DMVPN (Dynamic Multipoint VPN) es una tecnología clave en el examen CCNP ENCOR 350-401 y en entornos empresariales que requieren conectividad segura entre sucursales sin necesidad de túneles punto a punto estáticos. En este artículo te guío desde los conceptos fundamentales hasta la configuración completa de DMVPN Fase 2 y Fase 3 con IPsec, incluyendo ejemplos prácticos y troubleshooting.
¿Qué es DMVPN y por qué usarlo?
DMVPN combina túneles GRE, NHRP (Next Hop Resolution Protocol) e IPsec para crear una red VPN dinámica y escalable. Sus ventajas son:
- Escalabilidad: Añadir nuevas sucursales no requiere cambiar la configuración del hub.
- Comunicación spoke-to-spoke dinámica: Los spokes pueden comunicarse directamente sin pasar por el hub (Fase 2 y 3).
- Seguridad integrada: IPsec protege todo el tráfico.
Arquitectura de DMVPN
- Hub: Router central que gestiona las conexiones (puede ser uno o más).
- Spokes: Routers remotos (sucursales) que se conectan al hub.
- NHRP: Protocolo que permite a los spokes registrar su dirección pública y resolver direcciones de otros spokes.
- mGRE (Multipoint GRE): Permite múltiples túneles sobre una sola interfaz.
Configuración básica del Hub (Fase 1)
La Fase 1 solo permite comunicación spoke-to-hub. Todos los spokes se conectan al hub, pero no directamente entre ellos.
! Configuración del Hub
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp authentication cisco
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 1
!
! Protección IPsec
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 14
crypto isakmp key DMVPN_KEY address 0.0.0.0 0.0.0.0
crypto ipsec transform-set TS esp-aes 256 esp-sha-hmac
mode transport
crypto ipsec profile DMVPN_PROFILE
set transform-set TS
!
interface Tunnel0
tunnel protection ipsec profile DMVPN_PROFILE
!Configuración del Spoke (Fase 1)
! Configuración del Spoke
interface Tunnel0
ip address 10.0.0.2 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp map 10.0.0.1 203.0.113.1 ! IP pública del hub
ip nhrp map multicast 203.0.113.1
ip nhrp network-id 1
ip nhrp authentication cisco
ip nhrp nhs 10.0.0.1
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile DMVPN_PROFILE
!Fase 2: Comunicación spoke-to-spoke
En la Fase 2, los spokes pueden establecer túneles directos entre sí. Solo necesitas añadir ip nhrp redirect en el hub y ip nhrp shortcut en los spokes.
! Hub adicional para Fase 2
interface Tunnel0
ip nhrp redirect
!
! Spoke adicional para Fase 2
interface Tunnel0
ip nhrp shortcut
!Fase 3: Enrutamiento dinámico optimizado
La Fase 3 mejora la eficiencia del enrutamiento, permitiendo que el hub anuncie rutas resumidas y los spokes aprendan rutas específicas solo cuando es necesario. Se requiere un protocolo de enrutamiento dinámico (EIGRP o OSPF) y configuraciones adicionales.
¿Quieres dominar DMVPN y todo el CCNP ENCOR?
En nuestro curso oficial CCNP ENCOR te enseñamos con laboratorios reales, instructores CCIE y más de 30 escenarios prácticos. Bonificable 100% por FUNDAE.
Ver curso ENCOR →Troubleshooting típico en DMVPN
- Ver estado del túnel:
show dmvpn– muestra los peers registrados y su estado. - Comprobar IPsec:
show crypto ipsec sa– verifica que los túneles estén cifrados. - Problemas de NHRP:
show ip nhrp– comprueba que los spokes registren su dirección. - MTU: Ajusta
ip mtu 1400yip tcp adjust-mss 1360para evitar fragmentación.
Conclusión
DMVPN es una tecnología robusta y escalable que debes dominar para el CCNP ENCOR. Con esta guía tienes los fundamentos para implementar Fase 1, 2 y 3. Practica en laboratorios reales para afianzar conceptos.
