Cisco DMVPN – Parte-1

Neste post estarei apresentando uma introdução sobre o protocolo GRE, configurações com DMVPN e falando sobre as fases 1,2 e 3.

So, let’s talk first about it.

DMVPN

Estarei utilizando a topologia acima com as seguintes referencias, o HQ (Hub) se conecta à Internet e os dois Clientes (Spokes) de cada site possui seu próprio endereço IP público.

A configuração que estarei realizando será para esses sites se conectarem uns aos outros com seu próprio endereço IP privado utilizando túneis GRE.
O protocolo de transporte GRE oferece a possibilidade para criar conexões de túnel ponto a ponto e para isso é preciso informar o tunel source da interface e tunel destination dentro dentro da configuração de interface do GRE que será explicada mais a frente neste post.

GRE Notas importantes

  • GRE (Generic Routing Encapsulation) é um protocolo de encapsulamento que pode encapsular uma grande variedade de tipos de protocolos dentro de túneis, tais como, IP, IPX, Apple Talk e alguns outros que não lembro agora =).
  • O Túnel GRE pode ser usado para que dois roteadores na internet possam se comunicar com suas sub-rede privada.
  • O cabeçalho GRE cria pelo menos 24 bytes de overhead adicional para pacotes tunelados, é por isso que precisamos diminuir MTU para 1400 para libertar espaço para esses bytes adicionais.
  • O túnel GRE não irá criptografar ou proteger seus dados através dele, a menos que seja configurado o IPsec para esta finalidade.
  • O GRE pode ser usado para fornecer túnel ponto ou multiponto usando mGRE, falaremos dele mais adiante.

Tipo de endereço IP que será configurado no GRE ou mGRE:

  • Hub & Spokes IP Público: O endereço IP público também chamado de Outside address ou endereço IP NBMA.
  • Hub & Spokes IP Privado: O endereço IP privado (endereço IP do túnel) também é chamado de Enterprise address ou Inside address.

Neste exemplo: o endereço IP público do router R1 é 10.1.12.1 e o endereço IP público do router R2 10.1.12.2, será configurado uma interface de túnel para conectar ambos, a rede do túnel está definido com o endereço 180.180.180.0/24.

dmvpn-2

R1
interface Tunnel1
ip address 180.180.180.1 255.255.255.0
ip mtu 1400
tunnel source 10.1.12.1
tunnel destination 10.1.12.2
!
interface FastEthernet0/0
ip address 10.1.12.1 255.255.255.0

R2
interface Tunnel1
ip address 180.180.180.2 255.255.255.0
ip mtu 1400
tunnel source 10.1.12.2
tunnel destination 10.1.12.1
!
interface FastEthernet0/0
ip address 10.1.12.2 255.255.255.0

Agora espero que vc tenha feito a pergunta, e se eu tiver 100 filiais e quiserem se conectar ao HQ?…Lembra que esse é o nome do HUB, então precisarei configurar 100 tuneis GRE?!!! … Yes, you are right, no modo point-to-point é preciso configurar um túnel para cada Spoke, a gerencia e escalabilidade se torna um caos total para grandes ambientes!

Então o que fazer para facilitar o gerenciamento e a escalabilidade para um ambiente com a utilização de DMVPN?
Neste caso, podemos utilizar um outro protocolo chamado mGRE que fornecem túneis dinâmicos point-to-multipoint.
Ambos GRE & mGRE oferecem suporte para tráfego unicast, multicast e broadcast. Mas como nada é lindo e maravilhoso, em mGRE existe algumas considerações que precisam ser tratadas para evitar problemas, vamos falar mais tarde sobre isso quando chegar o momento de implementar o IGP com o DMVPN.

DMVPN
Quando utilizando o DMVPN ele permite criar uma única interface túnel mGRE e um único perfil para utilização de IPsec e aplicar na interface de túnel.

Componentes do DMVPN

  • CEF precisa estar sendo executado
  • Multipoint GRE
  • NHRP (Next Hop Resolution Protocol)
  • Protocolo de roteamento dinâmico ou rotas estáticas
  • Opcional – IPsec (GRE & mGRE não fornece proteção de criptográfica, é por isso que precisamos do IPsec para fazer isso por nós)

Para permitir que os Spokes conversem uns com os outros, precisamos fazer um mapeamento entre o endereço privado do túnel do HUB para o endereço IP público, é por isso que usamos o NHRP

Informações sobre NHRP:

  • NHRP fornece protocolos de resolução de endereços na camada 2 similar ao ARP ou ARP inverso do Frame Relay
  • NHRP é utilizado pelos Spokes para determinar o endereço NBMA do next hop router
  • Durante a configuração do NHRP é feito o mapeamento do endereço IP privado do túnel para o endereço IP público NBMA de forma estática ou dinâmica.
  • O NHRP é um protocolo cliente e servidor onde o hub atua como o servidor NHRP (NHS) e os Spokes são os clientes NHRP (NHC)
  • Cada Spoke registra seus endereços de túnel públicos e internos quando inicia e consulta o banco de dados NHRP para os endereços de outros Spokes
  • Ao adicionar um novo Spoke ao DMVPN não requer nenhuma configuração adicional no Hub. O Spoke é configurado apenas com as informações do Hub.

O DMVPN pode configurar em três maneiras fase 1, 2 e 3:

Fases do DMVPN 

Fase 1 – Hub & Spoke
– Nesta fase o mode de configuração mGRE é configurado no Hub, e o modo de GRE é configurado nos Spokes.
– Fluxo de tráfego de multicast ou unicast é somente entre o Hub e os Spokes apenas, e  NÃO entre Spokes to Spokes.
– Pode ser configurado de forma estática ou o NHC se registrará dinamicamente no NHS.
– Na Fase 1 os Spokes conversam entre eles apenas utilizando o Hub.

Fase 2 – Spoke-To-Spoke ou partial/full mesh
– Nesta fase o Hub e todos os Spokes serão configurados com mGRE.
– Na Fase 2 os Spokes podem conversar uns com os outros diretamente.

Fase 3
– É idêntico à fase 2 com uma grande diferença =D. usamos o comando ip nhrp redirect na configuração de tunel do Hub e ip nhrp shortcut na configuração de tunel dos Spokes.

A seguinte etapa acontece na fase 2 quando os Spokes precisam comunicar entre eles:
1- Spoke1 consulta seu cache NHRP local para o endereço IP do túnel do Spoke2 e se não encontra nenhuma entrada.
2-Envia uma consulta para o servidor NHRP (o roteador do hub DMVPN) para resolver o endereço interno (túnel) para um endereço IP externo do Spoke2.
3- O servidor NHRP, que mantém os endereços internos (túnel) e externo (físico) para roteadores do Spoke, envia uma resposta de NHRP para Spoke1, que informa que o IP do túnel interno do Spoke2 pode ser alcançado através do seu endereço IP (físico) externo.
4- Agora o Spoke1 recebe a resposta do servidor e adicionar essa entrada em seu cache local NHRP.

Configuração DMVPN – Esta configuração esta utilizando primeira topologia.
Nas duas fases 1 e 2, podemos usar o mapeamento estático ou o mapeamento dinâmico.

Exemplo de mapeamento estático da Fase 1:

Hub
interface tunnel 1
ip address 10.1.1.1 255.255.255.0
tunnel source 192.1.1.1
tunnel mode gre multipoint < Isso especifica a interface do túnel com um multiponto GRE, o que significa que estará atuando como interfaces únicas conectadas a múltiplos peers
ip nhrp network-id 111 < isso habilita o NHRP neste túnel, deve ser o mesmo no servidor NHRP e clientes NHRP.
ip nhrp map 10.1.1.2 192.1.2.2
ip nhrp map 10.1.1.3 192.1.3.3
ip nhrp map 10.1.1.4 192.1.4.4 < Estes comandos são para mapear os ips privados das interfaces de tunel dos Spokes para os endereços externos deles.

Nota: para suportar protocolos de roteamento dinâmico, habilite o suporte para tráfego de multicast com o comando ip nhrp map multicast dynamic sob a interface do túnel apenas no Hub. Isso permite que cada Spoke se registre como um receptor de tráfego multicast fazendo com que o Hub replica e encaminhe pacotes de multicast aos roteadores. Nos Spokes, configuramos ip nhrp map multicast 1.1.1.10 (onde 1.1.1.10 é o endereço IP público do hub), isso garante que o tráfego multicast seja enviado somente de Spokes para o Hub e não de Spoke para Spoke. Todo o tráfego multicast deve ser recebido pelo Hub, processado e, em seguida, as atualizações são enviadas para os Spokes

Na fase 1, não há necessidade do comando de multicast, porque a comunicação entre o Spoke com o Hub é Point-to-Point.

Spoke1
interface tunnel 1
ip address 10.1.1.2 255.255.255.0
tunnel source 192.1.2.2 < ou tunnel source f0/0
tunnel destination 192.1.1.1
ip nhrp netowrk-id 111
ip nhrp map 10.1.1.1 192.1.1.1

Spoke2
interface tunnel 1
ip address 10.1.1.3 255.255.255.0
tunnel source f0/0
tunnel destination 192.1.1.1
ip nhrp netowrk-id 111
ip nhrp map 10.1.1.1 192.1.1.1

Nota: para adicionar maior segurança podemos configurar autenticação entre o Hub e os Spokes: ip nhrp authentication C1$c0123, isso garante que as consultas indesejadas não sejam fornecidas com informações sobre a rede DMVPN.

Exemplo de mapeamento dinâmico da Fase 1:
Na configuração do Túnel do Hub não será adicionado os comandos “ip nhrp map

Hub
interface tunnel 1
ip add 10.1.1.1 255.255.255.0
tunnel source 192.1.1.1
tunnel mode gre multipoint
ip nhrp netowrk-id 111

Spoke1
interface tunnel 1
ip address 10.1.1.2 255.255.255.0
tunnel source 192.1.2.2
tunnel destination 192.1.1.1
ip nhrp netowrk-id 222
ip nhrp map 10.1.1.1 192.1.1.1 < mapeia o endereço NHS (10.1.1.1) para o endereço IP público (R1) do Hub (192.1.1.1).
ip nhrp nhs 10.1.1.1 < envie solicitação de registro para o Hub, informa a este Spoke quem é Next Hop Server (NHS).

Spoke2
interface tunnel 1
ip address 10.1.1.3 255.255.255.0
tunnel source f0/0
tunnel destination 192.1.1.1
ip nhrp netowrk-id 333
ip nhrp map 10.1.1.1 192.1.1.1
ip nhrp nhs 10.1.1.1

Comandos para verificação e Tshoot DMVPN

sh ip nhrp
sh ip nhrp detail

show ip nhrp nhs: Exibe as informações do servidor NHRP next-hop e pode ser usado  para mostrar informações de mapeamento NHRP para um dispositivo.

debug nhrp packet
sh dmvpn: Verifica os spokes registrados no Hub.

Overview Protocolo 802.1x

802.1X

802.1X oferece uma visibilidade e controle de acesso seguro baseado em identidades e certificados de controle na borda da rede.

A necessidade para controlar o acesso seguro à rede nunca foi tão grande como os dias atuais, existe a necessidade para controlar acesso aos consultores, prestadores de serviços e todos os clientes que precisam do acesso aos recursos de rede sobre as mesmas conexões de LAN. Como as redes de dados tornam-se cada vez mais indispensável em operações de negócios do dia-a-dia, a possibilidade de que pessoas ou dispositivos não autorizados terão acesso a informações controladas ou confidenciais também aumenta. A melhor e mais segura solução para a vulnerabilidade na borda de acesso é aproveitar a inteligência da rede.

Antes e depois 802.1X

Antes da autenticação, a identidade do endpoint é desconhecida e todo o tráfego é bloqueado por padrão. Após a autenticação, a identidade do endpoint passa a ser conhecida e todo o tráfego a partir desse ponto é permitido. O switch executa a filtragem do MAC para garantir que apenas o ponto final autenticado tenha permissão para enviar tráfego.

antes-depois

Benefícios sobre 802.1x

802.1X oferece os seguintes benefícios em redes com fio:

  • Visibilidade: 802.1X fornece maior visibilidade na rede porque o processo de autenticação fornece uma maneira de visualizar o nome de usuário com o endereço IP, endereço MAC Address e a porta do switch a qual está conectado. Esta visibilidade é útil quando necessário para realizar auditorias de segurança, estatísticas de uso de rede e solução de problemas;
  • Segurança: 802.1X é o método mais forte para autenticação e deve ser usado para ativos gerenciados que suportam um cliente que utiliza o protocolo 802.1X, trabalha na camada 2 de rede, permitindo controlar o acesso à rede a partir da borda;
  • Serviços com base em identidades: 802.1X permite que utilize uma identidade autenticada para entregar dinamicamente serviços personalizados. Por exemplo, um usuário pode ser autorizado em uma VLAN específica ou atribuir uma lista de acesso que prove a autorização de acesso a recurso no ambiente para este usuário

Componentes do 802.1x

802.1X define os três componentes necessários seguintes:

  • Suplicante: É um cliente que encaminha as credenciais para autenticação, os suplicantes podem ser aplicativos de software instalado em estações, servidores, exemplos de estações Linux que necessitam do “wpa_supplicant”, ou eles podem ser incorporados em sistemas operacionais como o Microsoft Windows, estações com sistema operacional Mac que suportam 802.1X TLS nativo, entre outros;
  • Autenticador: O dispositivo de acesso à rede que inicia o processo de autenticação ele envia as credenciais do suplicante para o servidor de autenticação. No contexto deste documento, o autenticador por ser os switches ou simplesmente a controladores Wireless que trabalha camada de acesso;
  • Servidor de autenticação: Um servidor que valida as credenciais enviadas pelo suplicante e determina o nível de acesso à rede ao usuário final ou dispositivo que deve receber.

Protocolos 802.1x

802.1X utiliza os seguintes protocolos:

  • Extensible Authentication Protocol (EAP): O formato de mensagem e quadro definido pela RFC 4187 que fornece uma maneira para que o suplicante e o autenticador negociam um método de autenticação (o método EAP).
  • Método EAP: Define o método de autenticação, o tipo de credencial e como ele é apresentado a partir do suplicante para o servidor de autenticação usando a estrutura do EAP.
  • OS métodos comuns usados em redes 802.1x são EAP-Transport Layer Security (EAP-TLS) e EAP-Microsoft Challenge Handshake Authentication Protocol v2 (PEAP-MSCHAPv2).
  • EAP sobre LAN (EAPoL): Um encapsulamento definido pelo 802.1x para o transporte EAP do suplicante para o switch sobre redes IEEE 802, EAPoL é um protocolo de camada 2.
  •  O padrão para a comunicação entre o switch e o servidor de autenticação.

802.1x

Visão Geral Sequência de Operação

Na figura abaixo representa o modo de operação de como os componentes do protocolo 802.1x trabalha.

802.1x-2

ASA Clustering

Adaptive Security Appliance (ASA) – Clustering

A partir da versão 9.0 de software do ASA ele passou a suportar a funcionalidade de Firewall Clustering. Isso permite que dependendo do hardware, podemos utilizar até 16 devices para trabalhar em modo de cluster, isso permite que quando configurado em modo de cluster eles apareçam como um único dispositivo. As vantagens é que agora, pode se aproveitar todas as vantagens dos protocolos como vPC e VSS para transporte de tráfego e balanceamento de carga entre todos os dispositivos em uma configuração active/active. Ao contrário do antigo modo de uso active/standby ou active/active com modo multi-contexto, onde um dispositivo estava sempre em standby e não realmente passando o tráfego entre ele.

  • Multiple Context Mode: Um ASA pode ser configurado para operar como vários contextos virtuais, cada um deles atuarão como firewalls independentes.
  • Transparent Mode: Um ASA pode ser configurado para funcionar como um firewall transparente, que se tornam efetivamente como uma bridge entre duas interfaces. Firewalls em modo transparente permite ser ligado numa rede existente, sem necessidade de qualquer.

Arquitetura do Cluster utilizando Cisco ASA

Diferente do modo de cluster tradicional do ASA, a arquitetura de Clustering ela é construída da seguinte maneira, um membro do cluster é eleito Master e os outros dispositivos são Slaves. A primeira unidade a entrar no domínio do cluster ou com base em um valor de prioridade se tornará a unidade Master. O dispositivo Master é responsável por toda a gerencia da configuração, gerenciamento do dispositivo ele também possui o VIP do cluster. Um ponto importante é que um novo Master somente é eleito se haver problemas com o Master atual.

Os dispositivos do cluster utilizam uma comunicação chamado de Cluster Control Link ou (CCL), este link é utilizado para o backplane do cluster. Cada dispositivo deve ter pelo menos uma interface de hardware dedicada para a configuração deste link, a recomendação é que seja utilizado em port-channel e a largura de banda para o CCL seja próxima a quantidade de tráfego que passar pelo cluster, por exemplo, se chegar um tráfego em torno de 12 a 14Gbps por caixa no cluster, então é preciso que o link trabalhe com algo em torno de 14 Gbps. Neste caso, seria preciso configurar 2 interfaces de 10G em um port-channel.

Modos de interface suportados

  • Layer 2 Mode

O modo de interface Spanned EtherChannel é o método recomendado pela Cisco para configurar interfaces do Cluster para switches adjacentes na camada de agregação. Esse método usa o LACP para fornecer uma solução ECMP de camada 2.

  • Layer 3 Mode

O modo de interface individual requer que cada interface do ASA tenha um endereço IP exclusivo atribuído a ele. Nos switches ou roteadores, é preciso utilizar PBR ou um algum protocolo de roteamento dinâmico para fornecer a solução ECMP. Esta é a solução menos recomendada pela Cisco.

Gerencia de conexões do ASA

Quando uma nova conexão é direcionada a um membro do cluster via balanceamento de carga, essa unidade possui ambas as direções da conexão. Se quaisquer pacotes de conexão chegarem a uma unidade diferente, eles serão encaminhados para a unidade Owner por meio Control Cluster Link. Se o fluxo de dados inverso chega a uma unidade diferente, ele é redirecionado de volta para a unidade original, via o Forwarder.

  • Owner – Quando o trafego é iniciado ele passa pela primeira unidade do cluster esta unidade é chamada de owner da conexão ele mantém o estado da sessão.
  • Diretor – Essa unidade controla as solicitações de consulta dos Fowarders e também mantém o estado de conexão para servir como backup se o Owner falhar. Os Diretors são escolhidos com base no hash dos endereços IP SRC/DST e as portas TCP enviadas por um Owner.
  • Forwarder – Uma unidade de Forwarder passa pacotes para o Owner. Ele pode olha o cookie SYN para determinar o fluxo Owner.

 

clusterASA

Que são Vlans e Bridge Groups?

O que são VLANs?

Uma VLAN ou (Virtual Area Networks) é um agrupamento lógico de dispositivos de rede ou de usuários que não se limita a um segmento de switch físico. Os dispositivos ou usuários de uma VLAN podem ser agrupados por funções, departamentos, aplicações, etc., independentemente da localização física de seu segmento. Uma VLAN cria um domínio de broadcast único que não se restringe a um segmento físico, e é considerado como uma sub-rede. A configuração da VLAN é realizada no switch através do software. As VLAN atuais foram padronizadas de acordo com a norma IEEE 802.1Q.

Sem título

É importante em qualquer arquitetura de VLAN, tenha a capacidade de transportar informações de VLAN entre todos os switches da rede pois a cada frame de dados a que atravessar um switch é feito uma inserção de TAG ou identificação que faz referencia aquela VLAN que o frame faz parte.

vlans2

Roteamento Inter-VLAN

Após segmentar a rede em vários domínios de broadcast utilizando VLANs, se tivermos utilizando um firewall por exemplo precisamos permitir a conectividade entre computadores de VLANs diferentes. Quando não existe um dispositivo de Firewall entre as VLANs de diferentes segmentos de Rede temos que utilizar um dispositivo Layer 3, que realize o roteamento entre as VLANs.

inter-vlans

 

Bridge Group

Os Bridge Group (BG) foram criados para fornecer um método para agrupar duas ou mais VLANs em um único domínio de broadcast, o bridge group é usado para conectar o tráfego entre duas interfaces. Por exemplo, agrupar duas VLANs conectadas por meio de um Firewall e fazer a inspeção de trafego dentro dessa rede, o funcionamento consiste em configurar uma para tráfego de VLAN L2 e outra L3 para fazer parte do mesmo bridge group. Isso criará uma ligação entre as duas VLANs e os pacotes Ethernet de uma LAN serão visíveis na outra. Se definir o bridge-group em ambas as interfaces, elas se tornarão parte de um único domínio de broadcast.

Na topologia abaixo é uma demonstração de comunicação entre duas redes utilizando bridge group, quando o PC1 iniciar o tráfego fora da sua sub-rede, ele irá fazer o ARP para o seu gateway, que começará na VLAN 100, em seguida, vai atravessar o firewall para VLAN 110, então o switch SW responderá na VLAN 110 enviando o trafego para o PC2 com base nas informações na sua tabela de roteamento.

bridge-group