Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Crear un nuevo artículo
3195
Visitas
1
ÚTIL
1
Comentarios

Doc - Implementación de SD-WAN Remote Access para extender el Trabajo Híbrido

Cisco Moderador
Community Manager
Community Manager

el ‎05-03-2023 11:12 PM - fecha de última edición ‎05-24-2023 11:53 AM por Community Manager

Presentación del webinar Community Live

Colaboración con Amanda Nava y Ángel Ortiz.
¿Ha tenido ocasión de utilizar SD-WAN Remote Access? ¡Descargue la presentación de Amy y Ángel!
SD-WAN Remote Access es una de las funciones de seguridad más recientes que se ha integrado en la solución SD-WAN de Cisco. Además, es parte de la transformación del trabajo híbrido que los clientes están buscando actualmente. Antes de SD-WAN RA, una infraestructura separada era utilizada como Firewalls, para conectar al usuario remoto a la red y luego conectarlo a la solución SD-WAN. Esto permitía expandir sus beneficios a los usuarios remotos. Hoy en día, eso se ha vuelto obsoleto. Descubra como SD-WAN integra completamente la funcionalidad de Acceso Remoto y, al mismo tiempo, contribuye como parte del plan de SAS-E Curriculum. Esta presentación explica SD-WAN RA e incluye e integra SD-WAN y conocimientos de seguridad para clientes expertos en seguridad o SD-WAN.

Descargue la Presentación

Recuerde que la presentación está disponible en pdf para su comodidad. Si este documento le ha resultado útil, no olvide calificar esta publicación con un voto de utilidad para validar su relevancia. ¡Muchas gracias! 

¿Cómo enviar una pregunta?

Ponemos a su disposición nuestro evento Ask Me Anything (AMA) en cuyo foro podrán externar dudas y solicitar apoyo de nuestros expertos en casos específicos de los temas abordados. ¡Estamos para ayudarles!

Ir al foro de Discusión

(ver en Mis vídeos)

Lista de las Q&R del webinar Community Live

Encuentre la lista de preguntas formuladas durante el seminario web Community Live de nuestro evento. Cualquier duda que no haya sido respondida durante la sesión será resuelta posteriormente aquí o en el foro de "Preguntas".

Lista de Preguntas y Respuestas Q&A

Pregunta : Ese SD-WAN edge es un device adicional segun ese diagrama? - Percy V. (min.14)

Respuesta (Ángel O.) : Hola, Percy. Sí, es un dispositivo dedicado para recibir las conexiones de acceso remoto. Mi compañera Amanda puede clarificar un poco más en unos minutos.

Pregunta : Los dispositivos de SD-WAN RA están en el nube o es on-premise? -Percy V. (min.18)

Respuesta (Ángel O.) : Hola, Percy. Actualmente solamente se soporta en las plataformas C8500 series, C8300 series y C8000v on-premise. El soporte para C8000v en AWS está en roadmap.
Respuesta (Amy N.) : Hola Percy Pueden ser ambas, para este laboratorio estan on prem.

Pregunta : Los 8200 están en roadmap para soportar SDWAN RA? - Ariel (min.19)

Respuesta (Ángel O.) : Hola, Ariel. Hola, Percy. Actualmente solamente se soporta en las plataformas C8500 series, C8300 series y C8000v on-premise. Mi compañera Amanda puede confirmar en unos minutos si el soporte para C8200 está en roadmap.

Pregunta : La asignación de IP sí o sí se debe configurar en ISE, o la puede asignar el cEdge? - Andrés C. (min.21)

Respuesta (Ángel O.) : Hola Andrés. Solamente se soporta por medio del servidor de AAA.

Pregunta : ¿ Se soporta doble factor de autenticación ? - Luis Miguel C. (min.22)

Respuesta (Ángel O.) : Hola, Luis. En unos minutos mi compañera Amanda puede confirmar si se soporta MFA.
Respuesta (Amy N.) : Hola Luis. MFA no se encuentra soportado en FLEXVPN por el momento.

Pregunta : Se proyecta hacer la autenticación y la autorización por TACACS+? o lo hacen por RADIUS por ser estándar? - Percy V. (min.23)

Respuesta (Ángel O.) : Hola Percy, no se soporta autenticación y autorización con TACACS+ para SDWANRA.

Pregunta : Se puede utilizar autenticación con una base de datos local o se necesita sí o sí un AAA? - Ernesto (min.25)

Respuesta (Ángel O.) : Hola Ernesto. Solamente se soporta autenticación a través de Radius con un servidor AAA.

Pregunta : Se puede forzar el envío de consultas DNS dentro del tunnel? - Andrés C. (min.26)

Respuesta (Ángel O.) : Hola, Andrés. En FlexVPN RA se puede definir el servidor DNS que utilizarán los clientes remotos como un atributo de radius. Mi compañera Amanda puede confirmar en unos minutos si es soportado para SDWANRA.

Pregunta : El túnel es IPsec? - Percy V. (min.27)

Respuesta (Ángel O.) : Hola, Percy. Sí, el túnel entre el cliente remoto y el headend es IPsec.

Pregunta : Y cuánto es el delay adicional que podría tomar al implementar un SD-WAN aRA? - Percy V. (min.28)

Respuesta (Ángel O.) : Hola Percy. Te refieres al tiempo que toma implementar esta solución o al delay de las conexiones?

Pregunta : Esta config debe estar previamente en el router (VRF, pool, etc)? no es como un DACL que el ISE las aplica sin estar configuradas en los switches? - Sebastián O. (min.29)

Respuesta (Ángel O.) : Hola, Sebastián. Mi compañera Amanda resolverá tu duda en unos minutos, sin embargo los datos se envían desde el servidor de AAA.
Respuesta (Amy N.) : Hola Sebastián, Así es. No son como las DACL, aquí tienes que está configurado explicitamente en el IOS XE SDWAN devices para que cuando ISE mandé la información, éste la reconozca.

Pregunta : Se puede aplicar postura de ISE? - Andrés C. (min.30)

Respuesta (Ángel O.) : Hola, Andrés. FlexVPN soporta ISE Posture, sin embargo, mi compañera Amanda puede confirmar si SDWANRA lo soporta también.

Pregunta : Qué dispositivos de borde son compatibles? Para integrar con ISE y SDWAN edge? - Carla R. (min.31)

Respuesta (Ángel O.) : Hola, Carla. Mi compañera Amanda responderá a tu pregunta en breve.
Respuesta (Amy N.) : Hola Carla. Actualmente estos son los dispositivos que soportan SDRA Cisco Catalyst 8300-1N1S-6T, Cisco Catalyst 8300-2N2S-4T2X, Cisco Catalyst 8500-12X, Cisco Catalyst 8500-12X4QC, Cisco Catalyst 8500L Edge y Cisco Catalyst 8000V Edge Software

Pregunta : Por qué para configurar Certificate Authority utilizan el RSA? por qué no hacen con otro o no soporta? - Percy V. (min.32)

Respuesta (Ángel O.) : Hola Percy. RSA se utilizó para este ejemplo, sin embargo también se soportan certificados EC.

Pregunta : ¿El template de SDWAN trae todas las líneas de configuración de FlexVPN, no? - Martías O. (min.33)

Respuesta (Ángel O.) : Hola Matías. Sí, toda la configuración para SDWANRA se basa en FlexVPN.

Pregunta : ¿Qué seguridad se le aplica a ese Local BreakOut? - Jorge A. (min.36)

Respuesta (Ángel O.) : Hola Jorge. Mi compañera Amanda puede responde en unos minutos tu pregunta.
Respuesta (Amy N.) : Hola Jorge. La seguridad que le aplique al trafico del usuario remoto dependerá de las politicas de seguridad aplicadas en tu SDWAN overlay.

Pregunta : ¿Es posible realizar posturas sobre SDRA? - Roger P. (min.38)

Respuesta (Ángel O.) : Hola, Roger. FlexVPN soporta ISE Posture, sin embargo, mi compañera Amanda puede confirmar si SDWANRA lo soporta también.

Pregunta : Qué tipo de suscripción de Licencias ISE como mínimo se requiere para la implementación? - Wilder Q. (min.39)

Respuesta (Ángel O.) : Hola Wilder. Desafortunadamente el tema de licencias de ISE está fuera de mi conocimiento, sin embargo sólo se requiere que el servidor ISE pueda hacer autenticación y autorización por radius. Podemos revisarlo fuera de la sesión.

Pregunta : ¿Qué método de EAP se usa? - Sebastián O. (min.41)

Respuesta (Amy N.) :  Hola Sebastián. Utiliza el Cisco proprietary AnyConnect-EAP method.

Pregunta : Buenos días, soporta AES-GCM para el proposal de ikev2? - Renato L. (min.40)

Respuesta (Ángel O.) : Hola Renato. Sí se soporta AES-GCM para el proposal.

Pregunta : ¿Cuál es el overhead del Tunnel? ¿MTU óptimo? Supongo que no hay mGRE como con DMVPN ¿es así? - Luis Miguel C. (min.41)

Respuesta (Amy N.) : DMVPN es una feature que se soportara en IOS XE pero no es SDWAN, y FLEXVPN es otro tipo de VPN que ahora está soportada en ambos modo. Entonces no, no utiliza Gre o MGRE.

Pregunta : Veo que esta utilizando Ipsec, qué sucede con el caso del multicast? - Percy V. (min.42)

Respuesta (Amy N.) : Hola Percy, podrias elaborar un poco más tu pregunta. Te refieres asi el trabajo de Multicast pase por IPSEC? (Mensaje: Percy V. favor de enviar la pregunta en el foro del AMA, clic aquí).

Pregunta : ¿EAP-TLS entonces? - Sebastián O. (min.43)

Respuesta (Amy N.) :  Hola Sebastián. Utiliza el Cisco proprietary AnyConnect-EAP method.

Pregunta : Entonces ese equipo externo se requiere que tenga alta disponibilidad? - Jorge A. (min.47)

Respuesta (Ángel O.) : Hola Jorge. Es sugerido para tener redundancia, sin embargo no es necesario.

Pregunta : ¿La base de datos de usuarios la puedo usar con AD validándola del ISE, o sí o sí tiene que ser una base de datos local en el ISE? - Sebastián O. (min.51)

Respuesta (Ángel O.) : Hola Sebastián, Así es, es posible.

Pregunta : Están utilizando el modo "profile" , se podría hacer en una interfaz física con "Crypto map"? - Percy V. (min.53)

Respuesta (Amy N.) : Hola Percy, Crypto map no está soportado en SDWAN, la única forma de tener SDRA es con FLEXVPN y la virtual template con un IPSEC profile.

Pregunta : ¿Dónde se puede ver la escalabilidad de esta solución? Es decir, ¿cuántas VPN soporta cada router concentrador? - Matías O. (min.65)

Respuesta (Amy N.) : Hola Matías. Al ser parte de la solución de SDWAN el número total de VPNs soportadas depende de la plataforma y este número es repartido entre túneles de SDWAN IPSEC, Túneles de IPSEC y los de SDRA.

Pregunta : Que licenciamiento se requiere del para el router? DNA-E o DNA-A. Por otro lado se requiere algun licenciamiento adicional dependiendo la cantidad de ususarios remotos?... o simplemente teniendo licenciado el cliente AnyConnect es suficiente? - Damián D. (min.67)

Respuesta (Amy N.) : La única licencia que se necesitaría del lado del IOS XE SDWAN device es el HSECK9; sólo en caso de incrementar el throughput, y capacidad. Sin embargo sin ésta, puede funcionar sin ningún problema.

Pregunta : Para aplicar el perfil, ¿no hay alguna manera más automatizada para que se les baje la configuración? Si tengo muchos usuarios ¿tendría que hacerlo de forma manual en cada uno? - Jorge D.  (min.57)

Respuesta (Amy N.) : Hola Jorge, esta configuración puede ser asignada por grupos del lado del ISE.

Pregunta : ¿DART requiere alguna licencia adicional? - Rodrigo D.  (min.71)

Respuesta (Amy N.) : Hola Rodrigo. Si ya cuentas con AnyConnect no necesita ningun licenciamiento extra.

Pregunta : ¿Test aaa también? - Percy V.  (min.72)

Respuesta (Amy N.) : Hola Percy, Así es, puede utilizarse este comando para testear el RADIUS server.

Pregunta : Pueden utilizarse certificados autofirmados? - Iván T.  (min.79)

Respuesta (Amy N.) : Hola Iván. Un self signed no se puede.

Pregunta : Hay un efecto adicional si se usa NAT? - Percy V.  (min.90)

Respuesta (Amy N.) : El NAT se aplica a las Service VRF, entonces en tema de Tunnel establishment de RA no afecta, pero probablemente afecte al tráfico que generen los usuarios remotos dependiendo tu configuración.

Preguntas del CHAT (Parte 2)

Pregunta : ¿Se puede ocupar la CA de Cisco? - Nicolás S.  (min.16)

Respuesta (Amy N.) : Hola Nicolás. No hay limitación sobre cual CA puede usarse, lo indicado es que tu compañía lo reconozca como CA de confianza.

Pregunta : Los 8200 están en roadmap? - Ariel (min.17)

Respuesta (Amy N.) : Hola Ariel. No por el momento.

Pregunta : ¿Quieres decir que es una VRF de red LAN? - Jorge A.  (min.18)

Respuesta (Amy N.) : Hola Jorge. Una Service VRF es una VRF que pertenece a la LAN.

Pregunta : Eso es nuevo para mí, EAP en VPN! - Sebastián O.  (min.19)

Respuesta (Amy N.) : Hola Sebastián. Así es, Cisco proprietary AnyConnect-EAP method es el procotocolo de autenticación para FLEXVPN.

Pregunta : ¿ Soporta 2FA ? - Luis Miguel C.  (min.20)

Respuesta (Amy N.) : Hola Luis. Actualmente FLEXVPN no soporta MFA.

Pregunta : Server AAA deber ser ISE o se puede usar otro software? - Horacio T.  (min.20)

Respuesta (Amy N.) : Hola Horacio, Puede utulizarse otro mientras sea RADIUS.

Pregunta : Se puede utilizar autenticación con una base de datos local o sí o sí tiene que ser un servidor AAA? - Ernesto  (min.22)

Respuesta (Amy N.) : Hola Ernesto. No está soportada la autenticación local y el requisito es que sea RADIUS server.

Pregunta : Esa Loopback1 es la IP de administración? - Jorge A.  (min.23)

Respuesta (Amy N.) : Hola Jorge. Se podría decir que sí, pero no es la que se le asigna al usuario remoto.

Pregunta : ¿Qué seguridad se le aplica a ese Local BreakOut? - Jorge A.  (min.27)

Respuesta (Amy N.) : Hola Jorge, el tipo de seguridad se le aplica dependiento las políticas que quieras agregarle.

Pregunta : sha1? Hay opción de sha2? - Chris  (min.31)

Respuesta (Amy N.) : Hola Chris, en versiones más recientes sí es posible.

Pregunta : ¿Qué licencia de sd-wan hay que tener para hacer esta configuración? - Hugo  (min.56)

Respuesta (Amy N.) : Hola Hugo. No es necesario un licenciamiento en el router para configurarlo .

Pregunta : Se puede utilizar un server NPS en vez de ISE? - Christopher G.  (min.90)

Respuesta (Amy N.) : Hola Christopher. Sí, mientras sea RADIUS sí se puede.

Pregunta : Me gustaría renovar mi ccna. ¿Cómo lo realizo? - Diego G.  (min.91)

Respuesta (Amy N.) : Hola Diego. Tendrías que volver a presentar el examen de CCNA de la nueva currícula para renovarlo.

Para obtener más información, visite nuestros foros de discusión de Routing y Switching y Seguridad.
Si tiene preguntas o tiene problemas técnicos con los productos de Cisco, haga clic aquí para obtener información adicional sin cargo. Visite la página de la Comunidad de Cisco.

 

 

Etiquetas:
Vista previa de archivo
4277 KB
Comentarios
Jimena Saez
Community Manager
Community Manager
‎05-24-2023 11:55 AM

Hemos agregado algunas preguntas y respuestas que estaban pendientes de publicar. Muchas gracias por su paciencia.

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:

Navegue y encuentre contenido personalizado de la comunidad

Calendario de Eventos Videos de Ayuda de la Comunidad Comunidad de Developers
Customers Also Viewed These Support Documents