if)#tunnel key 999

Если будет использоваться топология с двумя hub-маршрутизаторами и, соответственно,

двумя сетями DMVPN, то ключ указывает на принадлежность интерфейса одной из сетей
DMVPN.

[править]Next Hop Resolution Protocol (NHRP)

Next Hop Resolution Protocol (NHRP) — клиент-серверный протокол преобразования

адресов, позволяющий всем хостам, которые находятся в NBMA(Non Broadcast Multiple
Access)-сети, динамически выучить NBMA-адреса (физические адреса) друг друга обращаясь
к next-hop-серверу (NHS). После этого хосты могут обмениваться информацией друг с другом
напрямую.

В сети DMVPN:

 Hub-маршрутизатор будет работать как NHS, а spoke-маршрутизаторы будут клиентами.

 Hub-маршрутизатор хранит и обслуживает базу данных NHRP, в которой хранятся

соответствия между физическими адресами и адресами mGRE-туннелей spoke-
маршрутизаторов.
 На каждом spoke-маршрутизаторе hub-маршрутизатор статически указан как NHS и
задано соответствие между физическим адресом и адресом mGRE-туннеля hub-
маршрутизатора.

 При включении каждый spoke-маршрутизатор регистрируется на NHS и, при

необходимости, запрашивает у сервера информацию об адресах других spoke-
маршрутизаторов для построения spoke-to-spoke туннелей.

 Network ID - характеристика локальная для каждого маршрутизатора (аналогия - OSPF

process ID). Разные интерфейсы могут участвовать в разных NHRP сессиях; это просто
разграничитель того, что сессия NHRP на одном интерфейсе не та что на другом.
Соответственно, совершенно не обязательно, чтобы Network ID совпадали на разных
маршрутизаторах.
[править]Настройка NHRP
[править]Настройка NHRP на hub-маршрутизаторе

Включение NHRP на интерфейсе:

dyn1(config)#interface Tunnel0
dyn1(config-if)#ip nhrp network-id 999

Hub-маршрутизатор будет автоматически добавлять соответствия между адресами spoke-

маршрутизаторов:

dyn1(config-if)#ip nhrp map multicast dynamic

(Опционально) Настройка аутентификации:

dyn1(config-if)#ip nhrp authentication nhrppass

[править]Настройка NHRP на spoke-маршрутизаторах

Включение NHRP на интерфейсе:

dyn3(config)#interface Tunnel0
dyn3(config-if)#ip nhrp network-id 999

Адрес туннельного интерфейса hub-маршрутизатора указывается как next-hop-сервер:

dyn3(config-if)#ip nhrp nhs 10.10.10.1

Статическое соответствие между адресом mGRE-туннеля и физическим адресом hub-

маршрутизатора (первый адрес — адрес туннельного интерфейса, второй — адрес внешнего
физического интерфейса):
dyn3(config-if)#ip nhrp map 10.10.10.1 192.168.1.1

Адрес внешнего физического интерфейса hub-маршрутизатора указывается как получатель

multicast-пакетов от локального маршрутизатора:

dyn3(config-if)#ip nhrp map multicast 192.168.1.1

(Опционально) Настройка аутентификации:

dyn3(config-if)#ip nhrp authentication nhrppass

(Опционально) Настройка флага неуникальности ip-адреса туннеля в базе nhrp на hub-

маршрутизаторе:

dyn3(config-if)#ip nhrp registration no-unique

Если изменится внешний адрес spoke-маршрутизатора и этой команды не будет, то hub-

маршрутизатор не обновит свою базу nhrp из-за ошибки: unique address registered already

[править]Проверка работы mGRE-туннелей и протокола NHRP

[править]Проверка туннельных интерфейсов
После того, как на маршрутизаторах настроены mGRE-туннели и настроен протокол NHRP,
туннели находятся в состоянии up и все IP-адреса туннелей доступны.

На dyn5:

dyn5#sh ip int br
Interface IP-Address OK? Method Status
Protocol
FastEthernet0/0 192.168.5.5 YES manual up
up
FastEthernet1/0 10.1.5.5 YES manual up
up
Tunnel0 10.10.10.5 YES manual up
up

Просмотр информации о туннельном интерфейсе:

dyn5#sh int tunnel 0

Tunnel0 is up, line protocol is up
Hardware is Tunnel
Internet address is 10.10.10.5/24
MTU 1416 bytes, BW 9 Kbit, DLY 500000 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation TUNNEL, loopback not set
 Keepalive not set
Tunnel source 192.168.5.5 (FastEthernet0/0), destination UNKNOWN
Tunnel protocol/transport multi-GRE/IP
Key 0x3E7, sequencing disabled
Checksumming of packets disabled
......

С dyn5 пингуется и dyn1 и dyn3:

dyn5#ping 10.10.10.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
148/200/280 ms
dyn5#ping 10.10.10.3

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.10.10.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max =
104/199/296 ms

[править]Проверка NHRP на spoke-маршрутизаторе

Информация о NHS:

dyn5#sh ip nhrp nhs

Legend: E=Expecting replies, R=Responding
Tunnel0: 10.10.10.1 RE

Суммарная информация NHRP (уже установлен динамический туннель с dyn3):

dyn5#sh ip nhrp brief

Target Via NBMA Mode Intfc
Claimed
10.10.10.1/32 10.10.10.1 192.168.1.1 static Tu0 <
>
10.10.10.3/32 10.10.10.3 192.168.3.3 dynamic Tu0 <
>

Подробная информация о других маршрутизаторах полученная по NHRP:

dyn5#sh ip nhrp
10.10.10.1/32 via 10.10.10.1, Tunnel0 created 00:12:29, never expire
Type: static, Flags: nat used
NBMA address: 192.168.1.1
10.10.10.3/32 via 10.10.10.3, Tunnel0 created 00:11:17, expire
01:47:19
Type: dynamic, Flags: router
NBMA address: 192.168.3.3

Получатель multicast-трафика:

dyn5#sh ip nhrp multicast

I/F NBMA address
Tunnel0 192.168.1.1 Flags: static

Суммарная информация о записях NHRP:

dyn5#sh ip nhrp summary

IP NHRP cache 2 entries, 528 bytes
1 static 1 dynamic 0 incomplete

Статистика по пакетам NHRP:

dyn5#sh ip nhrp traffic

Tunnel0: Max-send limit:100Pkts/10Sec, Usage:0%
Sent: Total 3
1 Resolution Request 0 Resolution Reply 2 Registration
Request
0 Registration Reply 0 Purge Request 0 Purge Reply
0 Error Indication 0 Traffic Indication
Rcvd: Total 2
0 Resolution Request 1 Resolution Reply 0 Registration
Request
1 Registration Reply 0 Purge Request 0 Purge Reply
0 Error Indication 0 Traffic Indication

[править]Проверка NHRP на hub-маршрутизаторе

Суммарная информация NHRP:

dyn1#sh ip nhrp brief

Target Via NBMA Mode Intfc
Claimed
10.10.10.3/32 10.10.10.3 192.168.3.3 dynamic Tu0 <
>
10.10.10.5/32 10.10.10.5 192.168.5.5 dynamic Tu0 <
>

Подробная информация о других маршрутизаторах полученная по NHRP:

dyn1#sh ip nhrp
10.10.10.3/32 via 10.10.10.3, Tunnel0 created 00:25:05, expire
01:34:54
Type: dynamic, Flags: authoritative unique registered
NBMA address: 192.168.3.3
10.10.10.5/32 via 10.10.10.5, Tunnel0 created 00:25:29, expire
01:34:30
Type: dynamic, Flags: authoritative unique registered
NBMA address: 192.168.5.5

Получатели multicast-трафика:

dyn1#sh ip nhrp multicast

I/F NBMA address
Tunnel0 None Flags: dynamic
Tunnel0 None Flags: dynamic

Суммарная информация о записях NHRP:

dyn1#sh ip nhrp summary

IP NHRP cache 2 entries, 496 bytes
0 static 2 dynamic 0 incomplete

Статистика по пакетам NHRP:

dyn1#sh ip nhrp traffic

Tunnel0
Sent: Total 4
0 Resolution Request 2 Resolution Reply 0 Registration
Request
2 Registration Reply 0 Purge Request 0 Purge Reply
0 Error Indication
Rcvd: Total 5
2 Resolution Request 0 Resolution Reply 3 Registration
Request
0 Registration Reply 0 Purge Request 0 Purge Reply
0 Error Indication

[править]Настройка маршрутизации

Рассматривается использование протоколов EIGRP и OSPF для настройки маршрутизации

между сетями офисов. Для реального использования достаточно выбрать один из этих
протоколов, и выполнить соответствующие ему настройки.

[править]Настройка EIGRP
Если в качестве протокола маршрутизации будет использоваться EIGRP, то необходимо:
 1. Включить EIGRP для сетей mGRE-интерфейсов и локальных сетей;

2. Отключить автоматическое суммирование сетей по классовому признаку;

3. Настроить EIGRP на mGRE-интерфейсе.

Включение EIGRP для сетей mGRE-интерфейсов и локальных сетей:

dyn1(config)#router eigrp 1
dyn1(config-router)#network 10.10.10.0 0.0.0.255
dyn1(config-router)#network 10.1.1.0 0.0.0.255

Отключение автоматического суммирования сетей:

dyn1(config-router)#no auto-summary

[править]Настройка EIGRP на mGRE-интерфейсах

Для работы в сети DMVPN необходимо дополнительно настроить EIGRP.

На hub-маршрутизаторе необходимо отключить правило расщепления горизонта (split

horizon), иначе EIGRP не будет анонсировать маршруты, выученные через mGRE-интерфейс
назад в этот же интерфейс:

dyn1(config-if)#no ip split-horizon eigrp 1

По умолчанию EIGRP будет подставлять IP-адрес hub-маршрутизатора в качестве next-hop

для маршрутов которые он анонсирует, даже когда анонсирует маршруты назад через тот же
интерфейс, на котором они были выучены. Для сети DMVPN необходимо чтобы EIGRP
использовал в качестве next-hop адреса spoke-маршрутизаторов. Поэтому на hub-
маршрутизаторе необходимо отключить это правило:

dyn1(config-if)#no ip next-hop-self eigrp 1

При использовании DMVPN в больших сетях время сходимости сети может увеличиваться.
Для того чтобы избежать возможных проблем с маршрутизацией, на маршрутизаторах
необходимо изменить hold time (по умолчанию 15 секунд):

dyn1(config-if)#ip hold-time eigrp 1 35

Если на одном из маршрутизаторов этот параметр изменен, то соседи этого маршрутизатора

будут использовать этот таймер. Для того чтобы маршрутизатор сам использовал
определенное значение таймера, необходимо изменить таймер на соответствующем
интерфейсе соседа.

[править]Проверка работы EIGRP

Соседи EIGRP на dyn1:

dyn1#sh ip eigrp neighbors
IP-EIGRP neighbors for process 1
H Address Interface Hold Uptime SRTT RTO
Q Seq
(sec) (ms)
Cnt Num
1 10.10.10.5 Tu0 31 00:01:08 384 5000
0 22
0 10.10.10.3 Tu0 32 00:01:31 327 5000
0 25

Соседи EIGRP на dyn5:

dyn5#sh ip eigr neighbors

IP-EIGRP neighbors for process 1
H Address Interface Hold Uptime SRTT RTO
Q Seq
(sec) (ms)
Cnt Num
0 10.10.10.1 Tu0 33 00:03:29 235 5000
0 35

Таблица маршрутизации dyn1:

dyn1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user
static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

S 192.168.5.0/24 [1/0] via 192.168.1.2

10.0.0.0/24 is subnetted, 4 subnets
D 10.1.3.0 [90/297246976] via 10.10.10.3, 00:01:34, Tunnel0
C 10.10.10.0 is directly connected, Tunnel0
C 10.1.1.0 is directly connected, FastEthernet0/0
D 10.1.5.0 [90/297246976] via 10.10.10.5, 00:01:34, Tunnel0
C 192.168.1.0/24 is directly connected, FastEthernet1/0
S 192.168.3.0/24 [1/0] via 192.168.1.2

Таблица маршрутизации dyn3 (сеть 10.1.5.0 доступна через dyn5, а не через dyn1):

dyn3#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS
level-2
ia - IS-IS inter area, * - candidate default, U - per-user
static route
o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

S 192.168.5.0/24 [1/0] via 192.168.3.2

10.0.0.0/24 is subnetted, 4 subnets
C 10.1.3.0 is directly connected, FastEthernet1/0
C 10.10.10.0 is directly connected, Tunnel0
D 10.1.1.0 [90/297270016] via 10.10.10.1, 00:01:24, Tunnel0
D 10.1.5.0 [90/310046976] via 10.10.10.5, 00:01:16, Tunnel0
S 192.168.1.0/24 [1/0] via 192.168.3.2
C 192.168.3.0/24 is directly connected, FastEthernet0/0

[править]Настройка OSPF
Для OSPF выбрана топология в которой mGRE-интерфейсы находятся в зоне 0, а локальные
сети — каждая в своей зоне. Сеть разбита на зоны, так как это позволяет суммировать сети
внутри зоны и не передавать в другие офисы подробную информацию о сетях (для данного
примера это не актуально, но в реальной сети может существенно уменьшить таблицу
маршрутизации и количество вычислений кратчайшего пути).

На маршрутизаторах необходимо:

1. Включить OSPF для сетей mGRE-интерфейсов в зоне 0;

2. Включить OSPF для локальных сетей в соответствующей зоне;

 3. Настроить OSPF на mGRE-интерфейсе.

Включение OSPF для сетей mGRE-интерфейсов в зоне 0:

dyn1(config)#router ospf 1
dyn1(config-router)#network 10.10.10.0 0.0.0.255 area 0

Включение OSPF для локальных сетей в соответствующей зоне (офису за dyn1

соответствует зона 1):

dyn1(config-router)#network 10.1.1.0 0.0.0.255 area 1

[править]Настройка OSPF на mGRE-интерфейсе

Так как mGRE-интерфейсы образуют NBMA-сеть, то на этих интерфейсах необходимо

изменить настройки OSPF. Подробнее о работе OSPF в NBMA-сетях на странице OSPF в
Cisco.

На hub-маршрутизаторе и spoke-маршрутизаторах отличаются настройки приоритетов,

остальные настройки совпадают.

Приоритет интерфейса влияет на то, какой маршрутизатор будет выбран выделенным

маршрутизатором (DR) для сети. В топологии "звезда" роль DR должен взять на себя
центральный маршрутизатор.

На hub-маршрутизаторе приоритет устанавливается 10:

dyn1(config)#interface Tunnel0
dyn1(config-if)#ip ospf priority 10

На spoke-маршрутизаторах приоритет устанавливается 0 для того чтобы маршрутизаторы не

могли участвовать в выборах DR:

dyn3(config)#interface Tunnel0
dyn3(config-if)#ip ospf priority 0

Указание типа сети OSPF на mGRE-интерфейсе:

dyn1(config-if)#ip ospf network broadcast

Изменение интервала между отправкой hello-пакетов:

dyn1(config-if)#ip ospf hello-interval 30