среда, 1 апреля 2015 г.

Маршрутизаторы Huawei AR в инфраструктуре DMVPN Cisco.

В данном посте будет рассмотрена технология DSVPN  в контексте совместимости с подобной технологией от Cisco - DMVPN (Dymamic Multipoint VPN).



Цель - выяснить, возможна ли совместная работа роутеров Huawei и Cisco в единой инфраструктуре динамически создаваемых VPN-каналов.
В частности, одна из задач, которая в настоящее время приобретает актуальность - возможно ли расширить существующее "облако" DMVPN, построенное на оборудовании Cisco, с помощью роутеров другого вендора, в частности Huawei.


Исходные данные: имеется работающая распределенная сеть филиалов с центральным офисом., которая построена на базе маршрутизатров Сisco (в центральном офисе - Cisco 3825, в филиалах Cisco 881).
Маршрутизация - с использованием протокола динамического роутинга  EIGRP.
Задача:
Проверить совместную работу роутеров Huawei с роутерами Cisco по протоколу DMVPN. Подключить новые филиалы к существующей сети передачи данных. 
Для тестирования будем использовать маршрутизаторы Huawei AR151 (аналог Cisco 881) и Huawei AR 2240 (аналог Cisco 3825).

Так как существующая DMVPN сеть/облако использует для маршрутизации проприетарный (Cisco) протокол динамического роутинга EIGRP, принято решение для  новых подключаемых посредством роутеров Huawei филиалов использовать открытый протокол динамического роутинга  OSPF и выполнить импорт/экспорт маршрутов из одного протокола в другой. 


Настройки центрального маршуртизатора Cisco 3825, являющегося  хабом в данной инсталляции DMVPN сети:
=======================================
interface Loopback1
 description dmvpn
 ip address 217.1.11.11 255.255.255.255
!
!
interface Tunnel0
 description mgre
 bandwidth 1000
 ip address 10.10.77.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip hold-time eigrp 1 35
 no ip split-horizon eigrp 1
 ip nat inside
 ip nhrp authentication пароль
 ip nhrp map multicast dynamic
 ip nhrp network-id 77
 ip nhrp holdtime 60
 ip nhrp registration timeout 20
 ip nhrp redirect
 ip virtual-reassembly in
 ip summary-address eigrp 1 0.0.0.0 0.0.0.0
 ip tcp adjust-mss 1300
 tunnel source Loopback1
 tunnel mode gre multipoint
 tunnel key 999

!
interface Tunnel1
 description DSVPN
 ip address 10.9.99.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication пароль2
 ip nhrp map multicast dynamic
 ip nhrp network-id 99
 ip nhrp registration timeout 20
 ip nhrp redirect
 ip ospf network point-to-multipoint
 ip ospf hello-interval 20
 tunnel source Loopback1
 tunnel mode gre multipoint

router eigrp 1
 network 10.1.77.0 0.0.0.255
......
redistribute ospf 209

router ospf 209
 network 10.10.99.0 0.0.0.255 area 0
.....
redistribute eigrp 1 subnets
=======================================

Сеть/облако 77 используется для маршрутизаторов циско и eigrp, 99 для все остальных
Активированные лицензии на центральном 3925:
securityk9
ipbasek9

Настройка роутеров Huawei AR151 и AR2240 в качестве Spoke  уже существующей сети DMVPN с Cisco 3825 в качестве Hub с комментариями.

Для запуска DSVPN мы использовали trial лицензии, которые любезно предоставляются вендором на 60 дней. Для дальнейшей работы, конечно же, необходимо покупать лицензию, так как функционал DSVPN является отдельно лицензируемым. 
Активация trial лицензии в режиме user>:
license active accept agreement
license function dsvpn 
license function sece 

далее, в режиме system-view:

interface Ethernet0/0/4
 ip address 195.1.1.1 255.255.255.224
!интерфейс в сторону провайдера

!пытаемся создать туннель:
interface tunnel 0 
!и получаем tunnel-template , на котором нет GRE режима, в отличии от привычного в Cisco. Нужно сделать следующее:
tunnel  0/0/0
!и попадаем в нормальный интерфейс. Далее синтаксис очень похожий на Cisco:

interface Tunnel0/0/0                     
 description DSVPN
 bandwidth 14000                           
 ip address 10.1.99.2 255.255.255.0     
 tunnel-protocol gre p2mp                 
 source Ethernet0/0/4                     
 ospf network-type p2mp                   
 ospf dr-priority 8                       
 ospf timer hello 20                      
 nhrp authentication simple пароль2
 nhrp redirect                            
 nhrp shortcut                            
 nhrp registration interval 20            
 nhrp network-id 99                       
 nhrp entry 10.1.99.1 217.1.11.11 register

ospf 209                                  
 area 0.0.0.0                             
  .....
  network 10.1.99.0 0.0.0.255         
-------

на 2240 настройки аналогичны, только изменен ip туннеля смотрим на центральном маршрутизаторе Cisco 3825:

sho ip nhrp brief
 10.1.77.61/32 10.1.77.61    172.1.1.11   dynamic  Tu0     <   >
 ...
 10.1.77.71/32 10.1.77.71    172.1.2.197   dynamic  Tu0     <   >
 10.1.99.2/32 10.1.99.2     195.1.1.1  dynamic  Tu1    <   >
 ...
 10.1.99.3/32 10.1.99.3     195.1.2.1  dynamic  Tu1    <   >
на центральном видим 2 "облака"

ping 10.1.99.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.99.2, timeout is 2 seconds:
!!!!!

[AR151]display nhrp peer all ?
  <cr>  Please press ENTER to execute command 
[AR151]display nhrp peer all 
------------------------------------------------------------------------------- 
Protocol-addr   Mask  NBMA-addr       NextHop-addr    Type         Flag         
------------------------------------------------------------------------------- 

10.1.99.1     32    217.1.11.11    10.1.99.1     static       hub          
[AR151]ping 10.1.99.1
  PING 10.1.99.1: 56  data bytes, press CTRL_C to break
    Reply from 10.1.99.1: bytes=56 Sequence=1 ttl=255 time=63 ms
    Reply from 10.1.99.1: bytes=56 Sequence=2 ttl=255 time=63 ms
    Reply from 10.1.99.1: bytes=56 Sequence=3 ttl=255 time=64 ms
    Reply from 10.1.99.1: bytes=56 Sequence=4 ttl=255 time=63 ms
    Reply from 10.1.99.1: bytes=56 Sequence=5 ttl=255 time=64 ms

На traceroute AR151 по умолчанию не отвечает, что по началу привело в некоторое замешательство, так как маршрутизаторы Cisco отвечают по умолчанию. На Huawei нужно ввести команду:
 icmp port-unreachable send

4 комментария:

  1. это круто, я и не знал что они так дружат!!

    ОтветитьУдалить
  2. Добрый день.

    А почему туннель не поднимается, если interface Ethernet0/0/4 будет за натом и будет получать серый IP?

    interface Ethernet0/0/4
    ip address dhcp-alloc

    ОтветитьУдалить
  3. Потому что GRE не работает с PAT-ом, нужно настраивать IPsec чтобы заработало

    ОтветитьУдалить