SlideShare a Scribd company logo

Вебинар С-Терра по DMVPN, 21.02.2017

Download as PPTX, PDF
S-Terra CSP
S-Terra CSP

Динамическое построение VPN туннелей (DMVPN) на базе шлюзов безопасности С-Терра Шлюз.

Technology
1 of 13
Ваш ориентир в мире безопасности Динамическое построение VPN туннелей (DMVPN) на базе шлюзов безопасности С-Терра Шлюз Сергей Слепков Ведущий инженер Отдел технического консалтинга
О чем пойдет речь 2© «С-Терра СиЭсПи», 2017 • Как работает DMVPN, какие технологии используются • Архитектура и сценарии применения • Примеры конфигурации на С-Терра Шлюз
Недостатки IPsec 3© «С-Терра СиЭсПи», 2017 Недостатки традиционных дизайнов IPsec • Огромное количество GRE туннелей при большом количестве удаленных площадок • Сложная масштабируемость • Требуется изменение конфигурации центральных шлюзов для подключения новых удаленных площадок • Сложность конфигурации Spoke-to-Spoke туннелей
Зачем нужен DMVPN 4© «С-Терра СиЭсПи», 2017 DMVPN (англ. Dynamic Multipoint Virtual Private Network — динамическая многоточечная виртуальная частная сеть) — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Преимущества DMVPN • Уменьшение конфигурации • Легкая масштабируемость • Простота добавления новых площадок • Высокая отказоустойчивость • Динамические Spoke-to-Spoke VPN туннели
Используемые технологии 5© «С-Терра СиЭсПи», 2017 Multipoint GRE tunnel interface (mGRE) Единый GRE туннель точка-многоточка, позволяющий терминировать на себе несколько GRE-туннелей. Поддержка на уровне ядра ОС Linux. Next Hop Resolution Protocol (NHRP) Создает карту соответствия (map) физических IP адресов пиров с их туннельными адресами. Позволяет всем пирам, которые находятся в NBMA (Non Broadcast Multiple Access) сети, динамически выучить физические IP адреса друг друга обращаясь к next-hop-серверу (NHS). После этого пиры могут обмениваться информацией друг с другом напрямую. Пакет openNHRP, реализующий NBMA Next Hop Resolution Protocol (согласно RFC 2332), полностью совместим с Cisco. IPsec туннелирование и шифрование трафика С использованием Российских криптоалгоритмов ГОСТ 28147-89, ГОСТ Р 34.11-2012 (и ГОСТ Р 34.12-2015 в версии 4.2). Реализация протоколов IKE/IPsec согласно RFC 2401 – 2412. Протоколы динамической маршрутизации OSPF или BGP для обмена трафиком между сетями за споками и хабами. Пакет quagga, поддерживающий протоколы динамической маршрутизации RIPv2, OSPF, BGP.
DMVPN Network Designs 6© «С-Терра СиЭсПи», 2017 Phase 1: Hub-to-Spoke Только туннели Hub-to-Spoke, туннели Spoke- to-Spoke не устанавливаются. Весь трафик проходит через Hub. Hub меняет next-hop в протоколах маршрутизации на свой IP адрес. Hub(config-if)# ip ospf network point-to-multipoint Hub-ы могут быть как active-standby, так и active-active с двумя DMVPN облаками. В active-active варианте на Spoke-ах будет по 2 маршрута с одинаковой стоимостью (cost). Выбор маршрута на Spoke будет осуществляться с помощью ECMP в ОС Linux.
DMVPN Network Designs 7© «С-Терра СиЭсПи», 2017 Phase 2: Spoke-to-Spoke Динамические туннели Spoke-to-Spoke. Hub-ы отправляют информацию о маршрутах на все Spoke без изменений. Hub(config-if)# ip ospf network broadcast
1. Поднимаются IPsec туннели Hub-to-Spoke. Все Шлюзы используют динамические криптокарты, шифрующие только GRE трафик. 2. Все Spoke регистрируются на Hub (NHRP registration request), сообщая свои физический и туннельный адреса. На Hub-ах (Next Hop Server, NHS) создается карта всего DMVPN облака. 3. После того, как все DMVPN пиры станут известны, Spoke получают информацию об имеющихся маршрутах по протоколам динамической маршрутизации (OSPF). 4. Если Spoke захочет связаться с другим Spoke (исходя из таблицы маршрутизации), он спрашивает Hub (Next Hop Server, NHS) о его физическом IP и строит с ним IPsec туннель Spoke-to-Spoke. Как работает DMPVN 8© «С-Терра СиЭсПи», 2017
Hub Параметры DPD (dead peer detection): Hub1(config)# crypto isakmp keepalive 10 2 Параметры IKE: Hub1(config)# crypto isakmp identity dn Hub1(config)# crypto isakmp policy 1 Hub1(config-isakmp)# hash gost Hub1(config-isakmp)# encryption gost Hub1(config-isakmp)# authentication gost-sig Hub1(config-isakmp)# group vko Набор преобразований для IPsec: Hub1(config)# crypto ipsec transform-set TSET esp-gost28147-4m-imit Hub1(cfg-crypto-trans)# mode tunnel Правило шифрования: Hub1(config)# ip access-list extended LIST Hub1(config-ext-nacl)# permit gre host 172.16.152.2 any Динамическая криптокарта: Hub1(config)# crypto dynamic-map DMAP 1 Hub1(config-crypto-map)# match address LIST Hub1(config-crypto-map)# set transform-set TSET Hub1(config)# crypto map CMAP 1 ipsec-isakmp dynamic DMAP Hub1(config)# interface GigabitEthernet0/0 Hub1(config)# crypto map CMAP Конфигурация на С-Терра Шлюз 9© «С-Терра СиЭсПи», 2017 Конфигурация IPsec Spoke Параметры DPD (dead peer detection): Spoke1(config)# crypto isakmp keepalive 10 2 Параметры IKE: Spoke1(config)# crypto isakmp identity dn Spoke1(config)# crypto isakmp policy 1 Spoke1(config-isakmp)# hash gost Spoke1(config-isakmp)# encryption gost Spoke1(config-isakmp)# authentication gost-sig Spoke1(config-isakmp)# group vko Набор преобразований для IPsec: Spoke1(config)# crypto ipsec transform-set TSET esp-gost28147-4m-imit Spoke1(cfg-crypto-trans)# mode tunnel Правило шифрования: Spoke1(config)# ip access-list extended LIST Spoke1(config-ext-nacl)# permit gre host 172.16.101.2 any Динамическая криптокарта: Spoke1(config)# crypto dynamic-map DMAP 1 Spoke1(config-crypto-map)# match address LIST Spoke1(config-crypto-map)# set transform-set TSET Spoke1(config)# crypto map CMAP 1 ipsec-isakmp dynamic DMAP Spoke1(config)# interface GigabitEthernet0/0 Spoke1(config)# crypto map CMAP
Hub Настройка mGRE интерфейса: root@Hub1:~# ip tunnel add mgre0 mode gre key 0xfffffffe ttl 64 root@Hub1:~# ip addr add 172.17.101.100/24 dev mgre0 root@Hub1:~# ip link set mgre0 mtu 1400 root@Hub1:~# ip link set mgre0 multicast on root@Hub1:~# ip link set mgre0 up Настройка протокола NHRP: /etc/opennhrp/opennhrp.conf interface mgre0 map 172.17.101.200/24 172.16.153.2 multicast dynamic holding-time 600 cisco-authentication secret redirect non-caching Конфигурация на С-Терра Шлюз 10© «С-Терра СиЭсПи», 2017 Конфигурация NHRP и mGRE Hub2 Spoke Настройка mGRE интерфейса: root@Spoke1:~# ip tunnel add mgre0 mode gre key 0xfffffffe ttl 64 root@Spoke1:~# ip addr add 172.17.101.101/24 dev mgre0 root@Spoke1:~# ip link set mgre0 mtu 1400 root@Spoke1:~# ip link set mgre0 multicast on root@Spoke1:~# ip link set mgre0 up Настройка протокола NHRP: /etc/opennhrp/opennhrp.conf interface mgre0 map 172.17.101.100/24 172.16.152.2 register map 172.17.101.200/24 172.16.153.2 register multicast nhs holding-time 600 cisco-authentication secret non-caching Hub1 и Hub2 multicast dynamic - multicast трафик будет направляться всем узлам в mGRE сети. multicast nhs - multicast трафик в mGRE сети будет направляться только узлам, выполняющим роль Hub-ов.
Hub Hub1(config)# router ospf Hub1(config-router)# ospf router-id 172.17.101.100 Включаем OSPF на интерфейсах mgre0 и eth1: Hub1(config-router)# network 172.17.101.100/24 area 0.0.0.0 Hub1(config-router)# network 192.168.152.2/24 area 0.0.0.1 Hub1(config-router)# area 0.0.0.0 authentication message-digest Hub1(config-router)# area 0.0.0.1 authentication message-digest Фильтр маршрутов для OSPF области 0.0.0.1: Hub1(config-router)# area 0.0.0.1 export-list LIST Hub1(config)# access-list LIST permit 192.168.200.0/24 Hub1(config)# access-list LIST deny any Конфигурация mGRE интерфейса: Hub1(config)# interface mgre0 Hub1(config-if)# ip ospf authentication message-digest Hub1(config-if)# ip ospf message-digest-key 1 md5 SECRET Hub1(config-if)# ip ospf cost 1 Hub1(config-if)# ip ospf priority 20 Конфигурация интерфейса eth1: Hub1(config)# interface eth1 Hub1(config-if)# ip ospf authentication message-digest Hub1(config-if)# ip ospf message-digest-key 1 md5 SECRET Hub1(config-if)# ip ospf cost 1 Hub1(config-if)# ip ospf priority 20 Конфигурация на С-Терра Шлюз 11© «С-Терра СиЭсПи», 2017 Конфигурация OSPF Spoke Spoke1(config)# router ospf Spoke1(config-router)# ospf router-id 172.17.101.101 Включаем OSPF на интерфейсах mgre0 и eth1: Spoke1(config-router)# network 172.17.101.101/24 area 0.0.0.0 Spoke1(config-router)# network 192.168.101.2/24 area 0.0.0.0 Spoke1(config-router)# area 0.0.0.0 authentication message-digest Spoke1(config-router)# passive-interface eth1 Конфигурация mGRE интерфейса: Spoke1(config)# interface mgre0 Spoke1(config-if)# ip ospf authentication message-digest Spoke1(config-if)# ip ospf message-digest-key 1 md5 SECRET Spoke1(config-if)# ip ospf priority 0 priority 10 на Hub2
Дополнительные настройки схемы 12© «С-Терра СиЭсПи», 2017 Возможные модификации: 1. Управление маршрутизацией и приоритетами: ip ospf cost 2. Режимы работы phase 1 / phase 2 / phase 3 Hub1(config-if)# ip ospf network point-to-multipoint для Phase 1 (топология hub-to-spoke) Включение redirect в NHRP для Phase 3 (возможность каскадирования Hub-ов) 3. Варианты отказоустойчивости: active-standby или active-active Возможность использования Dual Hub Dual Cloud топологии с двумя mGRE интерфейсами, позволяющая более гибко управлять маршрутизацией и строить active-active схемы. Hub1(config)# interface mgre0 Hub1(config-if)# ip ospf cost 1
Сергей Слепков Ведущий инженер Отдел технического консалтинга Тел.: +7 (499) 940-90-01 (доб. 130) Email: sslepkov@s-terra.ru

Recommended

Вебинар С-Терра Шлюз 10G, 01.02.2017
Вебинар С-Терра Шлюз 10G, 01.02.2017Вебинар С-Терра Шлюз 10G, 01.02.2017
Вебинар С-Терра Шлюз 10G, 01.02.2017
S-Terra CSP
 
Вебинар по криптомаршрутизаторам, 14.12.2016
Вебинар по криптомаршрутизаторам, 14.12.2016Вебинар по криптомаршрутизаторам, 14.12.2016
Вебинар по криптомаршрутизаторам, 14.12.2016
S-Terra CSP
 
Гиперконвергентное решение Cisco HyperFlex
Гиперконвергентное решение Cisco HyperFlexГиперконвергентное решение Cisco HyperFlex
Гиперконвергентное решение Cisco HyperFlex
Cisco Russia
 
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрияНовые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Cisco Russia
 
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотностиРазвитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Cisco Russia
 
Развитие платформы Cisco ASR 9000
Развитие платформы Cisco ASR 9000Развитие платформы Cisco ASR 9000
Развитие платформы Cisco ASR 9000
Cisco Russia
 
Как настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемКак настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблем
Cisco Russia
 
Совместный вебинар Orange и «С-Терра СиЭсПи», 28.06.2016
Совместный вебинар Orange и «С-Терра СиЭсПи», 28.06.2016 Совместный вебинар Orange и «С-Терра СиЭсПи», 28.06.2016
Совместный вебинар Orange и «С-Терра СиЭсПи», 28.06.2016
S-Terra CSP
 

Recommended

Вебинар С-Терра Шлюз 10G, 01.02.2017
Вебинар С-Терра Шлюз 10G, 01.02.2017Вебинар С-Терра Шлюз 10G, 01.02.2017
Вебинар С-Терра Шлюз 10G, 01.02.2017
S-Terra CSP
 
Вебинар по криптомаршрутизаторам, 14.12.2016
Вебинар по криптомаршрутизаторам, 14.12.2016Вебинар по криптомаршрутизаторам, 14.12.2016
Вебинар по криптомаршрутизаторам, 14.12.2016
S-Terra CSP
 
Гиперконвергентное решение Cisco HyperFlex
Гиперконвергентное решение Cisco HyperFlexГиперконвергентное решение Cisco HyperFlex
Гиперконвергентное решение Cisco HyperFlex
Cisco Russia
 
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрияНовые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Новые возможности IOS-XR 6 контейнеры, программируемость и телеметрия
Cisco Russia
 
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотностиРазвитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Развитие Wi-Fi на публичных площадках. Опыт реализации Wi-Fi высокой плотности
Cisco Russia
 
Развитие платформы Cisco ASR 9000
Развитие платформы Cisco ASR 9000Развитие платформы Cisco ASR 9000
Развитие платформы Cisco ASR 9000
Cisco Russia
 
Как настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблемКак настроить DMVPN и избежать проблем
Как настроить DMVPN и избежать проблем
Cisco Russia
 
Совместный вебинар Orange и «С-Терра СиЭсПи», 28.06.2016
Совместный вебинар Orange и «С-Терра СиЭсПи», 28.06.2016 Совместный вебинар Orange и «С-Терра СиЭсПи», 28.06.2016
Совместный вебинар Orange и «С-Терра СиЭсПи», 28.06.2016
S-Terra CSP
 
ащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpnащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpn
Oleg Boyko
 
Technological aspects and prospective of optical networking
Technological aspects and prospective of optical networkingTechnological aspects and prospective of optical networking
Technological aspects and prospective of optical networking
Cisco Russia
 
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
Cisco Russia
 
Cisco Network Functions Virtualization Infrastructure (NFVI)
Cisco Network Functions Virtualization Infrastructure (NFVI)Cisco Network Functions Virtualization Infrastructure (NFVI)
Cisco Network Functions Virtualization Infrastructure (NFVI)
Cisco Russia
 
Вебинар С-Терра CSCO-STVM, 14.03.2017
Вебинар С-Терра CSCO-STVM, 14.03.2017Вебинар С-Терра CSCO-STVM, 14.03.2017
Вебинар С-Терра CSCO-STVM, 14.03.2017
S-Terra CSP
 
Вебинар С-Терра CSCO-STVM, 18.05.2017
Вебинар С-Терра CSCO-STVM, 18.05.2017Вебинар С-Терра CSCO-STVM, 18.05.2017
Вебинар С-Терра CSCO-STVM, 18.05.2017
S-Terra CSP
 
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
S-Terra CSP
 
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Cisco Russia
 
Виртуальные устройства и наложенные сети - новый подход к организации абонент...
Виртуальные устройства и наложенные сети - новый подход к организации абонент...Виртуальные устройства и наложенные сети - новый подход к организации абонент...
Виртуальные устройства и наложенные сети - новый подход к организации абонент...
Cisco Russia
 
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Cisco Russia
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователем
SkillFactory
 
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cистема сетевой аналитики для ЦОД Cisco Tetration AnalyticsCистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cisco Russia
 
Связь территориально- распределенных ЦОД
Связь территориально- распределенных ЦОДСвязь территориально- распределенных ЦОД
Связь территориально- распределенных ЦОД
Cisco Russia
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
Cisco Russia
 
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Cisco Russia
 
Взгляд в Будущее: обзор и стратегия развития магистрального оборудования Сisc...
Взгляд в Будущее: обзор и стратегия развития магистрального оборудования Сisc...Взгляд в Будущее: обзор и стратегия развития магистрального оборудования Сisc...
Взгляд в Будущее: обзор и стратегия развития магистрального оборудования Сisc...
Cisco Russia
 
Поддержка Segment Routing на IOS XR
Поддержка Segment Routing на IOS XRПоддержка Segment Routing на IOS XR
Поддержка Segment Routing на IOS XR
Cisco Russia
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Cisco Russia
 
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksОбновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Cisco Russia
 
Что нового в последних релизах 3GPP
Что нового в последних релизах 3GPPЧто нового в последних релизах 3GPP
Что нового в последних релизах 3GPP
Cisco Russia
 
Вебинар С-Терра–Huawei, 30.11.2016
Вебинар С-Терра–Huawei, 30.11.2016 Вебинар С-Терра–Huawei, 30.11.2016
Вебинар С-Терра–Huawei, 30.11.2016
S-Terra CSP
 
Webinar совместные решения Citrix и S-Terra
Webinar совместные решения Citrix и S-TerraWebinar совместные решения Citrix и S-Terra
Webinar совместные решения Citrix и S-Terra
Sergey Slepkov
 

More Related Content

What's hot

ащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpnащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpn
Oleg Boyko
 
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
S-Terra CSP
 

What's hot (20)

ащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpnащита удаленного доступа с помощью континент Tls vpn
ащита удаленного доступа с помощью континент Tls vpn
 
Technological aspects and prospective of optical networking
Technological aspects and prospective of optical networkingTechnological aspects and prospective of optical networking
Technological aspects and prospective of optical networking
 
7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта7 способов «провалиться» в качестве Wi-Fi эксперта
7 способов «провалиться» в качестве Wi-Fi эксперта
 
Cisco Network Functions Virtualization Infrastructure (NFVI)
Cisco Network Functions Virtualization Infrastructure (NFVI)Cisco Network Functions Virtualization Infrastructure (NFVI)
Cisco Network Functions Virtualization Infrastructure (NFVI)
 
Вебинар С-Терра CSCO-STVM, 14.03.2017
Вебинар С-Терра CSCO-STVM, 14.03.2017Вебинар С-Терра CSCO-STVM, 14.03.2017
Вебинар С-Терра CSCO-STVM, 14.03.2017
 
Вебинар С-Терра CSCO-STVM, 18.05.2017
Вебинар С-Терра CSCO-STVM, 18.05.2017Вебинар С-Терра CSCO-STVM, 18.05.2017
Вебинар С-Терра CSCO-STVM, 18.05.2017
 
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
Решения С-Терра для защиты трансграничных каналов связи. Порядок экспорта СКЗИ.
 
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
Новые возможности межсетевых экранов Cisco ASA версий 9.2 - 9.5
 
Виртуальные устройства и наложенные сети - новый подход к организации абонент...
Виртуальные устройства и наложенные сети - новый подход к организации абонент...Виртуальные устройства и наложенные сети - новый подход к организации абонент...
Виртуальные устройства и наложенные сети - новый подход к организации абонент...
 
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
Маршрутизаторы Cisco - от чего зависит производительность или как получить ма...
 
Новая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователемНовая Cisco ASA: тотальный контроль над пользователем
Новая Cisco ASA: тотальный контроль над пользователем
 
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cистема сетевой аналитики для ЦОД Cisco Tetration AnalyticsCистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Cистема сетевой аналитики для ЦОД Cisco Tetration Analytics
 
Связь территориально- распределенных ЦОД
Связь территориально- распределенных ЦОДСвязь территориально- распределенных ЦОД
Связь территориально- распределенных ЦОД
 
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуруDNA Security. Безопасность, встроенная в сетевую инфраструктуру
DNA Security. Безопасность, встроенная в сетевую инфраструктуру
 
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
Межсетевые экраны Cisco ASA – десять лет непрерывного развития. Новые функции...
 
Взгляд в Будущее: обзор и стратегия развития магистрального оборудования Сisc...
Взгляд в Будущее: обзор и стратегия развития магистрального оборудования Сisc...Взгляд в Будущее: обзор и стратегия развития магистрального оборудования Сisc...
Взгляд в Будущее: обзор и стратегия развития магистрального оборудования Сisc...
 
Поддержка Segment Routing на IOS XR
Поддержка Segment Routing на IOS XRПоддержка Segment Routing на IOS XR
Поддержка Segment Routing на IOS XR
 
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
Развертывание и настройка коммутатора Nexus1000V для сред OpenStack KVM и Hyp...
 
Обновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor NetworksОбновление продуктовой линейки защиты от DDOS Arbor Networks
Обновление продуктовой линейки защиты от DDOS Arbor Networks
 
Что нового в последних релизах 3GPP
Что нового в последних релизах 3GPPЧто нового в последних релизах 3GPP
Что нового в последних релизах 3GPP
 

Viewers also liked

Viewers also liked (16)

Вебинар С-Терра–Huawei, 30.11.2016
Вебинар С-Терра–Huawei, 30.11.2016 Вебинар С-Терра–Huawei, 30.11.2016
Вебинар С-Терра–Huawei, 30.11.2016
 
Webinar совместные решения Citrix и S-Terra
Webinar совместные решения Citrix и S-TerraWebinar совместные решения Citrix и S-Terra
Webinar совместные решения Citrix и S-Terra
 
Актуальные решения C-Терра
Актуальные решения C-ТерраАктуальные решения C-Терра
Актуальные решения C-Терра
 
Доклад С-Терра на форуме «Вся банковская автоматизация-2016», 19.10.2016
Доклад С-Терра на форуме «Вся банковская автоматизация-2016», 19.10.2016Доклад С-Терра на форуме «Вся банковская автоматизация-2016», 19.10.2016
Доклад С-Терра на форуме «Вся банковская автоматизация-2016», 19.10.2016
 
Доклад С-Терра на Код ИБ, Казань, 2016
Доклад С-Терра на Код ИБ, Казань, 2016Доклад С-Терра на Код ИБ, Казань, 2016
Доклад С-Терра на Код ИБ, Казань, 2016
 
Доклад С-Терра на Код Иб, Новосибирск, 2016
Доклад С-Терра на Код Иб, Новосибирск, 2016Доклад С-Терра на Код Иб, Новосибирск, 2016
Доклад С-Терра на Код Иб, Новосибирск, 2016
 
Вебинар С-Терра–Зелакс, 20.07.2016
Вебинар С-Терра–Зелакс, 20.07.2016Вебинар С-Терра–Зелакс, 20.07.2016
Вебинар С-Терра–Зелакс, 20.07.2016
 
Доклад С-Терра на InfoSecurity Russia-2016
Доклад С-Терра на InfoSecurity Russia-2016Доклад С-Терра на InfoSecurity Russia-2016
Доклад С-Терра на InfoSecurity Russia-2016
 
Доклад С-Терра на Код ИБ, Красноярск, 2016
Доклад С-Терра на Код ИБ, Красноярск, 2016Доклад С-Терра на Код ИБ, Красноярск, 2016
Доклад С-Терра на Код ИБ, Красноярск, 2016
 
Вебинар С-Терра-Элтекс, 05.07.2016
Вебинар С-Терра-Элтекс, 05.07.2016 Вебинар С-Терра-Элтекс, 05.07.2016
Вебинар С-Терра-Элтекс, 05.07.2016
 
Вебинар “С-Терра «Пост»”, 14.10.2016
Вебинар “С-Терра «Пост»”, 14.10.2016Вебинар “С-Терра «Пост»”, 14.10.2016
Вебинар “С-Терра «Пост»”, 14.10.2016
 
Вебинар С-Терра и ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ, 06.09.2016
Вебинар С-Терра и ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ, 06.09.2016Вебинар С-Терра и ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ, 06.09.2016
Вебинар С-Терра и ИЦ РЕГИОНАЛЬНЫЕ СИСТЕМЫ, 06.09.2016
 
Вебинар по СМЭВ, 24.11.2016
Вебинар по СМЭВ, 24.11.2016Вебинар по СМЭВ, 24.11.2016
Вебинар по СМЭВ, 24.11.2016
 
Подключение к СМЭВ. Решение С-Терра, 24.05.2016
Подключение к СМЭВ. Решение С-Терра, 24.05.2016Подключение к СМЭВ. Решение С-Терра, 24.05.2016
Подключение к СМЭВ. Решение С-Терра, 24.05.2016
 
Доклад С-Терра на «ИнфоФоруме-2017», 02.02.2017
Доклад С-Терра на «ИнфоФоруме-2017», 02.02.2017Доклад С-Терра на «ИнфоФоруме-2017», 02.02.2017
Доклад С-Терра на «ИнфоФоруме-2017», 02.02.2017
 
Презентация Huawei на совместном вебинаре, 30.11.2016
Презентация Huawei на совместном вебинаре, 30.11.2016 Презентация Huawei на совместном вебинаре, 30.11.2016
Презентация Huawei на совместном вебинаре, 30.11.2016
 

Similar to Вебинар С-Терра по DMVPN, 21.02.2017

Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
sami_11
 
Организация сети и безопасность
Организация сети и безопасностьОрганизация сети и безопасность
Организация сети и безопасность
OpenStackRU
 
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Cisco Russia
 

Similar to Вебинар С-Терра по DMVPN, 21.02.2017 (20)

Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017Вебинар по отказоустойчивости, 13.04.2017
Вебинар по отказоустойчивости, 13.04.2017
 
Архитектура Segment Routing
Архитектура Segment RoutingАрхитектура Segment Routing
Архитектура Segment Routing
 
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile Backhaul
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile BackhaulСовременная архитектура Cisco для сетей Carrier Ethernet и Mobile Backhaul
Современная архитектура Cisco для сетей Carrier Ethernet и Mobile Backhaul
 
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
iWAN: предсказуемая доставка бизнес-приложений на любой топологии корпоративн...
 
Поиск и устранение неисправностей при работе Cisco Jabber через MRA
Поиск и устранение неисправностей при работе Cisco Jabber через MRAПоиск и устранение неисправностей при работе Cisco Jabber через MRA
Поиск и устранение неисправностей при работе Cisco Jabber через MRA
 
Как использовать LISP в кампусных сетях?
Как использовать LISP в кампусных сетях?Как использовать LISP в кампусных сетях?
Как использовать LISP в кампусных сетях?
 
Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...Создание и развитие отечественной платформы с открытым программным кодом для ...
Создание и развитие отечественной платформы с открытым программным кодом для ...
 
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
Whats new in_mikro_tik_ros_6_(megis,_mosсow_2013)_(russian_translate_by_white...
 
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile BackhaulАрхитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
Архитектура Cisco EPN для сетей Carrier Ethernet и Mobile Backhaul
 
Примеры применения Cisco WAE на сети оператора связи
Примеры применения Cisco WAE на сети оператора связиПримеры применения Cisco WAE на сети оператора связи
Примеры применения Cisco WAE на сети оператора связи
 
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
Алексей Котов. "Разделяй и властвуй". IT-пятница, октябрь 2018
 
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
Nexus 7000 – архитектура передачи данных. Поиск и устранение неисправностей.
 
Segment Routing: фундамент для построения сетей SDN
Segment Routing: фундамент для построения сетей SDNSegment Routing: фундамент для построения сетей SDN
Segment Routing: фундамент для построения сетей SDN
 
Архитектура современной распределенной корпоративной сети IWAN 2.0
Архитектура современной распределенной корпоративной сети IWAN 2.0Архитектура современной распределенной корпоративной сети IWAN 2.0
Архитектура современной распределенной корпоративной сети IWAN 2.0
 
MUM Построение сети доступа на основе технологий DHCP + Radius на Mikrotik
MUM Построение сети доступа на основе технологий DHCP + Radius на Mikrotik MUM Построение сети доступа на основе технологий DHCP + Radius на Mikrotik
MUM Построение сети доступа на основе технологий DHCP + Radius на Mikrotik
 
Организация сети и безопасность
Организация сети и безопасностьОрганизация сети и безопасность
Организация сети и безопасность
 
Сетевое оборудование Cisco в индустриальном исполнении
Сетевое оборудование Cisco в индустриальном исполненииСетевое оборудование Cisco в индустриальном исполнении
Сетевое оборудование Cisco в индустриальном исполнении
 
Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000Особенности реализации функционала BNG на ASR9000
Особенности реализации функционала BNG на ASR9000
 
Инфрраструктура ЦОД - интерконнект от Qlogik
Инфрраструктура ЦОД - интерконнект от QlogikИнфрраструктура ЦОД - интерконнект от Qlogik
Инфрраструктура ЦОД - интерконнект от Qlogik
 
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
Маршрутизаторы Cisco как устройства обеспечения информационной безопасности
 

More from S-Terra CSP

More from S-Terra CSP (8)

Доклад С-Терра на «Код ИБ», С.-Петербург, 27.04.2017
Доклад С-Терра на «Код ИБ», С.-Петербург, 27.04.2017Доклад С-Терра на «Код ИБ», С.-Петербург, 27.04.2017
Доклад С-Терра на «Код ИБ», С.-Петербург, 27.04.2017
 
Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017Вебинар по защите ПДн, 30.03.2017
Вебинар по защите ПДн, 30.03.2017
 
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
Совместный вебинар Citrix и «С-Терра СиЭсПи», 26.04.2016
 
Доклад С-Терра на Уральском банковском форуме - 2016 (Башкортостан)
Доклад С-Терра на Уральском банковском форуме - 2016 (Башкортостан)Доклад С-Терра на Уральском банковском форуме - 2016 (Башкортостан)
Доклад С-Терра на Уральском банковском форуме - 2016 (Башкортостан)
 
Актуальные решения S-Terra для защиты корпоративной сети (31.03.2016, Екатери...
Актуальные решения S-Terra для защиты корпоративной сети (31.03.2016, Екатери...Актуальные решения S-Terra для защиты корпоративной сети (31.03.2016, Екатери...
Актуальные решения S-Terra для защиты корпоративной сети (31.03.2016, Екатери...
 
Комплексные решения С-Терра для безопасности ИС. Тенденции и перспективы (31....
Комплексные решения С-Терра для безопасности ИС. Тенденции и перспективы (31....Комплексные решения С-Терра для безопасности ИС. Тенденции и перспективы (31....
Комплексные решения С-Терра для безопасности ИС. Тенденции и перспективы (31....
 
С-Терра на «Код ИБ» в Краснодаре
С-Терра на «Код ИБ» в КраснодареС-Терра на «Код ИБ» в Краснодаре
С-Терра на «Код ИБ» в Краснодаре
 
Защита корпоративной среды, Код ИБ, Казань, 15.10.2015
Защита корпоративной среды, Код ИБ, Казань, 15.10.2015Защита корпоративной среды, Код ИБ, Казань, 15.10.2015
Защита корпоративной среды, Код ИБ, Казань, 15.10.2015
 

Вебинар С-Терра по DMVPN, 21.02.2017

  • 1. Ваш ориентир в мире безопасности Динамическое построение VPN туннелей (DMVPN) на базе шлюзов безопасности С-Терра Шлюз Сергей Слепков Ведущий инженер Отдел технического консалтинга
  • 2. О чем пойдет речь 2© «С-Терра СиЭсПи», 2017 • Как работает DMVPN, какие технологии используются • Архитектура и сценарии применения • Примеры конфигурации на С-Терра Шлюз
  • 3. Недостатки IPsec 3© «С-Терра СиЭсПи», 2017 Недостатки традиционных дизайнов IPsec • Огромное количество GRE туннелей при большом количестве удаленных площадок • Сложная масштабируемость • Требуется изменение конфигурации центральных шлюзов для подключения новых удаленных площадок • Сложность конфигурации Spoke-to-Spoke туннелей
  • 4. Зачем нужен DMVPN 4© «С-Терра СиЭсПи», 2017 DMVPN (англ. Dynamic Multipoint Virtual Private Network — динамическая многоточечная виртуальная частная сеть) — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Преимущества DMVPN • Уменьшение конфигурации • Легкая масштабируемость • Простота добавления новых площадок • Высокая отказоустойчивость • Динамические Spoke-to-Spoke VPN туннели
  • 5. Используемые технологии 5© «С-Терра СиЭсПи», 2017 Multipoint GRE tunnel interface (mGRE) Единый GRE туннель точка-многоточка, позволяющий терминировать на себе несколько GRE-туннелей. Поддержка на уровне ядра ОС Linux. Next Hop Resolution Protocol (NHRP) Создает карту соответствия (map) физических IP адресов пиров с их туннельными адресами. Позволяет всем пирам, которые находятся в NBMA (Non Broadcast Multiple Access) сети, динамически выучить физические IP адреса друг друга обращаясь к next-hop-серверу (NHS). После этого пиры могут обмениваться информацией друг с другом напрямую. Пакет openNHRP, реализующий NBMA Next Hop Resolution Protocol (согласно RFC 2332), полностью совместим с Cisco. IPsec туннелирование и шифрование трафика С использованием Российских криптоалгоритмов ГОСТ 28147-89, ГОСТ Р 34.11-2012 (и ГОСТ Р 34.12-2015 в версии 4.2). Реализация протоколов IKE/IPsec согласно RFC 2401 – 2412. Протоколы динамической маршрутизации OSPF или BGP для обмена трафиком между сетями за споками и хабами. Пакет quagga, поддерживающий протоколы динамической маршрутизации RIPv2, OSPF, BGP.
  • 6. DMVPN Network Designs 6© «С-Терра СиЭсПи», 2017 Phase 1: Hub-to-Spoke Только туннели Hub-to-Spoke, туннели Spoke- to-Spoke не устанавливаются. Весь трафик проходит через Hub. Hub меняет next-hop в протоколах маршрутизации на свой IP адрес. Hub(config-if)# ip ospf network point-to-multipoint Hub-ы могут быть как active-standby, так и active-active с двумя DMVPN облаками. В active-active варианте на Spoke-ах будет по 2 маршрута с одинаковой стоимостью (cost). Выбор маршрута на Spoke будет осуществляться с помощью ECMP в ОС Linux.
  • 7. DMVPN Network Designs 7© «С-Терра СиЭсПи», 2017 Phase 2: Spoke-to-Spoke Динамические туннели Spoke-to-Spoke. Hub-ы отправляют информацию о маршрутах на все Spoke без изменений. Hub(config-if)# ip ospf network broadcast
  • 8. 1. Поднимаются IPsec туннели Hub-to-Spoke. Все Шлюзы используют динамические криптокарты, шифрующие только GRE трафик. 2. Все Spoke регистрируются на Hub (NHRP registration request), сообщая свои физический и туннельный адреса. На Hub-ах (Next Hop Server, NHS) создается карта всего DMVPN облака. 3. После того, как все DMVPN пиры станут известны, Spoke получают информацию об имеющихся маршрутах по протоколам динамической маршрутизации (OSPF). 4. Если Spoke захочет связаться с другим Spoke (исходя из таблицы маршрутизации), он спрашивает Hub (Next Hop Server, NHS) о его физическом IP и строит с ним IPsec туннель Spoke-to-Spoke. Как работает DMPVN 8© «С-Терра СиЭсПи», 2017
  • 9. Hub Параметры DPD (dead peer detection): Hub1(config)# crypto isakmp keepalive 10 2 Параметры IKE: Hub1(config)# crypto isakmp identity dn Hub1(config)# crypto isakmp policy 1 Hub1(config-isakmp)# hash gost Hub1(config-isakmp)# encryption gost Hub1(config-isakmp)# authentication gost-sig Hub1(config-isakmp)# group vko Набор преобразований для IPsec: Hub1(config)# crypto ipsec transform-set TSET esp-gost28147-4m-imit Hub1(cfg-crypto-trans)# mode tunnel Правило шифрования: Hub1(config)# ip access-list extended LIST Hub1(config-ext-nacl)# permit gre host 172.16.152.2 any Динамическая криптокарта: Hub1(config)# crypto dynamic-map DMAP 1 Hub1(config-crypto-map)# match address LIST Hub1(config-crypto-map)# set transform-set TSET Hub1(config)# crypto map CMAP 1 ipsec-isakmp dynamic DMAP Hub1(config)# interface GigabitEthernet0/0 Hub1(config)# crypto map CMAP Конфигурация на С-Терра Шлюз 9© «С-Терра СиЭсПи», 2017 Конфигурация IPsec Spoke Параметры DPD (dead peer detection): Spoke1(config)# crypto isakmp keepalive 10 2 Параметры IKE: Spoke1(config)# crypto isakmp identity dn Spoke1(config)# crypto isakmp policy 1 Spoke1(config-isakmp)# hash gost Spoke1(config-isakmp)# encryption gost Spoke1(config-isakmp)# authentication gost-sig Spoke1(config-isakmp)# group vko Набор преобразований для IPsec: Spoke1(config)# crypto ipsec transform-set TSET esp-gost28147-4m-imit Spoke1(cfg-crypto-trans)# mode tunnel Правило шифрования: Spoke1(config)# ip access-list extended LIST Spoke1(config-ext-nacl)# permit gre host 172.16.101.2 any Динамическая криптокарта: Spoke1(config)# crypto dynamic-map DMAP 1 Spoke1(config-crypto-map)# match address LIST Spoke1(config-crypto-map)# set transform-set TSET Spoke1(config)# crypto map CMAP 1 ipsec-isakmp dynamic DMAP Spoke1(config)# interface GigabitEthernet0/0 Spoke1(config)# crypto map CMAP
  • 10. Hub Настройка mGRE интерфейса: root@Hub1:~# ip tunnel add mgre0 mode gre key 0xfffffffe ttl 64 root@Hub1:~# ip addr add 172.17.101.100/24 dev mgre0 root@Hub1:~# ip link set mgre0 mtu 1400 root@Hub1:~# ip link set mgre0 multicast on root@Hub1:~# ip link set mgre0 up Настройка протокола NHRP: /etc/opennhrp/opennhrp.conf interface mgre0 map 172.17.101.200/24 172.16.153.2 multicast dynamic holding-time 600 cisco-authentication secret redirect non-caching Конфигурация на С-Терра Шлюз 10© «С-Терра СиЭсПи», 2017 Конфигурация NHRP и mGRE Hub2 Spoke Настройка mGRE интерфейса: root@Spoke1:~# ip tunnel add mgre0 mode gre key 0xfffffffe ttl 64 root@Spoke1:~# ip addr add 172.17.101.101/24 dev mgre0 root@Spoke1:~# ip link set mgre0 mtu 1400 root@Spoke1:~# ip link set mgre0 multicast on root@Spoke1:~# ip link set mgre0 up Настройка протокола NHRP: /etc/opennhrp/opennhrp.conf interface mgre0 map 172.17.101.100/24 172.16.152.2 register map 172.17.101.200/24 172.16.153.2 register multicast nhs holding-time 600 cisco-authentication secret non-caching Hub1 и Hub2 multicast dynamic - multicast трафик будет направляться всем узлам в mGRE сети. multicast nhs - multicast трафик в mGRE сети будет направляться только узлам, выполняющим роль Hub-ов.
  • 11. Hub Hub1(config)# router ospf Hub1(config-router)# ospf router-id 172.17.101.100 Включаем OSPF на интерфейсах mgre0 и eth1: Hub1(config-router)# network 172.17.101.100/24 area 0.0.0.0 Hub1(config-router)# network 192.168.152.2/24 area 0.0.0.1 Hub1(config-router)# area 0.0.0.0 authentication message-digest Hub1(config-router)# area 0.0.0.1 authentication message-digest Фильтр маршрутов для OSPF области 0.0.0.1: Hub1(config-router)# area 0.0.0.1 export-list LIST Hub1(config)# access-list LIST permit 192.168.200.0/24 Hub1(config)# access-list LIST deny any Конфигурация mGRE интерфейса: Hub1(config)# interface mgre0 Hub1(config-if)# ip ospf authentication message-digest Hub1(config-if)# ip ospf message-digest-key 1 md5 SECRET Hub1(config-if)# ip ospf cost 1 Hub1(config-if)# ip ospf priority 20 Конфигурация интерфейса eth1: Hub1(config)# interface eth1 Hub1(config-if)# ip ospf authentication message-digest Hub1(config-if)# ip ospf message-digest-key 1 md5 SECRET Hub1(config-if)# ip ospf cost 1 Hub1(config-if)# ip ospf priority 20 Конфигурация на С-Терра Шлюз 11© «С-Терра СиЭсПи», 2017 Конфигурация OSPF Spoke Spoke1(config)# router ospf Spoke1(config-router)# ospf router-id 172.17.101.101 Включаем OSPF на интерфейсах mgre0 и eth1: Spoke1(config-router)# network 172.17.101.101/24 area 0.0.0.0 Spoke1(config-router)# network 192.168.101.2/24 area 0.0.0.0 Spoke1(config-router)# area 0.0.0.0 authentication message-digest Spoke1(config-router)# passive-interface eth1 Конфигурация mGRE интерфейса: Spoke1(config)# interface mgre0 Spoke1(config-if)# ip ospf authentication message-digest Spoke1(config-if)# ip ospf message-digest-key 1 md5 SECRET Spoke1(config-if)# ip ospf priority 0 priority 10 на Hub2
  • 12. Дополнительные настройки схемы 12© «С-Терра СиЭсПи», 2017 Возможные модификации: 1. Управление маршрутизацией и приоритетами: ip ospf cost 2. Режимы работы phase 1 / phase 2 / phase 3 Hub1(config-if)# ip ospf network point-to-multipoint для Phase 1 (топология hub-to-spoke) Включение redirect в NHRP для Phase 3 (возможность каскадирования Hub-ов) 3. Варианты отказоустойчивости: active-standby или active-active Возможность использования Dual Hub Dual Cloud топологии с двумя mGRE интерфейсами, позволяющая более гибко управлять маршрутизацией и строить active-active схемы. Hub1(config)# interface mgre0 Hub1(config-if)# ip ospf cost 1
  • 13. Сергей Слепков Ведущий инженер Отдел технического консалтинга Тел.: +7 (499) 940-90-01 (доб. 130) Email: sslepkov@s-terra.ru