PLNOG16: Wielopunktowy VPN, Piotr Głaska

www.huawei.comHUAWEI TECHNOLOGIES CO., LTD.
Dynamiczny VPN
wielopunktowy
Piotr Głaska

#2 HUAWEI TECHNOLOGIES CO., LTD.
Centrala
Oddział 2
Sieć NBMA
Tunel statyczny
Tunel dynamiczny
Statyczny adres IP
Dynamiczny adres IP
Dynamiczny VPN wielopunktowy
Oddział 1 Oddział 3

Porównanie DMVPN i GET VPN
Page 3
DMVPN /
DSVPN
GET VPN /
A2A VPN
Dynamiczne adresy
oddziałów
X X
Routing dynamiczny X X
Dynamiczne tunele
między oddziałami
X X
IKEv2 X X
IPv6 X X
IP Multicast X X
NAT X
Sieć publiczna X
Interoperacyjność X
(Cisco,
Huawei,
Adtran,
Vyatta, Linux)
X
(poza serwerem
kluczy)
Wady GET VPN
• Brak możliwości działania w sieciach publicznych
• GET VPN używa wspólnego klucza do szyfrowania ruchu
w całej sieci. Wystarczy uzyskać dostęp do routera w
najsłabiej chronionym oddziale, aby uzyskać możliwość
deszyfrowania całości ruchu w sieci WAN
• GET VPN nie ukrywa informacji o wew. adresach, tym
samym pozwala na nieautoryzowaną analizę ruchu w
sieci, kto komunikuje się z kim, adresy serwerów itp.
• Key Server musi być Cisco
• W przypadku gdy sieć WAN nie obsługuje multicastów
key serwery muszą mieć IOS 15.5T+, żeby obsługiwać
drafty IETF do unicast rekey i anti-replay

Jak działa DMVPN / DSVPN
1. Gdzie skierować pakiet zaadresowany do innego oddziału?
• Routing dynamiczny (RIP, OSPF, BGP) lub statyczny
(brak wsparcia IS-IS)
2. Skąd informacja jaki jest aktualny dynamiczny adres IP innego
oddziału?
• NHRP (Next Hop Resolution Protocol) i mGRE (Multipoint Generic Routing
Encapsulation)
3. Jak zaszyfrować transmisję?
• IPSec

• Interfejs tunelu mGRE jest nieco podobny do zwykłego GRE. Tak samo posiada:
• Adres źródłowy (fizyczny)
• Adres interfejsu tunel
• Różni się jednak jeżeli chodzi o:
• Typ interfejsu w konfiguracji: GRE P2MP (GRE MULTIPOINT) zamiast GRE
• Docelowy adres IP:
• W GRE: jeden adres skonfigurowany statycznie
• W mGRE: dynamicznie pobierany dzięki protokołowi NHRP.
Interfejs mGRE posiada wiele docelowych adresów IP, ponieważ składa się z
wielu tuneli GRE
• Keep-Alive: w mGRE nie wspierane
Multipoint GRE

Komunikat Wartość Znaczenie
NHRP Resolution Request 1
Zapytanie o adres IP (w sieci NBMA) routera sieci docelowej
NHRP Resolution Reply 2
NHRP Registration Request 3
Rejestrowanie oddziałów w routerach centralnych
NHRP Registration Reply 4
NHRP Purge Request 5
Kasowanie nieaktualnych mapowań NHRP
NHRP Purge Reply 6
NHRP Error Indication 7 Sygnalizacja błędów
NHRP Redirect 8 Centrala wyzwala w routerze źródłowym proces zapytania o
adres next-hop dla sieci docelowej
Ethernet Link IP Header IPSec Header GRE header NHRP payload
Enkapsulacja
Pozwala urządzeniu w sieci NBMA (Non-Broadcast Multiple Access) uzyskać adres
„publiczny” routera sieci docelowej
Next Hop Resolution Protocol (NHRP)
Rodzaje komunikatów

Adresacja
202.1.1.1/24: Adres IP w sieci NBMA (typowo adres publiczny interfejsu fizycznego WAN)
192.168.1.1/24: Adres IP sieci wewnętrznej (typowo adres prywatny interfejsu fizycznego LAN)
172.10.1.1/24: Adres IP interfejsu Tunnel
Hub
Spoke A Spoke B
192.168.0.1/24
192.168.2.1/24192.168.1.1/24
202.1.2.1/24 202.1.3.1/24
202.1.1.1/24
172.10.1.1/24
172.10.2.1/24 172.10.3.1/24

Scenariusze działania
1. Hub-Spoke (Phase 1)
2. Spoke-Spoke (Phase 2)
Adres Next Hop do oddziału docelowego => adres tunelu mGRE routera
docelowego
3. Spoke-Spoke z przekierowaniem (Phase 3)
Adres Next Hop do oddziału docelowego => adres tunelu mGRE routera
centralnego

Scenariusz 1: Hub-Spoke
AR1220
SpokeA SpokeB
Hub
192.168.1.1/24 192.168.2.1/24
192.168.0.1/24
NBMA address: 172.16.1.1/24
Tunnel address: 10.0.0.11
10.0.0.1—172.17.0.1 10.0.0.1—172.17.0.1
10.0.0.11—172.16.1.1
10.0.0.12—172.16.2.1
192.168.0.0 /16—>10.0.0.1
192.168.1.0 /24—>10.0.0.11
192.168.2.0 /24—>10.0.0.12
192.168.0.0 /16—>10.0.0.1
NHRP PEER
Routing table
NHRP registration packet

Konfiguracja
Spoke HUAWEI:
interface Tunnel 0/0/0
ip address 10.0.0.11 24
tunnel-protocol gre p2mp
source 172.16.1.1
nhrp entry 10.0.0.1 172.17.0.1 register
Hub HUAWEI:
Interface Tunnel 0/0/0
ip address 10.0.0.1 24
source 172.17.0.1
Spoke CISCO:
interface Tunnel0
ip address 10.0.0.11 255.255.255.0
tunnel mode gre multipoint
tunnel source 172.16.1.1
ip nhrp network-id 1
ip nhrp map 10.0.0.1 172.17.0.1
ip nhrp nhs 10.0.0.1
Hub CISCO:
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
Spoke CISCO:
interface Tunnel0
ip address 10.0.0.11 255.255.255.0
tunnel destination 172.17.0.1
ip nhrp map 10.0.0.1 172.17.0.1

Weryfikacja rejestracji NHRP
[Huawei-Hub] display nhrp peer all
-------------------------------------------------------------------------------
Protocol-addr Mask NBMA-addr NextHop-addr Type Flag
-------------------------------------------------------------------------------
10.0.0.11 32 172.16.1.1 10.0.0.11 dynamic route tunnel
-------------------------------------------------------------------------------
Tunnel interface: Tunnel0/0/0
Created time : 03d:09h:30m:37s
Expire time : 01:53:34
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------

Scenariusz 2: Spoke-Spoke
AR1220
SpokeA SpokeB
Hub
192.168.1.1/24 192.168.2.1/24
192.168.0.1/24
10.0.0.1—172.17.0.1 10.0.0.1—172.17.0.1
10.0.0.11—172.16.1.1
10.0.0.12—172.16.2.1
192.168.2.0 /24—>10.0.0.12
192.168.1.0 /24—>10.0.0.11
192.168.2.0 /24—>10.0.0.12
192.168.1.0 /24—>10.0.0.11
NHRP PEER
Routing table
NHRP registration packet

Zapytanie o adres innego oddziału
AR1220
SpokeA SpokeB
Hub
192.168.1.1/24 192.168.2.1/24
192.168.0.1/24
10.0.0.1—172.17.0.1
10.0.0.12—?
10.0.0.1—172.17.0.1
10.0.0.11—172.16.1.1
10.0.0.12—172.16.2.1
192.168.2.0 /24—>10.0.0.12
192.168.1.0 /24—>10.0.0.11
192.168.2.0 /24—>10.0.0.12
192.168.1.0 /24—>10.0.0.11
NHRP PEER
Routing table
Data packet
NHRP Resolution packet

Zestawienie tunelu spoke-spoke
AR1220
SpokeA SpokeB
Hub
192.168.1.1/24 192.168.2.1/24
192.168.0.1/24
10.0.0.1—172.17.0.1
10.0.0.12—172.16.2.1
10.0.0.1—172.17.0.1
10.0.0.11—172.16.1.1
10.0.0.12—172.16.2.1
10.0.0.11—172.16.1.1
10.0.0.12—172.16.2.1
192.168.2.0 /24—>10.0.0.12
192.168.1.0 /24—>10.0.0.11
192.168.2.0 /24—>10.0.0.12
192.168.1.0 /24—>10.0.0.11
NHRP PEER
Routing table
Data packet

Weryfikacja wpisów NHRP na SpokeA
[Huawei-SpokeA] display nhrp peer all
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
10.0.0.1 32 172.17.0.1 10.0.0.1 static hub
-------------------------------------------------------------------------------------------------------
Created time : 13:27:42
Expire time : --
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------

Weryfikacja wpisów NHRP na SpokeB
[Huawei-SpokeB] display nhrp peer all
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
10.0.0.1 32 172.17.0.1 10.0.0.1 static hub
-------------------------------------------------------------------------------------------------------
Expire time : --
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
10.0.0.12 24 172.16.2.1 10.0.0.12 dynamic local
-------------------------------------------------------------------------------------------------------

Konfiguracja tunelu mGRE
Hub HUAWEI
source 172.17.0.1
Spoke HUAWEI
ip address 10.0.0.11 24
source 172.16.1.1
Spoke CISCO
ip address 10.0.0.11 255.255.255.0
ip nhrp map 10.0.0.1 172.17.0.1
Hub CISCO
ip address 10.0.0.1 255.255.255.0

Konfiguracja routingu - Hub
Przykład z OSPF
ospf 301 router-id 10.0.0.1
area 0.0.0.0
network 10.0.0.1 0.0.0.255
interface Tunnel0/0/0
ospf network-type broadcast
ospf dr-priority 255
nhrp entry multicast dynamic
CISCO : ip nhrp map multicast dynamic
Przykład z RIP
rip 300
undo summary
version 2
network 10.0.0.0
undo rip split-horizon

Konfiguracja routingu - Spoke
Przykład z OSPF
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 10.0.0.0 0.0.0.255
ospf dr-priority 0
CISCO: ip nhrp map multicast 172.17.0.1
Przykład z RIP
rip 300
version 2
network 10.0.0.0
network 192.168.1.0

Scenariusz 3: Spoke-Spoke z przekierowaniem
AR1220
SpokeA SpokeB
Hub
192.168.1.1/24 192.168.2.1/24
192.168.0.1/24
10.0.0.11—172.16.1.1
10.0.0.12—172.16.2.1
192.168.0.0 /16—>10.0.0.1
192.168.1.0 /24—>10.0.0.11
192.168.2.0 /24—>10.0.0.12
192.168.0.0 /16—>10.0.0.1
NHRP PEER
Routing table
Data packet
NHRP redirection packet

Weryfikacja wpisów NHRP
[Huawei-SpokeA] display nhrp peer all
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
10.0.0.1 32 172.17.0.1 10.0.0.1 static hub
-------------------------------------------------------------------------------------------------------
Expire time : --
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
192.168.2.2 24 172.16.2.1 10.0.0.12 dynamic route network
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------
-------------------------------------------------------------------------------------------------------

Konfiguracja
Hub:
source 172.17.0.1
nhrp redirect
SpokeA:
ip address 10.0.0.11 24
source 172.16.1.1
nhrp shortcut
SpokeB:
ip address 10.0.0.12 24
source 172.16.2.1
nhrp shortcut
CISCO
Hub: ip nhrp redirect
Spoke: ip nhrp shortcut

Konfiguracja routingu dynamicznego - Hub
Przykład z OSPF
area 0.0.0.0
network 10.0.0.1 0.0.0.255
ospf network-type p2mp
ospf dr-priority 255
Przykład z RIP
rip 300
version 2
network 10.0.0.0
network 192.168.0.0
rip summary-address 192.168.0.0 255.255.0.0

Konfiguracja routingu dynamicznego - Spoke
Przykład z OSPF
area 0.0.0.0
network 192.168.1.0 0.0.0.255
network 10.0.0.0 0.0.0.255
ospf dr-priority 0
Przykład z RIP
rip 300
version 2
network 10.0.0.0
network 192.168.1.0

Routing dynamiczny - podsumowanie
Page 25
Scenariusz RIP OSPF BGP
Non-Shortcut Wyłączyć split horizon i
automatyczną agregację
ścieżek na interfejsie mGRE
huba
ospf network-type
broadcast na hubach i w
oddziałach
Wyłączona agregacja
ścieżek na hubie
Shortcut Włączyć split horizon i
agregację ścieżek na
interfejsie mGRE huba
ospf network-type
p2mp na hubach i w
oddziałach
Skonfigurować
agregację ścieżek na
hubie
• Wspierane wszystkie protokoły z wyjątkiem IS-IS
• W dużych sieciach rekomendowane BGP (w sieciach homogenicznych Cisco także EIGRP z Stub routing)
• Huby wymieniają informacje routingowe z wszystkimi oddziałami i innymi hubami
• Oddziały wymieniają informacje routingowe tylko z hubami

DSVPN z IPsec
ipsec proposal dsvpn-proposal
esp authentication-algorithm sha2-512
esp encryption-algorithm aes-256
ike proposal 10
encryption-algorithm aes-cbc-256
dh group14
ike peer HUB v1
pre-shared-key simple Huawei@1234
ike-proposal 10
ipsec profile DSPVN
ike-peer HUB
proposal dsvpn-proposal
pfs dh-group14
ip address 172.16.1.2 255.255.255.0
source GigabitEthernet1/0/0
ospf dr-priority 0
ipsec profile DSVPN
CISCO: tunnel protection ipsec profile DMVPN

• Spoke wysyła NHRP Registration Request do huba, z oryginalnym adresem IP w komunikacie, hub więc może wykryć czy po
drodze adres był zamieniony. Hub odpowiada komunikatem NHRP Registration Reply zawierającym publiczny adres IP
oddziału
• Oddział źródłowy wysyła zapytania NHRP Resolution Request ze swoim prywatnym i publicznym adresem IP do oddziału
docelowego. Oddział docelowy wysyła odpowiedź NHRP Resolution Reply również ze swoimi obydwoma adresami IP
NAT Traversal
Ograniczenia:
• Oddziały nie mogą być podłączone do tego
samego urządzenia z NATem i translowane na
ten sam adres publiczny
• Urządzenia NATujące nie mogą robić PATa
• Musi być skonfigurowany statyczny NAT
SPOKE A SPOKE B
HUB
NAT NAT
Tunnel0：172.10.1.1/24
Physical：202.1.1.1/24
Physical：10.1.3.1/24
Tunnel0：172.10.3.1/24
Physical：10.1.2.1/24
Tunnel0：172.10.2.1/24
10.1.2.1/24-->202.1.2.1/24 10.1.3.1/24-->202.1.3.1/24

Dual-Hub Single DSVPN
Page 28

Dual-Hub Single DSVPN
Konfiguracja na hubach:
ip address 172.16.1.1 255.255.255.0
ospf cost 1000
nhrp redirect
Page 29
ip address 172.16.1.254 255.255.255.0
ospf cost 3000
nhrp redirect
Konfiguracja Spoke:
ip address 172.16.1.2 255.255.255.0
nhrp shortcut
nhrp registration interval 300

Dwa VPNy z pojedynczymi hubami – LTE Dual-SIM

Monitorowanie LTE APN poprzez NQA
interface Cellular0/0/0
apn-profile orange priority 200 track nqa admin tunnel0/0/1 admin tunnel0/0/2
apn-profile tmo priority 150 track nqa admin tunnel0/0/3 admin tunnel0/0/4
apn profile orange
apn internet
sim-id 1
apn profile tmo
apn internet
sim-id 2

HUB_1
ip address 172.16.1.1 255.255.255.0
gre key 111
nhrp authentication cipher Huawei@1
#
ip address 172.16.3.1 255.255.255.0
gre key 333
HUB_2
ip address 172.16.2.1 255.255.255.0
gre key 222
#
ip address 172.16.4.1 255.255.255.0
gre key 444
Konfiguracja routerow centralnych
gre key { plain key-number | [ cipher ] plain-cipher-text }
W przypadku gdy kilka interfejsów mGRE używa tego samego źródłowego adresu IP lub interfejsu fizycznego

ip address 172.10.1.2 255.255.255.0
rip metricin 1
source Cellular0/0/0
gre key 111
nhrp entry holdtime seconds 60
nhrp registration no-unique
nhrp entry 172.10.1.1 202.10.1.2 register track apn orange
ip address 172.10.2.2 255.255.255.0
rip metricin 7
rip metricout 7
gre key 222
nhrp entry 172.10.2.1 202.10.1.10 register track apn orange
ip address 172.10.3.2 255.255.255.0
rip metricin 4
rip metricout 4
gre key 333
nhrp entry 172.10.3.1 202.10.1.6 register track apn tmo
ip address 172.10.4.2 255.255.255.0
rip metricin 10
rip metricout 10
gre key 444
nhrp entry 172.10.4.1 202.10.1.14 register track apn tmo
Konfiguracja routera Spoke

Wspierane platformy
CISCO (Dynamic Multipoint VPN):
IOS – m.in. routery ISR, przemysłowe CGR2010, switche Cat6500, 6880-X
IOS XE – routery ISR4xxx, ASR1K
Brak wsparcia na firewallach ASA
HUAWEI (Dynamic Smart VPN):
Routery AR G3, w tym przemysłowe AR530 (brak na SMB AR120, mobilnych AR500, switchach AR550)
Firewalle USG, karty NGFW do przełączników modularnych
Symulator eNSP
ADTRAN: Netvanta
Software: Vyatta vRouter; OpenNHRP + ipsec-tools
Page 34

Dynamiczny VPN dla PKP Polskie Linie Kolejowe
WAN
2 x Cisco
ASR1000
Cisco ISRWiększe oddziały
Mniejsze oddziały
2 lokalizacje centralne
 Ok. 300 routerów, w tym 70+
routerów Huawei AR2240
 Współpraca z DMVPN w ramach
jednej heterogenicznej sieci WAN
 Migracja z EIGRP na BGP
 System zarządzania Huawei eSight2 x HUAWEI
AR2240

WSZYSTKO MA SWÓJ KONIEC
...a tunel mGRE nawet nie jeden 

PLNOG16: Wielopunktowy VPN, Piotr Głaska

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (6)

Similar a PLNOG16: Wielopunktowy VPN, Piotr Głaska

Similar a PLNOG16: Wielopunktowy VPN, Piotr Głaska (20)

PLNOG16: Wielopunktowy VPN, Piotr Głaska