DMVPN Tutorial
DMVPN(Dynamic Multipoint VPN)ကိုGNS3 နဲ႕ လက္ေတြ႕လုပ္ၾကည့္ၾကရေအာင္
DMPVN, Site-toSite VPNအမ်ိဳးအစားလို႕ပဲေျပာၾကပါစို႕။ DMVPNကေတာ့ GRE(Generic Routing Encapsulation) ၊ NHRP(Next Hop Resolution Protocol) ၊ IPSec စတာေတြနဲ႕ ေပါင္းစပ္ တည္ေဆာက္လို႕ရတဲ့ ၊ တည္ေဆာင္ႏုိင္တဲ့ VPN ပါ။ Design ကေတာ့ အေျခခံအားျဖင့္ “Hub and Spoke” ၊ “Spoke to Spoke”ဆိုျပီးရွိပါတယ္။ NHRPက GRE ၊ IPsec Tunnels ေတြနဲ႕ ခ်ိတ္ဆက္မဲ့ peersေတြကို Dynamic Addressအေနနဲ႕လဲခ်ိတ္ဆက္လို႕ရပါတယ္။ ဥပမာ “Hub and Spoke” modelမွာ Hub Siteမွာ ပဲStatic IP Address assign လုပ္ျပီး Spoke Siteအခ်င္းခ်င္းကိုေတာ့ Dynamic IP Address နဲ႕ခ်ိတ္ဆက္လို႕ရပါတယ္။ ခ်ိတ္မဲ့ Tunnelကေတာ့ လိုအပ္ခ်က္ေပၚမူတည္ျပီး Full Mesh ၊ Partially Meshအေနနဲ႕ ခ်ိတ္ဆက္လို႕လဲရပါတယ္။
Connectivity အေနနဲ႕ကလဲLease linesေတြ Hard Circuitsေတြမရွိလဲ Internet Accessရႏုိင္မဲ့ သာမန္ DSL,ADSL,PSTN line စတာေတြနဲ႕လဲခ်ိန္ဆက္လို႕ရႏုိင္ပါတယ္။ Speed, Bandwidth, Performanceေတြကေတာ့ ကိုအသံုးျပဳမဲ့ ေပၚမွာ မူတည္ျပီးေတာ့ တြက္ခ်က္ဖို႕ေတာ့လိုပါလိမ့္မယ္။
ကြၽန္ေတာ္တို႕ အခုလုပ္ၾကည့္ၾကမယ္ Tutorial ကေတာ့ “Hub and Spoke” ပါ။
Network Topology: Yganogn HQ officeကို Hub နဲ႕ Mandalay ၊ Bagan ကိုေတာ့ Spoke အေနနဲ႕ ခ်ိတ္ဆက္ထားပါတယ္။ ISP Cloudကေတာ့ Routerတခုကိုတျခားnetwork segmentတခုနဲ႕ static route နဲ႕ပဲ ခ်ိတ္ထားပါတယ္။
Network Topology:
ဒီTutorialမွာ အသံုးျပဳထားတဲ့IOSနဲ႕ Router Model (ကိုယ္ဘာသာအဆင္ေျပမဲ့ IOS နဲ႕ Routerနဲ႕လဲရပါတယ္) :
IOS : c7200-jk9s-mz.124-25b.image
Router : Cisco 7200
Configurationစလုပ္ၾကည့္ၾကရေအာင္။ အရင္ဆံုး HQ(hub) site routerကိုစလုပ္ၾကည့္ၾကစို႕
အရင္ဆံုး ညာဘက္ေဘာင္ထဲမွာရွိတဲ့ Configurationေတြကိုနည္းနည္းရွင္းျပပါမယ္။အေျခခံ Config ေတြဆိုေတာ့ ခက္ခက္ခဲခဲေတာ့မဟုတ္ပါဘူး။ Topologyကိုၾကည့္ျပီး သက္ဆိုင္ရာ I/F IPေတြကို assign လုပ္၊ ospfကေတာ့ Tunnel Upျဖစ္ေနရင္ Tunnel အတြင္းTraffiicအတြက္ပါ LAN segment နဲ႕ Tunnel segment ကိုassignလုပ္ရပါမယ္။ip route configuration ၂ခုကေတာ့ ISP Cloudနဲ႕ခ်ိတ္ဆက္ဖို႕ပါ။ ဒီ Tutorial ရဲ႕အဓိကျဖစ္တဲ့ mGRE/NHRP tunnel နဲ႕IPSec encrypt configurationကိုရွင္းျပ ရမယ္ဆိုရင္nhrp နဲ႕mGRE tunnel ကို createလုပ္ျပီးတာနဲ႕ အဲ့ဒီ Tunnel ကေန Data Trafficလုပ္လို႕ရပါျပီး ။ ဒါေပမဲ့ Intenetကေနခ်ိတ္ဆက္ထားတာျဖစ္တဲ့အတြက္ Cryptမလုပ္ရင္ Data က Secureမျဖစ္ပါဘူး။အဲ့ဒါေၾကာင့္ IPSec နဲ႕ Secure Tunnelျဖစ္ေအာင္လုပ္ဖို႕လုိအပ္ပါတယ္။ip nhrp map multicast dynamic : Hub site အေနနဲ႕ Spoke Siteနဲ႕ Dynamic Mappingလုပ္ဖုိ႕ပါ ။
tunnel mode gre multipoint : Multi GRE tunnel creation အတြက္ပါ။
သတိျပဳရမွာက network-id ၊ tunnel key၊ holdtime၊ ေတြက Hub site နဲ႕Spoke Siteေတြမွာ တူညီေအာင္ configuration လုပ္ဖို႕လိုပါတယ္။
tunnel protection ipsec profile ကေတာ့ isakmpနဲ႕ IPSec profile ကို createလုပ္ျပီး မွ configureလုပ္ဖုိ႕လိုပါမယ္။ mGRE/NHRP tunnelသက္္သက္ပဲဆို tunnel protection ကမလုပ္ပဲနဲ႕လဲ ခ်ိတ္ဆက္လို႕ရပါတယ္။
tunnel protection ကေတာ့ Internet Security Association and Key Management Protocol (ISAKMP)/IKE(Internet Key Exchange)၊ IPSecကို လိုအပ္ခ်က္ေပၚမူတည္ျပီးconfigure လုပ္လို႕ရပါတယ္။ ဒီ tutorial မွာေတာ့ အလြယ္ဆံုးနဲ႕ အရုိးရွင္းဆံုးပဲconfigure လုပ္ထားပါတယ္။
phase 1 IKE policy negotiation အတြက္ isakmp policy configureလုပ္ျပီး ၊ IPSec Transform-set နဲ႕ profileလုပ္ရပါမယ္။ အဲ့ဒီ profileကို tunnel interfaceမွာ configure လုပ္ေပးရင္ရပါျပီး။
tunnel protectionျဖစ္တဲ့ isakamp/IKE ၊ IPSec configurationေတြကေတာ့Hub site ေရာ Spoke Sites မွာပါ အတူတူျဖစ္ဖို႕လိုအပ္ပါတယ္
Mandalay နဲ႕ Bagan spoke sites configuration:
Spoke sites configurationကေတာ့ Hub siteနဲ႕ ကြာျခားမွုသိပ္မရွိပါဘူး။ Hub Siteကိုခ်ိတ္ဆက္ဖို႕ ဒီေအာက္က configuration ၃ေၾကာင္းကို ထပ္လုပ္ေပးဖို႕ပဲလိုပါမယ္။ -ip nhrp map multicast 10.2.1.2 -ip nhrp map 172.1.0.2 10.2.1.2 -ip nhrp nhs 172.1.0.2 ip nhrp map multicast dynamic ကေတာ့ Spoke Siteႏွစ္ခုကလိုအပ္လို႕ခ်ိတ္ဆက္မယ္ဆို Dynamically ခ်ိတ္လုိ႕ရေအာင္configureလုပ္ဖို႕လိုပါမယ္။ Static ေနနဲ႕ ခ်ိန္မယ္ဆိုရင္ေတာ့ မလိုပါဘူး။ Spoke Sites ၂ခုကိုStatic Tunnelနဲ႕ခ်ိတ္မယ္ဆိုရင္ေတာ့ ip nhrp map{spoke IP}အေနနဲ႕ Configure လုပ္ေပးဖို႕လိုပါမယ္။
အထက္ပါအတိုင္း Hub နဲ႕ Spoke routerေတြကိုconfigure လုပ္ျပီးျပီဆိုရင္ေတာ့ ခ်ိတ္ဆက္လို႕ရမရ စစ္ၾကည့္ၾကမယ္။ mGRE/NHRP tunnel configure လုပ္ျပီးတာနဲ႕ mGRE tunnelနဲ႕ ကခ်ိတ္ဆက္လို႕ရေနပါျပီး
အရင္ဆံုး HQ routerမွာ ၾကည့္ၾကည့္ရေအာင္ ၊
HQ routerကၾကည့္ရင္ mGRE tunnel ႏွစ္ခု(Mandalay နဲ႕ Bagan)ကိုေတြ႕ရပါမယ္။
Spoke routersေတြမွာ ၾကည့္ရင္ေတာ့ Hubနဲ႕ခ်ိတ္ဆက္ထားတဲ့ GRE tunnel တခုဆီပဲရွိပါလိမ့္မယ္။
Spoke Sites ေတြက ခ်ိတ္ဆက္ဖို႕လိုအပ္မွ dynamicallyခ်ိတ္မွာဆိုေတာ့ Mandalay rouerကေန Bagan router ကို ping ၾကည့္လိုက္ပါ။ Spoke Site အခ်င္းခ်င္း ခ်ိတ္ဆက္တဲ့ mGRE tunnel ကို show ip nhrp နဲ႕ ၾကည့္လုိက္ရင္ေအာင္ပါအတိုင္းေတြ႕ရပါမယ္။
Spoke sitesကေန ဘယ္Hub siteနဲ႕ ခ်ိတ္ဆက္ထားလဲဆိုတာကိုေတာ့ show ip nhrp nhsနဲ႕ ၾကည့္လို႕ရႏုိင္ပါတယ္။
mGRE/NHRP tunnel ေတြခ်ိတ္ဆက္လို႕ရေနတာကို စစ္ၾကည့္ျပီးျပီဆိုရင္ေတာ့ tunnel protection လုပ္ထားတဲ့ isakmp နဲ႕ IPSecေတြကိုစစ္ၾကည့္ၾကရေအာင္။ show crypto{isakmp | ipsec} နဲ႕စစ္ၾကည့္လို႕ရပါမယ္။ Spoke siteေတြမွာလဲ အလားတူစစ္ၾကည့္လို႕ရပါတယ္။
Tunnel Protecetionက IKE Negotiation/IPSec cryptေတြ ေကာင္းေကာင္း အလုပ္လုပ္တယ္ဆို ေအာက္ပံုအတိုင္း ေတြ႕ျမင္ႏုိင္ပါတယ္။ Spoke siteမွာ ကေတာ့ Spokeအခ်င္းခ်င္း ပါ ခ်ိတ္ဆက္ထားမယ္ဆိုရင္ေတာ့ tunnel ၂ခုရယ္ SA လဲ ၂ခုေတြ႕ရမွာပါ။
tunnel protection ကအလုပ္လုပ္ျပီး ဆိုရင္ ခ်ိတ္ဆက္ေနတဲ့ tunnelေတြက Tunnel protectionအေနနဲ႕ ခ်ိတ္ဆက္ေနလားဆိုတာကိုေတာ့ show crypto session နဲ႕ စစ္ၾကည့္လို႕ရပါတယ္။ Spoke sites ေတြမွာလဲ အလားတူ စစ္ၾကည့္လို႕ရႏုိင္ပါတယ္။
tunnel ေတြ က protection mode နဲ႕ခ်ိတ္ဆက္လို႕ရျပီးဆို HQ ၊ Mandalay ၊ Bagan routerအခ်င္းခ်င္း data traffic ကို ospf နဲ႕ ခ်ိတ္ဆက္လုိ႕ရပါျပီး။ Hub နဲ႕ Spoke Sitesေတြရဲ႕ LAN IPကို ping ၾကည့္ျပီး ping လို႕ရတယ္ဆိုရင္ေတာ့ အားလံုး အဆင္ေျပအလုပ္လုပ္ျပီးလို႕ သတ္မွတ္လို႕ရပါျပီး။
Troubleshooting အေနနဲ႕ ကေတာ့ debug logေတြကိုၾကည့္ျပီး tunnel up/down ၊ IKE SAs/IPSec failure ျဖစ္တာေတြ ၊ ဘယ္လိုအလုပ္ဆိုတာကို traceလိုက္ၾကည့္လို႕ရနုိင္ပါတယ္။
debug crypto {isakmp | ipsec}
clear crypto sa peer {ip}
===============END===============
No comments:
Post a Comment