DMVPN

التطبيق العملي والأوامر لل DMVPN .

Information Security D-11
===================

السيناريو هو ثلاث فروع تتمثل بي ثلاث روترات R1/R2/R3 , مربوطة بي Switch والذي يمثل دور ال ISP .
3 روترات مربوطة بي Switch Multilayer , الانترفيس في الروترات كلها هو F0/0 , الانترفيسات في السوج

R1 F0/0—> Switch F0/1
R2 F0/0—> Switch F0/2
R3 F0/0—> Switch F0/3
====================
R1 F0/0—> 150.1.1.1/24
R1 F0/0—> 150.1.2.2/24
R1 F0/0—> 150.1.3.3/24
====================
Switch F0/1—> 150.1.1.10/24
Switch F0/2—> 150.1.2.10/24
Switch F0/2—> 150.1.3.10/24
====================
نعمل الروت اولا بين الروترات من خلال Default Route , لكي يتأسس الاتصال بين الروترات الثلالثة ، (مرة اخرى يجب ان نتذكر ان هذة العناوين او الايبيات من المفترض حقيقية من ال ISP . وتسمى هذة العناوين NBMA تذكر هذا)

====================
R1—> IP Route 0.0.0.0 0.0.0.0 150.1.1.10
R2—> IP Route 0.0.0.0 0.0.0.0 150.1.2.10
R3—> IP Route 0.0.0.0 0.0.0.0 150.1.3.10
====================

نلاحظ هنا ان ال Switch Multiyear هو ال Next Hop للروترات ، النتيجة الروترات سوف تتصل في ما بينها . ماهي فائدة هذا !!
الروترات هنا تمثل فروع او شركات متفرقة يربطها ال ISP والذي يتمثل بي ال SWITCH في مثالنا هذا .
كل شي جميل و متكامل لايحتاج ان تصدع رؤوسنا بي ما يعرف DMVPN !!
لحظة ، ماذا لو كان عندك شبكات وراء الروترات ! اعني اذا أردنا ان نتناقل شبكات اخرى بين الروترات ، مثلاً ال R1 فية شبكات اخرى نريد ان ننقلها الى ال R2 . اكيد سوف نذهب الى ال ISP وسوف يطلب أجور إضافية !!

مع ال DMVPN سوف لن نحتاج ال ISP أبدا ، حيث أنتا سوف نعمل بخصوصية تامة من خلال نفق ال GRE ، كما سنلاحظ ، وكذالك بسرية تامة من خلال ال IPSec وكما سنرى لاحقا أيضاً .

لنبدء بعمل ال DMVPN …..

هناك ثلاث طرق لي ال DMVPN :

Phase #1 —> Hob and Spokes
Phase #2 —> Spoke To Spoke
Phase #3 —> Redirect / Shortcut
====================

ال Phase #1,2 مهم جداً لذالك سيكون موضوعنا .

Phase #1
في التصميم السابق المكون من 3 روترات مربوطة في ال Switch , سوف نجعل R1 هو ال HUB
وبقية الروترات Spoke . لنتعرف على الأوامر و الخطوات :
R1
===
‪#‎Interface‬ Tunnel 1
‪#‎IP‬ address 10.1.1.1 255.255.255.0
‪#‎Tunnel‬ source 150.1.1.1
#Tunnel Mode GRE Multipoint
====================

في هذة الأوامر ، عملنا انترفيس يمثل النفق الذي سيكون الممر بين فروع الشركة ، وعينا لة مصدرة وهو ال IP الحقيقي من ال ISP . وجعلناة متعدد الاتصال و الوصول من خلال الامر الأخير Multipoint .
====================

عمل ال NHRP بروتكول ، وهو الذي يقوم بربط ال IP الحقيقي مع ال IP العادي او ال Private
بشكل اوتماتيكي وكما في الأوامر التالية :
(ملاحظة جميع أوامر ال DMVPN في الانترفيس مود الخاص بي ال Tunnel )

IF)#IP NHRP Network-ID 111
IF)#IP NHRP Map 10.1.1.2 150.1.2.2
IF)#IP NHRP Map 10.1.1.3 150.1.3.3
======================

الامر الاول هو تحديد وتفعيل ال NHRP ID .
الامر الثاني و الثالث هو عمل ترجمة لروترات مع عناوينها ، عناوين الروترات الحقيقية من ال ISP وكذالك عناوين ال Tunnel Interface .

R2
====
#Interface Tunnel 2
#IP address 10.1.1.2 255.255.255.0
#Tunnel source 150.1.2.2
#Tunnel Destination 150.1.1.1
=======================
في هذة الأوامر نلاحظ اننا حددنا ال Destination والتي تمثل ال HUB , ذالك ان ال R2 عندما يتحدث مع ال R3 يجب ان يمر من خلال ال HUB .
====================

IF)#IP NHRP Network-ID 222
IF)#IP NHRP Map 10.1.1.1 150.1.1.1
====================
في الامر الاول تحديد وتفعيل ال NHRP بروتكول ، ولا يهم اي رقم تضع ، ولا يحب ان تتطابق الأرقام بين الروترات .
الامر الثاني هو تحديد المترجم الذي سيقوم بتنسيق والربط بين العنوان الحقيق وعناوين الخاصة بي ال Tunnel . وهذا المترجم كما هو واضح ال R1 والذي يمثل ال HUB .
====================

نفس الإعدادات نضعها في الروتر R3 وكما يأتي :
R3
====
#Interface Tunnel 3
#IP address 10.1.1.3 255.255.255.0
#Tunnel source 150.1.3.3
#Tunnel Destination 150.1.1.1
====================
IF)#IP NHRP Network-ID 333
IF)#IP NHRP Map 10.1.1.1 150.1.1.1
====================
Phase #2
=======
هنا القصة ستكون ان R2 مع ال R3 يستطيعون ان يتصلون مباشرتا بدون ال HUB R1 .
ولكن يجب ان تضع بعض الأمور في بالك ، أولها ان ال R2,R3 يجب عليهم عمل رجستر في ال NHRP Server والذي يقوم مثل ما عرفنا بربط العناوين الحقيقة مع عناوين ال Tunnel .
وهو ال HUB في مثالنا ،
الامر الاخر الذي يجب ان تضعة في بالك ، ان ال R2,R3 يجب ان يتوفر بينهم الاتصال المباشر Physically اولا . وهذا متوفر في مثالنا حيث جميع الروترات مربوطة بي ال Switch . مما يوفر الطريق لل R2, R3 من عمل رجستر في ال R1 من ثم بعد ذالك الاتصال في ما بينهما مباشر بدون الرجوع لل R1 .

الأوامر كما يأتي :

R1
====
#Interface Tunnel 1
#IP address 10.1.1.1 255.255.255.0
#Tunnel source 150.1.1.1
#Tunnel Mode GRE Multipoint
====================

# IP NHRP Network-ID 111

فقط مع هذا الامر ، سيكون ال R1 هو ال NHRP Server .

====================

R2
===
#Interface Tunnel 2
#IP address 10.1.1.2 255.255.255.0
#Tunnel source 150.1.2.2
#Tunnel Mode GRE Multipoint
====================
لاحظ الامر الأخير جعلنا ال Tunnel يكون متعدد النقاط ، وليس كما في الحالة السابقة كانت وجهته لل HUB فقط .
====================
IF)#IP NHRP Network-ID 222
IF)#IP NHRP Map 10.1.1.1 150.1.1.1
IF)#IP NHRP NHS 150.1.1.1
====================

لاحظ الامر الأخير ، يخبر الروتر R2 ان سيرفر ال NHRP هو ال R1 150.1.1.1 .

يجب ان تعرف ان كل الكونفك السابق والأوامر هي لتحقيق الاتصال ، او تأسيس الاتصال المستقل في بيئة ال WAN او اي بيئة كانت .

في ال CCIE LAB سيطلب منك تطبيق ال RIPV2 / EIGRP / OSPF / BGP في بيئة ال DMVPN عوضاً عن ال Frame Relay

لذالك يجب تأسيس الاتصال اولا ثم تطبيق الروت بروتكول بعد ذالك .
==============

هدف ال DMVPN الآتي :
1- أستقلالية تامة ممثلة بي ال Tunnel + GRE .

2- مرونة عالية والمتمثلة بي ال NHRP بروتكول .

3- سرية عالية و المتمثلة بي ال IPSec على ال Tunnel Interface . والذي سيكون محتوى الكتابات القادمة .

هذة هي ملخص أوامر ال DMVPN بدون اضافة ال IPSec , مع نبذة عن هذة الأوامر .
اخيراً لن تشعر بقيمة هذة التكنولوجي اذ لم تطبقها .

شكر خاص الى الاستاذ الكبير كرم جبري ، والأستاذ الرائع ياسر رمزي على ملاحظاتهم وارشاداتهم لهذا العمل . كل التقدير والاحترام لهم

Karam jabry
Yasser Ramzy Auda

انتظرونا في الكتابات القادمة مع ال DMVPN With IPSec .

ضاري خالد ،