02-12-2016 11:19 AM - editado 03-21-2019 06:20 PM
Conozca todo acerca de Dynamic Multipoint VPN (DMVPN), FlexVPN, Easy VPN, GETVPN, AnyConnect, and Internet Key Exchange (IKE)v2
En esta oportunidad usted puede aprender y hacer preguntas acerca de la implementación y la solución de problemas de diferentes tecnologías VPN con el experto José Gustavo Medina.
Gustavo compartirá sus mejores prácticas para la implementación de las diferentes tecnologías de VPN, ademas asesorara a los clientes que están buscando implementar o actualizar sus configuraciones existentes cómo aprovechar al máximo su potencial. Además, Gustavo proporcionará información sobre qué tecnologías podrían ser aplicables para nuevas implementaciones.
Haga sus preguntas del lunes, 11 al viernes, 22 de abril del 2016
Experto en Destaque
Gustavo Medina colabora actualmente como ingeniero del Cisco TAC en México y ha trabajado en diferentes tecnologías de seguridad durante más de 7 años en Costa Rica, Estados Unidos y México entre las cuales están FWSM, ASA,ZBFW,DMVPN, WebVPN, GETVPN, FlexVPN, entre otras. Además Gustavo es CCIE en Seguridad #51487.
Gustavo puede no ser capaz de responder a todas las preguntas, debido al volumen esperado durante este evento. Recuerde que también puede hacer sus preguntas en nuestra sub-comunidad de Seguridad.
** ¡Las calificaciones fomentan la participación! **
Por favor, asegúrese de ordenar las respuestas a las preguntas!
el 04-15-2016 08:57 AM
Hola, en tu experiencia ¿cuáles son las ventajas o desventajas de usar IKEv2 sobre SSL?
el 04-15-2016 02:42 PM
Hola Christopher,
Comparar IKEv2 con SSL no es tan sencillo... ambos proveen resultados similares con sus respectivas ventajas y desventajas. Algunos puntos de diferencia son:
1. Aunque esto ha mejorado recientemente IKEV2 aun posee mejor desempeño por tunel vrs DTLS.
2. SSL trabaja via Proxy mientras que IKEV2 no.
3. IKEV2 por si solo no ofrece lo siguiente (IKEV2 con Client Services SSL si ofrece estas funciones)
a. Descarga de SW y updates desde el VPN headend.
b. Posture
c. SCEP
4. IKEV2 requiere versiones mas recientes para el Headend.
5. IKEV2 requiere un XML profile correctamente configurado en el cliente sin embargo tiene el problema de la gallina y el huevo.
a. Se necesita instalar el XML profile offline.
b. Se necesita permitir SSL primero para obtener el XML profile con IKEv2 configurado (entonces no se puede permitir IKEv2 unicamente)
Saludos,
-Gustavo
el 04-20-2016 07:24 AM
el 04-20-2016 08:38 PM
Hola Antonio,
Si los tuneles que vas a migrar son L2Ls con crypto map y los piensas migrar a VTI entonces la forma mas facil seria crear los tunnel interfaces con toda la configuracion necesaria y hacer el 'no shutdown' de ese tunnel interface cuando estes listo para el migration; no es necesario hacerlo al mismo tiempo para todos los tuneles ya que podemos tener VTI tunnels y crypto map tunnels en la misma interfaz al mismo tiempo sin ningun problema. * Si este es el caso es importante recordar que VTI va a negociar el SPD (Security Policy Database) o los Proxy IDs como any a any por lo que el lado remoto tiene que ser capaz de negociarlo de igual manera a menos que utilicemos Multi-SA DVTI.
Por otro lado si ya tienes tunnel interfaces y estos tuneles de los que hablas son GRE/IPsec con crypto map lo mas recomendable sería configurar los ipsec profiles necesarios y remover el static crypto map entry y aplicar el 'tunnel protection' a cada tunnel; al igual que en el caso anterior puedes tener tuneles de crypto map y tuneles con tunnel-protection al mismo tiempo en una interfaz por lo que puedes migrar la cantidad de tuneles que quieras sin necesidad de hacerlos todos de una vez.
Ahora, con tunnel protection si tienes varias tunnel interfaces con el mismo tunnel source y al menos una de ellas es mGRE; o si tienes 2 p2p GRE interfaces con el mismo tunnel source y tunnel destination tendriamos que utilizar el keyword shared para compartir el SADB. Puedes encontrar mas detalles aqui:
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/xe-3s/sec-conn-dmvpn-xe-3s-book/sec-conn-dmvpn-share-ipsec-w-tun-protect.html
Saludos,
-Gustavo
el 04-21-2016 01:33 PM
Hola Gustavo, Estoy estableciendo los SA para IPSec ¿Cuál es el método que más recomiendas para configurar ISAKMP?
el 04-21-2016 05:03 PM
Hola,
Si te refieres a que parametros utilizaria para IKE, la siguiente guia esta al dia de los que recomendamos hoy por hoy.
http://www.cisco.com/c/en/us/about/security-center/next-generation-cryptography.html
Obviamente hay cosas que dependen de cada implementacion, por ejemplo si ya tienes una estructura PKI seria mas facil implementar certificados para authentication mientras que si tienes que empezar desde cero a lo mejor y PSKs es una mejor opcion por el momento.
-Gustavo
el 04-21-2016 01:48 PM
Hola Gustavo, cuál es la diferencia entre flexvpn & dmvpn? y cuál es la más recomendable?
el 04-21-2016 04:48 PM
Hola,
FlexVPN tiene todas capacidades de DMVPN Phase 3 (Dynamic Peers, spoke0to-spoke, redundancia) y muchas mas!
Algunas ventajas sobre DMVPN son:
El unico caso donde no recomendaria FlexVPN para una nueva implementacion si se cuenta con el HW apropiado seria en caso de iWAN ya que FlexVPN no se soporta en ese caso.
-Gustavo
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad