Bismillah...
Pada kesempatan ini kita akan belajar mengenai DMVPN ? apakah itu ? yuk akhh kita pelajari dari web sebelah yah Blognya Mas Randy
Berikut ulasan dari web sebelah :
INTRODUCTION TO CISCO DYNAMIC MULTIPOINT VPN – DMVPN
“Dynamic Multipoint VPN (DMVPN) is Cisco’s answer to the increasing demands of enterprise companies to be able to connect branch offices with head offices and between each other while keeping costs low, minimising configuration complexity and increasing flexibility.” artine yo ngunu.
Dengan DMVPN, dengan sebuah router yang biasanya ditempatkan di head office, yang berfungsi sebagai Hub sedangkan router lain atau branch router berfungsi sebagai Spokes yang dihubungkan ke Hub router jadi masing2 branch office bisa mengakses informasi perusahaan lewat head office. Mudeng? ora mase -_-
Jadi gini di DMVPN nanti kita akan mengenal ada yang namanya Hub sama Spokes, Hub bertugas sebagai central pusat komunikasi dan Spoke sebagai clientnya. Wes mudeng kan? Sedangkan DMVPN sendiri dalam implementasinya terbagi jadi 2 menurut design :
DMVPN Hub & Spoke, perform headquarters-to-branch interconnections
DMVPN Spoke-to-Spoke, perform branch-to-branch interconnections
Dalam kedua kasus diatas router yang menjadi Hub haruslah memiliki ip publik static sedangkan untuk branch router (spoke) bisa menggunakan static atau dynamic ip public
DMVPN menggabungkan multiple GRE (mGRE) Tunnels, IPSec encryption dan NHRP (Next Hop Resolution Protocol) dalam implementasinya.
NHRP merupakan layer 2 resolution protocol dan cache, seperti halnya Address Resolution Protocol (ARP) atau Reverse ARP (Frame Relay)
Hub router sebagai server dan spoke router sebagai client. Hub router berfungsi sebagai NHRP database yang berisi Public ip address dari masing2 spokes.
Setiap spoke mendaftarkan masing2 alamat ip publicnya ke hub dan meminta NHRP database untuk alamat ip publik spoke tujuan dan ini membutuhkan sebuah VPN tunnel.
mGRE Tunnel interface digunakan untuk biar single GRE interface bisa dipake buat multiple IPSec tunnel.
Kemudian untuk membuat GRE interface dibutuhkan
IP address
Tunnel Source
Tunnel Destination
Optional tunnel key
Contoh Perintah
interface Tunnel 0
ip address 10.0.0.1 255.0.0.0
tunnel source Dialer1
tunnel destination 172.16.0.2
tunnel key 1
Contoh Perintah
Untuk mGRE interface dibutuhkan
IP address
Tunnel Source
Tunnel Key
Contoh Perintah :
interface Tunnel 0
ip address 10.0.0.1 255.0.0.0
tunnel source Dialer 1
tunnel mode gre multipoint
tunnel key 1
mGRE interface tidak membutuhkan tunnel destination. Karena mGRE tunnel tidak membutuhkan tunnel destination dalam konfigurasinya. NHRP akan mengisinya dengan memberitahukan mGRE akan kemana packet dikirim.
DMVPN BENEFITS
Beberapa benefit yang ada didalam DMVPN yang membuat DMVPN sangat popular dan sangat direkomendasikan.
Konfigurasi Hub Router Yang Simple. Tidak perlu membuat multiple interface untuk masing-masing branch (Spoke) VPN. Sebuah interface mGRE, IPSec profile tanpa perlu crypto accesslist, bisa untuk handle semua Spoke Router. Tak peduli banyaknya Spoke router yang terhubung ke Hub, hub konfigurasinya ya itu itu saja tak perlu perubahan yang signifikan.
Mendukung Dynamic IP Pada Sisi Client. Konsepnya mirip seperti PPTP, hanya dibutuhkan 1 public ip yang berada di Hub dan kemudian sisi client bisa menggunakan dynamic ip.
Bisa Bikin Tunnel Antar Branch. Jadi Spoke router bisa bikin VPN tunnel ke spoke yang lain.
Optional IPSec Untuk Tingkat Keamanan Yang Bagus. Dalam konfigurasi DMVPN kita juga bisa menggabungkan IPSec kedalamnya agar traffic tunnel terenkripsi dan lebih terjamin tingkat keamananya.
WITHOUT DMVPN vs USING DMVPN
Dibawah ini nanti kakak chang bakalan coba jelaskan perbedaan tanpa menggunakan DMVPN hanya menggunakan GRE Tunnel biasa dan setelah menggunakan DMVPN. Kakak mencoba ambil kesimpulan dari beberapa referensi yang kakak baca, dan wejangan dari guru syeh Google. Jadi kakak akumulasikan untuk semisal client ada 30 Remote Office yang berarti ada 30 Spoke.
WITHOUT DMVPN (Standard GRE Tunnel)
1 buah GRE Interface untuk setiap Spoke
Semua tunnel interface pada masing-masing spoke perlu dikonfigurasikan
Static tunnel destination
Pada spoke membutuhkan static address
Mendukung dynamic routing protocols
Perlu banyak konfigurasi pada Hub (HQ Router)
1 interface/spoke -> 30 spokes = 30 tunnel interface
7 baris per spoke -> 30 spokes = 210 configuration baris
4 IP address per spoke -> 30 spokes = 120 address
Kalopun ada penambahan di sisi spoke juga perlu konfigurasi lagi di sisi hub
Spoke-to-Spoke traffic kudu lewat Hub dulu
Berikut kakak sudah bikin contoh gampar topologi kalo kita tanpa menggunakan DMVPN. Semua spoke terhubung ke hub menggunakan tunnel interface. Pada router hub dikonfigurasikan 3 tunnel interface yang berbeda, 1 buah untuk masing-masing spoke.
Masing-masing GRE tunnel antar hub-spoke router dikonfigurasikan menggunakan network address yang berbeda. Sebagai contoh, GRE tunnel antara HUB dan Remote Office 1 menggunakan network 10.0.0.0/30, sedangkan GRE Tunnel antara HUB dan Remote Office 2 menggunakan 10.0.1.0/30 dan sebagainya.
Sesuai gambar diatas Hub router punya 3 GRE tunnel, untuk masing-masing spoke, membuat konfigurasi jadi lebih rumit bayangkan kalau itu ada 30 spoke bisa kebayang sendiri gimana rumitnya konfigurasi. Traffic antar spoke adalah point-to-point GRE VPN network harus melewati hub dulu.
USING DMVPN + IPSEC ENCRYPTION
Bedanya dengan GRE tunnel biasa, untuk DMVPN ketika sebuah mGRE interface dikonfigurasikan bisa digunakan secara bersama untuk masing-masing spoke, jadi kita tidak perlu bikin beberapa mGRE interace. Meski cukup butuh 1 mGRE saja, kita juga tetep bisa bikin multiple mGRE interface.
Dynamic Tunnel Destination bisa digunakan untuk sisi clien yang menggunakan dynamic ip address dengan cara menggunakan NHRP dan Dynamic Routing Protocol
Hanya perlu sedikit konfigurasi di Hub (HQ Router)
1 interface digunakan untuk 30 spokes = 1 tunnel interface
Konfigurasi termasuk NHRP untuk 30 spokes = 15 baris
7 baris per spoke -> 30 spokes = 210 baris konfigurasi
Semua spoke dalam subnet yang sama -> 30 spokes = 30 address
Tidak perlu konfigurasi lagi di hub jikalau ada penambahan spoke baru
Spoke-to-Spoke traffic lewat hub atau bisa langsung.
Dengan mGRE, semua spoke dikonfigurasikan dengan hanya 1 buah interface saja pada sisi Hub, tidak perduli sebanyak apapun spoke masih tetep bisa connect. Semua tunnel interface dalam network yang sama seperti gambar berikut menggunakan network 10.0.0.0/29
Selanjutnya, spoke-to-spoke traffic tidak perlu lagi harus lewat hub router namun akan langsung dikirim menuju spoke router tujuan.
Sumber :
https://randymukti.wordpress.com/2014/07/21/indahnya-berkenalan-dengan-dmvpn-mgre-nhrp-tapi-lebih-indah-lagi-saat-berkenalan-denganmu/
Salam Ngoprek