Indahnya berkenalan dengan DMVPN, MGRE, NHRP :) Tapi lebih indah lagi saat berkenalan denganmu :)

dmvpn[#np: christina perri – a thousand years ] Entah kenapa sore kali ini kakak chang senyum-senyum sendiri :’) didepan laptop menunggu waktu berbuka puasa sambil makan kwasi ditemani segelas air mineral yang ada didawal wadah bekas Pocari Sweat, sambil mendengarkan lagu-lagu penghantar tidur #okeskip

[#np: Ruth Sahanaya – andaikan kau datang kembali jawaban apa yang kan ku beri adakah jalan yang kau temui lagu ini ku akhiri.mp3] Seiring dengan lagu-lagu penyejuk hati, kakak chang kali ini bakalan membahas mengenai DMVPN, MGRE, NHRP mbuh opo iki njepatt. Oke lanjut

INTRODUCTION TO CISCO DYNAMIC MULTIPOINT VPN – DMVPN

“Dynamic Multipoint VPN (DMVPN) is Cisco‚Äôs answer to the increasing demands of enterprise companies to be able to connect branch offices with head offices and between each other while keeping costs low, minimising configuration complexity and increasing flexibility.” artine yo ngunu.

Dengan DMVPN, dengan sebuah router yang biasanya ditempatkan di head office, yang berfungsi sebagai Hub sedangkan router lain atau branch router berfungsi sebagai Spokes yang dihubungkan ke Hub router jadi masing2 branch office bisa mengakses informasi perusahaan lewat head office. Mudeng? ora mase -_-

Jadi gini di DMVPN nanti kita akan mengenal ada yang namanya Hub sama Spokes, Hub bertugas sebagai central pusat komunikasi dan Spoke sebagai clientnya. Wes mudeng kan? Sedangkan DMVPN sendiri dalam implementasinya terbagi jadi 2 menurut design :

  1. DMVPN Hub & Spoke, perform headquarters-to-branch interconnections
  2. DMVPN Spoke-to-Spoke, perform branch-to-branch interconnections

Dalam kedua kasus diatas router yang menjadi Hub haruslah memiliki ip publik static sedangkan untuk branch router (spoke) bisa menggunakan static atau dynamic ip public

1DMVPN menggabungkan multiple GRE (mGRE) Tunnels, IPSec encryption dan NHRP (Next Hop Resolution Protocol) dalam implementasinya.

NHRP merupakan layer 2 resolution protocol dan cache, seperti halnya Address Resolution Protocol (ARP) atau Reverse ARP (Frame Relay)

Hub router sebagai server dan spoke router sebagai client. Hub router berfungsi sebagai NHRP database yang berisi Public ip address dari masing2 spokes.

Setiap spoke mendaftarkan masing2 alamat ip publicnya ke hub dan meminta NHRP database untuk alamat ip publik spoke tujuan dan ini membutuhkan sebuah VPN tunnel.

2mGRE Tunnel interface digunakan untuk biar single GRE interface bisa dipake buat multiple IPSec tunnel.

Kemudian untuk membuat GRE interface dibutuhkan

  • IP address
  • Tunnel Source
  • Tunnel Destination
  • Optional tunnel key
interface Tunnel 0
ip address 10.0.0.1 255.0.0.0
tunnel source Dialer1
tunnel destination 172.16.0.2
tunnel key 1

Untuk mGRE interface dibutuhkan

  • IP address
  • Tunnel Source
  • Tunnel Key
interface Tunnel 0
ip address 10.0.0.1 255.0.0.0
tunnel source Dialer 1
tunnel mode gre multipoint
tunnel key 1

mGRE interface tidak membutuhkan tunnel destination. Karena mGRE tunnel tidak membutuhkan tunnel destination dalam konfigurasinya. NHRP akan mengisinya dengan memberitahukan mGRE akan kemana packet dikirim.

DMVPN BENEFITS
Beberapa benefit yang ada didalam DMVPN yang membuat DMVPN sangat popular dan sangat direkomendasikan.

Konfigurasi Hub Router Yang Simple. Tidak perlu membuat multiple interface untuk masing-masing branch (Spoke) VPN. Sebuah interface mGRE, IPSec profile tanpa perlu crypto accesslist, bisa untuk handle semua Spoke Router. Tak peduli banyaknya Spoke router yang terhubung ke Hub, hub konfigurasinya ya itu itu saja tak perlu perubahan yang signifikan.

Mendukung Dynamic IP Pada Sisi Client. Konsepnya mirip seperti PPTP, hanya dibutuhkan 1 public ip yang berada di Hub dan kemudian sisi client bisa menggunakan dynamic ip.

Bisa Bikin Tunnel Antar Branch. Jadi Spoke router bisa bikin VPN tunnel ke spoke yang lain.

Optional IPSec Untuk Tingkat Keamanan Yang Bagus. Dalam konfigurasi DMVPN kita juga bisa menggabungkan IPSec kedalamnya agar traffic tunnel terenkripsi dan lebih terjamin tingkat keamananya.

WITHOUT DMVPN vs USING DMVPN

Dibawah ini nanti kakak chang bakalan coba jelaskan perbedaan tanpa menggunakan DMVPN hanya menggunakan GRE Tunnel biasa dan setelah menggunakan DMVPN. Kakak mencoba ambil kesimpulan dari beberapa referensi yang kakak baca, dan wejangan dari guru syeh Google. Jadi kakak akumulasikan untuk semisal client ada 30 Remote Office yang berarti ada 30 Spoke.

WITHOUT DMVPN (Standard GRE Tunnel)

  • 1 buah GRE Interface untuk setiap Spoke
  • Semua tunnel interface pada masing-masing spoke perlu dikonfigurasikan
    • Static tunnel destination
    • Pada spoke membutuhkan static address
    • Mendukung dynamic routing protocols
  • Perlu banyak konfigurasi pada Hub (HQ Router)
    • 1 interface/spoke -> 30 spokes = 30 tunnel interface
    • 7 baris per spoke -> 30 spokes = 210 configuration baris
    • 4 IP address per spoke -> 30 spokes = 120 address
  • Kalopun ada penambahan di sisi spoke juga perlu konfigurasi lagi di sisi hub
  • Spoke-to-Spoke traffic kudu lewat Hub dulu

Berikut kakak sudah bikin contoh gampar topologi kalo kita tanpa menggunakan DMVPN. Semua spoke terhubung ke hub menggunakan tunnel interface. Pada router hub dikonfigurasikan 3 tunnel interface yang berbeda, 1 buah untuk masing-masing spoke.

3Masing-masing GRE tunnel antar hub-spoke router dikonfigurasikan menggunakan network address yang berbeda. Sebagai contoh, GRE tunnel antara HUB dan Remote Office 1 menggunakan network 10.0.0.0/30, sedangkan GRE Tunnel antara HUB dan Remote Office 2 menggunakan 10.0.1.0/30 dan sebagainya.

Sesuai gambar diatas Hub router punya 3 GRE tunnel, untuk masing-masing spoke, membuat konfigurasi jadi lebih rumit bayangkan kalau itu ada 30 spoke bisa kebayang sendiri gimana rumitnya konfigurasi. Traffic antar spoke adalah point-to-point GRE VPN network harus melewati hub dulu.

USING DMVPN + IPSEC ENCRYPTION

Bedanya dengan GRE tunnel biasa, untuk DMVPN ketika sebuah mGRE interface dikonfigurasikan bisa digunakan secara bersama untuk masing-masing spoke, jadi kita tidak perlu bikin beberapa mGRE interace. Meski cukup butuh 1 mGRE saja, kita juga tetep bisa bikin multiple mGRE interface.

  • Dynamic Tunnel Destination bisa digunakan untuk sisi clien yang menggunakan dynamic ip address dengan cara menggunakan NHRP dan Dynamic Routing Protocol
  • Hanya perlu sedikit konfigurasi di Hub (HQ Router)
    • 1 interface digunakan untuk 30 spokes = 1 tunnel interface
    • Konfigurasi termasuk NHRP untuk 30 spokes = 15 baris
    • 7 baris per spoke -> 30 spokes = 210 baris konfigurasi
    • Semua spoke dalam subnet yang sama -> 30 spokes = 30 address
  • Tidak perlu konfigurasi lagi di hub jikalau ada penambahan spoke baru
  • Spoke-to-Spoke traffic lewat hub atau bisa langsung.

Dengan mGRE, semua spoke dikonfigurasikan dengan hanya 1 buah interface saja pada sisi Hub, tidak perduli sebanyak apapun spoke masih tetep bisa connect. Semua tunnel interface dalam network yang sama seperti gambar berikut menggunakan network 10.0.0.0/29

4Selanjutnya, spoke-to-spoke traffic tidak perlu lagi harus lewat hub router namun akan langsung dikirim menuju spoke router tujuan.

CISCO DMVPN IOS VERSION SUPPORT
DMVPN bisa digunakan pada ios mulai versi 12.3.19T tapi saya lebih menyarankan untuk menggunakan IOS terakhir, saya sendiri menggunakan c7200-adventerprisek9_sna-mz.150-1.M

2 thoughts on “Indahnya berkenalan dengan DMVPN, MGRE, NHRP :) Tapi lebih indah lagi saat berkenalan denganmu :)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.