Маршрутизаторы Huawei AR в инфраструктуре DMVPN Cisco.

В данном посте будет рассмотрена технология DSVPN  в контексте совместимости с подобной технологией от Cisco - DMVPN (Dymamic Multipoint VPN).



Цель - выяснить, возможна ли совместная работа роутеров Huawei и Cisco в единой инфраструктуре динамически создаваемых VPN-каналов.
В частности, одна из задач, которая в настоящее время приобретает актуальность - возможно ли расширить существующее "облако" DMVPN, построенное на оборудовании Cisco, с помощью роутеров другого вендора, в частности Huawei.

Исходные данные: имеется работающая распределенная сеть филиалов с центральным офисом., которая построена на базе маршрутизатров Сisco (в центральном офисе - Cisco 3825, в филиалах Cisco 881).

Маршрутизация - с использованием протокола динамического роутинга  EIGRP.

Задача:

Проверить совместную работу роутеров Huawei с роутерами Cisco по протоколу DMVPN. Подключить новые филиалы к существующей сети передачи данных. 

Для тестирования будем использовать маршрутизаторы Huawei AR151 (аналог Cisco 881) и Huawei AR 2240 (аналог Cisco 3825).

Так как существующая DMVPN сеть/облако использует для маршрутизации проприетарный (Cisco) протокол динамического роутинга EIGRP, принято решение для  новых подключаемых посредством роутеров Huawei филиалов использовать открытый протокол динамического роутинга  OSPF и выполнить импорт/экспорт маршрутов из одного протокола в другой. 

Настройки центрального маршуртизатора Cisco 3825, являющегося  хабом в данной инсталляции DMVPN сети:

=======================================

interface Loopback1

 description dmvpn

 ip address 217.1.11.11 255.255.255.255

!

!

interface Tunnel0

 description mgre

 bandwidth 1000

 ip address 10.10.77.1 255.255.255.0

 no ip redirects

 ip mtu 1400

 ip hold-time eigrp 1 35

 no ip split-horizon eigrp 1

 ip nat inside

 ip nhrp authentication пароль

 ip nhrp map multicast dynamic

 ip nhrp network-id 77

 ip nhrp holdtime 60

 ip nhrp registration timeout 20

 ip nhrp redirect

 ip virtual-reassembly in

 ip summary-address eigrp 1 0.0.0.0 0.0.0.0

 ip tcp adjust-mss 1300

 tunnel source Loopback1

 tunnel mode gre multipoint

 tunnel key 999

!

interface Tunnel1

 description DSVPN

 ip address 10.9.99.1 255.255.255.0

 no ip redirects

 ip mtu 1400

 ip nhrp authentication пароль2

 ip nhrp map multicast dynamic

 ip nhrp network-id 99

 ip nhrp registration timeout 20

 ip nhrp redirect

 ip ospf network point-to-multipoint

 ip ospf hello-interval 20

 tunnel source Loopback1

 tunnel mode gre multipoint

router eigrp 1

 network 10.1.77.0 0.0.0.255

......

redistribute ospf 209

router ospf 209

 network 10.10.99.0 0.0.0.255 area 0

.....

redistribute eigrp 1 subnets

=======================================

Сеть/облако 77 используется для маршрутизаторов циско и eigrp, 99 для все остальных

Активированные лицензии на центральном 3925:

securityk9

ipbasek9

Настройка роутеров Huawei AR151 и AR2240 в качестве Spoke  уже существующей сети DMVPN с Cisco 3825 в качестве Hub с комментариями.

Для запуска DSVPN мы использовали trial лицензии, которые любезно предоставляются вендором на 60 дней. Для дальнейшей работы, конечно же, необходимо покупать лицензию, так как функционал DSVPN является отдельно лицензируемым. 

Активация trial лицензии в режиме user>:

license active accept agreement

license function dsvpn 

license function sece 

далее, в режиме system-view:

interface Ethernet0/0/4

 ip address 195.1.1.1 255.255.255.224

!интерфейс в сторону провайдера

!пытаемся создать туннель:

interface tunnel 0 

!и получаем tunnel-template , на котором нет GRE режима, в отличии от привычного в Cisco. Нужно сделать следующее:

tunnel  0/0/0

!и попадаем в нормальный интерфейс. Далее синтаксис очень похожий на Cisco:

interface Tunnel0/0/0                     

 description DSVPN

 bandwidth 14000                           

 ip address 10.1.99.2 255.255.255.0     

 tunnel-protocol gre p2mp                 

 source Ethernet0/0/4                     

 ospf network-type p2mp                   

 ospf dr-priority 8                       

 ospf timer hello 20                      

 nhrp authentication simple пароль2

 nhrp redirect                            

 nhrp shortcut                            

 nhrp registration interval 20            

 nhrp network-id 99                       

 nhrp entry 10.1.99.1 217.1.11.11 register

ospf 209                                  

 area 0.0.0.0                             

  .....

  network 10.1.99.0 0.0.0.255         

-------

на 2240 настройки аналогичны, только изменен ip туннеля смотрим на центральном маршрутизаторе Cisco 3825:

sho ip nhrp brief

 10.1.77.61/32 10.1.77.61    172.1.1.11   dynamic  Tu0     <   >

 ...

 10.1.77.71/32 10.1.77.71    172.1.2.197   dynamic  Tu0     <   >

 10.1.99.2/32 10.1.99.2     195.1.1.1  dynamic  Tu1    <   >

 ...

 10.1.99.3/32 10.1.99.3     195.1.2.1  dynamic  Tu1    <   >

на центральном видим 2 "облака"

ping 10.1.99.2

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 10.1.99.2, timeout is 2 seconds:

!!!!!

[AR151]display nhrp peer all ?

  <cr>  Please press ENTER to execute command 

[AR151]display nhrp peer all 

------------------------------------------------------------------------------- 

Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag         

------------------------------------------------------------------------------- 

10.1.99.1     32    217.1.11.11    10.1.99.1     static       hub          

[AR151]ping 10.1.99.1

  PING 10.1.99.1: 56  data bytes, press CTRL_C to break

    Reply from 10.1.99.1: bytes=56 Sequence=1 ttl=255 time=63 ms

    Reply from 10.1.99.1: bytes=56 Sequence=2 ttl=255 time=63 ms

    Reply from 10.1.99.1: bytes=56 Sequence=3 ttl=255 time=64 ms

    Reply from 10.1.99.1: bytes=56 Sequence=4 ttl=255 time=63 ms

    Reply from 10.1.99.1: bytes=56 Sequence=5 ttl=255 time=64 ms

На traceroute AR151 по умолчанию не отвечает, что по началу привело в некоторое замешательство, так как маршрутизаторы Cisco отвечают по умолчанию. На Huawei нужно ввести команду:

 icmp port-unreachable send