Itzcoatl Espinosa
Essa apresentação teve o propósito de dar uma introdução aos conceitos básicos utilizados para a implementação de GET VPN (Group Encrypted Transport VPN), assim como sua configuração e verificação. Foram abordados problemas comuns que se apresentam nesse ambiente.
Agenda:
- O que é GET VPN?
- Conceitos básicos
- Configuração
- Key Server no modo cooperativo
- Verificação e resolução de problemas
- Lab Demo
Itzcoatl Espinosa é engenheiro de suporte do Centro de Suporte Técnico (TAC) da Cisco na América Latina, especializado em tecnologias de Segurança. Ele tem mais de 7 anos de experiência suportando tecnologias de WAN, Identity Management, AAA, Prevenção e Detecção de Intrusos, Firewall e VPN. Espinosa é graduado em Engenharia Eletrônica e Comunicações pelo Instituto Tecnológico e de Estudos Superiores de Monterrey (ITESM) e possui as seguintes certificações: CCNA, CCNP, CCSP, ITIL foundations v3 e CCIE de Segurança (# 33540).
Perguntas e Respostas
P: Quais protocolos de rotamento podem rodar no GETVPN?
R: EIGRP, OSPF, quase cualquier protocolo, exceto ISIS.
P: Qual é o número de máximo de Key Server em uma implementação?
R: 8
P: GETVPN funciona somente em MPLS VPNs?
R: Não, GETVPN pode funcionar em uma rede MPLS, Frame-Relay, ou ATM.
P: Qual é melhor GETVPN ou DMVPN?
R: As duas são soluções complementárias. DMVPN é usado em redes públicas e GETVPN em redes privadas para melhorar o tráfego de voz e video.
P: Eu preciso excluir tráfego de gerenciamento do GETVPN? Como nós podemos fazer isso no GETVPN?
R: Se você precisa excluir tráfego na criptografia, o agente pode configurar uma ACL no GM com “deny”.
P: Qual é o modelo fail close e fail open?
R: Fail close diz que nós precisamos de uma regra de criptografia para poder enviar o tráfego pela VPN. Se o GM não se cadastra ao Key Sever e não recebe as políticas, ele não vai poder enviar tráfego.
P: Poderia explicar a diferença entre rekey unicast e multicast?
R: Em Rekey unicast o Key Server envia as chaves para cada um dos GMs. Se ele não recebe mensagem de recibo, ele apagará o GM da base de dados.
Em rekey multicast, as chaves viajam ao destino multicast. O Key Server não recebe mensagem de recibo. O Key Server não vai apagar o GM da base de dados.