Túnel Dynamic Multipoint VPN (DMVPN) Fase II

La fase II consiste en establecer el modelo de túneles pero de forma dinámicos tanto en el Hub como en los Spoke, el esquema de interconexión es el siguiente:

Los estados de DMVPN son:

R1:

Túnel Dynamic Multipoint VPN (DMVPN)

Una de las principales preocupaciones y desafíos que pertenecen a la implementación de VPN sitio a sitio usando la topología Hub & Spoke con un gran número de sitios es la escalabilidad. Con el hecho de que la implementación de muchos túneles GRE sobre IPSec con un protocolo de ruteo dinámico pueda escalar bien. Sin embargo el número de listas de acceso y de túneles punto a punto será difícil de administrar cuando hay un gran número de sitios remotos usando completa o parcialmente la topología mallada. Además de los problemas de escalabilidad, la implementación de un gran número de VPN sitio a sitio usando la topología Hub & Spoke con un gran número de comunicaciones spoke to spoke, dará lugar a una sobrecarga alta en el CPU y a la memoria del hub router porque todo el tráfico spoke to spoke debe transitar por el hub

En este modelo el tráfico de Spoke a Spoke no necesariamente debe pasar por el Spoke para ello Next Hop Resolution Protocol NBMA (NHRP) definido en el RFC 2332 es usado para el registro de dirección de los spokes en las implementaciones DMVPN. Con DMVPN cualquier flujo de tráfico entre los routers se envía vía un túnel GRE, pero la característica interesante que distingue a DMVP entre otras implementaciones de VPN es que este túnel GRE es un túnel multipunto GRE. Es decir el hub y los spokes requerirán un túnel cada uno para alcanzar una conectividad DMVPN completamente mallada.

De la información dada es obvio que DMVPN puede proporcionar las siguientes ventajas:

• Simplificar la porción de la configuración del hub router eliminando la necesidad de configurar crypto maps, las interfaces de túnel, y ACL de cada spoke.

• Los spoke routers  pueden obtener sus direcciones IP dinámicamente, por ejemplo un router de borde de Internet conectado con un enlace ADSL puede obtener su IP automáticamente del ISP y entonces el túnel se registrará con el hub usando NHRP.

Basado en el esquema de Hub & Spoke el siguiente tipo de GRE utiliza un NHS como HUB el cual establece un túnel dinámico DMVPN de forma dinámica con los SPOKE utilizando el protocolo NHRP, este ejemplo es básico y no ocupa seguridad, más adelante voy a subir el ejemplo con seguridad.


Para este ejemplo el esquema de interconexión es el mismo que en el ejempo Túnel GRE VPN Punto-a-Punto pero esta vez consideramos que podemos tener más sitios remotos los cuales serán agregados de manera dinámica.

Los túneles se establecen de manera dinámica en el Hub y de forma estática en los Spoke:

Túnel GRE VPN Punto-a-Punto

La popularidad de las VPNs ha crecido durante los últimos años derivado del costo beneficio que puede proporcionar a las empresas el utilizar la infraestructura de Internet para interconectar sus redes y a flexibilidad que esto conlleva.

La implementación tradicional de GRE involucra la configuración de tunel punto a punto entre dos sitios, este tipo de solución funciona bien cuando son pocos sitios a interconectar y por consiguiente se tiene un bajo número de tuneles, el esquema de interconexión clasico de esta solución se muestra a continuación:

Generic Routing Encapsulation (GRE)

Generic Routing Encapsulation (GRE) es un protocolo de túnel que puede encapsular una amplia variedad de protocolo de capa de red tipos de paquetes dentro de un túnel IP , creando un virtual punto de enlace a varios routers en puntos remotos a través de un Protocolo de Internet ( IP) de redes.

En este ejemplo esta es la topología que aplicaré para generar el túnel GRE simulando las redes LAN de los sitios remotos que se van a comunicar con las interfaces Loopback 1 en los routers R1 y R3 y siendo las interfaces Loopback 0 primero los ID del enrolamiento OSPF y después el orígenes y destino para generar el túnel GRE.

En las adyacencias tenemos que el protocolo principal de ruteo es OSPF e interiormente EIGRP para la comunicación del las redes que van por el túnel GRE.

OSPF

R1_GRE#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface

2.2.2.2           1   EXSTART/DR      00:00:36    192.168.20.2    GigabitEthernet1/0

R2_GRE#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface

3.3.3.3           1   FULL/DR         00:00:35    192.168.20.6    GigabitEthernet2/0

1.1.1.1           1   FULL/BDR        00:00:38    192.168.20.1    GigabitEthernet1/0

R3_GRE#show ip ospf neighbor 

Neighbor ID     Pri   State           Dead Time   Address         Interface

2.2.2.2           1   FULL/BDR        00:00:32    192.168.20.5    GigabitEthernet0/0

EIGRP

R1_GRE#show ip eigrp neighbors 

EIGRP-IPv4 Neighbors for AS(100)

H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq

                                            (sec)         (ms)       Cnt Num

0   192.168.0.2             Tu0               11 00:00:58   44  1434  0  3

EIGRP-IPv4 Neighbors for AS(100)

H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq

                                            (sec)         (ms)       Cnt Num

0   192.168.0.1             Tu0               11 00:01:27   48  1434  0  3