DMVPN

DMVPN Fundamentals  GRE,DMVPN / Security    [1] DMVPN(Dynamic Multipoint VPN)의 특징      (1) 본사-여러개의 지사  환경의 VPN이용시 본사 경로를 거치지 않고 지사간의 통신을 지원한다.       : DMVPN은 기본적으로 NBMA로 생각한다.      (2) Cisco IOS 기반으로되어있고, IPsec+GRE를 이용하여 쉽고 확장성이 좋게 만들었음       (3) NHRP와 GRE가 주된 기술이다.     (가) NHRP(Next Hop Resolution Protocol) : 본사는 NHRP 데이타베이스(각 지사의 IP주소)를 총관리한다.      - RFC 2332에 정의      - ARP, Inverse ARP(FR) 같은 캐쉬 기반의 layer 2 resolution 프로토콜(NHRP캐쉬이용)      - Release 12.2(13)T      - 각 지사는 부팅할때 자신의 IP주소를 본사에 등록한다.      - A지사에서 B지사로 직접 통신이 필요할 경우 (A --> B다이렉트 터널을 만들때)        A지사 -->  본사 :  B지사의 IP주소 문의 (NHRP Database Query: B지사로 가기 위한 Next hop 문의)        본사 --> A지사 : B지사의 IP 주소 송부         A지사 --> B지사로 다이렉트 터널(spoke-to-spoke) 구성     (나) Multipoint GRE Tunnel Interface      - GRE 인터페이스 한개로 여러개의 IPsec 터널을 지원한다.      - 쉬운 Configuration (v.s Full Mesh IPsec VPN )      (4) 모든 지사는 본사와 permanent IPsec 터널 유지하고 있다. 지사끼리 터널이 필요할시 NHRP를 이용함     [2] NHRP configuration           (1) ip nhrp network-id <id>      라우팅 프로토콜의 AS넘버와 비슷한 개념, 본사와 모든 지사는 같아야 됨, ID는 터널키가 아님       (2) ip nhrp map : NHRP 캐쉬 만드는 법     - static으로 수동 설정 추가     - Hub가 registration request를 하여 학습     - Spoke가 resolution request하여 학습(spoke-to-spoke시 이용)          (가) static            ip nhrp map 10.0.0.1 172.17.0.1      (나) 허브에게 멀티캐스트 트래픽을 보내기 위한 셋팅            ip nhrp map multicast 172.17.0.1           * 멀티캐스트 패킷은 지정된 피어 주소에게만 전달 된다.            (따라서 본사에서는 반듯시 nhrp map multicast dynamic 셋팅)     (다) NHS 등록: 스포크가 허브에 등록하기 위해서, 허브는 NHS(Next Hop Server)로 셋팅 되어야 한다.           ip nhrp nhs 10.0.0.1           ip nhrp holdtime 3600 (optional) 유효시간           ip nhrp registration no-unique (optional)         [3] 라우팅 프로토콜 이슈        - 본사 ~ 여러개의 지사  환경에서 다이나믹 라우팅이 필요    * 일반 환경에서도 본사와 여러개의 지사의 경우 스태틱 라우팅보다는 다이내믹 라우팅이 편함        -  지사는 다른 지사들의 Local Subnet(Private IP)를 배운다. 라우팅 Routing Packet은 모두 본사를 경유하여 각각의 지사에 전달되어진다.   * Control Packet (라우팅 패킷 등..)만 본사를 경유하고 지사간 통신시에는 Direct Tunnel 사용    - 지사의 next hop IP는 각 지사의 tunnel 인터페이스임    - 사용가능한 라우팅 프로토콜: EIGRP, OSPF, BGP, RIPv2    - NBMA환경과 spoke-to-spoke 통신을 하기위한 라우팅 프로토콜 이슈가 있다.       (1) EIGRP 이슈     (가) GRE tunnel의 bandwidth는 9Kbps임. EIGRP는 1/2을 사용하므로 4.5Kbps로 사용됨.            바꿀필요가 있을 경우 "bandwidth 1000" 명령어로 변경가능     (나) 지사-->지사 다이렉트 터널이 필요할 경우 split-horizon disable         no ip split-horizon eigrp 1     (다) hold-time         ip hold-time eigrp 1 35        - 네이버가 많을 경우 소요시간이 길어질수 있으므로 조금 늘려 주는 것이 좋다.(최대 hello 타임의 7배, 35초이내)      * eigrp default(hello: 5초, hold-time:15초)     (라) next-hop-self disable        no ip nexp-hop-self eigrp 1       - 지사 ~ 지사 다이렉트 통신의 경우 본사를 경유하지 않기 위해 필요         즉, 라우팅 프로토콜은 항상 본사를 경유하므로 next-hop은 항상 본사로 찍힌다.         따라서 지사간 트래픽이 항상 본사를 경유하게된다. 이것을 방지하기 위해 next-hop-self 기능을 disable시킬 필요가 있다.     (마) stub connected         router eigrp 1            eigrp stub conected           - 지사는 로칼 네트웤은 모두 stub임. 지사 라우터에만 셋팅함(본사는 아님)           [참고]  eigrp stub 옵션         (a) eigrp stub : connected, summary 광고         (b) eigrp stub connected: connected만 광고         (c) eigrp stub static: static만 광고         (d) eigrp stub reveive-only : connected, summary, static 모두 전송하지 않음, 오직 받기만 함       (2) OSPF 이슈     (가) DMVPN 사용시 암호화 관련 부하, NHRP 등으로 인해 아래처럼 사용해야 됨         - area 한개당 라우터수: 50개를 넘지 말아야 한다.         - 하나의 라우터에 3개 이상의 area가 있으면 안된다.     (나) 본사는 반드시 DR이고 지사는 절대로 DR이 되어서는 안됨         ip ospf priority 200 <--- 본사         ip ospf priority 0    <--- 지사     (다) hello time 변경과 MTU 통일 (본사, 지사 모두): 본사의 mGRE 인터페이스와  지사의 GRE 인터페이스 모두 통일        default 10초 --> 30초로 모두 통일        ip ospf hello-interval 30        ip mtu 1400     (라) stubby area or totally stubby area: LSA 트래픽 감소        router ospf 10           area 10 stub no-summary     (마) network type 변경        터널은 기본적으로 point-to-point 타입임. 따라서 broadcast 타입으로 변경할 필요가 있음(전 라우터)         ip ospf network broadcast     (3) RIPv2   지사간 통신을 위해 ip split-horizon과 auto-summary를 disable함   no ip split-horizon   no auto-summary     [4] 본사/지사 환경에서의 두가지 방식 비교 :( IPsec+GRE vs DMVPN)   - IPsec+GRE로 VPN의 경우 config 많음   - DMVPN의 경우 초 간단      * 예를 들어서 VPN이 아닌 일반 라우팅에서 100개의 지사에 연결한다면 스태틱으로 2백줄(지사 한개당 두개의 network기준)을 셋팅해야 됨.     다이나믹 라우팅 프로토콜 이용시 몇 줄만 추가하면 됨.      (예1) 스태틱 구성의 경우     ip route A network1 xxxx     ip route A network2 xxxx     .....     .....     ip route Z network1 xxxx     ip route Z network2 xxxx       (예2) 다이나믹 구성의 경우   router eigrp 10    network 10.0.0.0      (1) IPsec+GRE             One tunnel interface & crypto map(optional) for each spokeHub config13 lines per spoke so 300 spokes=3900 lines : 지사 한개당 13줄 컨피그 필요함. 300개의 지사일 경우 셋팅을 3,900줄 해야됨     (2) DMVPN을 이용할 경우              (a) 본사 라우터 config (mGRE 인터페이스는 tunnel destination이 없다.)         mapNo explicit configuration lines for each spoke. Hub configuration size = 13 lines 300 spokes = 13 lines       (b) 지사 라우터 config            Uniform spoke configuration in the VPN    : 각 지사의 IP주소만 바꿔서 그대로 셋팅하면 됨                  [ 정리 ] 본사쪽 config 비교 (300개의 지사 가정)      (1) IPsec+GRE    - 1 interface/spoke --> 300 spokes = 300 interfaces (지사 1개당 1하나의 터널 인터페이스 필요)    - 4 IP addresses/spoke --> 300 spokes = 1200 addresses    - 13 lines/spoke --> 300 spokes = 3900 lines     (2) DMVPN    - 1 interface 00 spokes = 1 interface (그냥 1개의 터널 인터페이스만 있으면 됨)    - 1 IP address/spoke * 300 spokes = 300 addresses  (외부 인터페이스 주소가 dynamic 지원하므로 지사당 1개)      (다이나믹 IP를 지원함으로 집에서 DSL/모뎀 접속자들에게 용이)   - 13 lines* 300 spokes = 13 lines -> 1000 spokes = 13 lines         * spoke-to-spoke(지사~지사) 다이렉트 터널을 하기위해서는 지사에서 mGRE를 이용해야 된다.