Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

DYNAMIC MULTIPOINT VIRTUAL PRIVATE NETWORK (DMVPN) 2013-2014 EXPOSE DE : PROFES

DYNAMIC MULTIPOINT VIRTUAL PRIVATE NETWORK (DMVPN) 2013-2014 EXPOSE DE : PROFESSEUR CHARGE DIATOU DABO M YOUSSEF GLORIA YAKETE SADA DEM INSTITUT SUPERIEUR D’INFORMATIQUE (ISI) Master 2 Réseaux et Systèmes Informatiques PLAN INTRODUCTION PRESENTATION DU DMVPN LES COMPOSANTS ET TERMINOLOGIES LES MODELES DE DEPLOIEMENT AVANTAGES DU DMVPN IMPLEMENTATIONS INTRODUCTION De plus en plus d’entreprises expriment le besoin d’interconnecter leurs différents sites et d’utiliser un moyen de chiffrement afin de protéger leurs communications. Dans le passé, la seule solution à ce problème était l’utilisation des réseaux Layer-2 tels que RNIS ou Frame Relay. La mise en place te le cout étant fastidieux, le déploiement de ces derniers serait sans doute moins cher si tous les sites avaient accès à internet afin de faciliter la sécurité des communications IP par l’utilisation des tunnels IPsec pour assurer l’authentification, l’intégrité et la confidentialité des données (VPN IPsec). Le VPN IPsec est une solution fiable de communication sécurisée, mais il présente un certain nombre de limités à savoir :  Une limite de maintenance et d’échelle : chaque ajout d’un nouveau site conduit à une modification totale de la configuration du site central. La configuration du site central peut facilement devenir illisible au bout d’une dizaine de sites.  Pour interconnecter n sites, il faut configurer n(n-1)/2 tunnels et n routeurs ; une équation qui devient difficile à résoudre quand le nombre de sites augmente notamment dans el cas des réseaux Full Meshed ou complètement maillés. Ces principales limites ont poussé les auteurs du VPN IPsec à se tourner vers une technologie beaucoup plus avantageuse : le DMVPN (Dynamic Multipoint VPN). Il s’agit d’un mécanisme qui permet d’établir les tunnels IPsec + GRE directement entre les routeurs qui veulent dialoguer ensemble avec une simplicité et une scalabilité déconcertante et surtout de façon totalement dynamique. Son avantage majeur est qu’il permet de garder la configuration des routeurs statiques en cas d’ajout d’un nouveau site et la création des tunnels entre les sites distants est entièrement automatique. Déployer cette solution logicielle Cisco IOS pour la construction poussée IPsec des réseaux privés virtuels (VPN) sera l’objectif de notre exposé. I. PRESENTATION DES DMVPN (DYNAMIC MULTIPOINT VPN) Le DMVPN est en réalité un ensemble de technologies (IPsec, mGRE et NHRP) qui, combinées, facilite le déploiement des réseaux privés virtuels IPsec. Il s’agit d’une solution fiable, sécurisée et évolutive, permettant une mise en place et une gestion souples des tunnels IPsec. Cisco DMVPN est basée sur une architecture centralisée et prend en compte divers types d’utilisateurs dont les travailleurs mobiles, les télétravailleurs et même les utilisateurs d’extranet. Cisco DMVPN prend en compte la voix sur IP entre les différents sites connectés et ne nécessite pas une connexion VPN permanente entre les sites. Il réduite considérablement la latence et a gigue, tout en optimisant l’utilisation de la bande passante. II. LES COMPOSANTS ET LES TERMINOLOGIES IPsec : protocole de chiffrement permettant de chiffrer le traffic entre deux sites, par l’utilisation des clés pré-partagées. Il n’est sans doute pas le protocole le mieux sécurisé mais permet une mise en œuvre simple et rapide. mGRE (multipoint GRE) : protocole permettant de créer des tunnels multipoints entres différents sites ; c’est-à-dire créer plusieurs tunnels à partir d’une seule pseudo interface Tunnel. NHRP (Next Hope Resolution Protocol): protocole permettant aux routeurs distants de faire connaitre leur adresse IP servant à monter le tunnel GRE avec le serveur. Le serveur, de son coté, stocke les adresses IP pour permettre à chaque routeur de connaitre l’adresse de son voisin et ainsi établir un tunnel direct avec lui. OSPF (Open Shortest Path First) : protocole de routage permettant au routeur du site central de propager les différentes routes aux sites distants. Il permet aussi aux routeurs des sites istants d’anoncer leur réseau local au site central. Hub and Spoke : les deux termes désignent respectivement le routeur central et les routeurs distants. Le site central desservi par le routeur central fait office de serveur NHRP. III. LES MODELES DE DEPLOIEMENT Le DMVPN propose deux modèles de déploiement possibles : - Le modèle Hub-and-spoke : chaque spoke possède une interface GRE permettant de monter le tunnel vers le HUB. Tout traffic entre les spoke passe par le HUB. Ce modèle ne prend pas en compte les liaisons entre les spokes. - Le modèle Spoke-to-Spoke : chaque spoke doit disposer d’une interface mGRE permettant aux tunnels dynamiques de transiter vers les autres spokes. Ce modèle prend en compte les liaisons entre différents spokes et offre une grande évolutivité de la configuration pour les périphériques. - IV. LES AVANTAGES DU DMVPN Les principaux avantages du DMVPN sont :  Réduction des dépenses d’exploitation et d’immobilisation en intégrant la voix et la vidéo à la sécurité VPN  Simplification de la communication de la branche par une connectivité directe branche à branche pour les applications telles que la voix sur IP  Réduction de la complexité de déploiement par la mise en place d’une configuration simple, réduisant les difficultés de déploiement des VPN  Amélioration de la résilience de l’activité en empêchant les perturbations et les services critiques. Le routage se fait avec la technologie IPsec V. IMPLEMENTATION Prérequis - IOS 12.3 et plus (Utilisationdur routeur c7200 pour avoir la fonctionnalité DMVPN). - 48 Mo de RAM - 12 Mo de flash Contexte ISI est une grande société disposant de plusieurs Annexes dans les régions du Sénégal. ISI centre étant à Dakar, l’on veut établir une communication sécurisée entre celui-ci et les autres sites situés à Thiès et à Diourbel. L’objectif ici est d raccorder ISI-Dakar aux sites ISI- DIOURBEL et ISI-KAOLACK en utilisant DMVPN. Quelques précisions avant de commencer:  Que la politique IKE (crypto isakmp policy) soit identique sur chacun des routeurs.  Que la politique IPSec (crypto ipsec transform-set) soit identique sur chacun des routeurs.  Que le protocole de routage eigrp soit configuré de façon cohérente, c’est à dire que le réseau WAN(172.16.1.0/24) soit déclaré dans une area différente des réseaux LAN (192.168.x.0/24) et du réseau utilisé pour les tunnels VPN (10.0.0.0/24). En effet, si cette condition n’est pas remplie, vos tunnels VPN risquent d’avoir une connexion instable. CONFIGURATION DU HUB R1  On configure l’interface publique ainsi que celle de Loopback pour émuler le LAN R1(config)# int FastEthernet0/0 ! description Interface WAN R1(config-if)#ip add 172.16.1.1 255.255.255.0 R1(config-if)# no sh R1(config)# int Loopback0 ! description Interface LAN R1(config-if)# ip add 192.168.1.254 255.255.255.0  Une fois ces paramètres basiques configurés, on peut passer à la configuration de l’interface Tunnel0 pour le NHRP. R1(config)# interface Tunnel0 ! Adresse IP du tunnel R1(config-if)# ip address 10.0.0.1 255.255.255.0 ! Configuration du NHRP R1(config-if)# ip nhrp map multicast dynamic R1(config-if)# ip nhrp network-id 1 ! Configuration du tunnel GRE R1(config-if)# tunnel source 172.16.1.1 R1(config-if)# tunnel mode gre multipoint CONFIGURATION DU SPOKE R2 R2(config)# interface FastEthernet0/0 !description Interface WAN R2(config-if)# ip address 172.16.1.2 255.255.255.0 R2(config)# interface Loopback0 !description Interface LAN R2(config-if)# ip address 192.168.2.254 255.255.255.0 R2(config)# interface Tunnel0 R2(config-if)# ip address 10.0.0.2 255.255.255.0 ! On mappe de façon manuelle en NHRP l'adresse publique du hub pour l'établissement du tunnel permanent entre le spoke et le hub. R2(config-if)# ip nhrp map 10.0.0.1 172.16.1.1 R2(config-if)# ip nhrp map multicast 172.16.1.1 R2(config-if)# ip nhrp network-id 1 ! On identifie l'agent résolveur NHRP qui sera le hub R1. R2(config-if)# ip nhrp nhs 10.0.0.1 ! Configuration du tunnel GRE R2(config-if)# tunnel source 172.16.1.2 R2(config-if)# tunnel mode gre multipoint CONFIGURATION DU SPOKE R3 R3(config)# interface FastEthernet0/0 !description Interface WAN R3(config-if)# ip address 172.16.1.3 255.255.255.0 R3(config)# interface Loopback0 !description Interface LAN R3(config-if)# ip address 192.168.3.254 255.255.255.0 R3(config)# interface Tunnel0 R3(config-if)# ip address 10.0.0.3 255.255.255.0 ! On mappe de façon manuelle en NHRP l'adresse publique du hub pour l'établissement du tunnel permanent entre le spoke et le hub. R3(config-if)# ip nhrp map 10.0.0.1 172.16.1.1 R3(config-if)# ip nhrp map multicast 172.16.1.1 R3(config-if)# nhrp network-id 1 ! On identifie l'agent résolveur NHRP qui sera le hub R1. R3(config-if)# ip nhrp nhs 10.0.0.1 ! Configuration du tunnel GRE R3(config-if)# tunnel source 172.16.1.3 R3(config-if)# tunnel mode gre multipoint Configuration du protocole de routage On a choisit EIGRP. La configuration s’applique encore une fois de façon similaire sur l’ensemble des routeurs(hub et spokes). R1(config)# router eigrp 1 R1(config-router)# network 10.0.0.0 ! Activation et partage eigrp dans le tunnel R1(config-router)# network 192.168.1.0 ! Activation et partage eigrp pour le LAN R1(config)# int Tunnel0 ! On désactive le mécanisme Split-Horizon R1(config-router)# no ip split-horizon eigrp 1 ! On demande à EIGRP de ne pas réécrire l'adresse de next-hop avec celle du routeur qui annonce puisque que cela sert directement pour l'établissement de lien dynamique avec l'aide d'NHRP. R1(config-router)# no ip next-hop-self eigrp 1 R2(config)# router eigrp 1 R2(config-router)# network 10.0.0.0 R2(config-router)# network 192.168.2.0 R2(config)# int Tunnel0 R2(config-router)# no ip split-horizon eigrp 1 R2(config-router)# no ip next-hop-self eigrp 1 Et idem pour le router R3. TESTS Pour vérifier que tout fonctionne correctement, vous pouvez effectuer des captures de paquets par le biais du logiciel Wireshark, ce qui vous permettra d’apercevoir des paquets ESP (Encapsulating Security Payload) transitant entre les différents routeurs uploads/Ingenierie_Lourd/ expose-dmvpn 1 .pdf