cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Avisos
Ask Me Anything - Webex Bots

DMVPN Fase1 y 2 en IPv4: Fundamentos y Configuración básica enfocado al CCIE R&S- FAQ

2065
Visitas
15
ÚTIL
1
Comentarios

 


Introducción


            

        

Gustavo Salazar es consultor de Tecnologías de la Información y Desarrollador de Políticas de Enrutamiento y Seguridad en tecnologías Cisco para diversos proveedores de Servicio. Es instructor de Cisco Network Academy para diversos programas, es el mejor instructor del año en Latino América y un Cisco Champion de 2016. Es docente universitario a nivel maestría de la Universidad de las Fuerzas Armadas- ESPE, tiene un título de Ingeniero Electrónico de la de la misma y es reconocido por obtener el más alto promedio en su Maestría de Redes Comunicacionales en el 2015. Gustavo es originario de Ecuador y cuenta con diversas certificaciones como: CCNA Security, Cisco IOS Security Specialist, CCDA, CCDP, CCNP R&S e IPv6 Forum Gold Engineer entre otras. 

 
Puede descargar la presentación en formato PDF aquí. También puede encontrar el video la sesión aquí.

 




DMVPN Fase 1 y 2 en IPv4: Fundamentos y Configuración básica enfocado al CCIE R&S

 

P:¿Qué protocolo es mejor para DMVPN, OSPF o EIGRP? 

R: La principal característica entre ambos protocolos es la escalabilidad que poseen. OSPF tiene ciertas limitaciones en relación con EIGRP, por ejemplo que sólo se puede tener entornos con una sóla área y no es posible tener OSPF Multiárea, además que al ser DMVPN una tecnología Cisco, se acopla de mejor forma con EIGRP.

P: ¿Cuáles son las limitaciones en cuanto a hardware para la implementación de DWVPN?

R: Existen múltiples plataformas con IOS como sistema operativo con las que se podría implementar DMVPN, hay que recordar que los equipos deben contar con IOS, además se debe verificar de sucursales empresariales (sitios) y túneles que se tienen, así como los anchos de bandas que se planean usar. En este link Cisco ha tomado esas consideraciones base que se deben tener en cuenta:
https://supportforums.cisco.com/sites/default/files/legacy/3/9/5/26593-DMVPNbk.pdf

P: ¿Cuáles son las principales diferencias de DMVPN con FLEXvpn?

R: Las dos tecnologías son muy buenas y útiles a nivel empresarial, todo depende de las necesidades de la compañía y de los recursos que cuenta.
Ambas se basan en los mismos elementos, IPsec, NHRP y es opcional el uso de GRE; aunque FlexVPN al ser una tecnología más nueva, consideró ciertos temas como exceso de overhead de DMVPN y latencia en el proceso query/reply de NHRP, además FlexVPN usa IKEv2, mientras DMVPN inicialmente se concibió con IKEv1.

En este documento se explica clara y de forma concisa la migración de DMVPN a FlexVPN en los mismos equipos (Hard Migration):
http://www.cisco.com/c/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/115726-flexvpn-hardmove-same-00.html

P: Al tener un solo tunnel ¿cómo reviso el consumo de BW de cada proveedor para cada localidad?

R: Esta pregunta se responde con la siguiente. 

P: ¿Cómo funciona el balanceo de tráfico en localidades donde se tiene dos proveedores por cada sitio?

R: Cuando se tiene más de un proveedor para la conectividad entre Matriz y Sucursales, es posible usar una DMVPN distinta para cada ISP. Eso es posible hacerlo por redundancia, eliminar puntos de falla, escalabilidad, etc.
En la matriz y sucursales se distinguirá cuando se emplea una DMVPN y cuando otra, tanto por un tunnel key como por el ip nhrp network-id configurados en cada interface túnel.
Hay varias maneras de tener redundancia, ya sea con dos Hubs en una misma DMVPN o un hub distinto para cada DMVPN o un solo Hub para dos redes DMVPN distintas (usando dos interfaces túnel distintas). En esta última opción se debería usar PBR para manipular el tráfico.
Para monitorear el AB usado en cada DMVPN se puede emplear herramientas con protocolos estándar como SNMPv3 o una técnica de Cisco tipo puntas de prueba llamada Cisco IP SLA.

P: ¿Puede funcionar DMVPN Spoke to Skoke en un esquema NAT donde los Spokes se encuentren detrás de modems o equipos realizando NAT?

R: Claro que sí. NAT es un proceso necesario (para usar IPv4 privadas) que ha complicado las comunicaciones que utilizan VPNs, además de interrumpir ciertos servicios debido a que se rompe la estructura IPv4 original.
Cuando se implementa DMVPN con IPsec donde los equipos Hub/Spokes también realizan NAT para la comunicación con los ISPs es necesario configurar NAT Transparency en los VPN Peers con el siguiente comando:
crypto ipsec nat-transparency udp-encapsulation 

P: ¿Cuáles son las principales diferencias de DMVPN con FLEXvpn?

R: FlexVPN es una solución más actual que DMVPN, por tal motivo se consideraron tiempos de respuesta de NHRP y la posibilidad de no usar GRE, sino directamente IPsec, por lo que puntos como exceso de overhead, posibilidad de más escalabilidad y mejores tiempos de respuesta se tomaron en cuenta. Es posible una vez que se tiene DMVPN migrar de forma sencilla a FlexVPN.

P:¿Podrían compartir diagramas y ejercicios referentes al tema?

R: Cisco y la Comunidad de Soporte de Cisco en Español tienen mucha información sobre el tema.
Adjunto algunos links sobre ello:
https://supportforums.cisco.com/es/blog/13132971

http://www.cisco.com/c/en/us/products/collateral/security/dynamic-multipoint-vpn-dmvpn/data_sheet_c78-468520.html

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/15-mt/sec-conn-dmvpn-15-mt-book.pdf

http://www.cisco.com/c/dam/en/us/products/collateral/security/dynamic-multipoint-vpn-dmvpn/DMVPN_Overview.pdf

Documento de Intelligent WAN (iWAN), uno de los temas abarcados es DMVPN
http://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Oct2016/CVD-IWANDeployment-2016OCT.pdf

P: ¿En simuladores como GNS3 es posible reproducir todo este escenario?

R: Sí, es posible, aunque se recomienda el uso de Cisco VIRL. (http://virl.cisco.com/).

P: Sobre una infraestructura MPLS existente ¿Cómo se puede implementar DMVPN sin perder gestión de los equipos? Cuando se implementa DMVPN  hay corte de comunicación.

R: se tendría que revisar la configuración para revisar la ruta a la administración de los equipos y verificar que no se pierda en la configuración.

P: ¿DMVPN puede configurarse con ISIS?

R:IS-IS no es soportado en DMVPN

P: ¿Se puede tener un Hub de respaldo, dado que el Hub se vuelve un punto crítico de la red si este cae?

R: Sí, es posible. 

P: ¿La fase 1 es cuando aplicas DMVPN para Hub and Spoke y la fase 2 es cuando es Spoke to Spoke ?

R: La Fase 1 es Hub-Spoke y la Fase 2 permite conectividad Spoke-Spoke sin tener que transportar el tráfico por medio del Hub.

P: Si hay mismatch en MTU ¿Se levanta el tunnel, es un requisito para levantar la adjacencia?

R: Es recomendable que el MTU sea el mismo en ambos lados.

P: ¿Qué tamaño de MTU se recomienda para este tipo de implementaciones?

R: En sí todo depende del ISP y el tipo de servicio que se este utilizando, normalmente es recomendable usar MTU 1400.

P: ¿Es transparente la red de transporte que utiliza el ISP para conectar las sucursales? 

R: Es correcto, la red de transporte es transparente.

P: ¿Es realmente necesario configurar los Spoke como mGRE para implementar la fase 2 de DMVPN y que se de la conectividad Spoke-Spoke?

R: Es correcto, la configuración es necesaria para poder habilitar la comunicación Spoke-Spoke. 

P: En la documentación oficial de Cisco la Fase 2 se implementa solo con features de enrutameinto y el mGRE se configura más en escenarios donde existen múltiples hubs ¿qué pueden comentar de esto? 

R: La Fase 1 y 2 utilizan mGRE, en otras palabras: 1) Fase 1 – Hub - Spoke (mGRE hub, p2p GRE spokes)
2) Fase 2 – Hub - Spoke con tuneles Spoke-to-Spoke (mGRE en ambos lados).

P:¿Tienen la documentación oficial que puedan compartir?

R: Claro que si, puedes encontrarla en la siguiente liga: cisco.com/go/dmvpn

P: ¿Exsite algún tipo de requerimiento adicional que se debería solicitar a un ISP al momento de querer implementar este tipo de soluciones?

R: Para implementar DMVPN no es necesario ningún requerimiento adicional del ISP, se puede realizar DMVPN sobre Internet o MPLS como se demuestra en la Demo de esta sesión. 

P: Tengo una oficina en Italia y otra en Canadá ¿pudiese aplicar este tipo de configuración para establecer la comunicación ? Actualmente se comunican con VPN Site-to-Site. ¿Cual sería la ventaja de este tipo podrían comunicarse entre ellas sin tener que depender de una configuración.

R: Estática en cada sitio. 

P: ¿Podrían compartir el show run de todos los routers por favor (la configuración final)?

R: Seguro, los show running-config  son los archivos de configuración que pueden encontrar en el siguiente link de la Comunidad: https://supportforums.cisco.com/es/document/13186016

P: ¿Cómo NHRP modifíca la tabla de ruteo para que pueda ser enlace point to point sin pasar por el HUB?

R: NHRP no modifica la tabla de ruteo, el protocolo de ruteo ve el destino por medio del tunel a un solo hop de distancia.

P: ¿Hay un threshold de tráfico para que el túnel dinámico levante?

R: En cuestión de tiempo por default cada 30 segundos se realiza un check, pero este valor se puede cambiar. El tunel será desconectado cuando haya 0 kbps de transferencia de datos por 30 segundos.

P: ¿Es posible hacerlo por medio de SNMP?

R: Mientras haya conectividad capa 3 se puede monitorear los equipos por SNMP.

P: ¿Qué diferencia existe entre estos dispositivos y los Cisco ASA?

R: Cisco ASA no utiliza Cisco IOS

P: ¿Qué tipo de relación tiene DMVPN con IWAN?

R: IWAN esta basado en DMVPN, así que es importante dominar DMVPN para implementar iWAN.

P: ¿Este tema es fundamental en CCNPv2?

R: En CCNP si se ve DMVP y es muy válido, pero esta certificación se enfoca más en BGP.

P: ¿Se tiene este proyecto en packet para ir probando?

R: No se cuenta con el, DMVPN no lo soporta a este nivel. 

P: ¿Cuál sería la escabilidad de esta solución en cuanto a sitios y prefijos de red?

R: La plataforma determina la cantidad de túneles que se pueden crear y por ende el dinamismo de la red, DMVPN funciona solo en equipos que tienen IOS. Es recomendable tener una redundancia de Hubs.

P: ¿Podrían aclarar el comando "crypto isakmp key CCIE address 0.0.0.0" la dirección 0.0.0.0?

R: Seguro, el comando crypto isakmp key permite establecer la llave compartida entre los pares de la VPN (pre-shared key).
En cuanto a la dirección 0.0.0.0 es una dirección comodín, es decir, abarca todas las direcciones. Se usa ello ya que no se tiene certeza de la dirección de destino del túnel (obtenido dinámicamente por NHRP)

P: ¿Por qué es preferible usar modo transporte en lugar de modo tunel para IPSec?

R: En realidad, tal como se mencionó en el Webcast, hablando en términos de seguridad el modo túnel es preferible pues permite encriptar tanto el payload como los encabezados originales y este es el modo usado cuando se tiene Site-to-Site VPN. No obstante, en términos de aumento de datos de control, posibilidad de fragmentación, el modo túnel debe incrementar un encabezado de direccionamiento IP adicional, mientras en el modo de transporte se mantiene el encabezado original. El modo de transporte se puede usar también en Site-to-Site VPN y también en Remote VPNs. Es una buena práctica disminuir tanto el MTU a 1400 bytes y el MSS también según las necesidades.

P: ¿Podrían brindar el nombre del emulador de equipos Cisco que soporta DMVPN?

R: El emulador se llama Cisco VIRL (Virtual Internet Routing Lab).
Link de VIRL: http://virl.cisco.com/

P: ¿Qué ventaja encuentro en DMVPN comparado con GETVPN ?

R: La principal ventaja que tiene contra cualquier otro tipo de VPN, es que es estático y brinda un posibilidad dinámica de generar túneles. Comparado con cualquier otro VPN tiene mucha carga en los encabezados. 

P: ¿Puede funcionar DMVPN Spoke to Skoke en un esquema NAT donde los spokes se encuentren detras de modems o equipos realizando nat?

R: Claro que sí. NAT es un proceso necesario (para usar IPv4 privadas) que ha complicado las comunicaciones que utilizan VPNs, además de interrumpir ciertos servicios debido a que se rompe la estructura IPv4 original.
Cuando se implementa DMVPN con IPsec donde los equipos Hub/Spokes también realizan NAT para la comunicación con los ISPs es necesario configurar NAT Transparency en los VPN Peers con el siguiente comando:
crypto ipsec nat-transparency udp-encapsulation 

P: ¿Qué pasa si hacia cada sucursal tengo dos enlaces en balanceo de carga y con diferente proveedor hacia cada sucursal, cómo se levantan los túneles dinámicos entre las sucursales?

R: Esta pregunta se respondió con la anterior. Se recomienda tener un DMVPN por cada proveedor y considerar el uso de balanceadores de carga y distintos Hubs.
Si se desea tener un solo túnel con dos distintos ISP, se podría redirigir el tráfico manipulándolo con route-maps (PBR – Policy-Based Routing) y así tener un ISP principal y otro de respaldo.
No hay que olvidar que una red dará el sustento al negocio empresarial, por tal motivo el diseño de esa red debe alinearse a las necesidades, políticas y restricciones de la empresa.

P: Actualmente tengo un proveedor que me ofreceMPLS de capa 3 y tengo miedo configurar y aplicar DVPN ya que no se si el proveedor realmente esta brindando todos los caminos posibles ¿algún comentario?

R: DMVPN es un protocolo que correría sobre MPLS, sin impactar MPLS en ninguna manera.

P: En topologías Hub and Spoke y Spoke to Spoke, el HUB cumple una función principal ¿se puede tener un Hub de Backup?

R:Sí, es correcto. Se puede tener un diseño de Hub múltiple en la topología.

P: ¿Cuáles serian los equipos (que soportan) y licencias que debería de tener en los routers para habilitar DMVPN?

R: DMVPN es principalmente es soportado en los siguientes modelos: Cisco 870, Cisco 1800, Cisco 2800, Cisco 3800, ISR G2, Cisco 7000, ASR 1000 y Catalyst 6500.
Pero para más detalles puedes consultar: http://www.cisco.com/c/en/us/products/collateral/security/dynamic-multipoint-vpn-dmvpn/data_sheet_c78-468520.html

P: ¿Qué tan conveniente es tener tanto el HUB como el Spoke en mode gre multipoint?

R: Es conveniente usar GRE multipoint para poder tener una conectividad dinámica y evitar tantos cambios en la configuración del lado del hub. 

P: ¿El número del Tunel en la configuración, debe ser la misma tanto para Hubs como para Spokes?

R: No, el número de tunel puede ser diferente. Lo importante es el source-destination en NHRP para establecer el tunel.

P: ¿El tunel entre Spokes es levanto por el ping?

R: Es correcto. 

P: En nuestra institución por tema de seguridad de conexión contamos con doble enlace hacia los HUB y SPOKE (distintos proveedores) ¿cuál sería la mejor opción para implementar DMVPN? 

R: Se recomendaría que explorarán la opción de configurar DMVPN con redundancia en ISP usando VRF.

P: ¿Se pueden llegar a monitorear todos los túneles con DMVPN?

R: Puede ser, si se refieren a monitorear con alguna herramienta por medio de icmp o snmp.

P: ¿Es posible aplicar políticas de calidad de servicio cuando se configura DMVPN y se utiliza VoIP en las sucursales? 

R: Sí, se puede implementar QoS sobre el tunnel DMVPN

P: ¿Pueden compartir  a liga con la guía de diseño para DMVPN?

R: Pueden encontrar la guía en esta liga: https://supportforums.cisco.com/sites/default/files/legacy/3/9/5/26593-DMVPNbk.pdf

P: ¿Cuál sería la recomendación de harware para una empresa pequeña, con una matriz y 5 sitios remotos, considerando que los sitios remotos pueden ser movibles, es decir desde cualquier sitio?

R: Al ser baja la cantidad de sucursales cualquier ISE está bien, puede ser un ISE800 o 900. Ahora bien, si al sucursal es movible se recomienda el DMVPN porque nos e necesita hacer nada en el Hub (matriz) y las sucursales se pueden seguir moviendo para levantar.

P: ¿DMVPN funciona con IKEv2?

R: Sí, es compatible con IKev2.

P: ¿Se puede consultar el laboratorio que Gustavo presento?

R: El diagrama de la topología se encuentra a continuación, el resto de los datos de esta sesión en la Comunidad. 

P: ¿Cómo se puede obtener ese emulador que Gustavo comento para realizar redes?

R: El emulador de redes de Cisco Systems se llama Cisco VIRL (Virtual Internet Routing Lab).
Es un excelente emulador, no solo de equipos con IOS, sino con IOS-XR, ASA-OS, NX-OS entre otros.
Para más información pueden acceder a este enlace:
http://virl.cisco.com/
https://www.youtube.com/watch?v=AHOq756f0UU

P: ¿Cisco VIRL tiene costo?

R: Sí, es recomendable verificar la siguiente liga: virl.cisco.com

P: ¿Tiene alguna limitación implementar DMVPN con VoIP ? O ¿existe alguna recomendación cuando se lleva este tipo de tráfico por los tuneles? 

R: Voice IP es completamente compatible con DMVPN, al igual que con video, incluso si se tienen opciones más modernas como multicast es posible que estas funcionen con DMVPN. 

P: ¿Pueden compartir los archivos de configuración de los dispositivos utilizados en los dispositivos durante la DEMO?

R: Claro que sí, ya fueron compartidos a la Comunidad de Soporte Cisco en Español (running-configs de todos los equipos usados en la Demo: R1-H, R2-S, R3-S, PE-1, PE-2, PE-3 y P). Link configuraciones: https://supportforums.cisco.com/es/document/13186016

Todo el material relacionado a esta sesión se encuentra ubicado en la Comunidad, los archivos de configuración pueden ser consultados en la grabación.

 



Información relacionada

 

 

Comentarios

La presentacion no esta disponible

Crear
Reconozca a un colega
Content for Community-Ad