Configurando DMVPN.

Una forma de conectar sucursales por medio de enlaces a través de la nube de Internet sin incrementar costos es a través de túneles. Más aún si necesitamos ejecutar un protocolo de enrutamiento, es perfectamente posible hacerlo utilizando GRE+Ipsec. Sin embargo cuando la cantidad de sucursales crece en cantidad, esta solución se vuelve poco escalable y dificil de administrar. Es por esta razón que hay una tecnología llamada Dynamic Multipoint VPN que facilita la habilitación de túneles al ser estos creados en forma dinámica y practicamente con muy poca intervención del administrador de la red..

En este post explicaremos de forma simple como se puede configurar DMVPN utilizando túneles gre-ipsec para conectar distintas sucursales.


Paso 1:

Comprobar conectividad entre hub y spokes. Esto es muy importante antes de avanzar hacia la siguiente fase. Recuerde que esta estructura funciona sobre Internet por lo tanto tendremos ip públicas las cuales debemos alcanzar y comprobar la conectividad antes de continuar. El R3 simula la nube de Internet por lo tanto no tendremos acceso a este dispositivo. Si usted quiere replicar el laboratorio asegúrese de configurar algún tipo de enrutamiento para concretar la conectividad.


Paso 2: Creando las interfaces Túnel y definiendo el modo de GRE(Generic Routing Encapsulation)

En esta parte se crean las interfaces túnel tomando en cuenta que deben estar dentro de la misma red. También se debe especificar que el modo del túnel gre debe ser multipoint.

En el Spoke 1:

En el Spoke 2:


Repetimos el procedimiento en el HUB que es R4:

Hasta aquí lo que hemos hecho es:

- Comprobar conectividad de las ip´s públicas

- Configurar las interfaces túnel con ip en la misma subred (172.16.0.0/16)

- Definir los tunel source

- Definir el tipo de modo de GRE en multipoint.

Note que no se especifica los destinos del túnel y es ahí donde radica la importancia de NHRP.

Ahora pasaremos a configurar NHRP (Next Hop Resolution Protocol)

En el Spoke 1:

En el Spoke 2:

Detalle de los comandos:

ip nhrp map 172.16.0.3 203.0.0.1 hace un mapeo de la dirección del túnel hacia la dirección ip que es pública. En otras palabras cuando el spoke quiere conversar con el hub se debe re encapsular la dirección del túnel con la dirección ip de la interfaz física.

ip nhrp nhs 172.16.0.3 es para indicar donde está el servidor NHRP

ip nhrp map multicast 203.0.0.1 sirve para encapsular el tráfico multicast con la dirección pública del hub.

La configuración en el HUB que es R4:

El comando ip nhrp map multicast dynamic es para que el hub pueda construir la tabla en base a los unicast que llegan al hub que han sido previamente re encapsulados. Esto es muy importante agregarlo por sobre todo si estamos ejecutando protocolos de enrutamiento dinámicos como OSPF o EIGRP.

Con esto ya debe ser suficiente para que DMVPN comience a funcionar.

Con el comando show dmvpn en los spokes tenemos entradas estáticas:

Sin embargo en el Hub tenemos entradas dinámicas:

Ahora para observar el comportamiento de DMVPN cuando hay tráfico entre los spokes por ejemplo; utilizando tráfico icmp, se tiene que en los spokes se levantan entradas dinámicas permitiendo tener túneles dinámicos para el funcionamiento de la red.


Como se puede observar DMVPN es una tecnología muy simple de implementar y verdaderamente reduce la carga de trabajo administrativo en caso de que existan muchas sucursales.

En la segunda parte de este post, veremos como se configuran los protocolos de enrutamiento dinámicos como EIGRP y OSPF además de IPSEC que es una componente fundamental a la hora de establecer túneles a través de Internet.

Si tienes preguntas o comentarios no dudes en escribir más abajo.