cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
528
Visitas
5
ÚTIL
1
Comentarios
Jose Vela
Beginner
Beginner

 

 
 
 
 

Hoy vamos a ver como configurar túneles IPSec DVTI.

Los túneles IPSec DVTI son túneles IPSec en escenarios hub-and-spoke donde solo configuramos 1 vez el router HUB, ya que, en éste, creamos un template y cada vez que añadimos un router SPOKE, en el router HUB se crea dinámicamente una interfaz virtual-access contra ese nuevo router SPOKE.

Tenemos esta topología hub-and-spoke:

 


Primero de todo vamos a configurar los routers SPOKE (MALAGA y SEVILLA), en los 2 tenemos la misma configuración de IPSec, solo tenemos que cambiar la IP del túnel, que nos la va a "prestar" la interfaz Loopback para NAT:


crypto isakmp policy 10
encr aes 256
authentication pre-share
!
crypto isakmp key <PASSWORD> address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set VPN-VTI esp-aes 256 esp-sha-hmac
!
crypto ipsec profile PERFIL-VTI
set transform-set VPN-VTI
!
interface Loopback0
ip address <IP_LOOPBACK0> 255.255.255.255
!
interface Tunnel0
description INTERFAZ TUNEL HACIA ROUTER REMOTO

! COGEMOS PRESTADA LA IP DE LA INTERFAZ LOOPBACK
ip unnumbered Loopback0
ip mtu 1400
tunnel source Serial3/0
tunnel destination <IP_WAN_ROUTER_REMOTO>
tunnel mode ipsec ipv4

! APLICAMOS EL PERFIL IPSEC CREADO EN LA INTERFAZ TUNEL
tunnel protection ipsec profile PERFIL-VTI


Y ahora vamos a la configuración en donde, como siempre, sucede la magia, en el router HUB MADRID, su configuración es algo distinta a los SPOKES:


crypto keyring <PASSWORD>
pre-shared-key address 0.0.0.0 0.0.0.0 key PASSWORD
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
!
crypto isakmp profile PERFIL-ISAKMP
keyring <PASSWORD>
match identity address 0.0.0.0
virtual-template 1
!
crypto ipsec transform-set VPN-VTI esp-aes 256 esp-sha-hmac
!
crypto ipsec profile PERFIL-VTI
set transform-set VPN-VTI
!
interface Loopback0
ip address 44.5.6.1 255.255.255.255
!

! CREAMOS LA INTERFAZ TEMPLATE
interface Virtual-Template1 type tunnel
description INTERFAZ DEL TUNEL CONTRA LAS SEDES REMOTAS
ip unnumbered Loopback0

! PONEMOS LA INTERFAZ EN MODO IPSEC
tunnel mode ipsec ipv4
tunnel protection ipsec profile PERFIL-VTI


Cuando creamos la interfaz Virtual-Template1, se crean automáticamente unas Virtual-Access pero están en down / down.


%LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to down


En cuanto, aplicamos el perfil PERFIL-VTI del cifrado IPSec, vemos como esas interfaces

Virtual-Access se van levantando conforme el router va detectando routers SPOKES y se crean tantas Virtual-Access dinámicas como routers SPOKES haya:


%LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access2, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access3, changed state to up


Para la conectividad, creamos rutas estáticas en cada SPOKE donde el siguiente salto sea la interfaz del túnel, tal que así:


ip route %LAN_PRIVADA_REMOTA% %MASCARA% Tunnel0


Para probar, tiramos un trace desde los SPOKES y vemos como el tráfico pasa por el router HUB, cuya IP Loopback0 es la 44.5.6.1:


Desde el SPOKE MALAGA:


PC1> trace 192.168.2.10
trace to 192.168.2.10, 8 hops max, press Ctrl+C to stop
1 192.168.1.1 15.766 ms 15.454 ms 15.796 ms
2 44.5.6.1 78.574 ms 93.888 ms 78.276 ms << HUB MADRID
3 172.30.2.10 78.419 ms 68.351 ms 117.527 ms
4 172.30.2.6 141.012 ms 140.827 ms 140.600 ms
5 192.168.2.10 172.336 ms 140.946 ms 141.198 ms << SPOKE SEVILLA


Desde el SPOKE SEVILLA:


PC2> trace 192.168.1.10
trace to 192.168.1.10, 8 hops max, press Ctrl+C to stop
1 192.168.2.1 15.789 ms 15.561 ms 15.955 ms
2 44.5.6.1 78.376 ms 78.263 ms 78.431 ms << HUB MADRID
3 172.30.2.10 73.091 ms 85.176 ms 53.009 ms
4 172.30.2.1 94.961 ms 174.953 ms 141.163 ms
5 192.168.1.10 135.906 ms 128.182 ms 106.860 ms << SPOKE MALAGA

1 Comentario
Hilda Arteaga
Community Manager
Community Manager

Hola @Jose Vela gracias por tus contribuciones son de gran ayuda para realizar estos procedimientos 

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Reconozca a un colega