كورساتنا ال Online هتبدأ فشهر مايو إن شاء الله ... كل التفاصيل هنا
DMVPN Basics
بسم الله والصلاة والسلام على رسول الله
الموضوع ده من أهم الموضوعات الموجودة بكورس المحترفين من سيسكو
والمقال ده إن شاء الله هيكون أول مقال من 4 مقالات
إتأكد إنك قرأتهم كلهم ... كوباية القهوه بتاعتك ويلا بينا نبدأ
لو هنوصف ال DMVPN فنقدر نقول إنها
Point to Multi Point Layer 3 Overlay Technology
تعال نقسمهم واحده واحده ... أول حاجه Point to Multi-Point
فانت هتقدر ت Scale براحتك وتربط فروع كتير مع بعض وتبنى بينهم Tunnels بمنتهى البساطة بشكل
Automatic بدون ما تضطر تعمل كل حاجه بنفسك Static
وتربط الفروع ببعض سواء كان
Hub & Spoke or Direct Spoke to Spoke
طبعا كل ده هتعمله Over the Internet فهيبقى بديل ممتاز جدا من ناحيه التكلفة بدل ما تستخدم حاجه زى ال MPLS
تانى حاجه محتاجين نوضحها إنها Overlay وده لأنك بتبنى أكتر من GRE Tunnel فوق ال Physical Transport Network بتاع ال ISP واللى بنسميها ال Underlay Network
تالت حاجه إنك تقدر تعمل Routing من خلال شبكة ال Tunnels
وتشغل أى Dynamic Routing Protocol زى ال EIGRP or OSPf بين الفروع المختلفة بتاعتك بشكل مستقل تماما عن ال ISP ..
فإنت مش محتاج من ال ISP غير انها تحققلك ال Connectivity فقط بين الفروع وبعضها
هنستخدم كمان Multi-Point GRE (mGRE) وده هيساعدنا من tunnel interface واحد فقط أقدر أوصل لل Tunnel interfaces المختلفة فالفروع الباقية
بعكس ال GRE العادى اللى بيشتغل Point to Point
وهيضطرنى أبنى Tunnel interfaces كتير (واحد لكل فرع)
عشان كده بنقول إنه ال DMVPN هتساعدك ت scale بسهولة
فكل فرع هيكون عنده
- Public IP (for the Transport Network)
- Private Tunnel IP
وهنستخدم بروتوكول هيساعدنا نعمل Mapping ونربط الاتنين مع بعض
وهو ال Nexthop Resolution Protocol (NHRP)
وللتوضيح أكتر .. كل Spoke هيعمل Registration للأرقام بتاعته
سواء كانت Public or Private مع ال Hub Router
ولو فى أى Spoke عاوز يوصل لأى Spoke تانى هيستخدم بروتوكول ال NHRP وهيسأل ال Hub وهو هيساعده
وطبعا لأن كل ده بيتم عبر الإنترنت فلازم ن Secure كل حاجه من خلال ال IPSec
فلو هنلخص ال Component المختلفة لل DMVPN هنقول الأتى :
Multi GRE Tunnels (mGRE) -
Next Hop Resolution Protocol (NHRP)
IPsec (not required but recommended) -
Routing -
وبكده نكون وصلنا لنهاية المقال الأول .. شكرا إنك كملت المقال للأخر.
DMVPN Phase 1
بسم الله والصلاة والسلام على رسول الله
فالمقال السابق إتكلمنا عن أساسيات ال DMVPN ومكوناتها
واليوم إن شاء الله هنتكلم عن Phase One ... كوباية القهوه بتاعتك ويلا بينا نبدأ
قولنا فالمقال السابق إنه باستخدام بروتوكول ال NHRP بيحصل Mapping
بين الأرقام ال Private اللى هى رقم ال Tunnel وال Public Transport Address
اللى هو رقم البورت الخارجى اللى على ال Internet
وعلشان نوضح أكتر فخلينا نقول إنه كل Spoke هيعمل NHRP Registration
ويسجل ال IPs بتاعته مع ال HUB
وبكده هيبقى ال HUB هو المكان الأساسى اللى معاه كل المعلومات بتاع كل الفروع
فلو فى فرع بعد كده محتاج يوصل لفرع تانى هيبعت رساله NHRP Resolution Request لل HUB
وهيبدأ ال HUB يرد عليه .
طيب تعال نوضح ايه اللى بيحصل ف Phase One
أول حاجه انت بتبدأ فال Config عال Spokes تعرفهم مين هو ال HUB ويوصلوله ازاى
int tunnel 0
ip add 10 .0 .0 .2 255.0 .0. 0
tunnel source e0/0
tunnel destination 11.0.0.1
ip nhrp nhs 10.0.0.1 nbma 11.0.0.1 multicast
ip nhrp network-id 1
ip nhrp authentication cisco
exit
فكده ال Spokes عرفوا إن ال Public IP هو 11.0.0.1
وإنه ال Private (Tunnel) هو 10.0.0.1
فكده ال Spokes هيقدروا يوصلوا لل HUB و يعملوا معاه NHRP Registration
وال Hub عرفهم وهيسجلهم عنده فال NHRP Cache
ولو هنشوف ال Config بتاع ال HUB :
int tunnel 0
ip add 10 .0.0.1 255 . 0. 0 . 0
tunnel mode gre multipoint
tunnel source e0/0
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp authentication cisco
exit
هتلاحظ فال Config بتاع ال HUB إنه انا مكتبتش عليه مين هو ال Spokes
وده لأن ال HUB عليه Multi-GRE فهو هيبنى من Only One Tunnel Port اكتر من GRE مع أكتر من Spoke
وكلهم هيعملوا عليه Registraion فهو هيكتشفهم كلهم بشكل Dynamic
بعكس ال Config اللى على ال Spoke اللى بتخليه يوصل لل HUB بشكل Static
عشان كده ال Spokes هيستخدموا Regular GRE P-2-P
لأنهم هيبنوا Tunnel فقط مع ال HUB
لكن ال HUB هيستخدم Multi-Point GRE لأنه هيبنى Tunnel معاهم كلهم
فلو فى أى Spoke محتاج يتكلم مع أى Spoke آخر لازم من خلال ال HUB
وبما إنه كل حاجه لازم من خلال ال HUB يبقى الأفضل بدل ما ال HUB ي Advertise أى شبكة Specific من ال Spoke الأول للتانى
الأفضل إنه ال HUB يـ Advertise Default Route or Summary Route
يعنى هنعمل الأمر ده
interface Tunnel 0
ip summary-address eigrp 1 0 .0 .0 .0 0. 0 .0 .0
وبكده نكون وصلنا لنهاية المقال الثانى .. شكرا إنك كملت المقال للأخر
DMVPN Phase 2
بسم الله والصلاة والسلام على رسول الله
اليوم إن شاء الله هنتكلم عن Phase Two ... كوباية القهوه بتاعتك ويلا بينا نبدأ
وضحنا ف Phase One إنه ال Hub هيستخدم mGRE لكن ال Spokes هيستخدموا
GRE P-2-P وده لانهم هيتكلموا مع ال Hub
لكن ف Phase Two هيبدأ يحصل تواصل مباشر بين ال Spokes وبعضهم
وعلشان ده يحصل ال Spokes كمان هيستخدموا mGRE وده هيتم من خلال الأوامر دى
int tunn0
no tunnel destination 11 . 0 . 0 .1
tunnel mode gre multipoint
exit
انا كده دخلت على بورت ال Tunnel ومسحت ال IP بتاع ال Hub لانى خلاص مش متوصل P-2-P
وغيرت ال Mode الى Multi-Point GRE
فالمرحلة دى هنحتاج فقط ال Hub انه يساعدنا فال Routing
ال Spoke هىـ Advertise أى شبكة جديدة الى ال Hub وهو هياخدها ويعملها Advertise لل Spokes الباقيين
لكن فى حاجه هتمنعه يعمل كده لو انت مثلا مستخدم بروتوكول زى ال EIGRP
ممنوع انه ال Hub يستقبل شبكة مثلا عالبورت gig0/1 ويعملها ارسال لل Spokes الباقيين من نفس البورت
وده بسبب خاصيه اسمها ال Split Horizon ودى بتشتغل اوتوماتيك علشان توقف اى احتماليه لوجود Loop
وبما انه هنا مفيش Loop فاحنا لازم نوقف ال Split Horizon عند ال Hub من خلال الأمر ده
interface Tunnel 0
no ip split-horizon eigrp 1
exit
وبكده لو ال Spoke الأول عمل Advertise ل 10 شبكات الى ال Hub .. هياخدهم كلهم ويعملهم Advertise الى ال Spokes الباقيين بدون اى مشاكل
لكن المشكلة انه هيعملهم Advertise بال Nexthop الجديدة اللى هى بتاع ال Hub
واحنا عاوزين نعمل تواصل مباشر ما بين ال Spokes مع بعضهم
وعاوزين ال Nexthop تكون ال Spoke مش ال Hub فلازم نقول لل Hub ميغيرش ال Nexthop ويسيبها نفس الرقم بتاع ال Spoke .. من خلال الأمر ده
interface Tunnel 0
no ip next-hop-self eigrp 1
exit
وبكده لو عملت Traceroute من ال Spoke الأول الى ال Spoke التانى هيقدروا يوصلوا لبعض بشكل مباشر
وبكده نكون وصلنا لنهاية المقال الثانى .. شكرا إنك كملت المقال للأخر
DMVPN Phase 3
بسم الله والصلاة والسلام على رسول الله
ده المقال الرابع والأخير عن ال DMVPN و هنتكلم عن Phase Three ...
كوباية القهوه بتاعتك ويلا بينا نبدأ
وضحنا ف Phase Two إنه كل الروترات هيستخدموا mGRE
وإن ال Spokes هيقدروا يوصلوا لبعض بشكل مباشر
بدون ما يضطروا يمروا على ال Hub الأول
وضحنا كمان انه ال Hub هيساعد فعملية ال Routing
وهينقل الشبكات من ال 1st Spoke الى ال 2nd Spoke وهينقلها Specific Routes
وإنه ال nexthop اللى هتظهر عال Spoke هتكون بتاع ال other Spoke مش بتاع ال Hub ..
ودلوقتى هنبدأ نوضح ايه التغييرات اللى هتحصل ف Phase 3
أول حاجه هنبدأ نختصر فالشبكات ونستخدم Summary على ال Hub وبكده هي Advertise فقط شبكة واحدة .. وده أكيد أفضل من ال Specific routes
وده هيحصل عن طريق الأمر ده اللى هنعمله على ال Hub
interface Tunnel 0
ip summary-address eigrp 1 0. 0 .0. 0 0 .0 .0 . 0
exit
وبكده ال Spoke router هيكون عنده Default Route بيقوله لو محتاج توصل لاى مكان روح لل Hub وهو هيساعدك
هل كده نقدر نقول انه ال Hub هيكون وسيط ما بينا
ومش هيحصل ابدا Direct Spoke to Spoke ؟؟
لا هيحصل عادى ... طيب ازاى وانا بقول انه ال Spoke هيعتمد بشكل اساسى عال Hub عشان يوصل لاى مكان ... بسبب وجود ال Default Route اللى بيوصل لل Hub ؟؟
اللى هيحصل بالترتيب انه ال Spoke هيبعت مثلا لل Hub يقوله عاوز اوصل للشبكة اللى تحت عند ال Spoke التانى
ال Hub هيرد عليه ويقوله تقدر توصل لل Spoke التانى بشكل مباشر من خلال ال Nexthop دى
وبكده هيحصل Direct Spoke to Spoke بمساعدة ال Hub وعشان ال Hub يساعدنا هنعمل الأمر ده عليه
interface Tunnel 0
ip nhrp redirect
exit
وعشان ال Spoke يوافق يستخدم المعلومات اللى ال Hub هيقوله عليها ويبنى Direct tunnel مع ال other Spoke هنعمل عليه الأمر ده
interface Tunnel 0
ip nhrp shortcut
exit
وبكده نكون وصلنا لنهاية المقال الرابع والأخير فسلسلة مقالات ال DMVPN ... إن شاء الله تكون إستفدت من المقالات الأربعة.
