IPsec VPN (4) DMVPN

<>DMVPN

1. 지사마다 크립토맵, GRE 터널 설정이 필요없다.

2. 본사에서 NHRP를 통해 동적으로 주소를 받아오므로 지사확장에 추가 설정이 필요없다.

   예제

       본사가 허브로 지사간 통신을 중계하는 허브 앤 스포크 형태로 구성된다. 따라서 IGP 에 따라 정책에 차이가 발생하는데, 

       RIPv2의 경우 스플릿 호라이즌 룰에 의해 R4, R5의 통신이 되지 않는다. 따라서 본사라우터에서 스플릿 호라이즌을 

       비활성해야 한다. 

       OSPF로 구성할시에는 R2와 R4, R5의 네트워크 타입이 포인트 투 포인트인경우 어드제이션시 관계를 맺지 못한다.

       따라서 네트워크타입을 Broadcast 혹은 non-broadcast 타입을 변경하는것이 권장되며, DR/BDR 선출이 정책대로

       적용되도록 지사의 ospf priority 를 0으로 변경하거나, 본사라우터의 priority를 높게 설정하여 반드시 본사라우터(R2)가

       DR이 되도록 조정해야한다.

       EIGRP는 특별한 설정이 필요없다. Cisco에서는 dmvpn 구성시 EIGRP를 권장한다. 

       (출처: learningnetwork.cisco.com)

   R2

   (1) mGRE 모드 활성화

   (2) 터널 키는 과거에 단일 장비에서 다수 터널 사용시 이를 구분하기 위해 사용했지만 현재는 터널 소스의 IP를 다르게 설

        정하여 구분하도록 한다.

   (3) NHRP 네트워크 아이디를 설정하는데 동일한 도메인내에서는 같은 값을 설정한다.

   (4) 동적으로 할당받은 주소(지사 IP)에 멀티캐스트 패킷을 허용한다. 멀티캐스트를 이용하는 IGP가 통신할수있도록하는

        설정이다.

   (5) OSPF 네트워크 타입을 브로드캐스트로 설정하고 R2가 DR이 되도록 priority 값을 255로 설정했다.

   (6) ipsec profile 기능으로 터널 인터페이스에 직접 ipsec관련 정책을 적용한다. 이는 IOS 상위버전에서 추가된 기능으로

        ACL이나 크립토맵을 따로 설정하지 않아도 되도록 추가된 기능이라 보면 된다.

   (7) 터널 인터페이스에 적용

   

   R4

   (1) R2 본사라우터를 NHRP 서버로 설정하여 자신의 동적IP를 등록하도록 한다.

   (2) 멀티캐스트 패킷이 외부망 트래픽을 통하도록 허용

   (3) 본사의 터널 IP주소를 외부망 주소로 매핑한다.

   (4) NHS 서버에 자신의 주소를 등록하는 인터벌 타임이다. (1분)

   R5

   R5의 설정까지 마친후, 본사와 지사간, 지사와 지사 통신여부를 확인한다.

   그리고 IGP 설정시엔 터널 주소를 네트워크 선언하여 지사간에 터널을 통해 IGP로 통신하고, 이 패킷을 IPsec로 보호되도

   록 설정하는것이 핵심이다.