Seguridad : Cisco FlexVPN

FlexVPN habló en el diseño redundante del concentrador con el ejemplo de configuración del bloque del cliente de FlexVPN

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe cómo configurar un spoke en una red de FlexVPN con el uso del bloque de la configuración del cliente de FlexVPN en un escenario donde están disponibles los hub múltiple.

Contribuido por Marcin Latosiewicz, ingeniero de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

  • FlexVPN
  • Routing Protocol de Cisco

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Router del servicio integrado de las G2 Series de Cisco (ISR)
  • Versión 15.2M del ® del Cisco IOS

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Antecedentes

Para los propósitos de la redundancia, un spoke pudo necesitar conectar con los hub múltiple. La Redundancia en el lado radial permite la operación continua sin un solo punto de falla en el lado del eje de conexión.

Los dos diseños redundantes mas comunes del concentrador de FlexVPN que utilizan la configuración radial son:

  • Acercamiento dual de la nube, donde un spoke tiene dos túneles diferentes activos a ambo Hubs siempre.
  • Acercamiento de la Conmutación por falla, donde un spoke tiene un túnel activo con un concentrador en cualquier punta dada a tiempo.

Ambos acercamientos tienen un conjunto único de pros - y - contra.

AcercamientoProsCons
Nube dual
  • Una recuperación más rápida en un error, sobre la base de los temporizadores del Routing Protocol
  • Más possibilties para distribuir el tráfico entre el Hubs, puesto que las conexiones a ambo Hubs son activas
  • El spoke mantiene la sesión a ambo Hubs al mismo tiempo, que consume los recursos en ambo Hubs
Failover
  • Configuración fácil - incorporada a FlexVPN
  • No confía en el Routing Protocol en un error
  • Un tiempo de recuperación más lento - basado en el Dead Peer Detection (DPD) o (opcionalmente) el Rastreo de objetos
  • Todo el tráfico se fuerza para viajar a un en un momento del concentrador

Este documento describe el segundo acercamiento.

Configurar

Nota: Use la Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos usados en esta sección.

Diagramas de la Red

Estos diagramas muestran el transporte y los Diagramas de topología del recubrimiento.

Red de transporte

Este diagrama ilustra la red de transporte básica que se utiliza típicamente en las redes de FlexVPN.

Red de recubrimiento

Este diagrama ilustra la red de recubrimiento con la conectividad lógica que muestra cómo la Conmutación por falla debe trabajar. Durante el funcionamiento normal, el Spoke1 y el Spoke2 mantienen una relación con un concentrador solamente.

Nota: En el diagrama, las líneas verdes sólidas muestran la conexión y la dirección del intercambio de claves de Internet primario versión 2 (las sesiones IKEv2)/Flex, y las líneas azules punteadas indican la conexión de respaldo si la sesión del Internet Key Exchange (IKE) al fall del hub primario.

La dirección de /24 representa la agrupación de direcciones afectada un aparato para esta nube, y no la dirección real de la interfaz. Esto es porque el concentrador de FlexVPN afecta un aparato típicamente un IP Address dinámico para la interfaz del spoke, y confía en las rutas insertadas dinámicamente vía los comandos route en el bloque de la autorización de FlexVPN.

Configuración básica del spoke y del concentrador

La configuración básica del hub and spoke se basa en los documentos de la migración del Dynamic Multipoint VPN (DMVPN) a FlexVPN. Esta configuración se describe en la migración de FlexVPN: Movimiento duro del DMVPN a FlexVPN en el mismo artículo de los dispositivos.

Ajuste de la configuración radial

Configuración radial - Bloque de la configuración del cliente

La configuración radial se debe ampliar por el bloque de la configuración del cliente.

En la configuración básica, especifican a los peeres múltiples. Consideran al par con la mayor preferencia (el número más bajo) antes de otros.

crypto ikev2 client flexvpn Flex_Client
peer 1 172.25.1.1
peer 2 172.25.2.1
client connect Tunnel1

La configuración del túnel debe cambiar para permitir que el destino del túnel sea elegido dinámicamente, sobre la base del bloque de la configuración del cliente de FlexVPN.

interface Tunnel1
 tunnel destination dynamic

Es crucial recordar que el bloque de la configuración del cliente de FlexVPN está atado a una interfaz, y no a IKEv2 o al perfil de la seguridad de protocolos en Internet (IPSec).

El bloque de la configuración del cliente proporciona las opciones múltiples para ajustar el tiempo y las operaciones de la Conmutación por falla, que incluyen el seguimiento de los objetos uso, Respaldo de marcado, y funciones de los grupos del respaldo.

Con la configuración básica, el spoke confía en los DPD para detectar si un spoke es insensible, y acciona un cambio una vez que declaran el par absolutamente. La opción para utilizar el DPD no es rápida, debido a cómo los DPD trabajan. Un administrador pudo querer aumentar la configuración con el Rastreo de objetos o las mejoras similares.

Para más información, refiera al capítulo de la configuración del cliente de FlexVPN de la guía de configuración del Cisco IOS, que se conecta en la sección de información relacionada en el extremo de este documento.

Configuración radial completa - Referencia

crypto logging session

crypto ikev2 keyring Flex_key
 peer Spokes
  address 0.0.0.0 0.0.0.0
  pre-shared-key local cisco
  pre-shared-key remote cisco

crypto ikev2 profile Flex_IKEv2
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local Flex_key
 aaa authorization group psk list default default
 virtual-template 1

crypto ikev2 dpd 30 5 on-demand

crypto ikev2 client flexvpn Flex_Client
  peer 1 172.25.1.1
  peer 2 172.25.2.1
  client connect Tunnel1

crypto ipsec transform-set IKEv2 esp-gcm
 mode transport

crypto ipsec profile default
 set ikev2-profile Flex_IKEv2

interface Tunnel1
 description FlexVPN tunnel
 ip address negotiated
 ip mtu 1400
 ip nhrp network-id 2
 ip nhrp shortcut virtual-template 1
 ip nhrp redirect
 ip tcp adjust-mss 1360
 delay 2000
 tunnel source Ethernet0/0
 tunnel destination dynamic
 tunnel path-mtu-discovery
 tunnel protection ipsec profile default

Configuración del hub

Mientras que la mayoría de la Configuración del hub sigue siendo lo mismo, varios aspectos deben ser dirigidos. La mayor parte de pertenecen a una situación en cuál o más spokes están conectados con un concentrador, mientras que otros permanecen en la relación a otro concentrador.

Direccionamientos del spoke

Puesto que el spokes obtiene los IP Addresses del Hubs, se desea normalmente que el Hubs asigna los direccionamientos de diversas subredes o de una diversa parte de una subred.

Por ejemplo:

Hub1

ip local pool FlexSpokes 10.1.1.100 10.1.1.175

Hub2

ip local pool FlexSpokes 10.1.1.176 10.1.1.254

Esto previene la creación de la coincidencia, incluso si los direccionamientos no se rutean fuera de la nube de FlexVPN, que pudo empeorar el troubleshooting.

Direccionamiento del recubrimiento del concentrador

Ambo Hubs puede conservar la misma dirección IP en una interfaz de plantilla virtual; sin embargo, esto puede afectar resolver problemas en algunos casos. Esta opción del diseño hace más fácil desplegar y planear, puesto que el spoke debe tener solamente una dirección de peer para el Border Gateway Protocol (BGP).

En algunos casos, puede ser que no sea deseada ni sea necesitada.

Ruteo

Es necesario que el Hubs intercambie la información sobre el spokes que está conectado.

El Hubs debe poder intercambiar las rutas específicas de los dispositivos que él ha conectado, y todavía proporcionar un resumen al spokes.

Puesto que Cisco recomienda que usted utiliza el iBGP con FlexVPN y el DMVPN, sólo se muestra ese Routing Protocol.

bgp log-neighbor-changes
bgp listen range 10.1.1.0/24 peer-group Spokes
network 192.168.0.0
neighbor Spokes peer-group
neighbor Spokes remote-as 65001
neighbor 192.168.0.2 remote-as 65001
neighbor 192.168.0.2 route-reflector-client
neighbor 192.168.0.2 next-hop-self all
neighbor 192.168.0.2 unsuppress-map ALL
access-list 1 permit any

route-map ALL permit 10
match ip address 1

Esta configuración permite:

  • Módulo de escucha dinámico de los direccionamientos asignados al spokes
  • Publicidad de la red de 192.168.0.0/24
  • Publicidad de la ruta de resumen de 192.168.0.0/16 a todo el spokes. La configuración del agregado-direccionamiento crea una Static ruta para ese prefijo vía la interfaz del null0, que es una ruta de descarte que se utiliza para evitar el rutear de los loopes.
  • Expedición de los prefijos específicos al otro concentrador
  • Route Reflector Client a aseegurarse que el Hubs intercambia la información aprendida del spokes entre uno a

Este diagrama representa el intercambio del prefijo en el BGP en esta configuración, desde la perspectiva de una del Hubs.

Nota: En este diagrama, la línea verde representa la información proporcionada por el spokes al concentrador, la línea roja representa la información proporcionada por cada concentrador al spokes (un resumen solamente), y la línea azul representa los prefijos intercambiados entre el Hubs.

Uso de los resúmenes de la red

Los resúmenes no pudieron ser aplicables o deseados en algunos escenarios. Tenga cuidado cuando usted señala el IP de destino en los prefijos, porque el iBGP no reemplaza el salto siguiente por abandono.

Los resúmenes se recomiendan en las redes que el cambio estado con frecuencia. Por ejemplo, las conexiones de Internet inestables pudieron requerir los resúmenes para: evite el retiro y la adición de prefijos, limite el número de actualizaciones, y permita que la mayoría de las configuraciones escalen correctamente.

Túneles del spoke al spoke

En el escenario y la configuración mencionados en la sección anterior, el spokes en diverso Hubs no puede establecer los túneles directos del spoke al spoke. El tráfico entre el spokes conectado con diverso Hubs fluye sobre los dispositivos centrales.

Hay una solución alternativa fácil para esto. Sin embargo, requiere que el Next Hop Resolution Protocol (NHRP) con el mismo red-ID esté habilitado entre el Hubs. Esto se puede alcanzar, por ejemplo, si usted crea un túnel de punto a punto del Generic Routing Encapsulation (GRE) entre el Hubs. Entonces, el IPSec no se requiere.

Verificación

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

El comando crypto ikev2 sa de la demostración le informa sobre donde el spoke está conectado actualmente.

El comando crypto del flexvpn del cliente ikev2 de la demostración permite que un administrador entienda al estado actual del funcionamiento del cliente de FlexVPN.

Spoke2# show crypto ikev2 client flexvpn
Profile : Flex_Client
Current state:ACTIVE
Peer : 172.25.1.1
Source : Ethernet0/0
ivrf : IP DEFAULT
fvrf : IP DEFAULT
Backup group: Default
Tunnel interface : Tunnel1
Assigned IP address: 10.1.1.111

Una recuperación tras falla exitosa con la configuración de registro de la demostración registra esta salida en el dispositivo del spoke:

%CRYPTO-5-IKEV2_SESSION_STATUS: Crypto tunnel v2 is DOWN.  Peer 172.25.1.1:500
Id: 172.25.1.1
%FLEXVPN-6-FLEXVPN_CONNECTION_DOWN: FlexVPN(Flex_Client) Client_public_addr =
172.16.2.2 Server_public_addr = 172.25.1.1
%LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
%CRYPTO-5-IKEV2_SESSION_STATUS: Crypto tunnel v2 is UP.  Peer 172.25.2.1:500
Id: 172.25.2.1
%FLEXVPN-6-FLEXVPN_CONNECTION_UP: FlexVPN(Flex_Client) Client_public_addr =
172.16.2.2 Server_public_addr = 172.25.2.1 Assigned_Tunnel_v4_addr = 10.1.1.177

En esta salida, las desconexiones del spoke del concentrador 172.25.1.1, el bloque de la configuración del cliente de Flex_Client detectan el error y fuerzan una conexión a 172.25.2.1 adonde sube un túnel, y un spoke se asigna un IP de 10.1.1.177.

Troubleshooting

La herramienta del Output Interpreter (clientes registrados solamente) apoya los ciertos comandos show. Utilice la herramienta del Output Interpreter para ver una análisis de la salida del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

Aquí están los comandos relevant debug:

  • debug crypto ikev2
  • debug radius

Información Relacionada



Document ID: 116413