Dynamic Multipoint Virtual Private Network

Télécharger au format pptx, pdf ou txt
Télécharger au format pptx, pdf ou txt
Vous êtes sur la page 1sur 34

1

DYNAMIC MULTIPOINT
VIRTUAL PRIVATE
NETWORK :
DMVPN
PRESENTE PAR : PROFESSEUR :
AMADOU TIDIANE DIALLO M MASSAMBA LO
FATOUMATA NDIAYE FORMATEUR CISCO CCNAV7
PLAN DE LA PRESENTATION 2

 INTRODUCTION
 DEFINITION
 INFORMATION
 SOLUTION
 APPLICATION
 CONCLUSION
INTRODUCTION 3

De plus en plus d’entreprises expriment le besoin d’interconnecter leurs différents sites et


d’utiliser un moyen de chiffrement afin de protéger leurs communications.
Dans le passé, la seule solution était l’utilisation des réseaux RNIS ou Frame Relay. Cependant la
mise en place de ces derniers ainsi que le cout étaient fastidieux.
Il serait beaucoup plus facile de déployer de telles solutions si toutes les sites avaient accès a
Internet pour faciliter la sécurité des communications IP par l’utilisation de tunnels IPSec assurant
l’authentification, l’intégrité et la confidentialité des données (VPN IPSec).
Le VPN IPSec étant une solution fiable de communication, présente aussi un certain nombre de
limites qui fera pousser les auteurs a se tourner vers une nouvelle technologie beaucoup plus
avantageuse: le DMVPN (Dynamic Multipoint VPN).
DEFINITION 4

DMVPN (Dynamic Multipoint VPN) est une technique de routage utilisée pour construire un
réseau VPN avec plusieurs sites sans avoir a configurer statiquement tous les appareils.
Il s’agit d’un réseau « hub and spoke » ou les spokes pourront communiquer entre eux directement
sans devoir passer par le hub.
Le cryptage est pris en charge par IPSec, ce qui fait du DMVPN un choix populaire pour connecter
différentes sites a l’aide de connexions Internet ordinaires.
En réalité, c’est un ensemble de technologies (IPSec, mGRE et NHRP) qui, combinées, facilite le
déploiement des réseaux privés virtuels IPSec.
INFORMATION : COMPOSANTS 5

 IPSEC : Protocole de chiffrement de trafic entre deux sites par l’utilisation de clés partagées
 mGRE (multipoint GRE) : protocole permettant de créer des tunnels multipoint entre différents
sites; c’est-à-dire créer plusieurs tunnels a partir d’une pseudo interface tunnel
 NHRP (Next Hop Resolution Protocol) : protocole permettant aux routeurs distants de faire
connaitre leurs adresses IP servant a monter le tunnel GRE avec le serveur. Ce dernier stocke les
adresses IP pour permettre a chaque routeur de connaitre l’adresse de son voisin et ainsi établir un
tunnel direct avec celui-ci.
 OSPF (Open Short Path First) : protocole de routage permettant au routeur du site central de
propager les différentes routes aux sites distants.
 Hub and Spoke : les deux termes désignent respectivement le routeur central et les routeurs
distants. Le site central desservi par le routeur central fait office de serveur NHRP.
INFORMATION : TERMINOLOGIE 6

Le DMVPN propose deux modèles de déploiement possibles que sont :

 Le modèle Hub-to-spoke : Chaque spoke possède une interface GRE permettant de monter
le tunnel vers le HUB. Tout trafic entre les spoke passe par le Hub. Ce modèle ne prend pas en
compte les liaisons entre les spokes .

 Le modèle Spoke-to-spoke : Chaque spoke doit disposer d’une interface mGRE permettant aux
tunnels dynamiques de transiter vers les autres spokes. Ce modèle prend en compte les liaisons
entre différentes spokes et offre une grande évolutivité de la configuration pour les périphériques.
INFORMATION : CAS DE FIGURE (1) 7
INFORMATION : CAS DE FIGURE (2) 8
INFORMATION : CAS DE FIGURE (3) 9
INFORMATION : CAS DE FIGURE (4) 10
INFORMATION : CAS DE FIGURE (5) 11
INFORMATION : CAS DE FIGURE (6) 12
INFORMATION : CAS DE FIGURE (7) 13
INFORMATION : CAS DE FIGURE (8) 14
INFORMATION : CAS DE FIGURE (9) 15
SOLUTION : PREREQUIS et 16
PRECISIONS
 Précisions :
1 – La politique IKE (crypto isakmp policy) doit être identique sur chacun des routeurs;
2 – La politique IPSec (crypto ipsec transform-set) doit être identique sur chacun des routeurs;
3 – Le protocole de routage EIGRP soit configuré de manière cohérente, c’est-à-dire que le réseau
WAN soit déclaré dans un area différente des réseaux LAN et du réseau utilisé par les tunnels VPN.

 Prérequis :

DMVPN s’appuyant sur des technologies et des protocoles très typés CISCO, cette solution requiert
un équipement dudit constructeur, accompagné d’un IOS récent.
APPLICATION : CONTEXTE 17

ISI est une grande société disposant de plusieurs annexes dans les régions du Sénégal.
ISI centre étant a Dakar, l’on veut établir une communication sécurisée entre celui-ci et les
autres sites situés a Thiès et a Diourbel.
L’objectif est de raccorder ISI-Dakar aux sites ISI-DIOURBEL et ISI-THIES en utilisant la
technologie DMVPN
APPLICATION : TOPOLOGIE 18
SOLUTION : Configuration du HUB (1) 19

 On configure l’interface publique ainsi que celle de Loopback pour émuler le LAN
R1(config)# int FastEthernet0/0
! description Interface WAN
R1(config-if)#ip add 172.16.1.1 255.255.255.0
R1(config-if)# no sh
R1(config)# int loopback0
! description Interface LAN
R1(config-if)# ip add 192.168.1.254 255.255.255.0
Une fois ces paramètres basiques configurés, nous pouvons passer a la configuration de l’interface
tunnel
SOLUTION : Configuration du HUB (2) 20

R1(config)# interface tunnel0


! Adresse IP du tunnel
R1(config-if)# ip address 10.0.0.1 255.255.255.0
! Configuration du NHRP
R1(config-if)# ip nhrp map multicast dynamic
R1(config-if)# ip nhrp network-id 1
! Configuration du tunnel GRE
R1(config-if)# tunnel source 172.16.1.1
R1(config-if)# tunnel mode gre multipoint
SOLUTION : Configuration du spoke (1) 21

 CONFIGURATION DU SPOKE R2
R2(config)# interface FastEthernet0/0
!description Interface WAN
R2(config-if)# ip address 172.16.1.2 255.255.255.0
R2(config)# interface Loopback0
!description Interface LAN
R2(config-if)# ip address 192.168.2.254 255.255.255.0
R2(config)# interface tunnel0
R2(config-if)# ip address 10.0.0.2 255.255.255.0
! On mappe de façon manuelle en NHRP l'adresse publique du hub pour l'établissement du tunnel permanent entre le spoke et
le hub.
R2(config-if)# ip nhrp map 10.0.0.1 172.16.1.1
R2(config-if)# ip nhrp map multicast 172.16.1.1
R2(config-if)# ip nhrp network-id 1
SOLUTION : Configuration du spoke (2) 22

 CONFIGURATION DU SPOKE R2

! On identifie l'agent résolveur NHRP qui sera le hub R1.


R2(config-if)# ip nhrp nhs 10.0.0.1
! Configuration du tunnel GRE
R2(config-if)# tunnel source 172.16.1.2
R2(config-if)# tunnel mode gre multipoint
SOLUTION : Configuration du spoke (3) 23

 CONFIGURATION DU SPOKE R3

R3(config)# interface FastEthernet0/0


!description Interface WAN
R3(config-if)# ip address 172.16.1.3 255.255.255.0
R3(config)# interface Loopback0
!description Interface LAN
R3(config-if)# ip address 192.168.3.254 255.255.255.0
R3(config)# interface Tunnel0
R3(config-if)# ip address 10.0.0.3 255.255.255.0
! On mappe de façon manuelle en NHRP l'adresse publique du hub pour l'établissement du
tunnel permanent entre le spoke et le hub.
R3(config-if)# ip nhrp map 10.0.0.1 172.16.1.1
R3(config-if)# ip nhrp map multicast 172.16.1.1
R3(config-if)# nhrp network-id 1
SOLUTION : Configuration du spoke (4) 24

 CONFIGURATION DU SPOKE R3

! On identifie l'agent résolveur NHRP qui sera le hub R1.


R3(config-if)# ip nhrp nhs 10.0.0.1
! Configuration du tunnel GRE
R3(config-if)# tunnel source 172.16.1.3
R3(config-if)# tunnel mode gre multipoint
SOLUTION : Configuration de EIGRP (1) 25

 CONFIGURATION EIGRP SUR LE HUB

R1(config)# router eigrp 1


R1(config-router)# network 10.0.0.0 ! Activation et partage eigrp dans le tunnel
R1(config-router)# network 192.168.1.0 ! Activation et partage eigrp pour le LAN
R1(config)# int tunnel0
! On désactive le mécanisme Split-Horizon
R1(config-router)# no ip split-horizon eigrp 1
! On demande à EIGRP de ne pas réécrire l'adresse de Next-hop avec celle du routeur qui
annonce puisque que cela sert directement pour l'établissement de lien dynamique avec l'aide
d'NHRP.
R1(config-router)# no ip next-hop-self eigrp 1
SOLUTION : Configuration de EIGRP (2) 26

 CONFIGURATION EIGRP SUR LES SPOKES (R2 et R3)

R2(config)# router eigrp 1


R2(config-router)# network 10.0.0.0
R2(config-router)# network 192.168.2.0
R2(config)# int tunnel0
R2(config-router)# no ip split-horizon eigrp 1
R2(config-router)# no ip next-hop-self eigrp 1

R3(config)# router eigrp 1


R3(config-router)# network 10.0.0.0
R3(config-router)# network 192.168.2.0
R3(config)# int tunnel0
R3(config-router)# no ip split-horizon eigrp 1
R3(config-router)# no ip next-hop-self eigrp 1
SOLUTION : Configuration de IPSEC 27

 CONFIGURATION DE IPSEC AU NIVEAU DU HUB

! Création de la policy ISAKMP


R1(config)# crypto isakmp policy 10
R2(config-isakmp)# authentication pre-share
! Configuration de la clé ISAKMP
R2(config)# crypto isakmp key passer address 172.16.0.0 255.255.0.0
! Configuration du transform set IPSec
R1(config)# crypto ipsec transform-set DMVPN_TRFSET esp-aes esp-sha-hmac
! Configuration du profile IPSEC
R1(config)# crypto ipsec profile DMVPN_PROFILE
R1 (ipsec-profile)# set transform-set DMVPN_TRFSET
R1 (config)# int tunnel0
! Affectation du profile dans le tunnel.
R1(config-if)# tunnel protection ipsec profile DMVPN_PROFILE
SOLUTION : Test des configurations (1) 28

Pour vérifier que tout fonctionne correctement, nous pouvons effectuer des captures de paquets
par le biais du logiciel Wireshark, ce qui nous permettra d’apercevoir des paquets ESP (Encapsulating
Security Payload) transitant entre les différents routeurs pour les communications Lan-to-Lan., ou tout
simplement lancer un ping du LAN de R2 au LAN de R3.
 Juste avant, remarquons l’output de la commande show dmvpn:
SOLUTION : Test des configurations (2) 29

 Exécutons un show ip route


SOLUTION : Test des configurations (3) 30

 Essayons maintenant de pinger et de déclencher la résolution NHRP et le tunnel dynamique.

 On voit que la requête ICMP passe sans aucun problème! Réexécutons maintenant la commande
show dmvpn:
SOLUTION : Test des configurations (4) 31

 Vérifions ce qui se passe au niveau ISAKMP et IPSec:


CONCLUSION 32

La solution DMVPN fournit les fonctionnalités suivantes pour mieux faire évoluer les
grands et petits réseaux VPN Ipsec
 DMVPN permet une meilleure mise à l'échelle dans les VPN IPSec à maillage complet
ou à maillage partiel.
 DMVPN prend en charge les nœuds IPSec avec des adresses attribuées dynamiquement
(telles que câble, RNIS et DSL)
 DMVPN simplifie l'ajout de nœuds VPN.
 DMVPN réduit la taille de la configuration nécessaire sur tous les routeurs du VPN.
 DMVPN utilise GRE et, par conséquent, prend en charge la multidiffusion IP et le trafic
de routage dynamique sur le VPN
WEBOGRAPHIE 33

 https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocol
s/41940-dmvpn.html#conclusion
 fingerinthenet.com/dmvpn/
 https://networklessons.com/cisco/ccie-routing-switching/introduction-to-dmvpn
34

Vous aimerez peut-être aussi