DMVPN: Túneles dinámicos entre los radios detrás de un dispositivo NAT

Primera publicación: 22 de septiembre 2007Última actualización: 04 de febrero 2009Los DMVPN: Túneles dinámicos entre los radios detrás de una función de dispositivo NAT permite Siguiente Protocolo de resolución Hop (PNDH) habló-a radios túneles que se construirán en Dynamic Multipoint Redes Privadas Virtuales (DMVPNs), incluso si uno o más radios está detrás de una dirección de red Translation (NAT).

Encontrar características de Información

Su versión de software no sea compatible con todas las características que se documentan en este módulo. Para obtener la última información sobre las características y advertencias, consulte las notas de la versión para su plataforma y versión de software. Para encontrar información acerca de las características documentadas en este módulo, y para ver una lista de las versiones en las que se apoya cada función, consulte la "Función de Información para DMVPN: Túneles dinámicos entre los radios detrás de un dispositivo NAT" sección .

Utilice Cisco Feature Navigator para encontrar información sobre la compatibilidad de la plataforma y el apoyo de imágenes de software Cisco IOS y Catalyst OS. Para acceder a Cisco Feature Navigator, vaya a http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp . No es necesaria una cuenta en Cisco.com.

Restricciones para DMVPN: Túneles dinámicos entre los radios detrás de un dispositivo NAT

A fin de que los radios para construir túneles entre ellos, que necesitan saber la dirección después de la NAT de la otra radio.

Tenga en cuenta las siguientes restricciones cuando se utiliza un túnel de radios a palos en entornos con NAT:

• traducciones NAT Multiple -Un paquete puede ir a través de múltiples dispositivos NAT en un acceso múltiple de no difusión (NBMA) DMVPN nube y hacer varias traducciones (sin importancia) antes de que llegue a su destino. La última traducción es la traducción importante porque se utiliza para crear la traducción NAT para todos los dispositivos que llegan a un radio a través de la última dispositivo NAT.

• Hub o radios se puede llegar a través de pre-NAT direcciones -Es posible que dos o más radios para estar detrás del mismo dispositivo NAT, que se puede llegar a través de una dirección pre-NAT IP. Sólo la dirección de post-NAT IP se basó en incluso si esto significa que un túnel puede tomar una ruta menos deseable. Si ambos radios utilizan NAT a través del mismo dispositivo, a continuación, un paquete puede no viajar de adentro hacia afuera o de afuera hacia adentro como se esperaba por el dispositivo NAT y traducciones pueden no aparecer correctamente.

• Interoperabilidad entre NAT y dispositivos que no disponen de NAT redes-In que se implementan con DMVPN, es importante que un dispositivo con funcionalidad NHRP NAT funciona junto con la no-NAT dispositivos compatibles. Un bit de capacidad en la cabecera del paquete NHRP indica a cualquier receptor si un dispositivo emisor comprende una extensión de NAT.

• Igual NAT Traducción de direcciones-A de radios post-NAT IP debe ser la misma cuando el radio está comunicando con sus centros y cuando se está comunicando con otras radios. Por ejemplo, uno de los radios debe tener la misma dirección de post-NAT IP, sin importar dónde se está enviando paquetes de túnel dentro de la red DMVPN.

•  Si uno de radios está detrás de un dispositivo NAT y otro de radios diferentes está detrás de otro dispositivo NAT, y Traducción Peer Dirección (PAT) es el tipo de NAT se utiliza en ambos dispositivos NAT, después de una sesión iniciada entre las dos radios no se puede establecer.

Un ejemplo de una configuración de PAT en una interfaz de NAT es:

ip nat dentro de la lista fuente nat_acl interfaz FastEthernet0 / 1 sobrecarga

Información acerca DMVPN: Túneles dinámicos entre los radios detrás de un dispositivo NAT

Las secciones siguientes describen cómo DMVPN: Túneles dinámicos entre los radios detrás de un dispositivo NAT permite túneles radios-a radios que se construirán incluso si uno o ambos hablaban dispositivos están detrás de un dispositivo NAT:

• DMVPN habló a radios de túnel Limited no radios detrás de un dispositivo NAT

• Túnel PNDH-Spoke-para radios con un dispositivo NAT

DMVPN habló a radios de túnel Limited no radios detrás de un dispositivo NAT

NAT permite que un solo dispositivo, como un router, para que actúe como agente entre Internet (o "red pública") y un local (o "privada") de la red, y se utiliza a menudo debido a la escasez de direcciones IP disponibles. Se requiere sólo una dirección IP única para representar a todo un grupo de dispositivos a cualquier cosa fuera de la ce devi NAT. NAT también se despliega para fines de seguridad y administración.

En las redes DMVPN, habló-a radios de túnel se limita a radios que no están detrás del dispositivo NAT. Si uno o

ambos radios están detrás de un dispositivo NAT, un túnel de rayos-a radios no se puede construir hacia o desde el dispositivo NAT, ya que es posible que el tráfico del túnel de radios a radios falle o se perderá "negro-agujeros" durante un período prolongado de tiempo.

Figura 1 y las siguientes secciones se describe cómo funciona DMVPN cuando un túnel de radios a radios se limita a radios que no están detrás de un dispositivo NAT.

Figura 1 Aplicación de DMVPN Spoke-to-habló de túnel limitado a radios no detrás de un dispositivo NAT

NHRP Registro

Cuando se recibe un registro PNDH, el centro comprueba la dirección IP de origen en el encabezado GRE / IP encapsulando del paquete NHRP con el origen de la dirección NBMA IP, que está contenida en el paquete de inscripción PNDH. Si estas direcciones IP son diferentes, entonces NHRP sabe que NAT cambia la dirección de origen del encabezado IP exterior. El cubo preserva tanto la pre-y post-NAT dirección del radio registrado.

Nota Si se utiliza el cifrado, a continuación, el modo de transporte IPSec debe ser usado para permitir NHRP.

La siguiente nhrp show ip ejemplo de salida del comando muestra la dirección IP de origen del paquete NHRP e información túnel para Spoke B en la figura 1 :

Nota La dirección NBMA (post-NAT) para Spoke B es 172.18.2.1 (la reclamada NBMA (pre-NAT) de dirección de origen es 172.16.2.1).

Router # show ip nhrp

10.0.0.11/32 través 10.0.0.11, Tunnel0 creó 00:00:21, expirará 00:05:38 Tipo: dinámico, Banderas: autoritaria usados registrada únicaDirección NBMA: 172.18.2.1

(Dirección NBMA reclamada: 172.16.2.1)

Resolución NHRP

A continuación se describe el proceso de resolución NHRP entre A y Spoke Spoke B se muestra en la Figura 1 , donde Spoke B está detrás de un dispositivo NAT con la dirección pre-NAT de 172.16.2.1 y una dirección de post-NAT 172.18.2.1:

•  La entrada de la tabla NHRP para Spoke B en el cubo contiene tanto el post-NAT y las direcciones pre-NAT. Cuando el concentrador recibe una solicitud de resolución NHRP para la dirección de VPN (dirección de túnel) de Spoke B, responde con su propia dirección NBMA lugar de la dirección NBMA Spoke de B.

•  Cuando el concentrador recibe una solicitud de resolución NHRP procedente de Spoke B para cualquier otra radio, el centro también responde con su propia dirección NBMA. Esto asegura que cualquier intento de construcción de un túnel de rayos-para radios con resultados Spoke B en los paquetes de datos que se envían a través del cubo en lugar de a través de un túnel de radios a los radios.

Por ejemplo:

-  El tráfico de datos de origen de la dirección IP 192.168.1.1 (detrás Spoke A) a 192.168.2.1 Dirección IP de destino (detrás Spoke B) desencadena Spoke A envíe una solicitud de resolución de Spoke B (10.0.0.12) a la siguiente hop router (hub ).

-  El concentrador recibe la solicitud de resolución y encuentra una entrada de asignación de Spoke B (10.0.0.12). Debido Spoke B está detrás de un dispositivo NAT, actúa como un proxy y responde con su propia dirección NBMA (172.17.0.1).

-  El centro también recibe una solicitud de resolución de Spoke Spoke B para A (10.0.0.11). Debido Spoke B está detrás de un dispositivo NAT, actúa como un proxy

y responde con su propia dirección NBMA (172.17.0.1). Esto restringe cualquier tráfico de radios a radio a o desde radios B para viajar a través del router hub, que se realiza en lugar de tener un túnel entre los radios.

NHRP Spoke-to-Spoke Túnel con un dispositivo NAT

El PNDH Spoke-to-Spoke túnel con NAT introduce extensión NAT en el protocolo NHRP y se activa automáticamente. La extensión NHRP NAT es una entrada de Entrada de Información al Cliente (CIE) con información sobre el protocolo y la dirección post-NAT NBMA. Esta información adicional permite que el apoyo de los túneles de rayos-a radios entre radios donde uno o ambos están detrás de un dispositivo NAT sin el problema de la pérdida de tráfico (negro-holing) durante un período prolongado de tiempo.

Nota El túnel radios a radios puede no llegar, pero es detectado y el tráfico de los flujos de datos a través del cubo, en lugar de perderse (negro agujereado).

La Figura 2 muestra cómo las obras del túnel del PNDH-a radios habló con NAT.

Figura 2 NHRP Entre Túneles-Spoke-a Spoke

Proceso de Registro NHRP

Los siguientes pasos describen el proceso de registro NHRP:

1.  Un rayo envía una solicitud de registro con el parámetro NAT-Capability = 1 y una extensión NAT NHRP de la dirección NBMA del cubo como se ha configurado en el radio.

2.  El cubo compara la extensión NHRP (NAT) con su dirección NBMA configurado y determina si él mismo es o no está detrás de un dispositivo NAT.El centro también hace una nota de si el radio está detrás de un dispositivo NAT mediante la comparación de la dirección de origen GRE / IP entrante con la dirección NBMA de la radio en el paquete NHRP.

3.  La respuesta de registro desde el cubo al radio incluye una extensión NAT NHRP con la dirección de post-NAT del radio, si el hub detecta si está detrás de un dispositivo NAT.

4.  Si los radios reciben una extensión NAT NHRP en el Registro Responder NHRP entonces registra su dirección de post-NAT IP para su posible uso posterior.

Resolución NHRP y proceso de purga

Los siguientes pasos describen la resolución NHRP y el proceso de purga:

1.  Cuando un rayo está detrás de un dispositivo NAT, que incluye una extensión NAT NHRP cuando envía solicitudes de resolución NHRP.

2.  El concentrador recibe la solicitud de resolución. Si el radio está detrás de un dispositivo NAT y no hay extensión NAT, entonces el centro añade una extensión NAT antes de reenviar esta prórroga al siguiente nodo (radios o servidor del próximo salto) a lo largo del camino. Sin embargo, si el hub reenvía la petición a un nodo capaz extensión no NAT, reescribe la fuente-NBMA dentro del paquete es la dirección post-NAT IP para el radio solicitando lugar de su dirección antes de la NAT IP.

3.  El receptor (radios) utiliza un registro de extensión NAT NHRP (NAT capaz) o la dirección NBMA fuente (de información capaz no NAT) para la construcción del túnel. La respuesta de este radio incluye su propia extensión NAT si está detrás de un dispositivo NAT.

Nota Hubs no responden a las solicitudes de resolución NHRP en nombre de radios. Hubs siempre hacia adelante peticiones NHRP resolución al final habló de que tiene la dirección IP del túnel solicitado o servicios de los datos solicitados con la dirección IP del host.

A continuación se describe el proceso de resolución NHRP entre A y Spoke Spoke B se muestra en la Figura 2 , donde Spoke B está detrás de un dispositivo NAT con la dirección pre-NAT 172.16.2.1 y la dirección después de la NAT de 172.18.2.1:

•  El tráfico de datos a la red 192.168.2.0/24 de hosts tras Spoke A desencadena una solicitud de resolución NHRP dirección Spoke de B túnel IP (10.0.0.12) para ser enviados a través del cubo. El concentrador recibe una solicitud de resolución y lo reenvía a B. Spoke Spoke B crea una dinámica habló-a radios de túnel usando la fuente de dirección IP para NBMA Spoke A partir de la solicitud de resolución NHRP y envía una respuesta de resolución NHRP directamente a Spoke A. incluye su dirección de post-NAT en la cabecera del PNDH-extensión NAT.

•  Por otra parte, el tráfico de red desde the192.168.1.0/24 hosts detrás del dispositivo NAT en Spoke B desencadena una solicitud NHRP Resolución de dirección IP del túnel Spoke de A (10.0.0.11). Spoke B suma su propio correo electrónico después de la NAT IP en el PNDH NAT-extensión en la solicitud de resolución. El concentrador recibe una solicitud de resolución y lo reenvía al Spoke Spoke A. A analiza el NAT-extensión PNDH y construye un túnel utilizando la dirección de post-NAT Spoke de B y responde directamente a Spoke B.