التطبيق العملي والأوامر لل DMVPN .
Information Security D-11
===================
السيناريو هو ثلاث فروع تتمثل بي ثلاث روترات R1/R2/R3 , مربوطة بي Switch والذي يمثل دور ال ISP .
3 روترات مربوطة بي Switch Multilayer , الانترفيس في الروترات كلها هو F0/0 , الانترفيسات في السوج
R1 F0/0—> Switch F0/1
R2 F0/0—> Switch F0/2
R3 F0/0—> Switch F0/3
====================
R1 F0/0—> 150.1.1.1/24
R1 F0/0—> 150.1.2.2/24
R1 F0/0—> 150.1.3.3/24
====================
Switch F0/1—> 150.1.1.10/24
Switch F0/2—> 150.1.2.10/24
Switch F0/2—> 150.1.3.10/24
====================
نعمل الروت اولا بين الروترات من خلال Default Route , لكي يتأسس الاتصال بين الروترات الثلالثة ، (مرة اخرى يجب ان نتذكر ان هذة العناوين او الايبيات من المفترض حقيقية من ال ISP . وتسمى هذة العناوين NBMA تذكر هذا)
====================
R1—> IP Route 0.0.0.0 0.0.0.0 150.1.1.10
R2—> IP Route 0.0.0.0 0.0.0.0 150.1.2.10
R3—> IP Route 0.0.0.0 0.0.0.0 150.1.3.10
====================
نلاحظ هنا ان ال Switch Multiyear هو ال Next Hop للروترات ، النتيجة الروترات سوف تتصل في ما بينها . ماهي فائدة هذا !!
الروترات هنا تمثل فروع او شركات متفرقة يربطها ال ISP والذي يتمثل بي ال SWITCH في مثالنا هذا .
كل شي جميل و متكامل لايحتاج ان تصدع رؤوسنا بي ما يعرف DMVPN !!
لحظة ، ماذا لو كان عندك شبكات وراء الروترات ! اعني اذا أردنا ان نتناقل شبكات اخرى بين الروترات ، مثلاً ال R1 فية شبكات اخرى نريد ان ننقلها الى ال R2 . اكيد سوف نذهب الى ال ISP وسوف يطلب أجور إضافية !!
مع ال DMVPN سوف لن نحتاج ال ISP أبدا ، حيث أنتا سوف نعمل بخصوصية تامة من خلال نفق ال GRE ، كما سنلاحظ ، وكذالك بسرية تامة من خلال ال IPSec وكما سنرى لاحقا أيضاً .
لنبدء بعمل ال DMVPN …..
هناك ثلاث طرق لي ال DMVPN :
Phase #1 —> Hob and Spokes
Phase #2 —> Spoke To Spoke
Phase #3 —> Redirect / Shortcut
====================
ال Phase #1,2 مهم جداً لذالك سيكون موضوعنا .
Phase #1
في التصميم السابق المكون من 3 روترات مربوطة في ال Switch , سوف نجعل R1 هو ال HUB
وبقية الروترات Spoke . لنتعرف على الأوامر و الخطوات :
R1
===
#Interface Tunnel 1
#IP address 10.1.1.1 255.255.255.0
#Tunnel source 150.1.1.1
#Tunnel Mode GRE Multipoint
====================
في هذة الأوامر ، عملنا انترفيس يمثل النفق الذي سيكون الممر بين فروع الشركة ، وعينا لة مصدرة وهو ال IP الحقيقي من ال ISP . وجعلناة متعدد الاتصال و الوصول من خلال الامر الأخير Multipoint .
====================
عمل ال NHRP بروتكول ، وهو الذي يقوم بربط ال IP الحقيقي مع ال IP العادي او ال Private
بشكل اوتماتيكي وكما في الأوامر التالية :
(ملاحظة جميع أوامر ال DMVPN في الانترفيس مود الخاص بي ال Tunnel )
IF)#IP NHRP Network-ID 111
IF)#IP NHRP Map 10.1.1.2 150.1.2.2
IF)#IP NHRP Map 10.1.1.3 150.1.3.3
======================
الامر الاول هو تحديد وتفعيل ال NHRP ID .
الامر الثاني و الثالث هو عمل ترجمة لروترات مع عناوينها ، عناوين الروترات الحقيقية من ال ISP وكذالك عناوين ال Tunnel Interface .
R2
====
#Interface Tunnel 2
#IP address 10.1.1.2 255.255.255.0
#Tunnel source 150.1.2.2
#Tunnel Destination 150.1.1.1
=======================
في هذة الأوامر نلاحظ اننا حددنا ال Destination والتي تمثل ال HUB , ذالك ان ال R2 عندما يتحدث مع ال R3 يجب ان يمر من خلال ال HUB .
====================
IF)#IP NHRP Network-ID 222
IF)#IP NHRP Map 10.1.1.1 150.1.1.1
====================
في الامر الاول تحديد وتفعيل ال NHRP بروتكول ، ولا يهم اي رقم تضع ، ولا يحب ان تتطابق الأرقام بين الروترات .
الامر الثاني هو تحديد المترجم الذي سيقوم بتنسيق والربط بين العنوان الحقيق وعناوين الخاصة بي ال Tunnel . وهذا المترجم كما هو واضح ال R1 والذي يمثل ال HUB .
====================
نفس الإعدادات نضعها في الروتر R3 وكما يأتي :
R3
====
#Interface Tunnel 3
#IP address 10.1.1.3 255.255.255.0
#Tunnel source 150.1.3.3
#Tunnel Destination 150.1.1.1
====================
IF)#IP NHRP Network-ID 333
IF)#IP NHRP Map 10.1.1.1 150.1.1.1
====================
Phase #2
=======
هنا القصة ستكون ان R2 مع ال R3 يستطيعون ان يتصلون مباشرتا بدون ال HUB R1 .
ولكن يجب ان تضع بعض الأمور في بالك ، أولها ان ال R2,R3 يجب عليهم عمل رجستر في ال NHRP Server والذي يقوم مثل ما عرفنا بربط العناوين الحقيقة مع عناوين ال Tunnel .
وهو ال HUB في مثالنا ،
الامر الاخر الذي يجب ان تضعة في بالك ، ان ال R2,R3 يجب ان يتوفر بينهم الاتصال المباشر Physically اولا . وهذا متوفر في مثالنا حيث جميع الروترات مربوطة بي ال Switch . مما يوفر الطريق لل R2, R3 من عمل رجستر في ال R1 من ثم بعد ذالك الاتصال في ما بينهما مباشر بدون الرجوع لل R1 .
الأوامر كما يأتي :
R1
====
#Interface Tunnel 1
#IP address 10.1.1.1 255.255.255.0
#Tunnel source 150.1.1.1
#Tunnel Mode GRE Multipoint
====================
# IP NHRP Network-ID 111
فقط مع هذا الامر ، سيكون ال R1 هو ال NHRP Server .
====================
R2
===
#Interface Tunnel 2
#IP address 10.1.1.2 255.255.255.0
#Tunnel source 150.1.2.2
#Tunnel Mode GRE Multipoint
====================
لاحظ الامر الأخير جعلنا ال Tunnel يكون متعدد النقاط ، وليس كما في الحالة السابقة كانت وجهته لل HUB فقط .
====================
IF)#IP NHRP Network-ID 222
IF)#IP NHRP Map 10.1.1.1 150.1.1.1
IF)#IP NHRP NHS 150.1.1.1
====================
لاحظ الامر الأخير ، يخبر الروتر R2 ان سيرفر ال NHRP هو ال R1 150.1.1.1 .
يجب ان تعرف ان كل الكونفك السابق والأوامر هي لتحقيق الاتصال ، او تأسيس الاتصال المستقل في بيئة ال WAN او اي بيئة كانت .
في ال CCIE LAB سيطلب منك تطبيق ال RIPV2 / EIGRP / OSPF / BGP في بيئة ال DMVPN عوضاً عن ال Frame Relay
لذالك يجب تأسيس الاتصال اولا ثم تطبيق الروت بروتكول بعد ذالك .
==============
هدف ال DMVPN الآتي :
1- أستقلالية تامة ممثلة بي ال Tunnel + GRE .
2- مرونة عالية والمتمثلة بي ال NHRP بروتكول .
3- سرية عالية و المتمثلة بي ال IPSec على ال Tunnel Interface . والذي سيكون محتوى الكتابات القادمة .
هذة هي ملخص أوامر ال DMVPN بدون اضافة ال IPSec , مع نبذة عن هذة الأوامر .
اخيراً لن تشعر بقيمة هذة التكنولوجي اذ لم تطبقها .
شكر خاص الى الاستاذ الكبير كرم جبري ، والأستاذ الرائع ياسر رمزي على ملاحظاتهم وارشاداتهم لهذا العمل . كل التقدير والاحترام لهم
Karam jabry
Yasser Ramzy Auda
انتظرونا في الكتابات القادمة مع ال DMVPN With IPSec .
ضاري خالد ،