Cisco Dynamic Multipoint VPN (DMVPN)

 Por Marco Filippetti em Artigos, Tecnologia
Este post trata, de forma breve, da feature DMVPN, que permite a
implementação de redes virtuais privadas (VPNs) de pequeno, médio ou
mesmo de grande porte, de forma simples e rápida, por meio da combinação
de tunelamento GRE, IPSec e NHRP (Next Hop Resolution Protocol).

Sei que este tópico é um pouco avançado, mas com o advento do Dynamips,
mesmo aqueles que não compreenderem plenamente a tecnologia será capaz
de implementá-la em um ambiente de testes. Apesar de não ser algo novo, a
primeira vez que tive contato com DMVPN foi na BT, ou seja, não faz muito
tempo (pouco mais de 1 ano). Achei fantástica esta feature e, desde então,
estou para escrever um post sobre ela.

É importante ressaltar que nem todas as versões do IOS suportam DMVPN. As

referências acima indicam quais as versões suportadas.

DMVPN é uma feature de IOS baseada em 2 tecnologias Cisco muito bem

difundidas e aceitas:

 Next Hop Resolution Protocol (NHRP) – O HUB da topologia mantém

uma base de dados com os endereços válidos (públicos / roteáveis) de todos
os SPOKES da rede.
 Multipoint GRE Tunnel Interface – Permite que uma única interface GRE
suporte múltiplos túneis IPsec.
A feature DMVPN não altera túneis VPN padrão IPsec, mas altera o modo
como estes são configurados. Os spokes mantém um túnel IPsec permanente
com o HUB, porém, não entre eles. Quando um spoke precisa enviar um
pacote com destino a outro spoke, ele realiza uma busca na base de dados
NHRP para identificar o endereço público (roteável) do spoke em questão. O
túnel entre os spokes é então estabelecido via interface mGRE.

É necessário ativar roteamento dinâmico nos túneis entre o hub e o spoke, uma
vez que o spoke aprende os endereços de rede configurados em outros spokes
e no hub via atualizações de roteamento. Dentre os protocolos de roteamento
possíveis, temos: RIP, BGP, EIGRP e OSPF.

Em termos de configuração, como já foi mencionado, ela é bastante

simplificada. O melhor modo de compreender isso é comparando o modo
tradicional (IPsec + GRE) e o modo DMVPN.

A figura abaixo apresenta o modo tradicional. Observe que, no HUB, temos

tantas interfaces “tunnel” quantas se fizerem necessárias: Uma para cada
conexão com um spoke.
Observemos então, as linhas de configuração necessárias para
estabelecimento do cenário anteriormente apresentado:

Notem a necessidade de se configurar uma interface tunnel para cada spoke.

Temos cerca de 13 linhas para cada spoke! Se tivermos uma rede com 300
spokes, mais de 3900 linhas de configuração seriam necessárias! Isso pode
“matar” um roteador facilmente.

A alternativa: Dynamic Multipoint VPN (DMVPN). Observem a topologia da

mesma rede anteriormente mencionada, porém, agora com DMVPN sendo
utilizado.
Notem que temos apenas 1 interface tunnel no HUB, agora. Vamos dar uma
olhada na configuração do HUB:

Não é mais necessário 13 linhas de configuração por spoke! Agora, uma rede
com 300 spokes consomem as mesmas 13 linhas de uma rede com apenas 1.
Ótimo, não??

Vamos dar uma olhada nas configs dos spokes. Comecemos pelo spoke A:
Passemos ao spoke B:

Notem como as configs seguem uma uniformidade. Pouco se altera na config

de um spoke para outro. Fica muito mais simples gerenciar e realizar
troubleshooting em uma rede configurada desta forma.

O melhor de tudo: Pode-se praticar o que está sendo mostrado aqui no

Dynamips, sem problemas (apenas tenham certeza que estão usando um IOS
que suporte DMVPN).

Uma breve comparação entre os 2 métodos (tradicional X DMVPN) :

Referências:

http://www.cisco.com/application/pdf/en/us/guest/netsol/ns171/c649/ccmigration
_09186a008075ea98.pdf
http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftgreips.pdf