DMVPN (5): Faz 3

Önceki yazılarımda DMVPN Faz 1’de spoke’ların tüm rotaları hub üzerinde bildiğini ve tüm trafiğin hub üzerinden geçtiğini, Faz 2’de ise tüm spoke’ların tüm rotaları bildiğini ve spoke’ların birbirleriyle doğrudan haberleşebildiğini söylemiştim. Faz 2’nin avantajı ortada; trafik hub’ın bant genişliğini harcamaz ve gecikme daha küçük tutulur. Faz1’de ise genellikle özetleme yapıldığı için spoke’ların routing table’larının küçük olması gibi bir avantaj var. Faz 3’te bu iki avantaj bir araya getirilmeye çalışılır: Tüm rotalar yine merkezde bilinir ama trafik doğrudan spoke’lar arasında akar.

Faz 3’ün aslında Faz1’e daha çok benzediğini söylemek yanlış olmaz. Çünkü Faz 1’de spoke’ların tüm rotaları hub’ın arkasında bilmesini sağlıyorduk, Faz 3’te de aynısını istiyoruz. Bunun aslında yönlendirme protokollerinin çalışma mantığıyla alakalı olduğundan bahsetmiştik. Dolayısıyla Faz 3’te EIGRP ve OSPF Faz1’deki gibi yapılandırılacak. Yani OSPF için tunnel interface altında ip ospf network point-to-multipoint yazılacak, ip ospf priority komutları olmayacak; EIGRP içinse artık tunnel interface altında no ip next-hop-self eigrp 10 komutu olmayacak.

Routing yapılandırması perspektifinden Faz 1’e geri döndük. Peki o zaman spoke’ların birbirleriyle doğrudan haberleşmesini nasıl sağlayacağız? İşte bu noktada artık NHRP’nin çalışma mantığına müdahale ediyoruz. Hub’da tunnel interface altında ip nhrp redirect yazıyoruz. Peki bu komut ne yapıyor? Bir spoke başka bir spoke’a gidecek olan trafiği hub’a gönderdiğinde (ki böyle olması normal çünkü spoke’lar bütün rotaları hub’ın arkasında diye biliyor), hub çaktırmadan bu trafiği doğru spoke’a yönlendiriyor. Ama aynı zamanda bu komut sayesinde trafiği gönderen spoke’u bir NHRP paketiyle sorgu yapması için uyarıyor. NHRP sorgusunu yaptıktan sonra spoke’lar birbirlerinin tunnel source IP’lerini öğreniyor (bkz: DMVPN (2): NHRP Operasyonu). Spoke’larda tunnel interface altına yazdığımız ip nhrp shortcut komutu ise bu mekanizmanın ikinci parçası. Bu komut sayesinde spoke’lar birbirlerine gönderdikleri trafikte next-hop olarak bu NHRP sorgusundan öğrendikleri tunnel source IP’leri kullanıyor. Böylece routing table’da bir değişiklik olmadan spoke’lar birbirleriyle doğrudan haberleşebiliyor.

Aşağıda önceki yazılarda kullandığımız topolojiyi ve EIGRP ile OSPF için hub’da ve spoke’lardan bir tanesinde interface konfigürasonlarını bulabilirsiniz.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Bu beş yazı boyunca zaman zaman detaylarda kaybolmuş hissedebilirsiniz. Yazıları okurken sürekli GNS3’te pratik yapmayı tavsiye ederim, çok faydalı olacaktır. Peki özetlemek gerekirse ne yaptık DMVPN ile? DMVPN sayesinde WAN veya İnternet üzerinden birbirlerine bağlı olan şube router’larımızı, sanal üçüncü katman arayüzleri üzerinden “doğrudan” birbirlerine bağlamış olduk. Bu sayede router’larımız, ihtiyaca göre bir hub&spoke veya full-mesh topolojiyle birbirlerine bağlıymış gibi bir IGP routing tasarımı yapmamız mümkün oldu. Başka bir deyişle servis sağlayıcı altyapısını bypass ederek kendi tasarımımıza göre routing yapabilir hale geldik. Kendi private IP uzaylarımızın ve IPv6 network’lerimizin servis sağlayıcıdan bağımsız bir şekilde routing’ini yapabilir duruma geldik. Bu routing’i sanal üçüncü katman arayüzleri üzerinden yaptığımız için aynı zamanda bu trafiğe interface seviyesinde uygulayabildiğimiz pek çok konfigürasyonu da (ACL, QoS vs.) kolaylıkla uygulayabiliriz.

IPsec entegrasyonunu ise yine tunnel interface altında tek bir komutla; tunnel protection ipsec profile PROFILE1 komutuyla bir IPsec profili atayarak yapabiliriz. Tabi ayrı olarak gerekli ISAKMP ve IPSEC konfigürasyonunu da yapmamız gerekiyor. Burda dikkat edilmesi gereken nokta ISAKMP kimlik denetimi metodu olarak genellikle sertifikaların tercih ediliyor olması. Bu konuyla ilgili ayrıntılı bilgi için IOS Router’larda PKI Konfigürasyonu yazıma bakabilirsiniz.

DMVPN konusu tabiki 5 yazıyla anlatılabilecek bir konu değil. Bu yazılarda ben DMVPN’in ve bileşenlerinin çalışma mantığını açıklamaya çalıştım. Siz de tecrübelerinizi paylaşabilirseniz çok sevinirim.

Bir sonraki yazıda görüşmek üzere

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir