Настройка DMVPN на маршрутизаторах Cisco

Dynamic Multipoint VPN (DMVPN) — виртуальная частная сеть с возможностью

динамического создания туннелей между узлами.

На этой странице детально описывается процедура организации сети DMVPN на

маршрутизаторах Cisco. Рассматриваются варианты настройки проколов динамической
маршрутизации OSPF и EIGRP, аутентификация маршрутизаторов по сертификатам и pre-
shared key.

Задача
Центральный офис (находящийся за dyn1) соединён с несколькими удалёнными
(находящимися за dyn3 и dyn5). Необходимо обеспечить связь удалённых офисов с
центральным и, при необходимости, устанавливать туннель между удалёнными офисами.

Маршрутизация между сетями офисов будет выполняться с помощью протоколов

динамической маршрутизации.

Изображенная топология называется — звезда (hub-and-spoke), где:

 dyn1 — центр звезды, hub-маршрутизатор;

 dyn3 и dyn5 — вершины звезды, spoke-маршрутизаторы.

Решение

Если в данной схеме использовать обычную виртуальную частную сеть, соединяющую сети
(site-to-site VPN), то на маршрутизаторах, которые находятся в удалённых офисах,
необходимо будет настроить туннель для связи с центральным офисом и туннели для связи
с другими удалёнными офисами. Для того чтобы все удалённые офисы могли работать
между собой напрямую, необходимо будет настроить туннели со всеми офисами, что
приведёт к созданию полносвязной топологии (full mesh). Как следствие, количество настроек
на маршрутизаторах, как в центральном офисе, так и в удалённых существенно
увеличивается.

Технология DMVPN позволяет решить эту задачу более масштабируемым методом, чем
создание связей точка-точка между всеми офисами и объединения их в полносвязную
топологию:

 При добавлении новых маршрутизаторов в существующую сеть DMVPN, необходимо

настроить только новый маршрутизатор, изменений на уже существующих
маршрутизаторах не требуется.

 DMVPN позволяет использовать динамически назначенные IP-адреса на spoke-

маршрутизаторах.

 Если двум spoke-маршрутизаторам необходимо установить туннель напрямую, то он

устанавливается динамически.

В основе DMVPN лежат несколько технологий:

 mGRE-туннели;

 Протокол NHRP (Next Hop Resolution Protocol);

 Протоколы динамической маршрутизации;

 Профили IPsec (IPsec profiles).

Так как DMVPN использует несколько технологий, то поиск неисправностей в его

настройках может занимать достаточно много времени. Для того чтобы избежать ошибок,
желательно пошагово проверять выполненные настройки, работу соответствующих
протоколов и доступность сетей.

Схематическое изображение последовательности выполнения необходимых настроек: