Este documento fornece informações sobre como migrar da rede DMVPN existente para FlexVPN nos mesmos dispositivos.
As configurações das duas estruturas coexistirão nos dispositivos.
Neste documento, somente o cenário mais comum é mostrado: DMVPN usando chave pré-compartilhada para autenticação e EIGRP como protocolo de roteamento.
Este documento demonstra a migração para o BGP (protocolo de roteamento recomendado) e para o EIGRP menos desejável.
Este documento pressupõe que o leitor conheça os conceitos básicos de DMVPN e FlexVPN.
Observe que nem todos os softwares e hardwares suportam IKEv2. Consulte o Cisco Feature Navigator para obter informações. Idealmente, as versões de software a serem usadas são:
ISR - 15.2(4)M1 ou mais recente
ASR1k - versão 3.6.2 15.2(2)S2 ou mais recente
Entre as vantagens da plataforma e do software mais novos está a possibilidade de usar a criptografia de última geração, por exemplo, AES GCM para criptografia em IPsec. Isso é discutido no RFC 4106.
O AES GCM permite alcançar uma velocidade de criptografia muito mais rápida em algum hardware.
Para ver as recomendações da Cisco sobre como usar e migrar para a criptografia de última geração, consulte:
http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Atualmente, a maneira recomendada de migrar de DMVPN para FlexVPN é que as duas estruturas não operem ao mesmo tempo.
Essa limitação será removida devido aos novos recursos de migração a serem introduzidos na versão ASR 3.10, rastreados sob várias solicitações de aprimoramento sob o lado da Cisco, incluindo CSCuc08066. Esses recursos devem estar disponíveis no final de junho de 2013.
Uma migração em que ambas as estruturas coexistem e operam ao mesmo tempo nos mesmos dispositivos será chamada de migração suave, o que indica impacto mínimo e failover suave de uma estrutura para outra.
Uma migração em que a configuração de ambas as estruturas coexiste, mas não opera ao mesmo tempo, é chamada de migração forçada. Isso indica que um switchover de uma estrutura para outra significa uma falta de comunicação via VPN, mesmo que mínima.
Neste documento, a migração de uma rede DMVPN existente para uma nova rede FlexVPN nos mesmos dispositivos é discutida.
Essa migração exige que ambas as estruturas não operem ao mesmo tempo nos dispositivos, basicamente exigindo que a funcionalidade DMVPN seja desabilitada em toda a placa antes de habilitar o FlexVPN.
Até que o novo recurso de migração esteja disponível, a maneira de executar migrações usando os mesmos dispositivos é:
Verifique a conectividade via DMVPN.
Adicione a configuração FlexVPN no lugar e desligue as interfaces de túnel e modelo virtual que pertencem à nova configuração.
(Durante uma janela de manutenção) Desligue todas as interfaces de túnel DMVPN em todos os spokes e hubs antes de passar para a etapa 4.
Desfeche as interfaces de túnel FlexVPN.
Verifique a conectividade do spoke com o hub.
Verifique a conectividade de spoke para spoke.
Se a verificação nos pontos 5 ou 6 não for revertida corretamente para DMVPN, desligando a interface FlexVPN e desligando as interfaces DMVPN.
Verifique a comunicação do spoke com o hub.
Verifique a comunicação de spoke para spoke.
Se, devido à sua complexidade de rede ou roteamento, a abordagem não for a melhor ideia para você, inicie uma discussão com seu representante da Cisco antes de migrar. A melhor pessoa para discutir um processo de migração personalizado é o engenheiro de sistemas ou o engenheiro de serviços avançados.
Este diagrama mostra uma topologia típica de conexões de hosts na Internet. Neste documento, o endereço IP do hub de loopback0 (172.25.1.1) é usado para encerrar a sessão IPsec.
Este diagrama de topologia mostra duas nuvens separadas usadas para sobreposição: Conexões DMVPN (conexões verdes) e FlexVPN.
Os prefixos da rede local são mostrados para os lados correspondentes.
A sub-rede 10.1.1.0/24 não representa uma sub-rede real em termos de endereçamento de interface, mas sim um pedaço de espaço IP dedicado à nuvem FlexVPN. O motivo por trás é discutido posteriormente na seção Configuração de FlexVPN.
Esta seção contém a configuração básica de hub e spoke DMVPN.
A chave pré-compartilhada (PSK) é usada para autenticação IKEv1.
Depois que o IPsec é estabelecido, o registro de NHRP é executado de spoke para hub, para que o hub possa aprender dinamicamente o endereçamento NBMA dos spokes.
Quando o NHRP executa o registro no spoke e no hub, a adjacência de roteamento pode estabelecer e rotear trocados. Neste exemplo, o EIGRP é usado como protocolo de roteamento básico para a rede de sobreposição.
Este é um exemplo básico de configuração de DMVPN com autenticação de chave pré-compartilhada e EIGRP como protocolo de roteamento.
crypto isakmp policy 10 encr aes authentication pre-share crypto isakmp key cisco address 0.0.0.0 crypto isakmp keepalive 30 5 crypto isakmp profile DMVPN_IKEv1 keyring DMVPN_IKEv1 match identity address 0.0.0.0 crypto ipsec transform-set IKEv1 esp-aes esp-sha-hmac mode transport crypto ipsec profile DMVPN_IKEv1 set transform-set IKEv1 set isakmp-profile DMVPN_IKEv1 interface Tunnel0 ip address 10.0.0.101 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp map 10.0.0.1 172.25.1.1 ip nhrp map multicast 172.25.1.1 ip nhrp network-id 1 ip nhrp holdtime 900 ip nhrp nhs 10.0.0.1 ip nhrp shortcut ip tcp adjust-mss 1360 tunnel source Ethernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile DMVPN_IKEv1 router eigrp 100 network 10.0.0.0 0.0.0.255 network 192.168.102.0 passive-interface default no passive-interface Tunnel0
Na configuração do hub, o túnel é originado do loopback0 com um endereço IP 172.25.1.1.
O restante é a implantação padrão do hub DMVPN com EIGRP como protocolo de roteamento.
crypto isakmp policy 10 encr aes authentication pre-share crypto isakmp key cisco address 0.0.0.0 crypto ipsec transform-set IKEv1 esp-aes esp-sha-hmac mode transport crypto ipsec profile DMVPN_IKEv1 set transform-set IKEv1 interface Tunnel0 ip address 10.0.0.1 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp map multicast dynamic ip nhrp network-id 1 ip nhrp holdtime 900 ip nhrp server-only ip nhrp redirect ip summary-address eigrp 100 192.168.0.0 255.255.0.0 ip tcp adjust-mss 1360 tunnel source Loopback0 tunnel mode gre multipoint tunnel protection ipsec profile DMVPN_IKEv1 router eigrp 100 network 10.0.0.0 0.0.0.255 network 192.168.0.0 0.0.255.255 passive-interface default no passive-interface Tunnel0
O FlexVPN é baseado nas mesmas tecnologias fundamentais:
IPSEC: Ao contrário do padrão em DMVPN, IKEv2 é usado em vez de IKEv1 para negociar SAs IPsec. O IKEv2 oferece melhorias sobre o IKEv1, começando com a resiliência e terminando com quantas mensagens são necessárias para estabelecer um canal de dados protegido.
GRE : Diferentemente do DMVPN, as interfaces ponto a ponto estáticas e dinâmicas são usadas, e não apenas em interfaces GRE multiponto estáticas. Essa configuração permite maior flexibilidade, especialmente para comportamento por spoke/por hub.
NHRP: No FlexVPN, o NHRP é usado principalmente para estabelecer comunicação spoke to spoke. Os spokes não se registram no hub.
Roteamento: Como os spokes não executam o registro de NHRP no hub, você precisa confiar em outros mecanismos para garantir que o hub e os spokes possam se comunicar bidirecionalmente. Da mesma forma que DMVPN, os protocolos de roteamento dinâmico podem ser usados. No entanto, o FlexVPN permite usar o IPsec para apresentar informações de roteamento. O padrão é introduzir como rota /32 para o endereço IP no outro lado do túnel, o que permitirá a comunicação direta de spoke para hub.
Na migração forçada de DMVPN para FlexVPN, as duas estruturas não funcionam ao mesmo tempo nos mesmos dispositivos. No entanto, recomenda-se mantê-los separados.
Separe-os em vários níveis:
NHRP - Use diferentes IDs de rede NHRP (recomendado).
Roteamento - Use processos de roteamento separados (recomendado).
VRF - A separação de VRF pode permitir maior flexibilidade, mas não será discutida aqui (opcional).
Uma das diferenças na configuração de spoke em FlexVPN em comparação com DMVPN é que você tem duas interfaces potenciais.
Há um túnel necessário para comunicação de spoke para hub e um túnel opcional para túneis spoke para spoke para spoke. Se você optar por não ter túnel spoke dinâmico para spoke e preferir que tudo passe pelo dispositivo hub, você poderá remover a interface de modelo virtual e a comutação de atalho NHRP da interface de túnel.
Você também observará que a interface de túnel estático tem um endereço IP recebido com base na negociação. Isso permite que o hub forneça IP de interface de túnel para spoke dinamicamente sem a necessidade de criar endereçamento estático na nuvem FlexVPN.
aaa new-model aaa authorization network default local aaa session-id common crypto ikev2 profile Flex_IKEv2 match identity remote fqdn domain cisco.com authentication remote rsa-sig authentication local rsa-sig aaa authorization group cert list default default virtual-template 1 crypto ikev2 dpd 30 5 on-demand
A Cisco recomenda o uso do AES GCM em hardware que o suporte.
crypto ipsec transform-set IKEv2 esp-gcm mode transport crypto ipsec profile default set ikev2-profile Flex_IKEv2 ! set transform-set IKEv2 interface Tunnel1 ip address negotiated ip mtu 1400 ip nhrp network-id 2 ip nhrp shortcut virtual-template 1 ip nhrp redirect ip tcp adjust-mss 1360 shutdown tunnel source Ethernet0/0 tunnel destination 172.25.1.1 tunnel path-mtu-discovery tunnel protection ipsec profile default interface Virtual-Template1 type tunnel ip unnumbered Tunnel1 ip mtu 1400 ip nhrp network-id 2 ip nhrp shortcut virtual-template 1 ip nhrp redirect ip tcp adjust-mss 1360 tunnel path-mtu-discovery tunnel protection ipsec profile default
PKI é a maneira recomendada de executar autenticação em larga escala em IKEv2.
No entanto, você ainda pode usar a chave pré-compartilhada, desde que esteja ciente das limitações dela.
Aqui está um exemplo de configuração usando "cisco" como PSK:
crypto ikev2 keyring Flex_key peer Spokes address 0.0.0.0 0.0.0.0 pre-shared-key local cisco pre-shared-key remote cisco crypto ikev2 profile Flex_IKEv2 match identity remote address 0.0.0.0 authentication remote pre-share authentication local pre-share keyring local Flex_key aaa authorization group psk list default default
Normalmente, um hub terminará somente os túneis spoke-to-hub dinâmicos. É por isso que, na configuração do hub, você não encontrará uma interface de túnel estático para o FlexVPN, em vez disso, uma interface de modelo virtual é usada. Isso gerará uma interface de acesso virtual para cada conexão.
Observe que no lado do hub você precisa apontar os endereços do pool a serem atribuídos aos spokes.
Os endereços desse pool serão adicionados posteriormente na tabela de roteamento como rotas /32 para cada spoke.
aaa new-model aaa authorization network default local aaa session-id common crypto ikev2 authorization policy default pool FlexSpokes crypto ikev2 profile Flex_IKEv2 match identity remote fqdn domain cisco.com authentication remote rsa-sig authentication local rsa-sig aaa authorization group cert list default default virtual-template 1 crypto ikev2 dpd 30 5 on-demand
A Cisco recomenda o uso do AES GCM em hardware que o suporte.
crypto ipsec transform-set IKEv2 esp-gcm mode transport
Observe que na configuração abaixo a operação do AES GCM foi comentada.
crypto ipsec profile default set ikev2-profile Flex_IKEv2 ! set transform-set IKEv2 interface Loopback0 description DMVPN termination ip address 172.25.1.1 255.255.255.255 interface Loopback100 ip address 10.1.1.1 255.255.255.255 interface Virtual-Template1 type tunnel ip unnumbered Loopback100 ip nhrp network-id 2 ip nhrp redirect shutdown tunnel path-mtu-discovery tunnel protection ipsec profile default ip local pool FlexSpokes 10.1.1.100 10.1.1.254
Com a autenticação em IKEv2, o mesmo princípio se aplica no hub como no spoke.
Para escalabilidade e flexibilidade, use certificados. No entanto, você pode reutilizar a mesma configuração para PSK do spoke.
Observação: o IKEv2 oferece flexibilidade em termos de autenticação. Um lado pode autenticar usando PSK enquanto o outro RSA-SIG.
O BGP é um protocolo de roteamento baseado na troca unicast. Devido às suas características, ele tem sido o melhor protocolo de dimensionamento em redes DMVPN.
Neste exemplo, o iBGP é usado.
A migração de spoke consiste em duas partes. Ativando o BGP como roteamento dinâmico.
router bgp 65001 bgp log-neighbor-changes network 192.168.101.0 neighbor 10.1.1.1 remote-as 65001
Depois que o vizinho BGP for ativado (consulte a configuração do BGP do hub nesta seção de migração) e novos prefixos sobre BGP forem aprendidos, você poderá alternar o tráfego da nuvem DMVPN existente para a nova nuvem FlexVPN.
No hub para evitar manter a configuração de vizinhança para cada spoke separadamente, os ouvintes dinâmicos são configurados.
Nesta configuração, o BGP não iniciará novas conexões, mas aceitará a conexão do pool de endereços IP fornecido. Nesse caso, o pool mencionado é 10.1.1.0/24, que é todos os endereços na nova nuvem FlexVPN.
router bgp 65001 network 192.168.0.0 bgp log-neighbor-changes bgp listen range 10.1.1.0/24 peer-group Spokes aggregate-address 192.168.0.0 255.255.0.0 summary-only neighbor Spokes peer-group neighbor Spokes remote-as 65001
Como mencionado antes, a migração precisa ser feita desligando a funcionalidade DMVPN e ativando o FlexVPN.
Este procedimento garante um impacto mínimo.
Em todos os spokes:
interface tunnel 0 shut
No hub:
interface tunnel 0 shut
Neste ponto, certifique-se de que não há sessões IKEv1 estabelecidas para este hub a partir de spokes.
Isso pode ser verificado verificando a saída do comando show crypto isakmp sa e monitorando mensagens de syslog geradas pela sessão de registro de criptografia.
Depois que isso for confirmado, você poderá continuar a ativar o FlexVPN.
Continuando no hub:
interface Virtual-template 1 no shut
Em spokes:
interface tunnel 1 no shut
A melhor maneira de avaliar a estabilidade do IPsec é monitorando sylogs com este comando de configuração ativado:
crypto logging session
Se você vir sessões ativadas e desativadas, isso pode indicar um problema no nível IKEv2/FlexVPN que precisa ser corrigido antes que a migração possa começar.
Se o IPsec for estável, certifique-se de que a tabela BGP seja preenchida com entradas de spokes (no hub) e resumo do hub (em spokes).
No caso do BGP, isso pode ser visto executando:
show bgp ! or show bgp ipv4 unicast ! or show ip bgp summary
Exemplo de informações corretas do hub:
Hub#show bgp BGP router identifier 172.25.1.1, local AS number 65001 (...omitted...) Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd *10.1.1.101 4 65001 83 82 13 0 0 01:10:46 1 *10.1.1.102 4 65001 7 7 13 0 0 00:00:44 1
Você pode ver que o hub aprendeu que 1 prefixo de cada um dos spokes e ambos os spokes são dinâmicos (marcados com o sinal de asterisco (*)).
Exemplo de informações semelhantes do spoke:
Spoke1#show ip bgp summary BGP router identifier 192.168.101.1, local AS number 65001 (...omitted...) Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd 10.1.1.1 4 65001 11 11 6 0 0 00:03:43 1
Spoke recebeu um prefixo do hub. No caso dessa configuração, esse prefixo deve ser o resumo anunciado no hub.
O EIGRP é uma escolha popular em redes DMVPN devido à sua implantação relativamente simples e rápida convergência.
No entanto, ela será escalada pior que o BGP e não oferece muitos dos mecanismos avançados que podem ser usados pelo BGP diretamente da caixa.
Esta próxima seção descreve uma das maneiras de mover para FlexVPN usando um novo processo EIGRP.
Neste exemplo, um novo AS é adicionado com um processo EIGRP separado.
router eigrp 200 network 10.1.1.0 0.0.0.255 network 192.168.101.0 passive-interface default no passive-interface Tunnel1
Observação: você deve evitar estabelecer adjacência de protocolo de roteamento sobre túneis spoke para spoke, portanto, somente tornar a interface de tunnel1 (spoke para hub) não passiva.
Da mesma forma no hub, a DMVPN deve continuar sendo a maneira preferida de trocar tráfego. No entanto, o FlexVPN já deve anunciar e aprender os mesmos prefixos.
router eigrp 200 network 10.1.1.0 0.0.0.255
Há duas maneiras de fornecer resumo para o spoke.
Redistribuindo uma rota estática apontando para null0 (Opção preferencial).
ip route 192.168.0.0 255.255.0.0 null 0 ip access-list standard EIGRP_SUMMARY permit 192.168.0.0 0.0.255.255 router eigrp 200 distribute-list EIGRP_SUMMARY out Virtual-Template1 redistribute static metric 1500 10 10 1 1500
Essa opção permite ter controle sobre resumo e redistribuição sem tocar na configuração de VT do hub.
Ou você pode configurar um endereço de resumo no estilo DMVPN no modelo virtual. Esta configuração não é recomendada devido ao processamento interno e à replicação do referido resumo para cada acesso virtual. Ele é mostrado aqui para referência:
interface Virtual-Template1 type tunnel ip summary-address eigrp 200 172.16.1.0 255.255.255.0 ip summary-address eigrp 200 192.168.0.0 255.255.0.0 delay 2000
A migração precisa ser feita desligando a funcionalidade DMVPN e ativando o FlexVPN.
O procedimento a seguir garante um impacto mínimo.
Em todos os spokes:
interface tunnel 0 shut
No hub:
interface tunnel 0 shut
Neste ponto, certifique-se de que não há sessões IKEv1 estabelecidas para este hub a partir de spokes.
Isso pode ser verificado verificando a saída do comando show crypto isakmp sa e monitorando mensagens de syslog geradas pela sessão de registro de criptografia.
Depois que isso for confirmado, você poderá continuar a ativar o FlexVPN.
Continuando no hub:
interface Virtual-template 1 no shut
Em todos os spokes:
interface tunnel 1 no shut
Como no caso do BGP, você precisa avaliar se o IPsec é estável. A melhor maneira de fazer isso é monitorando sylogs com este comando de configuração ativado:
crypto logging session
Se você vir sessões ativadas e desativadas, isso pode indicar um problema no nível IKEv2/FlexVPN que precisa ser corrigido antes que a migração possa começar.
Certifique-se de que a sua tabela de topologia EIGRP esteja preenchida com entradas de LAN de raio no hub e resumo em spokes. Isso pode ser verificado com a emissão desse comando em hub(s) e spoke(s).
show ip eigrp topology
Exemplo de saída apropriada do spoke:
Spoke1#sh ip eigrp topology EIGRP-IPv4 Topology Table for AS(100)/ID(192.168.101.1) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status (...omitted as output related to DMVPN cloud ...) EIGRP-IPv4 Topology Table for AS(200)/ID(192.168.101.1) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.1.1.1/32, 1 successors, FD is 26112000 via Rstatic (26112000/0) P 192.168.101.0/24, 1 successors, FD is 281600 via Connected, Ethernet1/0 P 192.168.0.0/16, 1 successors, FD is 26114560 via 10.1.1.1 (26114560/1709056), Tunnel1 P 10.1.1.107/32, 1 successors, FD is 26112000 via Connected, Tunnel1
Você notará que o spoke sabe sobre sua sub-rede de LAN (em itálico) e os resumos para esses (em negrito).
Exemplo de saída apropriada do hub.
Hub#sh ip eigrp topology EIGRP-IPv4 Topology Table for AS(100)/ID(172.25.1.1) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status (...omitted, related to DMVPN...) EIGRP-IPv4 Topology Table for AS(200)/ID(172.25.1.1) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P 10.1.1.1/32, 1 successors, FD is 128256 via Connected, Loopback100 P 192.168.101.0/24, 1 successors, FD is 1561600 via 10.1.1.107 (1561600/281600), Virtual-Access1 P 192.168.0.0/16, 1 successors, FD is 1709056 via Rstatic (1709056/0) P 10.1.1.107/32, 1 successors, FD is 1709056 via Rstatic (1709056/0) P 10.1.1.106/32, 1 successors, FD is 1709056 via Rstatic (1709056/0) P 0.0.0.0/0, 1 successors, FD is 1709056 via Rstatic (1709056/0) P 192.168.102.0/24, 1 successors, FD is 1561600 via 10.1.1.106 (1561600/281600), Virtual-Access2
Você observará que o hub sabe sobre as sub-redes LAN dos spokes (em itálico), o prefixo de resumo que está anunciando (em negrito) e o endereço IP atribuído a cada spoke via negociação.
Como o desligamento da interface de túnel DMVPN faz com que as entradas NHRP sejam removidas, os túneis spoke to spoke existentes serão desmontados.
Como mencionado anteriormente, um hub FlexVPN não dependerá do processo de registro de NHRP do spoke para saber como rotear o tráfego de volta. No entanto, os túneis spoke to spoke dinâmicos dependem de entradas NHRP.
Em DMVPN, onde limpar o NHRP no hub poderia ter resultado em problemas de conectividade de vida curta.
Em FlexVPN limpando o NHRP em spokes, a sessão FlexVPN IPsec, relacionada aos túneis spoke to spoke, será destruída. Ao limpar o NHRP, nenhum hub terá um efeito na sessão FlexVPN.
Isso se deve ao fato de que no FlexVPN, por padrão:
Os spokes não se registram em hubs.
Os hubs funcionam apenas como redirecionador NHRP e não instalam entradas NHRP.
As entradas de atalho NHRP são instaladas em spokes para túneis spoke-to-spoke e são dinâmicas.
O tráfego de spoke para spoke pode ser afetado pelo CSCub07382.
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
09-Jan-2013 |
Versão inicial |