Voltar para Laboratórios

DMVPN Fundamentos

Security
Tema: Security
Nível de Acesso: fundamentals

Faça Login para Iniciar o Laboratório

Entre com sua conta para ter acesso completo aos nossos laboratórios práticos. Este laboratório requer o plano Fundamentals.

Fazer Login Ver Planos
DMVPN Fundamentos cover

DMVPNs

As DMVPNs surgiram inicialmente como topologias do tipo hub-and-spoke, ou seja, com um ponto central (hub) conectado a múltiplos pontos periféricos (spokes). A principal tecnologia para criar essas VPNs combina conexões de Encapsulamento Genérico de Roteamento Multiponto (mGRE) no hub com túneis GRE Ponto-a-Ponto (P2P) tradicionais nos dispositivos spoke.

Visão Geral do DMVPN

O DMVPN (Dynamic Multipoint Virtual Private Network) combina três tecnologias principais:
- mGRE (Multipoint Generic Routing Encapsulation)
- NHRP (Next-Hop Resolution Protocol)
- IPSec (opcional, para criptografia)

O DMVPN pode ser implementado em três fases: Fase 1, Fase 2 ou Fase 3. Na Fase 1, a topologia é hub-and-spoke, onde os spokes se comunicam apenas por meio do hub, sem túneis diretos entre si.

Tipos de GRE

Existem dois tipos de GRE (Generic Routing Encapsulation):
- GRE: Um enlace lógico ponto-a-ponto que requer a configuração de uma origem (tunnel source) e um destino (tunnel destination). A origem pode ser um endereço IP ou uma interface. O destino especifica um ponto final fixo, tornando o túnel GRE um túnel ponto-a-ponto. Para uma rede com 200 pontos finais, cada roteador precisaria configurar 199 túneis GRE, o que não é escalável.
- mGRE: Um túnel multiponto que configura apenas a origem (tunnel source) e o modo do túnel (tunnel mode). O destino não é especificado, permitindo que um único túnel se conecte a múltiplos pontos finais. Isso reduz significativamente o número de interfaces de túnel necessárias.

Os pontos finais podem ser configurados como túneis GRE ou mGRE, dependendo da necessidade.

Topologia

topologia

Fases do DMVPN

As DMVPNs evoluem em três fases, cada uma com características distintas que afetam a configuração, funcionalidade e escalabilidade da rede. A tabela a seguir resume as principais diferenças entre as fases:

Fase Modo GRE Túneis Dinâmicos Sumarização/Rota Padrão
1 mGRE no hub, GRE nos spokes Não Permitido
2 mGRE em todos Sim Permitido, mas desativa a funcionalidade de túneis dinâmicos
3 mGRE em todos Sim Permitido

Explicação das Fases:

  • Fase 1: Utiliza mGRE no hub e GRE Ponto-a-Ponto nos spokes, limitando a comunicação direta entre spokes. Ideal para topologias simples, mas menos escalável.

  • Fase 2: Introduz mGRE em todos os dispositivos, permitindo túneis dinâmicos entre spokes, embora a sumarização de rotas possa desativar essa funcionalidade.

  • Fase 3: Mantém túneis dinâmicos e suporta sumarização, oferecendo maior flexibilidade e escalabilidade.

Protocolo de Resolução de Próximo Salto (NHRP)

O Protocolo de Resolução de Próximo Salto (NHRP) é semelhante ao ARP, mas projetado para redes NBMA. Ele mapeia dinamicamente endereços NBMA (os endereços “externos” da rede) para endereços de túnel.

Funcionamento do NHRP:

  • Registro: Os spokes (Clientes de Próximo Salto, ou NHCs) registram seus endereços no hub, que atua como Servidor de Próximo Salto (NHS). A comunicação entre hub e spokes só é possível após esse registro.

  • Descoberta Dinâmica: O NHRP permite que um spoke descubra dinamicamente outro spoke na rede, possibilitando a criação de túneis diretos entre eles (resolução).

  • Vantagens: Reduz a dependência de configurações manuais e aumenta a eficiência da rede ao suportar túneis dinâmicos.

Protocolos de Roteamento

Os protocolos de roteamento desempenham um papel crucial na configuração e operação das DMVPNs. Abaixo, destacamos os principais protocolos utilizados:

OSPF

  • Protocolo de roteamento de estado de link, amplamente usado em redes corporativas.

  • Requer configuração cuidadosa em DMVPNs para evitar problemas com áreas e vizinhanças.

EIGRP

  • Protocolo híbrido da Cisco, eficiente para redes DMVPN devido à sua rápida convergência.

  • Suporta sumarização e é ideal para topologias hub-and-spoke.

  • Limitação: Suportado apenas por dispositivos Cisco.

iBGP

  • Usado em redes maiores, especialmente em cenários de provedores de serviços.

  • Requer configuração de Route Reflectors para escalabilidade em topologias DMVPN.

Fase 1

Na metodologia inicial, chamada DMVPN Fase 1, os spokes se conectam exclusivamente ao hub e só podem se comunicar entre si por meio dele, sem utilizar túneis diretos spoke-to-spoke. Nesse modelo, os spokes são configurados para túneis GRE Ponto-a-Ponto com o hub e registram seu endereço IP lógico junto ao endereço NBMA no hub, que atua como NHS (Next Hop Server).

Laboratório 1: DMVPN Fase 1 com Mapeamento Estático

A forma mais simples de resolver o problema de mapeamento entre o endereço NBMA (o endereço “externo” da rede) e o endereço IP do túnel é utilizar mapeamentos estáticos. Contudo, essa abordagem é menos comum, pois elimina parte da natureza dinâmica das DMVPNs. Ainda assim, explorar o método estático é útil para compreender claramente os objetivos dessa configuração.

Laboratório 2: DMVPN Fase 1 com Mapeamento Dinâmico

Fase 2

Laboratório 3: DMVPN Fase 2 com Mapeamento Estático

Para habilitar a formação de túneis dinâmicos entre spokes em uma DMVPN, é necessário configurar os spokes para usar túneis multiponto (mGRE). Durante essa configuração, é essencial incluir uma entrada estática para o hub, pois, sem ela, o registro NHRP não pode ser enviado. Surge então a questão: como um spoke descobre o mapeamento NHRP de outro spoke? Esse processo utiliza um sistema de solicitações e respostas, descrito a seguir:

  1. O Spoke 1 envia um pacote com o próximo salto apontando para outro spoke, o Spoke 2. Como não há uma entrada de mapeamento NHRP para o Spoke 2, o Spoke 1 envia uma solicitação de resolução NHRP ao hub.

  2. A solicitação do Spoke 1 contém o endereço IP do túnel do Spoke 2. O hub retransmite essa solicitação ao Spoke 2.

  3. O Spoke 2 recebe a solicitação, adiciona seu próprio mapeamento de endereço e envia uma resposta NHRP diretamente ao Spoke 1.

  4. Em seguida, o Spoke 2 envia sua própria solicitação ao hub, que a retransmite ao Spoke 1.

  5. O Spoke 1 recebe a solicitação do Spoke 2 via hub, adiciona seu próprio mapeamento ao pacote e responde diretamente ao Spoke 2.

  6. Tecnicamente, as solicitações já fornecem informações suficientes para estabelecer um túnel spoke-to-spoke. No entanto, as respostas têm duas funções: confirmar ao outro spoke que a solicitação foi recebida e verificar a conectividade NBMA entre os spokes.

dmvpn-phase2

Restrições desta Fase de Implantação do DMVPN

  • Sumarização: Não é permitida no hub, para garantir a precisão dos mapeamentos.

  • Rota Default: Não é permitido no hub, para evitar perda de informações de roteamento.

  • Conectividade: Os spokes devem manter a acessibilidade ao próximo salto em todos os momentos.

Laboratório 4: DMVPN Fase 2 com Mapeamento Dinâmico

Laboratório 5: DMVPN Fase 3

A Fase 3 do DMVPN é uma evolução da Fase 2, utilizando túneis mGRE tanto no hub quanto nos spokes. A principal inovação é a introdução do redirecionamento NHRP, que permite que a comunicação direta entre spokes (no plano de dados) ocorra sem passar pelo hub. Isso elimina a necessidade de resolução IP CEF (Cisco Express Forwarding), otimizando o tráfego e reduzindo a carga no hub.

Além disso, na Fase 3, os spokes passam a suportar solicitações de resolução NHRP. Isso significa que o hub deixa de ser o único dispositivo com o banco de dados NHRP, distribuindo essa responsabilidade e aumentando a escalabilidade e eficiência da rede.

Tarefas (2)

Carregando conteúdo...

Prévia do conteúdo — Inicie o laboratório para ver o conteúdo completo.

Carregando conteúdo...

Prévia do conteúdo — Inicie o laboratório para ver o conteúdo completo.