12-15-2016 04:43 PM - editado 03-21-2019 05:41 PM
Gustavo Salazar es consultor de Tecnologías de la Información y Desarrollador de Políticas de Enrutamiento y Seguridad en tecnologías Cisco para diversos proveedores de Servicio. Es instructor de Cisco Network Academy para diversos programas, es el mejor instructor del año en Latino América y un Cisco Champion de 2016. Es docente universitario a nivel maestría de la Universidad de las Fuerzas Armadas- ESPE, tiene un título de Ingeniero Electrónico de la de la misma y es reconocido por obtener el más alto promedio en su Maestría de Redes Comunicacionales en el 2015. Gustavo es originario de Ecuador y cuenta con diversas certificaciones como: CCNA Security, Cisco IOS Security Specialist, CCDA, CCDP, CCNP R&S e IPv6 Forum Gold Engineer entre otras.
R: La principal característica entre ambos protocolos es la escalabilidad que poseen. OSPF tiene ciertas limitaciones en relación con EIGRP, por ejemplo que sólo se puede tener entornos con una sóla área y no es posible tener OSPF Multiárea, además que al ser DMVPN una tecnología Cisco, se acopla de mejor forma con EIGRP.
R: Existen múltiples plataformas con IOS como sistema operativo con las que se podría implementar DMVPN, hay que recordar que los equipos deben contar con IOS, además se debe verificar de sucursales empresariales (sitios) y túneles que se tienen, así como los anchos de bandas que se planean usar. En este link Cisco ha tomado esas consideraciones base que se deben tener en cuenta:
https://supportforums.cisco.com/sites/default/files/legacy/3/9/5/26593-DMVPNbk.pdf
R: Las dos tecnologías son muy buenas y útiles a nivel empresarial, todo depende de las necesidades de la compañía y de los recursos que cuenta.
Ambas se basan en los mismos elementos, IPsec, NHRP y es opcional el uso de GRE; aunque FlexVPN al ser una tecnología más nueva, consideró ciertos temas como exceso de overhead de DMVPN y latencia en el proceso query/reply de NHRP, además FlexVPN usa IKEv2, mientras DMVPN inicialmente se concibió con IKEv1.
En este documento se explica clara y de forma concisa la migración de DMVPN a FlexVPN en los mismos equipos (Hard Migration):
http://www.cisco.com/c/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/115726-flexvpn-hardmove-same-00.html
R: Esta pregunta se responde con la siguiente.
R: Cuando se tiene más de un proveedor para la conectividad entre Matriz y Sucursales, es posible usar una DMVPN distinta para cada ISP. Eso es posible hacerlo por redundancia, eliminar puntos de falla, escalabilidad, etc.
En la matriz y sucursales se distinguirá cuando se emplea una DMVPN y cuando otra, tanto por un tunnel key como por el ip nhrp network-id configurados en cada interface túnel.
Hay varias maneras de tener redundancia, ya sea con dos Hubs en una misma DMVPN o un hub distinto para cada DMVPN o un solo Hub para dos redes DMVPN distintas (usando dos interfaces túnel distintas). En esta última opción se debería usar PBR para manipular el tráfico.
Para monitorear el AB usado en cada DMVPN se puede emplear herramientas con protocolos estándar como SNMPv3 o una técnica de Cisco tipo puntas de prueba llamada Cisco IP SLA.
R: Claro que sí. NAT es un proceso necesario (para usar IPv4 privadas) que ha complicado las comunicaciones que utilizan VPNs, además de interrumpir ciertos servicios debido a que se rompe la estructura IPv4 original.
Cuando se implementa DMVPN con IPsec donde los equipos Hub/Spokes también realizan NAT para la comunicación con los ISPs es necesario configurar NAT Transparency en los VPN Peers con el siguiente comando:
crypto ipsec nat-transparency udp-encapsulation
R: FlexVPN es una solución más actual que DMVPN, por tal motivo se consideraron tiempos de respuesta de NHRP y la posibilidad de no usar GRE, sino directamente IPsec, por lo que puntos como exceso de overhead, posibilidad de más escalabilidad y mejores tiempos de respuesta se tomaron en cuenta. Es posible una vez que se tiene DMVPN migrar de forma sencilla a FlexVPN.
R: Cisco y la Comunidad de Soporte de Cisco en Español tienen mucha información sobre el tema.
Adjunto algunos links sobre ello:
https://supportforums.cisco.com/es/blog/13132971
Documento de Intelligent WAN (iWAN), uno de los temas abarcados es DMVPN
http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Oct2016/CVD-IWANDeployment-2016OCT.pdf
R: Sí, es posible, aunque se recomienda el uso de Cisco VIRL. (http://virl.cisco.com/).
R: se tendría que revisar la configuración para revisar la ruta a la administración de los equipos y verificar que no se pierda en la configuración.
R:IS-IS no es soportado en DMVPN
R: Sí, es posible.
R: La Fase 1 es Hub-Spoke y la Fase 2 permite conectividad Spoke-Spoke sin tener que transportar el tráfico por medio del Hub.
R: Es recomendable que el MTU sea el mismo en ambos lados.
R: En sí todo depende del ISP y el tipo de servicio que se este utilizando, normalmente es recomendable usar MTU 1400.
R: Es correcto, la red de transporte es transparente.
R: Es correcto, la configuración es necesaria para poder habilitar la comunicación Spoke-Spoke.
R: La Fase 1 y 2 utilizan mGRE, en otras palabras: 1) Fase 1 – Hub - Spoke (mGRE hub, p2p GRE spokes)
2) Fase 2 – Hub - Spoke con tuneles Spoke-to-Spoke (mGRE en ambos lados).
R: Claro que si, puedes encontrarla en la siguiente liga: cisco.com/go/dmvpn
R: Para implementar DMVPN no es necesario ningún requerimiento adicional del ISP, se puede realizar DMVPN sobre Internet o MPLS como se demuestra en la Demo de esta sesión.
R: Estática en cada sitio.
R: Seguro, los show running-config son los archivos de configuración que pueden encontrar en el siguiente link de la Comunidad: https://supportforums.cisco.com/es/document/13186016
R: NHRP no modifica la tabla de ruteo, el protocolo de ruteo ve el destino por medio del tunel a un solo hop de distancia.
R: En cuestión de tiempo por default cada 30 segundos se realiza un check, pero este valor se puede cambiar. El tunel será desconectado cuando haya 0 kbps de transferencia de datos por 30 segundos.
R: Mientras haya conectividad capa 3 se puede monitorear los equipos por SNMP.
R: Cisco ASA no utiliza Cisco IOS
R: IWAN esta basado en DMVPN, así que es importante dominar DMVPN para implementar iWAN.
R: En CCNP si se ve DMVP y es muy válido, pero esta certificación se enfoca más en BGP.
R: No se cuenta con el, DMVPN no lo soporta a este nivel.
R: La plataforma determina la cantidad de túneles que se pueden crear y por ende el dinamismo de la red, DMVPN funciona solo en equipos que tienen IOS. Es recomendable tener una redundancia de Hubs.
R: Seguro, el comando crypto isakmp key permite establecer la llave compartida entre los pares de la VPN (pre-shared key).
En cuanto a la dirección 0.0.0.0 es una dirección comodín, es decir, abarca todas las direcciones. Se usa ello ya que no se tiene certeza de la dirección de destino del túnel (obtenido dinámicamente por NHRP)
R: En realidad, tal como se mencionó en el Webcast, hablando en términos de seguridad el modo túnel es preferible pues permite encriptar tanto el payload como los encabezados originales y este es el modo usado cuando se tiene Site-to-Site VPN. No obstante, en términos de aumento de datos de control, posibilidad de fragmentación, el modo túnel debe incrementar un encabezado de direccionamiento IP adicional, mientras en el modo de transporte se mantiene el encabezado original. El modo de transporte se puede usar también en Site-to-Site VPN y también en Remote VPNs. Es una buena práctica disminuir tanto el MTU a 1400 bytes y el MSS también según las necesidades.
R: El emulador se llama Cisco VIRL (Virtual Internet Routing Lab).
Link de VIRL: http://virl.cisco.com/
R: La principal ventaja que tiene contra cualquier otro tipo de VPN, es que es estático y brinda un posibilidad dinámica de generar túneles. Comparado con cualquier otro VPN tiene mucha carga en los encabezados.
R: Claro que sí. NAT es un proceso necesario (para usar IPv4 privadas) que ha complicado las comunicaciones que utilizan VPNs, además de interrumpir ciertos servicios debido a que se rompe la estructura IPv4 original.
Cuando se implementa DMVPN con IPsec donde los equipos Hub/Spokes también realizan NAT para la comunicación con los ISPs es necesario configurar NAT Transparency en los VPN Peers con el siguiente comando:
crypto ipsec nat-transparency udp-encapsulation
R: Esta pregunta se respondió con la anterior. Se recomienda tener un DMVPN por cada proveedor y considerar el uso de balanceadores de carga y distintos Hubs.
Si se desea tener un solo túnel con dos distintos ISP, se podría redirigir el tráfico manipulándolo con route-maps (PBR – Policy-Based Routing) y así tener un ISP principal y otro de respaldo.
No hay que olvidar que una red dará el sustento al negocio empresarial, por tal motivo el diseño de esa red debe alinearse a las necesidades, políticas y restricciones de la empresa.
R: DMVPN es un protocolo que correría sobre MPLS, sin impactar MPLS en ninguna manera.
R:Sí, es correcto. Se puede tener un diseño de Hub múltiple en la topología.
R: DMVPN es principalmente es soportado en los siguientes modelos: Cisco 870, Cisco 1800, Cisco 2800, Cisco 3800, ISR G2, Cisco 7000, ASR 1000 y Catalyst 6500.
Pero para más detalles puedes consultar: http://www.cisco.com/c/en/us/products/collateral/security/dynamic-multipoint-vpn-dmvpn/data_sheet_c78-468520.html
R: Es conveniente usar GRE multipoint para poder tener una conectividad dinámica y evitar tantos cambios en la configuración del lado del hub.
R: No, el número de tunel puede ser diferente. Lo importante es el source-destination en NHRP para establecer el tunel.
R: Es correcto.
R: Se recomendaría que explorarán la opción de configurar DMVPN con redundancia en ISP usando VRF.
R: Puede ser, si se refieren a monitorear con alguna herramienta por medio de icmp o snmp.
R: Sí, se puede implementar QoS sobre el tunnel DMVPN
R: Pueden encontrar la guía en esta liga: https://supportforums.cisco.com/sites/default/files/legacy/3/9/5/26593-DMVPNbk.pdf
R: Al ser baja la cantidad de sucursales cualquier ISE está bien, puede ser un ISE800 o 900. Ahora bien, si al sucursal es movible se recomienda el DMVPN porque nos e necesita hacer nada en el Hub (matriz) y las sucursales se pueden seguir moviendo para levantar.
R: Sí, es compatible con IKev2.
R: El diagrama de la topología se encuentra a continuación, el resto de los datos de esta sesión en la Comunidad.
R: El emulador de redes de Cisco Systems se llama Cisco VIRL (Virtual Internet Routing Lab).
Es un excelente emulador, no solo de equipos con IOS, sino con IOS-XR, ASA-OS, NX-OS entre otros.
Para más información pueden acceder a este enlace:
http://virl.cisco.com/
https://www.youtube.com/watch?v=AHOq756f0UU
R: Sí, es recomendable verificar la siguiente liga: virl.cisco.com
R: Voice IP es completamente compatible con DMVPN, al igual que con video, incluso si se tienen opciones más modernas como multicast es posible que estas funcionen con DMVPN.
R: Claro que sí, ya fueron compartidos a la Comunidad de Soporte Cisco en Español (running-configs de todos los equipos usados en la Demo: R1-H, R2-S, R3-S, PE-1, PE-2, PE-3 y P). Link configuraciones: https://supportforums.cisco.com/es/document/13186016
Todo el material relacionado a esta sesión se encuentra ubicado en la Comunidad, los archivos de configuración pueden ser consultados en la grabación.
La presentacion no esta disponible
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad