No contexto de rede Cisco SD-WAN, o conceito de VPN assume um papel fundamental no controle do tráfego de rede e no isolamento dos serviços. As VPNs, que tecnicamente correspondem a VRFs (Virtual Routing and Forwarding), permitem a segmentação do tráfego de diferentes redes e serviços dentro do ambiente SD-WAN.
Este artigo vai explorar o funcionamento das VPNs principais que fazem parte da arquitetura Cisco SD-WAN: VPN 0, VPN 512 e as Services VPNs (VPN de Serviço).
Conceito de VPN em SD-WAN
No SD-WAN, as VPNs atuam como contextos de roteamento independentes, ou seja, são "instâncias" de roteamento separadas que permite isolar diferentes tipos de tráfego. Isso pode ser utilizado para separar tráfego de clientes, de serviços de gerenciamento e tráfego de controle.
Cada roteador vEdge ou cEdge no SD-WAN suporta várias VPNs e as principais são:
- VPN 0 (Transport VPN): Gerencia a conectividade com os transportes (Links WAN, como Internet e MPLS).
- VPN 512 (Management VPN): Utilizada para o gerenciamento fora de banda do dispositivo.
- VPNs de Serviço: Criadas para suportar serviços de usuários e tráfego de produção.
VPN 0: Transport VPN
A VPN 0 é a VPN responsável por gerenciar a conectividade com os transportes WAN no ambiente SD-WAN. Ela é responsável por conectar o dispositivo (vEdge ou cEdge) à infraestrutura de rede externa, como a Internet, MPLS ou outros links de transporte.
Funções Principais da VPN 0:
1 - Conectividade WAN: As interfaces WAN que se conectam à Internet ou a outras redes estão dentro da VPN 0.
2 - Túnel IPsec: Os túneis IPsec que conectam os dispositivos SD-WAN a outros nós da rede são criados dentro dessa VPN.
3 - Comunicação OMP: O Overlay Management Protocol (OMP), que é o protocolo utilizado para gerenciar a comunicação entre os dispositivos SD-WAN e os controladores (vBond, vSmart e vManage), também depende da VPN 0 para estabelecer essa comunicação.
Exemplo de Configuração da VPN 0
vEdge# config
vEdge(config)# vpn 0
vEdge(config-vpn-0)# interface ge0/0
vEdge(config-interface-ge0/0)# ip address 192.168.1.2/24
vEdge(config-interface-ge0/0)# tunnel-interface
vEdge(config-tunnel-interface)# allow-service all
vEdge(config-tunnel-interface)# exit
vEdge(config-interface-ge0/0)# no shutdown
vEdge(config-vpn-0)# exit
vEdge(config)# commit
Explicação:
- vpn 0: Configura a VPN 0.
- interface ge0/0: A interface WAN do roteador.
- tunnel-interface: Define que essa interface será usada para o túnel SD-WAN.
- allow-service all: Permite todos os serviços (ICMP, BFD, SSH, etc.) pelo túnel.
VPN 512: Management VPN
A VPN 512 é reservada para o gerenciamento de dispositivos. Essa VPN é usada para conexões de gerenciamento fora de banda e deve ser tráfego de produção.
Funções Principais da VPN 512:
1 - Gerenciamento Fora de Banda: A VPN 512 geralmente é configurada para permitir acesso SSH, SNMP, NTP, etc., separando esse tráfego do tráfego de produção.
2 - Acesso ao vManage: Em muitos casos, a comunicação com o controlador de gerenciamento (vManage) acontece através dessa VPN.
Exemplo de configuração da VPN 512:
vEdge# config
vEdge(config)# vpn 512
vEdge(config-vpn-512)# interface ge0/1
vEdge(config-interface-ge0/1)# ip address 10.1.1.2/24
vEdge(config-interface-ge0/1)# no shutdown
vEdge(config-vpn-512)# exit
vEdge(config)# commit
Explicação:
- vpn 512: Configura a VPN 512.
- interface ge0/1: Define a interface de gerenciamento para essa VPN.
- ip address: Define o endereço IP da interface de gerenciamento.
VPNs de Serviço: Suporte ao Tráfego de Produção
As VPNs de Serviço são as VPNs que transportam o tráfego de produção dos usuários. Elas são equivalentes às VRFs (Virtual Routing and Forwarding) utilizadas em redes tradicionais e podem ser configuradas para isolar diferentes tipos de serviços ou clientes dentro de uma infraestrutura SD-WAN.
Funções Principais das VPNs de Serviço:
1 - Isolamento de Tráfego: As VPNs de Serviço permitem segmentar diferentes tipos de tráfego (por exemplo, tráfego de voz, vídeo, dados, etc.).
2 - Roteamento Independente: Cada VPN possui sua própria tabela de roteamento e pode ter políticas de roteamento e firewall separadas.
Exemplo de Configuração de VPN de Serviço:
vEdge# config
vEdge(config)# vpn 10
vEdge(config-vpn-10)# interface ge0/2
vEdge(config-interface-ge0/2)# ip address 192.168.10.1/24
vEdge(config-interface-ge0/2)# no shutdown
vEdge(config-vpn-10)# ip route 0.0.0.0/0 192.168.10.254
vEdge(config-vpn-10)# exit
vEdge(config)# commit
Explicação:
- vpn 10: Configura a VPN 10 como uma VPN de serviço.
- interface ge0/2: Interface conectada à rede de produção.
- ip route 0.0.0.0/0 192.168.10.254: Configura a rota padrão para essa VPN.
Casos de Uso de VPNs de Serviço:
- Segmentação de tráfego de diferentes departamentos ou clientes dentro da empresa.
- Isolamento de serviços críticos, como VOIP ou serviços financeiros, em VPNs separadas para melhorar a segurança e a qualidade do serviço.
Comunicação entre VPNs no SD-WAN
Para permitir a comunicação entre diferentes VPNs de Serviço ou entre uma VPN de Serviço e a VPN 0 (para acesso à WAN), políticas específicas de inter-VPN podem ser configuradas no vSmart, o controlador Central.
Por exemplo, você pode criar uma política que permita que dispositivos na VPN 10 (tráfego de produção) possam acessar a Internet através da VPN 0.
Espero que este artigo tenha esclarecido o funcionamento e a configuração básica das VPNs em ambiente Cisco SD-WAN.
