Dynamic Multipoint VPN
La conectividad en redes WAN ha evolucionado con el fin de que se vuelva más sencilla y segura, más ahora que el Internet es un método común para unir sectores empresariales distantes, como la matriz con sus sucursales.
Un método para lograr una conectividad segura en entornos públicos es mediante VPNs y en el mundo de Cisco,GRE (Generic Routing Encapsulation) ha sido sin duda una excelente opción debido a sus características que permiten la transmisión de comunicaciones broadcasts y multicasts, sin embargo tenía un problema de escalabilidad, mantenimiento y creación de los túneles, pues es necesario establecer manualmente la VPN por cada uno de las conexiones Matriz-Sucursal que exista.
Con el fin de sobrellevar esa dificultad se creó DMVPN.
Definición de DMVPN
DMVPN, por sus siglas Dynamic Multipoint VPN, usa un método para dinámicamente descubrir los destinos de los túneles creados mediante GRE (mGRE - multipoint GRE) y aprendidos por NHRP - Next-Hop Resolution Protocol, sin descuidar a la seguridad como eje transversal de las comunicaciones a través de IPsec. Con todo ello, IPsec puede escalar muy bien en entornos hub-and-spoke, así como soportar la segmentación de tráfico a través de VPNs y VRFs.
En una típica implementación hub-and-spoke IPsec, el router Hub debe tener crypto-maps, crypto ACLs, túneles GRE y configuraciones de pares ISAKMP por separado para cada router Spoke, en general un problema de escalabilidad que DMVPN sobrellevó sin dificultad.
En entornos DMVPN, la información de los routers Spoke no es explícitamente configurada en el router Hub, en su lugar, dicho Hub posee una simple interfaz mGRE configurada y un conjunto de perfiles que aplican a los routers Spokes, mientras los Spokes podrían apuntar a uno o varios Hubs dando lugar a redes redundantes que fomentan el balanceo de carga del tráfico, además sin quitar las características de GRE como el hecho de soportar tráfico multicast desde el Hub hacia los Spokes.
Mediante NHRP es posible determinar la dirección de destino de los Spoke mediante un formato de pregunta/respuesta entre clientes (NHC - Next-Hop clients) y servidores (NHS - Next-Hop Servers). Los NHC se "registran" en los NHS.
Fases de DMVPN
Existen tres fases de DMVPN:
- Fase 1 (Phase 1): Conectividad solo Hub a Spoke.
- Fase 2 (Phase 2): Capacidad de comunicación directa entre Spokes
- Fase 3 (Phase 3): Mejora las capacidades de comunicación entre Spokes
Configuración de DMVPN
Con el fin de entender rápidamente la configuración en las diferentes fases de DMVPN, se empleará la siguiente topología simple:
La dirección IPv4 de las interfaces mGRE serán de la red 192.168.1.0/24, donde:
- La Matriz empresarial tendrá la dir. IPv4 192.168.1.1/24
- La Sucursal 1 tendrá la dir. IPv4 192.168.1.2/24
- La Sucursal 2 tendrá la dir. IPv4 192.168.1.3/24
Cabe recalcar que las interfaces físicas de la Matriz y Sucursales (10.1.1.1, 10.10.10.1 y 10.20.20.1) conectadas al ISP deben tener conectividad entre ellas previo a la configuración de DMVPN.
Fase 1: Conectividad sólo Hub a Spoke
NHS - Next-Hop Server (HUB)
NHC - Next-Hop Client (Spoke)
NHC - Next-Hop Client (Spoke2)
Al momento de configurar el Hub con OSPF como protocolo de enrutamiento sobre la DMVPN para alcanzar las redes de la Matriz y las Sucursales, se debe incluir los siguientes comandos:
Y en los spokes:
Una vez realizado ello, los túneles DMVPN dinámicos en el Hub y estáticos en los spokes se han levantado
Cabe recalcar que para la comunicación Spoke a Spoke, siempre el tráfico pasará por el Hub en la Fase 1, por ejemplo para alcanzar la Sucursal 2 (172.16.3.1) desde Sucursal 1, habrá 2 saltos y no solo uno:
Fase 2: Conectividad Spoke a Spoke Directamente
La configuración del Hub es exactamente igual en la Fase 1 como en la Fase 2, la única diferencia radica en que la interfaz mGRE del túnel DMVPN debe ser de tipo Broadcast en caso de usar OSPF como protocolo de enrutamiento sobre dicha DMVPN.
Únicamente se mostrará la configuración de los Spokes (Spoke - Sucursal 1), considerando que también la interfaz mGRE debe ser de tipo Broadcast al momento de configurar OSPF como protocolo de enrutamiento sobre la DMVPN:
NHC - Next-Hop Client (Spoke)
Al configurar el Spoke, éste tendrá un túnel estático hacia el Hub (NHS) y un túnel dinámico hacia el resto de Spokes (NHC), por lo que la conectividad ahora será directa Spoke con Spoke (un sólo salto, sin pasar por el Hub)
IPSec en Fase 2:
DMVPN no puede ser concebido sin seguridad en la transmisión de datos, por lo que IPSec es parte fundamental de esta forma de conexión, ya que así es posible dar a la conexión Confidencialidad, Integridad, Autenticación y Anti repudio (CIA)
La configuración y funcionalidad de IPSec es simular a la realizada con túneles GRE-IPsec (IKE Fase 1, IKE Fase 2 e implementación en una interfaz), pero la dirección de los pares destino es 0.0.0.0 y se emplea perfiles IPSec.
La configuración mostrada para el Hub, debe ser la misma en los Spokes:
Como se dieron cuenta, DMVPN es una excelente opción al momento de escoger una forma segura y escalable de transmitir información entre sitios empresarial con arquitectura tipo Hub-and-Spoke.
Espero haya sido de su agrado este tema, sigan implementando topologías con DMVPN, en un próximo blog, explicaré cómo se configura la Fase 3 de DMVPN
Saludos de Quito, Ecuador.
Gustavo