DMVPN 2

Siguiendo con la confiiguración de DMVPN, ahora agregamos la encripción de IPSec, que puede ser en modo túnel o transporte, en este caso utilizamos transporte porque sólo es tráfico encriptado que viaja entre dos dispositivos que se conectan directamente, quizás si hubiera una red entre ambos extremos del túnel valdría la pena encriptar en modo túnel:
Transporte encripta/autentica sólo el payload del datagrama y podemos leer origen y destino
Túnel encripta todo el datagrama, por lo que los routers en el camino no pueden interpretar el origen y destino, por ejemplo en casos donde el origen y destino no son parte del esquema de ruteo de la red.
Mas información al respecto aquí.

Los pasos para esta configuración son:



creamos una política de Internet Security Association /Key Management Policy, que le indica al dispositivo como será la autenticación, en este caso, es una llave que vamos a configurar en cada dispositivo:

crypto isakmp policy 1
 authentication pre-share

indicamos cual es esa llave y a que red aplica:

crypto isakmp key ipref address 0.0.0.0

establecemos el método de encripción y autenticación

crypto ipsec transform-set encripcion esp-des esp-md5-hmac
mode transport

creamos el perfil que agrupa la operación de encripción

crypto ipsec profile IPrefDMVPN set transform-set encripcion 

lo aplicamos a la interfaz de cada router:

interface tunnel 4
tunnel protection ipsec profile IPrefDMVPN 

y verificamos que el túnel está protegido:

R4#show crypto ipsec transform-set 
Transform set encripcion: { esp-des esp-md5-hmac  }
   will negotiate = { Transport,  },
R4#show crypto sockets 
Number of Crypto Socket connections 3
   Tu4 Peers (local/remote): 1.0.0.4/1.0.0.5
       Local Ident  (addr/mask/port/prot): (1.0.0.4/255.255.255.255/0/47)
       Remote Ident (addr/mask/port/prot): (1.0.0.5/255.255.255.255/0/47)
       IPSec Profile: "IPrefDMVPN"
       Socket State: Open
       Client: "TUNNEL SEC" (Client State: Active)
   Tu4 Peers (local/remote): 1.0.0.4/1.0.0.7
       Local Ident  (addr/mask/port/prot): (1.0.0.4/255.255.255.255/0/47)
       Remote Ident (addr/mask/port/prot): (1.0.0.7/255.255.255.255/0/47)
       IPSec Profile: "IPrefDMVPN"
       Socket State: Open
       Client: "TUNNEL SEC" (Client State: Active)
   Tu4 Peers (local/remote): 1.0.0.4/1.0.0.6
       Local Ident  (addr/mask/port/prot): (1.0.0.4/255.255.255.255/0/47)
       Remote Ident (addr/mask/port/prot): (1.0.0.6/255.255.255.255/0/47)
       IPSec Profile: "IPrefDMVPN"
       Socket State: Open
       Client: "TUNNEL SEC" (Client State: Active)
Crypto Sockets in Listen state:
Client: "TUNNEL SEC" Profile: "IPrefDMVPN" Map-name: "Tunnel4-head-0"

Hasta ahora llevamos esto:
! hub

R4#show running-config | section crypto
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key ipref address 0.0.0.0      
crypto ipsec transform-set encripcion esp-des esp-md5-hmac
 mode transport
crypto ipsec profile IPrefDMVPN
 set transform-set encripcion
R4#sh runn interface Tunnel 4
interface Tunnel4
 ip address 2.0.0.4 255.255.255.0
 no ip redirects
 ip mtu 1416
 ip nhrp map multicast dynamic
 ip nhrp network-id 4567
 ip ospf network broadcast
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel protection ipsec profile IPrefDMVPN
end

! spoke

R5#show running-config | section crypto
crypto isakmp policy 1
 authentication pre-share
crypto isakmp key ipref address 0.0.0.0      
crypto ipsec transform-set encripcion esp-des esp-md5-hmac
 mode transport
crypto ipsec profile IPrefDMVPN
 set transform-set encripcion
R5#sh runn interface Tunnel 4
interface Tunnel4
 ip address 2.0.0.5 255.255.255.0
 no ip redirects
 ip mtu 1416
 ip nhrp map 2.0.0.4 1.0.0.4
 ip nhrp map multicast 1.0.0.4
 ip nhrp network-id 4567
 ip nhrp nhs 2.0.0.4
 ip ospf network broadcast
 ip ospf priority 0
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel protection ipsec profile IPrefDMVPN
end