Una de las principales preocupaciones y desafíos que pertenecen a la implementación de VPN sitio a sitio usando la topología Hub & Spoke con un gran número de sitios es la escalabilidad. Con el hecho de que la implementación de muchos túneles GRE sobre IPSec con un protocolo de ruteo dinámico pueda escalar bien. Sin embargo el número de listas de acceso y de túneles punto a punto será difícil de administrar cuando hay un gran número de sitios remotos usando completa o parcialmente la topología mallada. Además de los problemas de escalabilidad, la implementación de un gran número de VPN sitio a sitio usando la topología Hub & Spoke con un gran número de comunicaciones spoke to spoke, dará lugar a una sobrecarga alta en el CPU y a la memoria del hub router porque todo el tráfico spoke to spoke debe transitar por el hub
En este modelo el tráfico de Spoke a Spoke no necesariamente debe pasar por el Spoke para ello Next Hop Resolution Protocol NBMA (NHRP) definido en el RFC 2332 es usado para el registro de dirección de los spokes en las implementaciones DMVPN. Con DMVPN cualquier flujo de tráfico entre los routers se envía vía un túnel GRE, pero la característica interesante que distingue a DMVP entre otras implementaciones de VPN es que este túnel GRE es un túnel multipunto GRE. Es decir el hub y los spokes requerirán un túnel cada uno para alcanzar una conectividad DMVPN completamente mallada.
De la información dada es obvio que DMVPN puede proporcionar las siguientes ventajas:
Basado en el esquema de Hub & Spoke el siguiente tipo de GRE utiliza un NHS como HUB el cual establece un túnel dinámico DMVPN de forma dinámica con los SPOKE utilizando el protocolo NHRP, este ejemplo es básico y no ocupa seguridad, más adelante voy a subir el ejemplo con seguridad.
Para este ejemplo el esquema de interconexión es el mismo que en el ejempo Túnel GRE VPN Punto-a-Punto pero esta vez consideramos que podemos tener más sitios remotos los cuales serán agregados de manera dinámica.
Las configuraciones quedan de la siguiente forma:
R1:
En este modelo el tráfico de Spoke a Spoke no necesariamente debe pasar por el Spoke para ello Next Hop Resolution Protocol NBMA (NHRP) definido en el RFC 2332 es usado para el registro de dirección de los spokes en las implementaciones DMVPN. Con DMVPN cualquier flujo de tráfico entre los routers se envía vía un túnel GRE, pero la característica interesante que distingue a DMVP entre otras implementaciones de VPN es que este túnel GRE es un túnel multipunto GRE. Es decir el hub y los spokes requerirán un túnel cada uno para alcanzar una conectividad DMVPN completamente mallada.
De la información dada es obvio que DMVPN puede proporcionar las siguientes ventajas:
- Simplificar la porción de la configuración del hub router eliminando la necesidad de configurar crypto maps, las interfaces de túnel, y ACL de cada spoke.
- Los spoke routers pueden obtener sus direcciones IP dinámicamente, por ejemplo un router de borde de Internet conectado con un enlace ADSL puede obtener su IP automáticamente del ISP y entonces el túnel se registrará con el hub usando NHRP.
Basado en el esquema de Hub & Spoke el siguiente tipo de GRE utiliza un NHS como HUB el cual establece un túnel dinámico DMVPN de forma dinámica con los SPOKE utilizando el protocolo NHRP, este ejemplo es básico y no ocupa seguridad, más adelante voy a subir el ejemplo con seguridad.
Para este ejemplo el esquema de interconexión es el mismo que en el ejempo Túnel GRE VPN Punto-a-Punto pero esta vez consideramos que podemos tener más sitios remotos los cuales serán agregados de manera dinámica.
Los túneles se establecen de manera dinámica en el Hub y de forma estática en los Spoke:
Las configuraciones quedan de la siguiente forma:
R1:
R2:
R3:
Comentarios
Publicar un comentario