cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
1942
Visitas
30
ÚTIL
8
Respuestas

Conozca todo sobre VPN - Pregunte al Experto

Cisco Moderador
Community Manager
Community Manager

Conozca todo acerca de Dynamic Multipoint VPN (DMVPN), FlexVPN, Easy VPN, GETVPN, AnyConnect, and Internet Key Exchange (IKE)v2 

En esta oportunidad usted puede aprender y hacer preguntas acerca de la implementación y la solución de problemas de diferentes tecnologías VPN con el experto José Gustavo Medina.


Gustavo compartirá sus mejores prácticas para la implementación de las diferentes tecnologías de VPN, ademas asesorara a los clientes que están buscando implementar o actualizar sus configuraciones existentes cómo aprovechar al máximo su potencial. Además, Gustavo proporcionará información sobre qué tecnologías podrían ser aplicables para nuevas implementaciones.

Haga sus preguntas del lunes, 11 al viernes, 22 de abril del 2016

Experto en Destaque



Gustavo Medina colabora actualmente como ingeniero del Cisco TAC en México y ha trabajado en diferentes tecnologías de seguridad durante más de 7 años en Costa Rica, Estados Unidos y México entre las cuales están FWSM, ASA,ZBFW,DMVPN, WebVPN, GETVPN, FlexVPN, entre otras. Además Gustavo es CCIE en Seguridad #51487.

Gustavo puede no ser capaz de responder a todas las preguntas, debido al volumen esperado durante este evento. Recuerde que también puede hacer sus preguntas en nuestra sub-comunidad de Seguridad

 

** ¡Las calificaciones fomentan la participación! **
Por favor, asegúrese de ordenar las respuestas a las preguntas!

8 RESPUESTAS 8

Hola, en tu experiencia ¿cuáles son las ventajas o desventajas de usar IKEv2 sobre SSL?

Hola Christopher,

Comparar IKEv2 con SSL no es tan sencillo... ambos proveen resultados similares con sus respectivas ventajas y desventajas. Algunos puntos de diferencia son:

     1. Aunque esto ha mejorado recientemente IKEV2 aun posee mejor desempeño por tunel vrs DTLS.

     2. SSL trabaja via Proxy mientras que IKEV2 no.

     3. IKEV2 por si solo no ofrece lo siguiente (IKEV2 con Client Services SSL si ofrece estas funciones)

a. Descarga de SW y updates desde el VPN headend. 

b. Posture

c. SCEP

     4. IKEV2 requiere versiones mas recientes para el Headend. 

     5. IKEV2 requiere un XML profile correctamente configurado en el cliente sin embargo tiene el problema de la gallina y el huevo.  

a. Se necesita instalar el XML profile offline.

b. Se necesita permitir SSL primero para obtener el XML profile con IKEv2 configurado  (entonces no se puede permitir IKEv2 unicamente)

Saludos,

-Gustavo

Hola Gustavo, Cómo puedo migrar paulatinamente un conjunto de túneles de crypto map a ipsec profile. Pueden coexistir en una misma interfaz ambas formas de especificar túneles IPsec?

Hola Antonio,

Si los tuneles que vas a migrar son L2Ls con crypto map y los piensas migrar a VTI entonces la forma mas facil seria crear los tunnel interfaces con toda la configuracion necesaria y hacer el 'no shutdown' de ese tunnel interface cuando estes listo para el migration; no es necesario hacerlo al mismo tiempo para todos los tuneles ya que podemos tener VTI tunnels y crypto map tunnels en la misma interfaz al mismo tiempo sin ningun problema. * Si este es el caso es importante recordar que VTI va a negociar el SPD (Security Policy Database) o los Proxy IDs como any a any por lo que el lado remoto tiene que ser capaz de negociarlo de igual manera a menos que utilicemos Multi-SA DVTI.

Por otro lado si ya tienes tunnel interfaces y estos tuneles de los que hablas son GRE/IPsec con crypto map lo mas recomendable sería configurar los ipsec profiles necesarios y remover el static crypto map entry y aplicar el 'tunnel protection' a cada tunnel; al igual que en el caso anterior puedes tener tuneles de crypto map y tuneles con tunnel-protection al mismo tiempo en una interfaz por lo que puedes migrar la cantidad de tuneles que quieras sin necesidad de hacerlos todos de una vez.

Ahora, con tunnel protection si tienes varias tunnel interfaces con el mismo tunnel source y al menos una de ellas es mGRE; o si tienes 2 p2p GRE interfaces con el mismo tunnel source y tunnel destination tendriamos que utilizar el keyword shared para compartir el SADB. Puedes encontrar mas detalles aqui:

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/xe-3s/sec-conn-dmvpn-xe-3s-book/sec-conn-dmvpn-share-ipsec-w-tun-protect.html

Saludos,

-Gustavo

Klausen10
Level 1
Level 1

Hola Gustavo, Estoy estableciendo los SA para IPSec ¿Cuál es el método que más recomiendas para configurar ISAKMP?

Hola,

Si te refieres a que parametros utilizaria para IKE, la siguiente guia esta al dia de los que recomendamos hoy por hoy. 

http://www.cisco.com/c/en/us/about/security-center/next-generation-cryptography.html

Obviamente hay cosas que dependen de cada implementacion, por ejemplo si ya tienes una estructura PKI seria mas facil implementar certificados para authentication mientras que si tienes que empezar desde cero a lo mejor y PSKs es una mejor opcion por el momento.

-Gustavo

Klausen10
Level 1
Level 1

Hola Gustavo, cuál es la diferencia entre flexvpn & dmvpn? y cuál es la más recomendable?

Hola,

FlexVPN tiene todas capacidades de DMVPN Phase 3 (Dynamic Peers, spoke0to-spoke, redundancia) y muchas mas!

Algunas ventajas sobre DMVPN son:

  • Point-to-Point interfaces > Cualquier feature lo podemos hacer para peers en especifico.
  • Integracion con AAA > Podemos 'inyectar' cualquier parametro por medio de RADIUS.
  • Configuracion mas sencilla y consistente para topologias complejas.
  • IKEv2 routing se puede utilizar en lugar de un dynamic routing protocol como OSPF por ejemplo; eso es bastante util para escenarios IoT.
  • Trae consigo todas las ventajas de IKEv2.

El unico caso donde no recomendaria FlexVPN para una nueva implementacion si se cuenta con el HW apropiado seria en caso de iWAN ya que FlexVPN no se soporta en ese caso.

-Gustavo

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: