DMVPN EIGRP IPSEC
Bonjour chers internautes,
Aujourd'hui nous allons voir comment nous pouvons configurer un DMVPN entre trois villes
L'objectif au final c'est que nous puissions avoir la convergence totale entre les différents sous réseaux interconnectés
Avant de passer au choses sérieuses, nous allons d'abord présenter notre solution
Dynamic multipoint VPN utilisent mGRE (Multipoint GRE), et NHRP (Next Hop Resolution Protocol), pour former des tunnels à la volée, c’est à dire qu’on a pas besoin de connaitre les IP des peers distants, mais l’on va dynamiquement créer des liaisons point à point vers tous les routeurs dans le même groupe mGRE que nous. On pourrait comparer NHRP à l’ARP pour les tunnels multipoints, sauf que cela permet de passer d’une ip privée vers une ip publique. Cela à pour avantage de simplifier la configuration des routeurs, et permettre l’extensibilité, notemment en cas d’ajout d’un noeud. Du fait que les peers ne sont pas connu à l’avance, nous pouvons créer une clef isakmp par défaut ou utiliser une infrastructure PKI qui est plus sécurisée.
Il y a deux approches pour le DMVPN:
Hub and spoke, topologie dans laquelle le hub utilise une interface tunnel mGRE, et il n’y aura pas de tunnel direct entre les différents sites, le hub fera le routage entre les tunnels.
Spoke To Spoke, les différents noeud distant établissent des tunnels entre eux de manière dynamiques, de manière à formé un réseau full mesh. C’est ce que nous ferons plus tard
Note: La notion HUB ici désignera simplement le routeur qui servira pour la résolution du Next Hop (ce sera le Next Hop Server, NHS), mais les tunnels se feront bien entre tous les routeurs
IPsec statique
L’IPsec statique est difficile à faire évoluer d’un point de vue « management », ajouter des nouveaux sites requière beaucoup de configuration. Ce type de VPN ne supporte pas le routage dynamique ou le Multicast (de base).
MPLS L3 VPN
Ajoute une complexité de routage supplémentaire, ils ne supportent pas forcément IPv6 or IPv4/v6 Multicast.
L’Interopérabilité avec les fournisseurs d’accès pour le MPLS L3VPN est difficile à mettre en place, et besoin de circuits séparés pour l’accès internet
Nous allons mettre en place DMVPN entre 3 agences de la société BetaSolutions Corporation.
Le Siege se trouve à Douala et dipose d'une connexion Camtel de 4Mbps, à Bertoua et Yaoundé ce sont des connexions MTN et INFOGENIE de 1Mbps sur chaque site
Nous utilisons l'interface loopback10 pour representer le LAN des sites
La liaison Douala - Yaoundé correspond au réseau 41.204.95.0/30
La liaison Douala - Bertoua correspond au réseau 41.190.224.64/30
Le réseau des tunnels est en 172.1.123.0/24
Le numéro de système autonome pour EIGRP est 20
crypto isakmp policy 10
authentication pre-share
crypto isakmp key techno2006 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set MyTransformSet esp-aes esp-sha-hmac
!
crypto ipsec profile MyProfile
set transform-set MyTransformSet
!
!
!
!
!
interface Loopback10
ip address 192.168.10.1 255.255.255.0
!
interface Tunnel0
ip address 173.1.123.1 255.255.255.0
no ip redirects
ip hold-time eigrp 20 35
no ip next-hop-self eigrp 20
ip nhrp map multicast dynamic
ip nhrp network-id 99
ip nhrp holdtime 300
no ip split-horizon eigrp 20
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile MyProfile
!
interface FastEthernet0/0
ip address 41.204.95.1 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 41.190.224.65 255.255.255.252
duplex auto
speed auto
!
!
router eigrp 20
redistribute connected
redistribute static
network 173.1.0.0
network 192.168.10.0
auto-summary
crypto isakmp policy 10
authentication pre-share
crypto isakmp key techno2006 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set MyTransformSet esp-aes esp-sha-hmac
!
crypto ipsec profile MyProfile
set transform-set MyTransformSet
!
!
!
!
!
interface Loopback10
ip address 192.168.20.1 255.255.255.0
!
interface Tunnel0
ip address 173.1.123.2 255.255.255.0
no ip redirects
ip hold-time eigrp 20 35
no ip next-hop-self eigrp 20
ip nhrp map 173.1.123.1 41.204.95.1
ip nhrp map multicast 41.204.95.1
ip nhrp network-id 99
ip nhrp nhs 173.1.123.1
no ip split-horizon eigrp 20
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile MyProfile
!
crypto isakmp policy 10
authentication pre-share
crypto isakmp key techno2006 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set MyTransformSet esp-aes esp-sha-hmac
!
crypto ipsec profile MyProfile
set transform-set MyTransformSet
!
!
!
!
!
interface Loopback10
ip address 192.168.30.1 255.255.255.0
!
interface Tunnel0
ip address 173.1.123.3 255.255.255.0
no ip redirects
ip hold-time eigrp 20 35
no ip next-hop-self eigrp 20
ip nhrp map 173.1.123.1 41.204.95.1
ip nhrp map multicast 41.204.95.1
ip nhrp network-id 99
ip nhrp nhs 173.1.123.1
no ip split-horizon eigrp 20
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile MyProfile
!
interface FastEthernet0/0
ip address 41.190.224.66 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
!
router eigrp 20
redistribute connected
redistribute static
network 173.1.0.0
network 192.168.30.0
auto-summary
!
Converge complète EIGRP fonctionne à travers les tunnels IPSEC
IPsec en fonctionnement
Merci de m'avoir suivi
Salutations
Aujourd'hui nous allons voir comment nous pouvons configurer un DMVPN entre trois villes
L'objectif au final c'est que nous puissions avoir la convergence totale entre les différents sous réseaux interconnectés
Avant de passer au choses sérieuses, nous allons d'abord présenter notre solution
VPN
Un VPN est un réseau privé construit au sein d'une infrastructure de réseau public, tel que l'Internet global. Les entreprises peuvent utiliser un VPN pour connecter en toute sécurité des bureaux et des utilisateurs distants par le biais d'un accès Internet tiers et peu coûteux, plutôt que par le biais de liaisons WAN dédiées coûteuses ou de liaisons d'accès longue distance.
Le VPN doit garrantir principalement 3 fonctionnalités:
- L'authentification : il faut être certain que ce soit la bonne personne ou entité qui cherche à établir le VPN
- L'intégrité : les données transitant par un autre réseau, il faut garantir qu'elles ne vont pas être corrompues par une personne située au milieu de la communication.
- La sécurité : le contenu de la communication ne doit pas être accessible aux personnes qui arriveront à intercepter une partie des données. L'utilisation d'un algorithme de cryptage sera alors nécessaire.
Les organisations peuvent utiliser un VPN pour réduire les coûts en bande passante WAN tout en augmentant les vitesses de connectivité, grâce à une technologie de connectivité Internet à haute bande passante telle que DSL, Ethernet ou le câble.
Un VPN procure le niveau de sécurité le plus élevé possible, grâce à des tunnels VPN IPsec (IP Security) ou SSL (Secure Sockets Layer) chiffrés et à des technologies d'authentification. Les données traversant le VPN sont ainsi protégées contre tout accès non autorisé. Il est très facile aux entreprises de tirer parti de l'infrastructure Internet du VPN pour ajouter rapidement de nouveaux sites ou utilisateurs. Il est également possible d'étendre de manière significative la portée du VPN sans étendre énormément l'infrastructure.
Un VPN étend la sécurité pour les utilisateurs distants
Un VPN SSL et un VPN IPsec constituent aujourd'hui les principales solutions VPN pour la connexion de bureaux distants, d'utilisateurs distants et de partenaires professionnels car ils :
- Fournissent des communications sécurisées avec des droits d'accès adaptés à chaque utilisateur, tels que les employés, sous-traitants et partenaires
- Améliorent la productivité en étendant le réseau et les applications d'entreprise
- Réduisent les coûts de communication et accroissent la flexibilité
Les deux types de VPN chiffrés sont les suivants :
- VPN IPsec de site à site : Cette alternative aux réseaux étendus à relais de trames ou à ligne allouée permet aux entreprises d'étendre les ressources réseau aux succursales, aux travailleurs à domicile et aux sites de leurs partenaires.
- VPN d'accès distant : Ce type de VPN étend presque n'importe quelle application vocale, vidéo ou de données au bureau distant, grâce à une émulation du bureau principal. Un VPN d'accès distant peut être déployé à l'aide d'un VPN SSL, IPsec ou les deux, en fonction des exigences de déploiement.
Présentation DMVPN
Dynamic multipoint VPN utilisent mGRE (Multipoint GRE), et NHRP (Next Hop Resolution Protocol), pour former des tunnels à la volée, c’est à dire qu’on a pas besoin de connaitre les IP des peers distants, mais l’on va dynamiquement créer des liaisons point à point vers tous les routeurs dans le même groupe mGRE que nous. On pourrait comparer NHRP à l’ARP pour les tunnels multipoints, sauf que cela permet de passer d’une ip privée vers une ip publique. Cela à pour avantage de simplifier la configuration des routeurs, et permettre l’extensibilité, notemment en cas d’ajout d’un noeud. Du fait que les peers ne sont pas connu à l’avance, nous pouvons créer une clef isakmp par défaut ou utiliser une infrastructure PKI qui est plus sécurisée.
Il y a deux approches pour le DMVPN:
Hub and spoke, topologie dans laquelle le hub utilise une interface tunnel mGRE, et il n’y aura pas de tunnel direct entre les différents sites, le hub fera le routage entre les tunnels.
Spoke To Spoke, les différents noeud distant établissent des tunnels entre eux de manière dynamiques, de manière à formé un réseau full mesh. C’est ce que nous ferons plus tard
Note: La notion HUB ici désignera simplement le routeur qui servira pour la résolution du Next Hop (ce sera le Next Hop Server, NHS), mais les tunnels se feront bien entre tous les routeurs
DMVPN vs Autres VPNs
IPsec statique
L’IPsec statique est difficile à faire évoluer d’un point de vue « management », ajouter des nouveaux sites requière beaucoup de configuration. Ce type de VPN ne supporte pas le routage dynamique ou le Multicast (de base).
MPLS L3 VPN
Ajoute une complexité de routage supplémentaire, ils ne supportent pas forcément IPv6 or IPv4/v6 Multicast.
L’Interopérabilité avec les fournisseurs d’accès pour le MPLS L3VPN est difficile à mettre en place, et besoin de circuits séparés pour l’accès internet
Exemple de configuration
Nous allons mettre en place DMVPN entre 3 agences de la société BetaSolutions Corporation.
Le Siege se trouve à Douala et dipose d'une connexion Camtel de 4Mbps, à Bertoua et Yaoundé ce sont des connexions MTN et INFOGENIE de 1Mbps sur chaque site
Nous utilisons l'interface loopback10 pour representer le LAN des sites
La liaison Douala - Yaoundé correspond au réseau 41.204.95.0/30
La liaison Douala - Bertoua correspond au réseau 41.190.224.64/30
Le réseau des tunnels est en 172.1.123.0/24
Le numéro de système autonome pour EIGRP est 20
Config de Douala
crypto isakmp policy 10
authentication pre-share
crypto isakmp key techno2006 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set MyTransformSet esp-aes esp-sha-hmac
!
crypto ipsec profile MyProfile
set transform-set MyTransformSet
!
!
!
!
!
interface Loopback10
ip address 192.168.10.1 255.255.255.0
!
interface Tunnel0
ip address 173.1.123.1 255.255.255.0
no ip redirects
ip hold-time eigrp 20 35
no ip next-hop-self eigrp 20
ip nhrp map multicast dynamic
ip nhrp network-id 99
ip nhrp holdtime 300
no ip split-horizon eigrp 20
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile MyProfile
!
interface FastEthernet0/0
ip address 41.204.95.1 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 41.190.224.65 255.255.255.252
duplex auto
speed auto
!
!
router eigrp 20
redistribute connected
redistribute static
network 173.1.0.0
network 192.168.10.0
auto-summary
Config Yaoundé
crypto isakmp policy 10
authentication pre-share
crypto isakmp key techno2006 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set MyTransformSet esp-aes esp-sha-hmac
!
crypto ipsec profile MyProfile
set transform-set MyTransformSet
!
!
!
!
!
interface Loopback10
ip address 192.168.20.1 255.255.255.0
!
interface Tunnel0
ip address 173.1.123.2 255.255.255.0
no ip redirects
ip hold-time eigrp 20 35
no ip next-hop-self eigrp 20
ip nhrp map 173.1.123.1 41.204.95.1
ip nhrp map multicast 41.204.95.1
ip nhrp network-id 99
ip nhrp nhs 173.1.123.1
no ip split-horizon eigrp 20
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile MyProfile
!
Config de Bertoua
crypto isakmp policy 10
authentication pre-share
crypto isakmp key techno2006 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set MyTransformSet esp-aes esp-sha-hmac
!
crypto ipsec profile MyProfile
set transform-set MyTransformSet
!
!
!
!
!
interface Loopback10
ip address 192.168.30.1 255.255.255.0
!
interface Tunnel0
ip address 173.1.123.3 255.255.255.0
no ip redirects
ip hold-time eigrp 20 35
no ip next-hop-self eigrp 20
ip nhrp map 173.1.123.1 41.204.95.1
ip nhrp map multicast 41.204.95.1
ip nhrp network-id 99
ip nhrp nhs 173.1.123.1
no ip split-horizon eigrp 20
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile MyProfile
!
interface FastEthernet0/0
ip address 41.190.224.66 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
!
router eigrp 20
redistribute connected
redistribute static
network 173.1.0.0
network 192.168.30.0
auto-summary
!
Résultats :
Converge complète EIGRP fonctionne à travers les tunnels IPSEC
IPsec en fonctionnement
Merci de m'avoir suivi
Salutations
Pour ceux qui ont suivi, vous pouvez remarquer que l'interface du tunnel sur Douala est fa0/0 de ce fait Bertoua ne pas construire son tunnel à lui puisque il ne voit pas le reseau point qui est sur la liaison Douala - Yde
RépondreSupprimerCette commande a été ajoutée pour corriger le problème
ip route 41.204.95.0 255.255.255.252 41.190.224.65
bonjour Fabrice je viens de parcourir ton blog et ta solution en ce qui concerne les vpn m’intéresse
RépondreSupprimer