Построение КСПД на основе технологии DMVPN с отказоустойчивым центром на базе оборудования Cisco

Cisco
В статье описывается как построить корпоративную сеть передачи данных на технологии DMVPN по интернет каналам с отказоустойчивым решением в центре на базе оборудования Cisco. На каждом канале в центре установлен сетевой экран и машрутизатор, а удаленные маршрутизаторы соединяются на оба канала и используют второй в качестве резерва при отказе первого. При этом переключение занимает несколько секунд. Маршрутизация динамическая, протокол OSPF. В нашем случае маршрутизаторы в центре 2851, в удаленных офисах 878, 877. Конкретные модели маршрутизаторов Cisco зависят от каналов и количества удаленных точек.

Схема работы сети:


Изначально мы планировали сделать центр на одном маршрутизаторе, используя vrf технологию (именно это хотел посмотреть d.kalinin), но по внутренним требованиям предприятия данное решение не прошло.

Настройки VPN_Server1:

Настройка авторизации:
aaa new-model
aaa authentication login default local

Настройка шифрования:
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30
!
!
crypto ipsec transform-set DMVPNSET esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile DMPROFILE
 set transform-set DMVPNSET

VPN туннель:
interface Tunnel0
 ip address 192.168.16.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMCISCO
 ip nhrp map multicast dynamic
 ip nhrp network-id 100
 ip nhrp holdtime 300
 ip tcp adjust-mss 1360
 ip ospf network broadcast
 ip ospf hello-interval 30
 qos pre-classify
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 10
 tunnel protection ipsec profile DMPROFILE

Настройка сетевой карты подключенной к локальной сети:
interface GigabitEthernet0/0
 description INSIDE
 ip address 10.1.1.1 255.255.255.0

Настройка маршрутизации:
router ospf 1
 priority 120
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 192.168.16.0 0.0.0.255 area 0
 distribute-list 1 in
!
access-list 1 deny   10.1.1.0 0.0.0.255
access-list 1 permit any

ip route 0.0.0.0 0.0.0.0 10.1.1.3


Настройки VPN_Server2:

Настройка авторизации:
aaa new-model
aaa authentication login default local

Настройка шифрования:
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco321 address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30
!
!
crypto ipsec transform-set DMVPNSET esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile DMPROFILE
 set transform-set DMVPNSET

VPN туннель:
interface Tunnel0
 ip address 192.168.32.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMCISCO
 ip nhrp map multicast dynamic
 ip nhrp network-id 100
 ip nhrp holdtime 300
 ip tcp adjust-mss 1360
 ip ospf network broadcast
 ip ospf hello-interval 30
 qos pre-classify
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 10
 tunnel protection ipsec profile DMPROFILE

Настройка сетевой карты подключенной к локальной сети:
interface GigabitEthernet0/0
 description INSIDE
 ip address 10.1.1.2 255.255.255.0

Настройка маршрутизации:
router ospf 1
 priority 110
 log-adjacency-changes
 network 10.1.1.0 0.0.0.255 area 0
 network 192.168.32.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 10.1.1.4


На сетевых экранах нужно пробросить порты udp 500 и 4500 с внешнего интерфейса на наши VPN_Server. Пример как это сделать можно посмотреть например тут: Конфигурация Cisco PIX 515. В нашем случае проброс настраивается так:

Настройка Cisco PIX 515:

Откроем доступ к нужным портам:
access-list WAN_IN extended permit udp any eq isakmp host 88.88.88.88 eq isakmp
access-list WAN_IN extended permit udp any eq 4500 host 88.88.88.88 eq 4500
access-group WAN_IN in interface outside
access-list LAN_IN extended permit udp host 10.1.1.1 eq isakmp any eq isakmp
access-list LAN_IN extended permit udp host 10.1.1.1 eq 4500 any eq 4500
access-group LAN_IN in interface inside

И сам проброс:
static (inside,outside) udp 88.88.88.88 isakmp 10.1.1.1 isakmp netmask 255.255.255.255
static (inside,outside) udp 88.88.88.88 4500 10.1.1.1 4500 netmask 255.255.255.255

Включим маршрутизацию:
router ospf 1
 network 10.1.1.3 255.255.255.255 area 0

Настройка Cisco ASA 5520:
Откроем доступ к нужным портам:
access-list WAN_IN extended permit udp any eq isakmp host 77.77.77.77 eq isakmp
access-list WAN_IN extended permit udp any eq 4500 host 77.77.77.77 eq 4500
access-group WAN_IN in interface outside
access-list LAN_IN extended permit udp host 10.1.1.2 eq isakmp any eq isakmp
access-list LAN_IN extended permit udp host 10.1.1.2 eq 4500 any eq 4500
access-group LAN_IN in interface inside

И сам проброс:
static (inside,outside) udp 77.77.77.77 isakmp 10.1.1.2 isakmp netmask 255.255.255.255
static (inside,outside) udp 77.77.77.77 4500 10.1.1.2 4500 netmask 255.255.255.255

Включим маршрутизацию:
router ospf 1
 network 10.1.1.4 255.255.255.255 area 0

Осталось настроить маршрутизаторы установленные в удаленных офисах. В принципе достаточно привести пример настройки одного такого маршрутизаторы, но чтобы налить воды было меньше возможных вопросов приведу парочку, хотя они конечно типовые.

Настройка VPN_Client1:
В интернет маршрутизатор подключается по adsl, поэтому внешний интерфейс будет обзываться Dialer0.
Настройка шифрования:
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 88.88.88.88
crypto isakmp key cisco321 address 77.77.77.77
crypto isakmp keepalive 30
!
!
crypto ipsec transform-set DMVPNSET_1 esp-3des esp-sha-hmac
 mode transport
crypto ipsec transform-set DMVPNSET_2 esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile DMPROFILE_1
 set transform-set DMVPNSET_1
!
crypto ipsec profile DMPROFILE_2
 set transform-set DMVPNSET_2

Настройка туннелей:
interface Tunnel0
 bandwidth 4000
 ip address 192.168.16.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMCISCO
 ip nhrp map 192.168.16.1 88.88.88.88
 ip nhrp map multicast 88.88.88.88
 ip nhrp network-id 100
 ip nhrp holdtime 600
 ip nhrp nhs 192.168.16.1
 ip tcp adjust-mss 1360
 ip ospf network broadcast
 ip ospf hello-interval 30
 ip ospf priority 0
 tunnel source Dialer0
 tunnel destination 88.88.88.88
 tunnel key 10
 tunnel protection ipsec profile DMPROFILE_1
!
interface Tunnel1
 bandwidth 2000
 ip address 192.168.32.2 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMCISCO
 ip nhrp map 192.168.32.1 77.77.77.77
 ip nhrp map multicast 77.77.77.77
 ip nhrp network-id 200
 ip nhrp holdtime 600
 ip nhrp nhs 192.168.32.1
 ip tcp adjust-mss 1360
 ip ospf network broadcast
 ip ospf hello-interval 30
 ip ospf priority 0
 tunnel source Dialer0
 tunnel destination 77.77.77.77
 tunnel key 20
 tunnel protection ipsec profile DMPROFILE_2

Настройка интерфейсов локальной сети:
interface FastEthernet0
 switchport access vlan 2
!
interface Vlan2
 description LAN
 ip address 10.1.3.1 255.255.255.0
 ip nat inside
 no ip virtual-reassembly

Настройка внешнего интерфейса:
interface Dialer0
 mtu 1492
 bandwidth 4096
 ip address negotiated
 ip access-group IN_WAN in
 ip access-group OUT_WAN out
 no ip redirects
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp chap hostname xxxxxxx
 ppp chap password yyyyyyy

Настройка маршрутизации:
router ospf 1
 log-adjacency-changes
 network 10.1.3.1 0.0.0.0 area 0
 network 192.168.16.0 0.0.0.255 area 0
 network 192.168.32.0 0.0.0.255 area 0


У второго по аналогии.

Настройка VPN_Client2:
В интернет маршрутизатор подключается по adsl, поэтому внешний интерфейс будет обзываться Dialer0.
Настройка шифрования:
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco123 address 88.88.88.88
crypto isakmp key cisco321 address 77.77.77.77
crypto isakmp keepalive 30
!
!
crypto ipsec transform-set DMVPNSET_1 esp-3des esp-sha-hmac
 mode transport
crypto ipsec transform-set DMVPNSET_2 esp-3des esp-sha-hmac
 mode transport
!
crypto ipsec profile DMPROFILE_1
 set transform-set DMVPNSET_1
!
crypto ipsec profile DMPROFILE_2
 set transform-set DMVPNSET_2

Настройка туннелей:
interface Tunnel0
 bandwidth 4000
 ip address 192.168.16.3 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMCISCO
 ip nhrp map 192.168.16.1 88.88.88.88
 ip nhrp map multicast 88.88.88.88
 ip nhrp network-id 100
 ip nhrp holdtime 600
 ip nhrp nhs 192.168.16.1
 ip tcp adjust-mss 1360
 ip ospf network broadcast
 ip ospf hello-interval 30
 ip ospf priority 0
 tunnel source Dialer0
 tunnel destination 88.88.88.88
 tunnel key 10
 tunnel protection ipsec profile DMPROFILE_1
!
interface Tunnel1
 bandwidth 2000
 ip address 192.168.32.3 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication DMCISCO
 ip nhrp map 192.168.32.1 77.77.77.77
 ip nhrp map multicast 77.77.77.77
 ip nhrp network-id 200
 ip nhrp holdtime 600
 ip nhrp nhs 192.168.32.1
 ip tcp adjust-mss 1360
 ip ospf network broadcast
 ip ospf hello-interval 30
 ip ospf priority 0
 tunnel source Dialer0
 tunnel destination 77.77.77.77
 tunnel key 20
 tunnel protection ipsec profile DMPROFILE_2

Настройка интерфейсов локальной сети:
interface FastEthernet0
 switchport access vlan 2
!
interface Vlan2
 description LAN
 ip address 10.1.4.1 255.255.255.0
 ip nat inside
 no ip virtual-reassembly

Настройка внешнего интерфейса:
interface Dialer0
 mtu 1492
 bandwidth 4096
 ip address negotiated
 no ip redirects
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp chap hostname xxxxxxx
 ppp chap password yyyyyyy

Настройка маршрутизации:
router ospf 1
 log-adjacency-changes
 network 10.1.4.1 0.0.0.0 area 0
 network 192.168.16.0 0.0.0.255 area 0
 network 192.168.32.0 0.0.0.255 area 0


Все, смотрим как поднимаются туннели и радуемся :)

1 комментарий

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.