Ir al contenido principal

Túnel Dynamic Multipoint VPN (DMVPN)

Una de las principales preocupaciones y desafíos que pertenecen a la implementación de VPN sitio a sitio usando la topología Hub & Spoke con un gran número de sitios es la escalabilidad. Con el hecho de que la implementación de muchos túneles GRE sobre IPSec con un protocolo de ruteo dinámico pueda escalar bien. Sin embargo el número de listas de acceso y de túneles punto a punto será difícil de administrar cuando hay un gran número de sitios remotos usando completa o parcialmente la topología mallada. Además de los problemas de escalabilidad, la implementación de un gran número de VPN sitio a sitio usando la topología Hub & Spoke con un gran número de comunicaciones spoke to spoke, dará lugar a una sobrecarga alta en el CPU y a la memoria del hub router porque todo el tráfico spoke to spoke debe transitar por el hub

En este modelo el tráfico de Spoke a Spoke no necesariamente debe pasar por el Spoke para ello Next Hop Resolution Protocol NBMA (NHRP) definido en el RFC 2332 es usado para el registro de dirección de los spokes en las implementaciones DMVPN. Con DMVPN cualquier flujo de tráfico entre los routers se envía vía un túnel GRE, pero la característica interesante que distingue a DMVP entre otras implementaciones de VPN es que este túnel GRE es un túnel multipunto GRE. Es decir el hub y los spokes requerirán un túnel cada uno para alcanzar una conectividad DMVPN completamente mallada.

De la información dada es obvio que DMVPN puede proporcionar las siguientes ventajas:


  • Simplificar la porción de la configuración del hub router eliminando la necesidad de configurar crypto maps, las interfaces de túnel, y ACL de cada spoke.

  • Los spoke routers  pueden obtener sus direcciones IP dinámicamente, por ejemplo un router de borde de Internet conectado con un enlace ADSL puede obtener su IP automáticamente del ISP y entonces el túnel se registrará con el hub usando NHRP.


Basado en el esquema de Hub & Spoke el siguiente tipo de GRE utiliza un NHS como HUB el cual establece un túnel dinámico DMVPN de forma dinámica con los SPOKE utilizando el protocolo NHRP, este ejemplo es básico y no ocupa seguridad, más adelante voy a subir el ejemplo con seguridad.


Para este ejemplo el esquema de interconexión es el mismo que en el ejempo Túnel GRE VPN Punto-a-Punto pero esta vez consideramos que podemos tener más sitios remotos los cuales serán agregados de manera dinámica.












Los túneles se establecen de manera dinámica en el Hub y de forma estática en los Spoke:










Las configuraciones quedan de la siguiente forma:

R1:


R2:

R3:

Comentarios

Entradas populares de este blog

Problema para conectar mi VPN a través de TELMEX

Tengo un servicio Infinitum de TELMEX el cuál no me permitia conectar a mi empresa usando el cliente VPN de Cisco (Cisco VPN client), mi modem es un Technicolor TG582n http://wiki.aa.org.uk/Category:Router_TG582N. El error es "Secure VPN Connection terminated locally by the Client. Reason 412: The remote peer is no longer responding:

OSPF + EIGRP redistribuir rutas

Vamos a ver un caso muy particular para redistribución de rutas, en este ejemplo partimos del supuesto que tenemos un Router R4 en un sitio remoto que tiene configurado OSPF, tenemos en otro extremo Routers R1, R2 y R3 con enrutamiento EIGRP configurado entre ellos, se habilitan 2 interfaces en R4 para interconectar con el AS EIGRP entre R3 y R2 por cuestiones de contar con redundancia y requerimos lo siguiente: Habilitar enrutamiento entre los Routers sin eliminar las configuraciones previas, podemos agregar y cambiar valores por defecto. Permitir que la ruta por defecto de todos los Routers sea por medio de R4 Establecer como ruta preferida para comunicar ambos sistemas mediante R3 y R4 quedando como ruta secundaria R2 y R4. El esquema de interconexión y direccionamiento utilizado es el siguiente.

Históricos Billetes - Guatemala.

Banco de Occidente, 1 Peso, Quezaltenango, Guatemala, 1880   El Banco Internacional de Guatemala, 1 Peso, 1914