Dynamic Multipoint VPN (DMVPN)

Transcripción

1 Dynamic Multipoint VPN (DMVPN) Descargue este capítulo Dynamic Multipoint VPN (DMVPN) Descargue el libro completo Guía de configuración de la Seguridad de Cisco IOS: Conectividad segura, versión 12.2SR (PDF - 5 MB) Feedback Contenidos Dynamic Multipoint VPN (DMVPN) Encontrar la información de la característica Contenido Prerrequisitos de Dynamic Multipoint VPN (DMVPN) Restricciones de Dynamic Multipoint VPN (DMVPN) Soporte DMVPN en el Cisco 6500 y el Cisco 7600 Información sobre VPN Multipunto Dinámica (DMVPN) Ventajas de Dynamic Multipoint VPN (DMVPN) Diseño de la Función Dynamic Multipoint VPN (DMVPN) Perfiles de ipsec DMVPN Integrado VRF DMVPN Habilitar la segmentación del tráfico dentro del DMVPN DMVPN que Reconoce la Transparencia NAT Control de Admisión de Llamadas con DMVPN Mecanismo de Limitación de Velocidad NHRP Cómo Configurar Dynamic Multipoint VPN (DMVPN) Configurar un perfil de ipsec Prerrequisitos Pasos Siguientes Configurar el concentrador para el DMVPN Configurar el spoke para el DMVPN Configurar la expedición de los paquetes IP de los datos del texto claro en un VRF Configurar la expedición de los paquetes del túnel encriptado en un VRF Configuración de DMVPN Traffic Segmentation Within DMVPN Prerrequisitos Habilitación de MPLS en el Túnel VPN Configuración de BGP Multiprotocolo en el Router del Hub Configuración de BGP Multiprotocolo en los Routers Spoke Troubleshooting de VPN Multipunto Dinámica (DMVPN) Pasos Siguientes Ejemplos de Configuración de la Función Dynamic Multipoint VPN (DMVPN) Ejemplo: Configuración del hub para el DMVPN Ejemplo: Configuración radial para el DMVPN Ejemplo: VRF DMVPN enterado Ejemplo: 2547oDMVPN con la segmentación del tráfico (con el BGP solamente) Ejemplo: 2547oDMVPN con la segmentación del tráfico (Central corporativa) Referencias adicionales Documentos Relacionados Estándares MIB RFC Asistencia Técnica Información sobre la Función Dynamic Multipoint VPN (DMVPN) Glosario Dynamic Multipoint VPN (DMVPN) Primera publicación: De noviembre el 25 de 2002 Última actualización: 3 de febrero de 2009 La característica del Dynamic Multipoint VPN (DMVPN) permite que los usuarios escalen mejor el Redes privadas virtuales (VPN) grande y pequeño de la seguridad IP (IPSec) combinando los túneles, la encripción de IPSec, y el Next Hop Resolution Protocol (NHRP) del Generic Routing Encapsulation (GRE). Encontrar la información de la característica Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y

2 advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea información de la característica para la sección del Dynamic Multipoint VPN (DMVPN). Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a Una cuenta en el cisco.com no se requiere. Contenido Prerrequisitos de Dynamic Multipoint VPN (DMVPN) Restricciones de Dynamic Multipoint VPN (DMVPN) Información sobre VPN Multipunto Dinámica (DMVPN) Cómo Configurar Dynamic Multipoint VPN (DMVPN) Ejemplos de Configuración de la Función Dynamic Multipoint VPN (DMVPN) Referencias adicionales Información sobre la Función Dynamic Multipoint VPN (DMVPN) Glosario Prerrequisitos de Dynamic Multipoint VPN (DMVPN) Antes de un GRE de múltiples puntos (mgre) y del túnel IPsec puede ser establecido, usted debe definir una directiva del Internet Key Exchange (IKE) usando crypto isakmp policy el comando. Para que la mejora enterada de la Transparencia NAT trabaje, usted debe utilizar al modo de transporte de IPSec en el conjunto de la transformación. También, aunque la Transparencia NAT puede apoyar a dos pares (IKE y IPSec) que es traducida al la misma dirección IP (usando el protocolo UDP [UDP] vira hacia el lado de babor para distinguirlo [that is, Peer Address Translation (PAT)]), estas funciones no se soportan para el DMVPN. Todos los spokes DMVPN deben tener una dirección IP después de que hayan sido traducidos por NAT. Pueden tener la misma dirección IP antes de su traducción con NAT. Para habilitar 2547oDMPVN Segmentación del tráfico dentro del DMVPN usted debe configurar el Multiprotocol Label Switching (MPLS) usando mpls ip el comando. Restricciones de Dynamic Multipoint VPN (DMVPN) Si usted utiliza la creación dinámica para el spoke al spoke hace un túnel la ventaja de esta característica, usted debe utilizar las claves del preshared de los Certificados o del comodín IKE para la autenticación del protocolo internet security association key management (ISAKMP). Nota se recomienda altamente que usted no utiliza las claves del preshared del comodín porque el atacante tendrá acceso al VPN si comprometen a un router radial. El Keepalives del túnel GRE (es decir, keepalive el comando bajo interfaz GRE) no se soporta en los túneles GRE de punto a punto o de múltiples puntos en una red DMVPN. Para las mejores funciones DMVPN, se recomienda que usted funciona con el último Cisco IOS Software Release 12.4 mainline,12.4t, o 12.2(18)SXF. Si un spoke está detrás de un dispositivo NAT y otro diverso spoke está detrás de otro dispositivo NAT, y traducción de la dirección de peer (PALMADITA) es el tipo de NAT usado en ambos dispositivos NAT, después una sesión iniciada entre los dos spokes no puede ser establecida. Un ejemplo de una configuración de la PALMADITA en una interfaz NAT es: ip nat inside source list nat_acl interface FastEthernet0/1 overload Soporte DMVPN en el Cisco 6500 y el Cisco 7600 Intercambio de la Cuchilla-a-cuchilla en el Cisco 6500 y el Cisco 7600 El DMVPN no soporta el intercambio de la cuchilla-a-cuchilla en el Cisco 6500 y el Cisco Cisco 6500 o Cisco 7600 como concentrador DMVPN Un Cisco 6500 o Cisco 7600 que está funcionando pues un concentrador DMVPN no se puede establecer detrás de un router NAT. Si un Cisco 6500 o el Cisco 7600 está funcionando como un concentrador DMVPN, el spoke detrás del NAT debe ser un Cisco 6500 o el Cisco 7600, respectivamente, o el router se debe actualizar al Cisco IOS Software Release 12.3(11)T02 o a una versión posterior. Cisco 6500 o Cisco 7600 como spoke DMVPN Si un Cisco 6500 o el Cisco 7600 está funcionando como un spoke, el concentrador no puede estar detrás de NAT. Si un Cisco 6500 o el Cisco 7600 está funcionando como un DMVPN habló detrás del NAT, el concentrador debe ser un Cisco 6500 o el Cisco 7600, respectivamente, o el router se debe actualizar al Cisco IOS Release 12.3(11)T02 o a una versión posterior.

3 Supervisor Engine del concentrador o del spoke DMVPN Solamente un Supervisor Engine 720 se puede utilizar como un concentrador o spoke DMVPN. Un Supervisor Engine 2 no puede ser utilizado. Multicast cifrado con el GRE El Multicast cifrado con el GRE no se soporta en el Cisco 6500 ni en el Cisco interfaces del mgre Si hay dos interfaces del mgre en el mismo nodo DMVPN y ambas no tienen una clave del túnel, las dos interfaces del mgre deben cada uno tener una dirección de origen del túnel único (o interfaz) configurada. En el Cisco 6500 y el Cisco 7600, cada interfaz GRE (de múltiples puntos o de punto a punto) debe tener una dirección de origen del túnel único (o interfaz). Los siguientes comandos no se soportan bajo el mgre con el DMVPN: ip tcp adjust-mss qos pre-classify tunnel vrf tunnel path-mtu-discovery, y tunnel vrf. Calidad del servicio (QoS) Usted no puede utilizar QoS para los paquetes DMVPN en un Cisco 6500 o el Cisco Clave del túnel El uso de una clave del túnel en una interfaz (de múltiples puntos o de punto a punto) GRE no se soporta en el Hardware Switching Asics en las Plataformas del Cisco 6500 y del Cisco Si se configura una clave del túnel, el desempeño del rendimiento de procesamiento se reduce grandemente. En el Cisco IOS Release 12.3(11)T3 y la versión 12.3(14)T, el requisito que una interfaz del mgre debe tener una clave del túnel fue quitado. Por lo tanto, en una red DMVPN que incluya un Cisco 6500 o el Cisco 7600 como nodo DMVPN, usted debe quitar la clave del túnel de todos los Nodos DMVPN en la red DMVPN, así preservando el desempeño del rendimiento de procesamiento en las Plataformas del Cisco 6500 y del Cisco Si la clave del túnel no se configura en ningún nodo DMVPN dentro de una red DMVPN, no debe ser configurada en todos los Nodos DMVPN con la red DMVPN. Escenarios que reconoce VRF DMVPN mls mpls tunnel-recir El comando se debe configurar en el concentrador del equipo del proveedor (PE) DMVPN si necesidad del spokes del equipo del cliente (CE) DMVPN de hablar con otros CE a través de la nube MPLS. La interfaz del mgre se debe configurar con bastante grande una unidad máxima de transmisión IP (1400 paquetes a evitar tener el Route Processor que hace la fragmentación. El Enhanced Interior Gateway Routing Protocol (EIGRP) debe ser evitado. Información sobre VPN Multipunto Dinámica (DMVPN) Ventajas de Dynamic Multipoint VPN (DMVPN) Diseño de la Función Dynamic Multipoint VPN (DMVPN) Perfiles de ipsec DMVPN Integrado VRF DMVPN Enabling Traffic Segmentation Within DMVPN DMVPN que Reconoce la Transparencia NAT Control de Admisión de Llamadas con DMVPN Mecanismo de Limitación de Velocidad NHRP Ventajas de Dynamic Multipoint VPN (DMVPN) Reducción de la configuración del router de eje de conexión Actualmente, para cada router radial, hay un bloque separado de las líneas de configuración en el router de eje de conexión que definen las características de la correspondencia de criptografía, la lista de acceso crypto, y la interfaz de túnel GRE. Esta característica permite que los usuarios configuren una sola interfaz de túnel MGRE, un solo perfil de ipsec, y ningunas Listas de acceso crypto en el router de eje de conexión para manejar todos los routeres radiales. Así, los tamaños de la configuración en el router de eje de conexión siguen siendo constantes incluso si agregan a los routeres radiales a la red. La arquitectura DMVPN puede agrupar mucho spokes en una sola interfaz de múltiples puntos GRE, quitando la necesidad de una comprobación distinta o la interfaz lógica para cada spoke en una instalación nativa del IPSec. Iniciación automática de encripción de IPsec El GRE tiene las direcciones de origen y de destino del par configuradas o resueltas con el NHRP. Así, esta característica permite que el IPSec sea accionado inmediatamente para la tunelización GRE de punto a punto o cuando resuelven a la dirección de peer GRE vía el NHRP para el túnel GRE de múltiples puntos. Soporte para los routeres radiales dinámicamente dirigidos Al usar las redes VPN del Punto a punto GRE y del hub-and-spoke del IPSec, la dirección IP de la interfaz física de los routeres radiales debe ser sabida al configurar el router de eje de conexión porque la dirección IP se debe configurar como la dirección destino del túnel GRE. Esta característica permite que los routeres radiales tengan IP Addresses dinámicos de la interfaz física (comunes para el cable y las conexiones DSL). Cuando viene el router radial en línea, enviará los paquetes de inscripción al router de eje de conexión: dentro de estos paquetes de inscripción, es la dirección IP actual de la interfaz

4 física de este spoke. Creación dinámica para los túneles del spoke al spoke Esta característica elimina la necesidad de la configuración del spoke al spoke para los túneles directos. Cuando un router radial quiere transmitir un paquete a otro router radial, puede ahora utilizar el NHRP para determinar dinámicamente el direccionamiento de destino requerido del router radial de la blanco. (El router de eje de conexión actúa como el servidor NHRP, manejando el pedido el router radial de la fuente.) Los dos routeres radiales crean dinámicamente un túnel IPsec entre ellos así que los datos pueden ser transferidos directamente. DMVPN Integrado VRF Los DMVPN se pueden utilizar para extender las redes del Multiprotocol Label Switching (MPLS) que son desplegadas por los proveedores de servicio para aprovecharse de la facilidad de la configuración del concentrador y del spokes, para proporcionar el soporte para el Customer Premises Equipment dinámicamente dirigido (CPEs), y para proporcionar el aprovisionamiento del cero-tacto para agregar el nuevo spokes en un DMVPN. Diseño de la Función Dynamic Multipoint VPN (DMVPN) La característica del Dynamic Multipoint VPN (DMVPN) combina los túneles GRE, la encripción de IPSec, y la encaminamiento NHRP para proporcionar a los usuarios una facilidad de la configuración vía los perfiles crypto que reemplazan el requisito para definir las correspondencias de criptografía estática y de la detección dinámica de puntos finales del túnel. Esta característica confía en las dos Tecnologías estándar aumentadas Cisco siguientes: NHRP: un protocolo de cliente y servidor donde el hub es el servidor y las radios son los clientes. El hub mantiene una base de datos NHRP de las direcciones de interfaz pública de cada radio. Cada spoke registra su dirección real cuando arranca y consulta en la base de datos NHRP las direcciones reales de los spokes de destino con el fin de crear túneles directos. interfaz de túnel MGRE Permite que una sola interfaz GRE soporte los túneles IPsec múltiples y simplifica los tamaños y la complejidad de la configuración. La topología mostrada en el cuadro 1 y los puntos negros correspondientes explican cómo esta característica trabaja. Figura 1 MGRE de la muestra y topología de la integración del IPSec Cada spoke tiene un túnel IPsec permanente al concentrador, no al otro spokes dentro de la red. Cada radio se registra como cliente del servidor NHRP. Cuando una radio necesita enviar un paquete a una subred (privada) de destino en otra radio, consulta al servidor NHRP para obtener la dirección (externa) real de la radio de destino. Después de que el spoke que origina aprenda a la dirección de peer del spoke de la blanco, puede iniciar un túnel IPsec dinámico al spoke de la blanco. El túnel del spoke al spoke se construye sobre la interfaz de múltiples puntos GRE. Los links de radio a radio se establecen según la demanda cada vez que hay tráfico entre radios. Después de eso, los paquetes pueden desviar el concentrador y utilizar el túnel del spoke al spoke. Observe después de una cantidad preconfigurada de inactividad en los túneles del spoke al spoke, el router derribará esos túneles para salvar los recursos ([SAs] de las asociaciones de seguridad IPSec). Perfiles de ipsec Los perfiles de ipsec resumen la información de política del IPSec en una sola entidad de configuración, que puede ser referida por nombre de otras partes de la configuración. Por lo tanto, los usuarios pueden configurar las funciones tales como protección del túnel GRE con una sola línea de la configuración. Refiriéndose a un perfil de ipsec, el usuario no tiene que configurar una configuración entera de la correspondencia de criptografía. Un perfil de ipsec contiene solamente la información de IPSec; es decir, no contiene ninguna información de la lista de acceso o la información del peering. DMVPN Integrado VRF El VPN Routing and Forwarding (VRF) DMVPN integrado permite a los usuarios para asociar las interfaces multipunto DMVPN

5 en el MPLS VPNs. Esta asignación permite que los Proveedores de servicios de Internet (ISP) amplíen sus servicios existentes del MPLS VPN asociando los sitios fuera de la red (típicamente una sucursal) a su MPLS VPNs respectivo. Terminan al Routers del equipo del cliente (CE) en el router DMVPN PE, y el tráfico se pone en el caso VRF de un MPLS VPN. El DMVPN puede obrar recíprocamente con el MPLS VPNs de dos maneras: 1. ip vrf forwarding Se utiliza el comando de inyectar los paquetes IP de los datos (esos paquetes dentro del túnel del mgre+ipsec) en el MPLS VPN. ip vrf forwarding El comando se soporta para el DMVPN en el Cisco IOS Release 12.3(6) y la versión 12.3(7)T. 2. tunnel vrf Se utiliza el comando de transportar (ruta) el paquete del túnel sí mismo del mgre+ipsec dentro de un MPLS VPN. tunnel vrf El comando se soporta en el Cisco IOS Release 12.3(11)T pero no en el Cisco IOS Release 12.2(18)SXE. Los paquetesip de los datos del texto claro de la nota se remiten en un VRF usando ip vrf forwarding el comando, y los paquetes IP del túnel encriptado se remiten en un VRF usando tunnel vrf el comando. ip vrf forwarding Y tunnel vrf los comandos puede ser utilizado al mismo tiempo. Si se utilizan al mismo tiempo, el nombre VRF de cada comando puede ser el lo mismo o diferente. Para la información sobre configurar la expedición de los paquetes IP de los datos del texto claro en un VRF, vea la sección el configurar de la expedición de los paquetes IP de los datos del texto claro en un VRF. Para la información sobre configurar la expedición de los paquetes del túnel encriptado en un VRF, vea la sección el configurar de la expedición de los paquetes del túnel encriptado en un VRF. Para más información sobre configurar el VRF, vea que la referencia en relacionó la sección de los documentos. El cuadro 2 ilustra un escenario integrado VRF típico DMVPN. Cuadro 2 VRF DMVPN integrado DMVPN Habilitar la segmentación del tráfico dentro del DMVPN El Cisco IOS Release 12.4(11)T proporciona una mejora que permita que usted divida el tráfico VPN en segmentos dentro de un túnel DMVPN. Los casos VRF se etiquetan, usando el MPLS, para indicar su fuente y destino. El diagrama en el cuadro 3 y los puntos negros correspondientes explican cómo la segmentación del tráfico dentro del DMVPN trabaja. Cuadro 3 segmentación del tráfico con el DMVPN

6 El concentrador mostrado en el diagrama es un WAN-PE y un reflector de ruta, y el spokes (Routers PE) es clientes. Hay tres VRF, señalados rojo, verde, y azul. Cada spoke tiene una relación de vecino con el concentrador ([MP-iBGP] multiprotocol del protocolo Protocolo de la puerta de enlace marginal (BGP) que mira) y un túnel GRE al concentrador. Cada spoke hace publicidad de sus rutas y prefijos del VPNv4 al concentrador. El concentrador fija su propia dirección IP mientras que la ruta del Next-Hop para todo el VPNv4 lo dirige aprende del spokes y asigna una escritura de la etiqueta local MPLS para cada VPN cuando hace publicidad de las rutas de nuevo al spokes. Como consecuencia, el tráfico de habló A al spoke B se rutea vía el concentrador. Un ejemplo ilustra el proceso: 1. Habló A hace publicidad de una ruta del VPNv4 al concentrador, y aplica la escritura de la etiqueta X al VPN. 2. El concentrador cambia la escritura de la etiqueta a Y cuando el concentrador hace publicidad de la ruta al spoke B. 3. Cuando el spoke B tiene el tráfico a enviar a habló A, aplica Y la escritura de la etiqueta, y el tráfico va al concentrador. 4. El concentrador intercambia la escritura de la etiqueta VPN, quitando Y la escritura de la etiqueta y aplicando X una escritura de la etiqueta, y envía el tráfico al spoke A. DMVPN que Reconoce la Transparencia NAT El spokes DMVPN se sitúa a menudo detrás de un router NAT (que sea controlado a menudo por el ISP para el sitio radial) con la dirección de interfaz externa del router radial que es asignado dinámicamente por el ISP usando un IP Address privado (por de la Fuerza de tareas de ingeniería en Internet (IETF) el RFC 1918 [IETF]). Antes del Cisco IOS Release 12.3(6) y de 12.3(7)T, estos routeres radiales tuvieron que utilizar el modo del túnel IPsec para participar en una red DMVPN. Además, su interfaz exterior asignada IP address privado tuvo que ser única a través de la red DMVPN. Aunque el ISAKMP y el IPSec negociarían el NAT-T y aprenda a la dirección pública correcta NAT para el IP address privado de este spoke, el NHRP podría ver y utilizar solamente el IP Address privado del spoke para sus entradas de la asignación. Eficaz con la mejora enterada de la Transparencia NAT DMVPN, el NHRP puede ahora aprender y utilizar a la dirección pública NAT para sus asignaciones mientras utilicen al modo de transporte de IPSec (que es el modo IPsec de la recomendación para las redes DMVPN). Se ha quitado la restricción que la dirección IP de la interfaz privada del spoke debe ser única a través de la red DMVPN. Se recomienda que actualicen a todo el Routers DMVPN al nuevo código antes de que usted intente utilizar las nuevas funciones aunque los routeres radiales que no están detrás de NAT no necesitan ser actualizados. Además, usted no puede convertir a los routeres radiales actualizados que están detrás de NAT a la nueva configuración (modo de transporte de IPSec) hasta que se hayan actualizado los routeres de eje de conexión. También se agrega en los Cisco IOS Releases 12.3(9a) y 12.3(11)T la capacidad para tener el router del concentrador DMVPN detrás del NAT estático. Esto era un cambio en el soporte ISAKMP NAT-T. Para que estas funciones sean utilizadas, todos los routeres radiales y los routeres de eje de conexión DMVPN deben ser actualizados, y el IPSec debe utilizar el modo de transporte. Para que estas mejoras enteradas de la Transparencia NAT trabajen, usted debe utilizar al modo de transporte de IPSec en el conjunto de la transformación. También, aunque la Transparencia NAT (IKE y IPSec) puede apoyar a dos pares (IKE y IPSec) que son traducidos a la misma dirección IP (usando el UDP vira hacia el lado de babor para distinguirlos), estas funciones no se soportan para el DMVPN. Todos los spokes DMVPN deben tener una dirección IP después de que hayan sido traducidos por NAT. Pueden tener la misma dirección IP antes de su traducción con NAT. El cuadro 4 ilustra un escenario enterado de la Transparencia NAT DMVPN. Observeen el Cisco IOS Release 12.4(6)T o Anterior, spokes DMVPN detrás del NAT no participará en los túneles directos

7 dinámicos del spoke al spoke. Cualquier tráfico a o desde un spoke que esté detrás de NAT será remitido usando los routeres de eje de conexión DMVPN. El spokes DMVPN que no está detrás de NAT en la misma red DMVPN puede crear los túneles directos dinámicos del spoke al spoke entre uno a. En las versiones del Cisco IOS Release 12.4(6)T o Posterior, el spokes DMVPN detrás del NAT participará en los túneles directos dinámicos del spoke al spoke. El spokes debe estar detrás de los cuadros NAT que están preformando el NAT, no patente. El cuadro NAT debe traducir habló a la misma dirección IP exterior NAT para las conexiones del spoke-spoke como el cuadro NAT hace para la conexión del spoke-concentrador. Si hay más de un DMVPN habló detrás del mismo cuadro NAT, después el cuadro NAT debe traducir el spokes DMVPN a diversos IP Addresses exteriores NAT. Es también probable que usted no pueda poder construir un túnel directo del spoke-spoke entre este spokes. Si un túnel del spoke-spoke no puede formar, después los paquetes del spoke-spoke continuarán siendo remitidos vía la trayectoria del spoke-concentrador-spoke. Cuadro 4 Transparencia NAT DMVPN enterado Control de Admisión de Llamadas con DMVPN En una red DMVPN, es fácil que un router DMVPN abrumarse con el número de túneles que está intentando construir. El control de admisión de llamadas se puede utilizar para limitar el número de túneles que se puedan construir a cualquier momento, así protegiendo la memoria del router y de los recursos de la CPU. Es más probable que el control de admisión de llamadas será utilizado en un DMVPN habló para limitar el número total de sesiones ISAKMP (túneles DMVPN) que un router radial intente iniciar o validar. Esto que limita es lograda configurando un límite IKE SA bajo control de admisión de llamadas, que configura al router para caer las nuevas peticiones de la sesión ISAKMP (entrante y saliente) si el número actual de ISAKMP SA excede el límite. Es más probable que el control de admisión de llamadas será utilizado en un concentrador DMVPN al límite de velocidad el número de túneles DMVPN que estén intentando ser construidos al mismo tiempo. La limitación de la tarifa es lograda configurando un límite de los recursos del sistema bajo control de admisión de llamadas, que configura al router para caer las nuevas peticiones de la sesión ISAKMP (nuevos túneles DMVPN) cuando la utilización del sistema está sobre un porcentaje especificado. Los pedidos de sesión caídos permiten que el router de eje de conexión DMVPN complete las peticiones actuales de la sesión ISAKMP, y cuando la utilización del sistema cae, puede procesar las sesiones previamente caídas cuando se reintentan. No se requiere ninguna configuración especial para utilizar el control de admisión de llamadas con el DMVPN. Para la información sobre configurar el control de admisión de llamadas, vea que la referencia en la sección relacionó los documentos. Mecanismo de Limitación de Velocidad NHRP El NHRP tiene un mecanismo de limitación de velocidad que restrinja el número total de paquetes nhrp de cualquier interfaz dada. Los valores predeterminados, que se fijan usando el comando ip nhrp max-send, son 100 paquetes cada 10 segundos por la interfaz. Si se excede el límite, usted conseguirá el mensaje del sistema siguiente: %NHRP-4-QUOTA: Max-send quota of [int]pkts/[int]sec. exceeded on [chars] Para más información sobre este mensaje del sistema, vea la guía de mensajes del sistema del documento 12.4T. Cómo Configurar Dynamic Multipoint VPN (DMVPN) Para habilitar el mgre y tunelización de IPSec para el Routers del hub and spoke, usted debe configurar un perfil de ipsec que utilice una plantilla de política global del IPSec y configura su túnel del mgre para la encripción de IPSec. Esta sección contiene los siguientes procedimientos: Configurando un perfil de ipsec (requerido) Configurando el concentrador para el DMVPN (requerido) Configurando el spoke para el DMVPN (requerido) Configurando la expedición de los paquetes IP de los datos del texto claro en un VRF (opcional) Configurando la expedición de los paquetes del túnel encriptado en un VRF (opcional) Configuración de DMVPN Traffic Segmentation Within DMVPN Localización de averías del Dynamic Multipoint VPN (DMVPN) (opcional)

8 Configurar un perfil de ipsec El perfil de ipsec comparte la mayor parte de los mismos comandos con la configuración de la correspondencia de criptografía, pero solamente un subconjunto de los comandos es válido en un perfil de ipsec. Los únicos comandos que pertenecen a una directiva del IPSec se pueden publicar bajo perfil de ipsec; usted no puede especificar el direccionamiento o el Access Control List (ACL) del peer IPSec para hacer juego los paquetes que deben ser cifrados. Prerrequisitos Antes de configurar un perfil de ipsec, usted debe definir una transformación fijada usando crypto ipsec transform-set el comando. PASOS SUMARIOS 1. enable 2. configure terminal 3. crypto ipsec profile name 4. set transform-set transform-set-name 5. set identity 6. set security association lifetime {seconds seconds kilobytes kilobytes} 7. set pfs [group1 group2] PASOS DETALLADOS Paso 1 Comando o acción enable Router> enable Propósito Habilita niveles de privilegio más altos, como el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Paso 2 Paso 3 Paso 4 Paso 5 Paso 6 configure terminal Router# configure terminal crypto ipsec profile name Router(config)# crypto ipsec profile vpnprof set transform-set transformset-name Router(config-cryptomap)# set transform-set trans2 set identity El router (config-crypto-mapa) # fijó la identidad set security association lifetime {seconds seconds kilobytes kilobytes} El router (config-crypto-mapa) # fijó los segundos 1800 del curso de la vida de la asociación de seguridad Ingresa en el modo de configuración global. Define los parámetros de IPSec que deben ser utilizados para la encripción de IPSec entre spoke y concentrador y el Routers del spoke y del spoke. Este comando ingresa al modo de configuración de la correspondencia de criptografía. name El argumento especifica el nombre del perfil de ipsec. Especifica cuáles transforman los conjuntos se pueden utilizar con el perfil de ipsec. transform-set-name El argumento especifica el nombre del conjunto de la transformación. (Opcional) especifica las restricciones de la identidad que se utilizarán con el perfil de ipsec. (Opcional) reemplaza el valor global del curso de la vida para el perfil de ipsec. seconds seconds La opción especifica el número de segundos que una asociación de seguridad vivirá antes de expirar; kilobytes kilobytes la opción especifica el volumen de tráfico (en los kilobytes) que puede pasar entre los peeres IPSecs que usan a una asociación de seguridad dada antes que expira la asociación de seguridad. El valor por defecto para seconds el argumento es 3600 segundos. Paso 7 set pfs [group1 group2] Router(config-cryptomap)# set pfs group2 (Opcional) especifica que el IPSec debe pedir el Confidencialidad directa perfecta (PFS) al pedir a las nuevas asociaciones de seguridad para este perfil de ipsec. Si este comando no se especifica, el valor por defecto (group1) será habilitado.

9 group1 La palabra clave especifica que el IPSec debe utilizar el grupo del módulo de la prima del Diffie-Hellman (DH) del 768-bit al realizar el nuevo intercambio DH; group2 la palabra clave especifica el grupo del módulo de la prima 1024-bit DH. Pasos Siguientes Proceden a las secciones siguientes configurar el concentrador para el DMVPN y configurar el spoke para el DMVPN. Configurar el concentrador para el DMVPN Para configurar el router de eje de conexión para el mgre y la integración del IPSec (es decir, asocie el túnel al perfil de ipsec configurado en el procedimiento previo), utilice los siguientes comandos: La red NHRPID de la nota es localmente - significativo y puede ser diferente. Tiene sentido de una perspectiva del despliegue y del mantenimiento de utilizar los números de ID de la red única (usando ip nhrp network-id el comando) a través de todo el Routers en una red DMVPN, pero no es necesario que sean lo mismo. PASOS SUMARIOS 1. enable 2. configure terminal 3. interface tunnel number 4. ip address ip-address mask []secondary 5. ip mtu bytes 6. ip nhrp authentication string 7. ip nhrp map multicast dynamic 8. ip nhrp network-id number 9. tunnel source {ip-address type number} 10. tunnel key key-number 11. tunnel mode gre multipoint 12. tunnel protection ipsec profile name 13. bandwidth kbps 14. ip tcp adjust-mss max-segment-size 15. ip nhrp holdtime seconds 16. delay number PASOS DETALLADOS Paso 1 Paso 2 Paso 3 Comando o acción enable Router> enable configure terminal Router# configure terminal interface tunnel number Router(config)# interface tunnel 5 Propósito Habilita niveles de privilegio más altos, como el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Configura una interfaz del túnel y ingresa al modo de configuración de la interfaz number El argumento especifica el número de la interfaz del túnel que usted quiere crear o configurar. No existe límite en el número de interfaces de túnel que se pueden crear. Paso 4 ip address ip-address mask [ secondary] Router(config-if)# ip address Establece una dirección IP primaria o secundaria para la interfaz de túnel. Observetodo el Hubs y el spokes que está en la misma red DMVPN se debe

10 Paso 5 Paso 6 Paso 7 Paso ip mtu bytes Router(config-if)# ip mtu 1400 ip nhrp authentication string Router(config-if)# ip nhrp authentication donttell ip nhrp map multicast dynamic Router (config-if) # Multicast de la correspondencia del nhrp del IP dinámico ip nhrp network-id number Router(config-if)# ip nhrp network-id 99 dirigir en la misma subred IP. Fija los Tamaños de la unidad máxima de transmisión (MTU), en los bytes, de los paquetes IP enviados en una interfaz. Configura la cadena de la autenticación de una interfaz usando NHRP. Observeautenticación nhrp la cadena debe ser fijado al mismo valor en todo el Hubs y spokes que estén en la misma red DMVPN. Permite que el NHRP agregue automáticamente a los routeres radiales a los mapeos NHRP del Multicast. Habilita NHRP en una interfaz. number El argumento especifica el identificador de red de 32 bits único a global - de una red del acceso múltiple sin broadcast (NBMA). El rango es a partir la 1 a Paso 9 tunnel source {ip-address type number} Router (config-if)# tunnel source Ethernet0 Paso 10 tunnel key key-number Router (config-if)# tunnel key Paso 11 tunnel mode gre multipoint Router (config-if) # gre del modo túnel de múltiples puntos Paso 12 tunnel protection ipsec profile name Router(config-if)# tunnel protection ipsec profile vpnprof Fija a la dirección de origen para una interfaz del túnel. (Opcional) habilita una clave ID para una interfaz del túnel. key-number El argumento especifica un número a partir de la 0 a que identifica la clave del túnel. Observeel número dominante debe ser fijado al mismo valor en todo el Hubs y spokes que estén en la misma red DMVPN. Observeeste comando no debe ser configurado si usted está utilizando una plataforma del Cisco 6500 o del Cisco Establece el modo de encapsulación en mgre de la interfaz de túnel. Asocia una interfaz de túnel con un perfil IPSec. name El argumento especifica el nombre del perfil de ipsec; este valor debe hacer juego name especificado en crypto ipsec profile name el comando. Paso 13 bandwidth kbps Router(config-if)# bandwidth 1000 Fija el valor de ancho de banda actual para una interfaz en protocolos de mayor nivel. kbps El argumento especifica el ancho de banda en los kilobites por segundo. El valor predeterminado es 9. El valor de ancho de banda recomendado es 1000 o mayor. La determinación del valor de ancho de banda por lo menos a 1000 es crítica si el

11 EIGRP se utiliza sobre la interfaz del túnel. Los valores del ancho de banda mayor pueden ser necesarios dependiendo del número de spokes soportado por un concentrador. Paso 14 ip tcp adjust-mss maxsegment-size Router(config-if)# ip tcp adjust-mss 1360 Paso 15 ip nhrp holdtime seconds Router(config-if)# ip nhrp holdtime 450 Paso 16 delay number Router(config-if)# delay 1000 Ajusta el valor del Tamaño de segmento máximo (MSS) de los paquetes TCP que pasan por un router. max-segment-size El argumento especifica el Maximum Segment Size, en los bytes. El rango es a partir el 500 a El valor recomendado es 1360 cuando el número de bytes IP MTU se fija a Con esta configuración recomendada, las sesiones TCP se vuelven a escalar rápidamente a paquetes IP de 1400 bytes para que éstos quepan en el túnel. Cambia el número de segundos que se anuncian las direcciones NHRP NBMA como válidas en las respuestas NHRP autorizadas. seconds El argumento especifica el tiempo en los segundos de que los direccionamientos NBMA se hacen publicidad como válidos en las respuestas autoritarias positivas NHRP. El valor recomendado se sitúa entre 300 y 600 segundos. (Opcional) Se utiliza para cambiar la métrica de ruteo EIGRP para las rutas aprendidas sobre la interfaz de túnel. number El argumento especifica el tiempo de retraso en los segundos. El valor recomendado es Configurar el spoke para el DMVPN Para configurar a los routeres radiales para el mgre y la integración del IPSec, utilice los siguientes comandos. La red NHRPID de la nota es localmente - significativo y puede ser diferente. Tiene sentido de una perspectiva del despliegue y del mantenimiento de utilizar los números de ID de la red única (usando ip nhrp network-id el comando) a través de todo el Routers en una red DMVPN, pero no es necesario que sean lo mismo. PASOS SUMARIOS 1. enable 2. configure terminal 3. interface tunnel number 4. ip address ip-address mask []secondary 5. ip mtu bytes 6. ip nhrp authentication string 7. ip nhrp map hub-tunnel-ip-address hub-physical-ip-address 8. ip nhrp map multicast hub-physical-ip-address 9. ip nhrp nhs hub-tunnel-ip-address 10. ip nhrp network-id number 11 tunnel source {ip-address type number} 12. tunnel key key-number 13. tunnel mode gre multipoint o tunnel destination hub-physical-ip-address

12 14. tunnel protection ipsec profile name 15. bandwidth kbps 16. ip tcp adjust-mss max-segment-size 17. ip nhrp holdtime seconds 18. delay number PASOS DETALLADOS Paso 1 Paso 2 Paso 3 Comando o acción enable Router> enable configure terminal Router# configure terminal interface tunnel number Router(config)# interface tunnel 5 Propósito Habilita niveles de privilegio más altos, como el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Configura una interfaz de túnel e ingresa en el modo de configuración de la interfaz. number El argumento especifica el número de la interfaz del túnel que usted quiere crear o configurar. No existe límite en el número de interfaces de túnel que se pueden crear. Paso 4 ip address ip-address mask [ secondary] Paso 5 Paso 6 Router(config-if)# ip address ip mtu bytes Router(config-if)# ip mtu 1400 ip nhrp authentication string Router(config-if)# ip nhrp authentication donttell Establece una dirección IP primaria o secundaria para la interfaz de túnel. Observetodo el Hubs y el spokes que está en la misma red DMVPN se debe dirigir en la misma subred IP. Fija la talla del MTU, en los bytes, de los paquetes IP enviados en una interfaz. Configura la cadena de la autenticación de una interfaz usando NHRP. Observeautenticación nhrp la cadena se fije al mismo valor en todo el Hubs y spokes que estén en la misma red DMVPN. Paso 7 ip nhrp map hub-tunnel-ipaddress hub-physical-ipaddress Router (config-if) # correspondencia del nhrp del IP Configura estáticamente la correspondencia de direcciones IP-a-NBMA de los destinos IP conectados con una red MBMA. hub-tunnel-ip-address Define el servidor NHRP en el concentrador, que se asocia permanentemente al IP Address público estático del concentrador. hub-physical-ip-address Define al IP Address público estático del concentrador. Paso 8 Paso 9 ip nhrp map multicast hubphysical-ip-address Router (config-if) # Multicast de la correspondencia del nhrp del IP ip nhrp nhs hub-tunnel-ip-address Router (config-if) # nhs del nhrp del IP Habilita el uso de un Dynamic Routing Protocol entre el spoke y el concentrador, y envía los paquetes de multidifusión al router de eje de conexión. Configura el router de eje de conexión como el servidor de Next Hop NHRP. Paso 10 ip nhrp network-id number Habilita NHRP en una interfaz.

13 Router(config-if)# ip nhrp network-id 99 Paso 11 tunnel source {ip-address type number} Router (config-if)# tunnel source Ethernet0 Paso 12 tunnel key key-number Router (config-if)# tunnel key Paso 13 tunnel mode gre multipoint o tunnel destination hubphysical-ip-address Router (config-if) # gre del modo túnel de múltiples puntos o Router (config-if) # destino del túnel Paso 14 tunnel protection ipsec profile name Router(config-if)# tunnel protection ipsec profile vpnprof Paso 15 bandwidth kbps Router(config-if)# bandwidth 1000 Paso 16 ip tcp adjust-mss maxsegment-size Router(config-if)# ip tcp adjust-mss 1360 Paso 17 ip nhrp holdtime seconds number El argumento especifica el identificador de red de 32 bits único a global - de una red NBMA. El rango es a partir la 1 a Fija la dirección de origen para una interfaz de túnel. (Opcional) habilita una clave ID para una interfaz del túnel. key-number El argumento especifica un número a partir de la 0 a que identifica la clave del túnel. El número dominante se debe fijar al mismo valor en todo el Hubs y spokes que estén en la misma red DMVPN. Observeeste comando no debe ser configurado si usted está utilizando una plataforma del Cisco 6500 o del Cisco Establece el modo de encapsulación en mgre de la interfaz de túnel. Utilice este comando si el tráfico de datos puede utilizar el tráfico dinámico del spoke al spoke. Especifica el destino para una interfaz de túnel. Utilice este comando si el tráfico de datos puede utilizar los túneles del hub-and-spoke. Asocia una interfaz de túnel con un perfil IPSec. name El argumento especifica el nombre del perfil de ipsec; este valor debe hacer juego name especificado en crypto ipsec profile name el comando. Fija el valor de ancho de banda actual para una interfaz en protocolos de mayor nivel. kbps El argumento especifica el ancho de banda en los kilobites por segundo. El valor predeterminado es 9. El valor de ancho de banda recomendado es 1000 o mayor. La configuración de ancho de banda para el spoke no necesita igualar la configuración de ancho de banda para el concentrador DMVPN. Es generalmente más fácil si todo el uso del spokes el mismo o el valor similar. Ajusta el valor del Tamaño de segmento máximo (MSS) de los paquetes TCP que pasan por un router. max-segment-size El argumento especifica el Maximum Segment Size, en los bytes. El rango es a partir el 500 a El valor de la cantidad recomendada es 1360 cuando el número de bytes IP MTU se fija a Con esta configuración recomendada, las sesiones TCP se vuelven a escalar rápidamente a paquetes IP de 1400 bytes para que éstos quepan en el túnel. Cambia el número de segundos que se

14 Router(config-if)# ip nhrp holdtime 450 Paso 18 delay number Router(config-if)# delay 1000 anuncian las direcciones NHRP NBMA como válidas en las respuestas NHRP autorizadas. seconds El argumento especifica el tiempo en los segundos de que los direccionamientos NBMA se hacen publicidad como válidos en las respuestas autoritarias positivas NHRP. El valor recomendado se sitúa entre 300 y 600 segundos. (Opcional) Se utiliza para cambiar la métrica de ruteo EIGRP para las rutas aprendidas sobre la interfaz de túnel. number El argumento especifica el tiempo de retraso en los segundos. El valor recomendado es Configurar la expedición de los paquetes IP de los datos del texto claro en un VRF Para configurar la expedición de los paquetes IP de la fecha del texto claro en un VRF, realice los pasos siguientes. Esta configuración asume que el VRF BLUE se ha configurado ya. PASOS SUMARIOS 1. enable 2. configure terminal 3. interface type number 4. ip vrf forwarding vrf-name PASOS DETALLADOS Paso 1 Paso 2 Paso 3 Paso 4 Comando o acción enable Router> enable configure terminal Router# configure terminal interface type number Router (config)# interface tunnel0 ip vrf forwarding vrf-name Router (config-if) # IP VRF remitiendo el AZUL Propósito Habilita niveles de privilegio más altos, como el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Configura un tipo de interfaz e ingresa en el modo de configuración de la interfaz. Asocia un VRF de VPN a una interfaz o subinterfaz. Configurar la expedición de los paquetes del túnel encriptado en un VRF Para configurar la expedición de los paquetes del túnel encriptado en un VRF, realice los pasos siguientes. Esta configuración asume que el ROJO VRF se ha configurado ya. PASOS SUMARIOS 1. enable 2. configure terminal 3. interfaz type number 4. tunnel vrf vrf-name PASOS DETALLADOS Paso 1 Comando o acción enable Propósito Habilita niveles de privilegio más altos, como el modo EXEC privilegiado.

15 Paso 2 Paso 3 Paso 4 Router> enable configure terminal Router# configure terminal interface type number Router (config)# interface tunnel0 tunnel vrf vrf-name Router (config-if)# tunnel vrf RED Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Configura un tipo de interfaz e ingresa en el modo de configuración de la interfaz. Asocia un caso VPN VRF a un destino del túnel, a una interfaz, o a una subinterfaz específica. Configuración de DMVPN Traffic Segmentation Within DMVPN No hay comandos new de utilizar para configurar la segmentación del tráfico, sino que hay le encarga debe completar para dividir el tráfico en segmentos dentro de un túnel DMVPN: Habilitación de MPLS en el Túnel VPN Configuración de BGP Multiprotocolo en el Router del Hub Configuración de BGP Multiprotocolo en los Routers Spoke Prerrequisitos Las tareas que siguen asumen que el túnel y los VRF rojo y azul DMVPN se han configurado ya. Para la información sobre configurar un túnel DMVPN, vea configurando el concentrador para la sección DMVPN y configurando el spoke para la sección DMVPN. Para más información sobre la configuración de VRF, vea configurando la expedición de los paquetes IP de los datos del texto claro en la sección VRF y configurando la expedición de los paquetes del túnel encriptado en la sección VRF. Habilitación de MPLS en el Túnel VPN Porque la segmentación del tráfico dentro de un túnel DMVPN depende del MPLS, usted debe configurar el MPLS para cada caso VRF en el cual el tráfico sea dividido en segmentos. Para información detallada sobre configurar el MPLS, vea la guía de configuración del Multiprotocol Label Switching del Cisco IOS, la versión 12,4. PASOS SUMARIOS 1. enable 2. configure terminal 3. interfaz type number 4. mpls ip PASOS DETALLADOS Paso 1 Paso 2 Paso 3 Paso 4 Comando o acción enable Router> enable configure terminal Router# configure terminal interface type number Router (config)# interface tunnel0 mpls ip Router (config-if)# mpls ip Propósito Habilita niveles de privilegio más altos, como el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Configura un tipo de interfaz e ingresa en el modo de configuración de la interfaz. El marcar con etiqueta de los permisos MPLS de los paquetes en la interfaz del túnel especificado. Configuración de BGP Multiprotocolo en el Router del Hub

16 Usted debe configurar el ibgp multiprotocol (MP-iBGP) para habilitar el anuncio de los prefijos y de las escrituras de la etiqueta del VPNv4 que se aplicarán al tráfico VPN. Utilice el BGP para configurar el concentrador como reflector de ruta. Para forzar todo el tráfico a ser ruteado vía el concentrador, configure el reflector de la ruta BGP para cambiar el salto siguiente a sí mismo cuando hace publicidad de los prefijos del VPNv4 a los Route Reflector Client (spokes). Para más información sobre el Routing Protocol BGP, vea el capítulo del mapa de ruta de las características BGP en el Routing IP del Cisco IOS: Guía de configuración BGP. PASOS SUMARIOS 1. enable 2. configure terminal 3. router bgp 4. neighbor ipaddresstelecontrol-comoas -number 5. neighbor ipaddressactualización-fuente interface 6. address-family vpnv4 7. neighbor ipaddress activate 8. neighbor ipaddress send-community extended 9. neighbor ipaddress route-reflector-client 10. neighbor ipaddress route-map nexthop out 11. exit-address family 12. address-family ipv4 vrf-name 13. redistribute connected 14. route-map 15. set ip next-hop ipaddress PASOS DETALLADOS Paso 1 Paso 2 Paso 3 Paso 4 Paso 5 Paso 6 Paso 7 Paso 8 Comando o acción enable Router> enable configure terminal Router# configure terminal router bgp Router (config)# router bgp neighbor ipaddress remote-as as-number Router (config)# neighbor remote-as 1 neighbor ipaddress update-source interface Router (config)# neighbor update-source Tunnel1 address-family vpnv4 Router (config)# addressfamily vpnv4 neighbor ipaddress activate Router (config)# neighbor activate neighbor ipaddress sendcommunity extended Propósito Habilita niveles de privilegio más altos, como el modo EXEC privilegiado. Ingrese su contraseña si se le pide que lo haga. Ingresa en el modo de configuración global. Ingresa al modo de configuración de BGP. Añade una entrada al BGP o a la tabla de vecinos BGP multiprotocolo. Configura el software de Cisco IOS para permitir que las sesiones BGP utilicen cualquier interfaz operativa para las conexiones TCP. Ingresa al modo de configuración de la familia de direcciones para configurar una sesión de ruteo usando prefijos de dirección de VPN (Virtual Private Network) Versión 4. Habilita el intercambio de información con un vecino BGP. Especifica que los atributos de la comunidad ampliada se deben enviar a un vecino BGP.

17 Paso 9 Router (config)# neighbor send-community extended neighbor ipaddress routereflector-client Router (config)# neighbor routereflector-client Paso 10 neighbor ipaddress routemap nexthop out Router (config)# neighbor route-map nexthop out Paso 11 exit-address-family Router (config)# exitaddress-family Paso 12 address-family ipv4 vrfname Router (config)# addressfamily ipv4 vrf red Paso 13 redistribute connected Router (config)# redistribute connected Paso 14 route-map Router (config)# routemap nexthop permit 10 Paso 15 set ip next-hop ipaddress Router (config)# set ip next-hop Configura el router como reflector de ruta BGP y configura al vecino especificado como su cliente. Fuerza todo el tráfico a ser ruteado vía el concentrador. Da salida al modo de configuración de la familia del direccionamiento para el VPNv4. Ingresa en el modo de configuración de la familia de direcciones para configurar una sesión de ruteo usando prefijos de dirección IP estándar de la versión 4. Redistribuye las rutas que se establecen automáticamente en virtud de haber habilitado IP en una interfaz de un dominio de ruteo en otro dominio de ruteo. Ingresa al modo de configuración del Route Map para configurar el Next-Hop que será hecho publicidad al spokes. Fija el salto siguiente para ser el concentrador. Configuración de BGP Multiprotocolo en los Routers Spoke el Multiprotocol-iBGP (MP-iBGP) se debe configurar en los routeres radiales y el concentrador. Siga los pasos abajo para cada router radial en el DMVPN. PASOS SUMARIOS 1. enable 2. configure terminal 3. router bgp 4. neighbor ipaddresstelecontrol-comoas -number 5. neighbor ipaddressactualización-fuente interface 6. address-family vpnv4 7. neighbor ipaddress activate 8. neighbor ipaddress send-community extended 9. exit-address-family 10. address-family ipv4 vrf-name 11. redistribute connected 12. exit-address-family PASOS DETALLADOS Paso 1 Comando o acción enable Propósito Habilita niveles de privilegio más altos, como el modo EXEC privilegiado.

18 Router> enable Ingrese su contraseña si se le pide que lo haga. Paso 2 Paso 3 Paso 4 Paso 5 Paso 6 Paso 7 Paso 8 Paso 9 configure terminal Router# configure terminal router bgp Router (config)# router bgp 1 neighbor ipaddress remote-as as-number Router (config)# neighbor remote-as 1 neighbor ipaddress update-source interface Router (config)# neighbor update-source Tunnel1 address-family vpnv4 Router (config)# addressfamily vpnv4 neighbor ipaddress activate Router (config)# neighbor activate neighbor ipaddress sendcommunity extended Router (config)# neighbor send-community extended exit-address-family Router (config)# exitaddress-family Paso 10 address-family ipv4 vrfname Router (config)# addressfamily ipv4 vrf red Paso 11 redistribute connected Router (config)# redistribute connected Paso 12 exit-address-family Router (config)# exitaddress-family Ingresa en el modo de configuración global. Ingresa al modo de configuración de BGP. Añade una entrada al BGP o a la tabla de vecinos BGP multiprotocolo. Configura el software de Cisco IOS para permitir que las sesiones BGP utilicen cualquier interfaz operativa para las conexiones TCP. Ingresa al modo de configuración de la familia de direcciones para configurar una sesión de ruteo usando prefijos de dirección de VPN (Virtual Private Network) Versión 4. Habilita el intercambio de información con un vecino BGP. Especifica que los atributos de la comunidad ampliada se deben enviar a un vecino BGP. Sale del modo de configuración de la familia de direcciones. Ingresa en el modo de configuración de la familia de direcciones para configurar una sesión de ruteo usando prefijos de dirección IP estándar de la versión 4. Redistribuye las rutas que se establecen automáticamente en virtud de haber habilitado IP en una interfaz de un dominio de ruteo en otro dominio de ruteo. Sale del modo de configuración de la familia de direcciones. Observerelanzan los pasos para cada VRF. Troubleshooting de VPN Multipunto Dinámica (DMVPN) Después de configurar el DMVPN, para verificar que el DMVPN está actuando correctamente, para borrar las estadísticas DMVPN o las sesiones, o para hacer el debug del DMVPN, usted puede realizar los pasos opcionales siguientes: PASOS SUMARIOS 1. clear dmvpn session [peer {nbma tunnel} ip-address] []interface tunnel numberdel []vrf vrf-namedel [{}]static 2. clear dmvpn statistics [peer {nbma tunnel} ip-address] []interface tunnel numberdel [{}]vrf vrf-name

19 3. debug dmvpn {[{[]condition unmatched [peer [nbma tunnel {ip-address}]] [{}]vrf vrf-name [{}]interface tunnel number}] [{error detail packet all} {nhrp crypto tunnel socket all}]} 4. debug nhrp condition 5. debug nhrp error 6. logging dmvpn []rate-limit seconds 7. show crypto ipsec sa [active standby] 8. show crypto isakmp sa 9. show crypto map 10. show dmvpn [peer [nbma tunnel {ip-address}] []network ip-addressdel []del []vrf-namedel [{}]interface tunnel numberdel [vrf {}]detail del [{} {mask}]static]debug-condition 11 show ip nhrp traffic [{}]interface tunnel number PASOS DETALLADOS clear dmvpn session Paso 1 Se utiliza el comando de borrar las sesiones DMVPN. El siguiente ejemplo borra solamente las sesiones dinámicas DMVPN: Router- clear dmvpn session peer nbma El siguiente ejemplo borra todas las sesiones DMVPN, estáticas y dinámicas, para el túnel especificado: Router- clear dmvpn session interface tunnel 100 static clear dmvpn statistics Paso 2 Se utiliza el comando de borrar los contadores relacionados DMVPN. El siguiente ejemplo muestra cómo borrar los contadores relacionados DMVPN de la sesión para la interfaz del túnel especificado: Router- clear dmvpn statistics peer tunnel debug dmvpn Paso 3 Se utiliza el comando de hacer el debug de las sesiones DMVPN. Usted puede habilitar o inhabilitar el debugging DMVPN basado en una condición específica. Hay tres niveles de debugging DMVPN, enumerados en la orden de los detalles de lo más bajo posible a lo más arriba posible: Nivel de error Detalle llano Paquete llano Las demostraciones del siguiente ejemplo cómo habilitar el debugging condicional DMVPN que visualiza todo el error hacen el debug de para el protocolo next hop routing (NHRP), los socketes, la protección del túnel y la información crypto: Router- debug dmvpn error all debug nhrp condition Paso 4 El comando habilita o inhabilita el debugging basado en una condición específica. El siguiente ejemplo muestra cómo habilitar el debugging condicional NHRP: Router- debug nhrp condition debug nhrp error Paso 5 El comando visualiza la información sobre la actividad del error NHRP. El siguiente ejemplo muestra cómo habilitar el debugging para los mensajes de error NHRP: Router- debug nhrp error logging dmvpn Paso 6 Se utiliza el comando de habilitar el Registro del sistema DMVPN. El siguiente comando muestra cómo habilitar el Registro del sistema DMVPN al índice de 1 mensaje cada 20 segundos: Router(config)# logging dmvpn rate-limit 20 El siguiente ejemplo muestra un registro del sistema de la muestra con los mensajes DMVPN: %DMVPN-7-CRYPTO_SS: Tunnel socket is UP %DMVPN-5-NHRP_NHS: Tunnel is UP %DMVPN-5-NHRP_CACHE: Client on Tunnel1 Registered. %DMVPN-5-NHRP_CACHE: Client on Tunnel101 came UP. %DMVPN-3-NHRP_ERROR: Registration Request failed for on Tunnel101 show crypto ipsec sa Paso 7 El comando visualiza las configuraciones usadas por los SA actuales. La salida de siguiente ejemplo muestra el estatus IPSec SA solamente del dispositivo activo: interface: Ethernet0/0

20 Crypto map tag: to-peer-outside, local addr protected vrf: (none local ident (addr/mask/prot/port): ( / /0/0) remote ident (addr/mask/prot/port): ( / /0/0) current_peer port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3 #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, media mtu 1500 current outbound spi: 0xD42904F0( ) inbound esp sas: spi: 0xD3E9ABD0( ) transform: esp-3des, in use settings ={Tunnel, } conn id: 2006, flow_id: 6, crypto map: to-peer-outside sa timing: remaining key lifetime (k/sec): ( /3542) HA last key lifetime sent(k): ( ) ike_cookies: C CA4B4E99 C14E908E 8EE2D79C IV size: 8 bytes replay detection support: Y Status: ACTIVE show crypto isakmp sa Paso 8 El comando visualiza todo el IKE actual SA en un par. Por ejemplo, se visualiza la salida de muestra siguiente después de que las negociaciones IKE hayan completado con éxito entre dos pares. Router# show crypto isakmp sa dst src state conn-id slot QM_IDLE QM_IDLE QM_IDLE 3 0 show crypto map Paso 9 El comando visualiza la configuración de la correspondencia de criptografía.