En redes distribuidas con múltiples sucursales, uno de los desafíos comunes es cómo conectar todos los sitios sin crear un túnel VPN dedicado entre cada uno. La solución tradicional —malla completa de túneles IPsec— se vuelve insostenible a medida que el número de sitios crece. Ahí es donde entra en juego DMVPN (Dynamic Multipoint VPN).
¿Qué es DMVPN?
DMVPN es una tecnología de Cisco que permite la creación de túneles VPN dinámicos entre sitios (spokes), a través de un hub central. Lo interesante es que los túneles entre spokes no se configuran manualmente; se crean de forma automática y bajo demanda, según el tráfico.
Este enfoque permite simplificar la topología: cada spoke conoce al hub, y el hub actúa como intermediario para que dos spoke se descubran y establezcan un túnel directo.
🛠️ Componentes principales de DMVPN
- mGRE (Multipoint GRE): permite que una única interfaz del router soporte múltiples túneles GRE hacia diferentes destinos sin tener que definirlos uno por uno.
- NHRP (Next Hop Resolution Protocol): es el protocolo que permite a los spokes registrarse en el hub y resolver direcciones IP públicas de otros peers.
- IPsec: generalmente se combina con GRE para asegurar el tráfico que viaja por los túneles.
🚀 Ventajas prácticas
- Escalabilidad: en lugar de configurar N×(N–1)/2 túneles, solo definimos uno por spoke.
- Ahorro de ancho de banda: el tráfico puede ir directamente de spoke a spoke, sin pasar por el hub.
- Facilidad de administración: ideal para entornos con direcciones IP dinámicas (por ejemplo, routers que se conectan desde sedes pequeñas con DHCP).
⚙️ Ejemplo de configuraciones
Configuración básica del Hub:
HubRouter> enable
HubRouter# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
HubRouter(config)# interface Tunnel0
HubRouter(config-if)# ip address 10.10.10.1 255.255.255.0
HubRouter(config-if)# ip nhrp authentication dmvpnkey
HubRouter(config-if)# ip nhrp map multicast dynamic
HubRouter(config-if)# ip nhrp network-id 1
HubRouter(config-if)# tunnel source GigabitEthernet0/0
HubRouter(config-if)# tunnel mode gre multipoint
HubRouter(config-if)# tunnel key 100
HubRouter(config-if)# tunnel protection ipsec profile DMVPN-PROFILE
HubRouter(config-if)# no shutdown
HubRouter(config-if)# exit
HubRouter(config)# router eigrp 100
HubRouter(config-router)# network 10.10.10.0 0.0.0.255
HubRouter(config-router)# no auto-summary
HubRouter(config-router)# exit
HubRouter(config)# exit
HubRouter# write memory
Building configuration…
[OK]
HubRouter#Configuración básica del Spoke:
Spoke1> enable
Spoke1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Spoke1(config)# interface Tunnel0
Spoke1(config-if)# ip address 10.10.10.2 255.255.255.0
Spoke1(config-if)# ip nhrp authentication dmvpnkey
Spoke1(config-if)# ip nhrp map 10.10.10.1 200.1.1.1
Spoke1(config-if)# ip nhrp map multicast 200.1.1.1
Spoke1(config-if)# ip nhrp network-id 1
Spoke1(config-if)# ip nhrp nhs 10.10.10.1
Spoke1(config-if)# tunnel source GigabitEthernet0/0
Spoke1(config-if)# tunnel destination 200.1.1.1
Spoke1(config-if)# tunnel mode gre multipoint
Spoke1(config-if)# tunnel key 100
Spoke1(config-if)# tunnel protection ipsec profile DMVPN-PROFILE
Spoke1(config-if)# no shutdown
Spoke1(config-if)# exit
Spoke1(config)# router eigrp 100
Spoke1(config-router)# network 10.10.10.0 0.0.0.255
Spoke1(config-router)# no auto-summary
Spoke1(config-router)# exit
Spoke1(config)# exit
Spoke1# write memory
Building configuration...
[OK]
Spoke1#A tener en cuenta
- Si vas a usar EIGRP o OSPF, ten cuidado con cómo propagan rutas en mGRE; en Fase 3, necesitás usar ip nhrp redirect y ip nhrp shortcut.
- La estabilidad del NHRP es clave: errores en la resolución de next hops pueden causar cortes intermitentes.
- QoS y MTU deben revisarse siempre, especialmente si estás encapsulando GRE sobre IPsec.
📘 Algo muy importante cuando hablamos de DMVPN
Fases: Fase 1, 2 y 3
DMVPN se implementa en tres fases que determinan el comportamiento del enrutamiento y la forma en que los túneles se establecen entre los nodos (spokes). Cada fase resuelve limitaciones de la anterior.
🔹 Fase 1 – Hub-and-Spoke puro
- Todos los spokes se comunican solo a través del hub.
- No hay comunicación directa entre spokes.
- Sencilla de configurar, ideal para topologías básicas.
- Los protocolos de enrutamiento como EIGRP o OSPF operan sobre la interfaz de túnel, pero el hub es el punto central obligado.
Limitación: Mayor carga en el hub, latencia innecesaria si los spokes podrían comunicarse directamente.
🔹 Fase 2 – Spoke-to-Spoke dinámico
- Se permite la comunicación directa entre spokes mediante túneles dinámicos.
- El hub sigue participando en la resolución inicial (NHRP), pero luego el tráfico fluye directo.
- Se requiere el comando ip nhrp shortcut en los spokes.
- El protocolo de enrutamiento debe soportar rutas recursivas para permitir next-hop diferentes al hub.
Ventaja: Mejora el rendimiento evitando el salto extra por el hub.
Precaución: Algunos protocolos como OSPF requieren trabajo adicional (a menudo se prefiere EIGRP o BGP).
🔹 Fase 3 – Optimización total
- Incluye todas las ventajas de la Fase 2, pero mejora aún más el enrutamiento entre spokes.
- El hub actúa como redirector: si dos spokes empiezan a comunicarse a través del hub, este les envía un mensaje NHRP Redirect para que creen un túnel directo.
- Utiliza ip nhrp redirect en el hub y ip nhrp shortcut en los spokes.
- Permite sumar rutas agregadas o resumen de rutas, ya que los spokes pueden resolver dinámicamente el next-hop real.
Ventaja: Escalabilidad, eficiencia de tráfico, uso inteligente del hub.
📌 ¿Cuál podríamos elegir según nuestra necesidad?
- Fase 1: para entornos pequeños o controlados.
- Fase 2: si se necesita comunicación directa, pero con rutas específicas.
- Fase 3: ideal para entornos complejos o con rutas agregadas.
En resumen
DMVPN sigue siendo una excelente opción para entornos donde:
- Necesitas conectar muchas sedes de forma flexible.
- Las IP públicas son dinámicas o cambian.
- Quieres minimizar configuración manual.
Aunque SD-WAN está tomando su lugar en muchas empresas, DMVPN sigue siendo viable, confiable y útil en entornos medianos, o como capa de respaldo.
