Dynamic Multipoint VPN

Evolución de la conectividad

La conectividad en redes WAN ha evolucionado con el fin de que se vuelva más sencilla y segura, más ahora que el Internet es un método común para unir sectores empresariales distantes, como la matriz con sus sucursales.

Matriz y Sucursales

Un método para lograr una conectividad segura en entornos públicos es mediante VPNs y en el mundo de Cisco,GRE (Generic Routing Encapsulation) ha sido sin duda una excelente opción debido a sus características que permiten la transmisión de comunicaciones broadcastsmulticasts, sin embargo tenía un problema de escalabilidad, mantenimiento y creación de los túneles, pues es necesario establecer manualmente la VPN por cada uno de las conexiones Matriz-Sucursal que exista.

Con el fin de sobrellevar esa dificultad se creó DMVPN.

Definición de DMVPN

DMVPN, por sus siglas Dynamic Multipoint VPN, usa un método para dinámicamente descubrir los destinos de los túneles creados mediante GRE (mGRE - multipoint GRE) y aprendidos por NHRP - Next-Hop Resolution Protocol, sin descuidar a la seguridad como eje transversal de las comunicaciones a través de IPsec. Con todo ello, IPsec puede escalar muy bien en entornos hub-and-spoke, así como soportar la segmentación de tráfico a través de VPNs y VRFs.

En una típica implementación hub-and-spoke IPsec, el router Hub debe tener crypto-maps, crypto ACLs, túneles GRE y configuraciones de pares ISAKMP por separado para cada router Spoke, en general un problema de escalabilidad que DMVPN sobrellevó sin dificultad.

En entornos DMVPN, la información de los routers Spoke no es explícitamente configurada en el router Hub, en su lugar, dicho Hub posee una simple interfaz mGRE configurada y un conjunto de perfiles que aplican a los routers Spokes, mientras los Spokes podrían apuntar a uno o varios Hubs dando lugar a redes redundantes que fomentan el balanceo de carga del tráfico, además sin quitar las características de GRE como el hecho de soportar tráfico multicast desde el Hub hacia los Spokes. 

Mediante NHRP es posible determinar la dirección de destino de los Spoke mediante un formato de pregunta/respuesta entre clientes (NHC - Next-Hop clients) y servidores (NHS - Next-Hop Servers). Los NHC se "registran" en los NHS.

NHRP - NHC/NHS

Fases de DMVPN

Existen tres fases de DMVPN:

  1. Fase 1 (Phase 1): Conectividad solo Hub a Spoke.
  2. Fase 2 (Phase 2): Capacidad de comunicación directa entre Spokes
  3. Fase 3 (Phase 3): Mejora las capacidades de comunicación entre Spokes

Configuración de DMVPN

Con el fin de entender rápidamente la configuración en las diferentes fases de DMVPN, se empleará la siguiente topología simple:

DMVPN Topology

La dirección IPv4 de las interfaces mGRE serán de la red 192.168.1.0/24, donde:

  • La Matriz empresarial tendrá la dir. IPv4 192.168.1.1/24
  • La Sucursal 1 tendrá la dir. IPv4 192.168.1.2/24
  • La Sucursal 2 tendrá la dir. IPv4 192.168.1.3/24

Cabe recalcar que las interfaces físicas de la Matriz y Sucursales (10.1.1.1, 10.10.10.1 y 10.20.20.1) conectadas al ISP deben tener conectividad entre ellas previo a la configuración de DMVPN.

Fase 1: Conectividad sólo Hub a Spoke

NHS - Next-Hop Server (HUB)

NHS-Fase1

NHC - Next-Hop Client (Spoke)

NHC-Fase1

NHC - Next-Hop Client (Spoke2)

NHC-2-Fase1

Al momento de configurar el Hub con OSPF como protocolo de enrutamiento sobre la DMVPN para alcanzar las redes de la Matriz y las Sucursales, se debe incluir los siguientes comandos:

HUB-FASE1

Y en los spokes:

Spoke-Fase1

Una vez realizado ello, los túneles DMVPN dinámicos en el Hub y estáticos en los spokes se han levantado

Show dmvpn HUB

Show dmvpn SPOKE

Cabe recalcar que para la comunicación Spoke a Spoke, siempre el tráfico pasará por el Hub en la Fase 1, por ejemplo para alcanzar la Sucursal 2 (172.16.3.1) desde Sucursal 1, habrá 2 saltos y no solo uno:

traceroute spoke a spoke fase1

Fase 2: Conectividad Spoke a Spoke Directamente

La configuración del Hub es exactamente igual en la Fase 1 como en la Fase 2, la única diferencia radica en que la interfaz mGRE del túnel DMVPN debe ser de tipo Broadcast en caso de usar OSPF como protocolo de enrutamiento sobre dicha DMVPN.

Únicamente se mostrará la configuración de los Spokes (Spoke - Sucursal 1), considerando que también la interfaz mGRE debe ser de tipo Broadcast al momento de configurar OSPF como protocolo de enrutamiento sobre la DMVPN:

NHC - Next-Hop Client (Spoke)

NHC-Fase2

Al configurar el Spoke, éste tendrá un túnel estático hacia el Hub (NHS) y un túnel dinámico hacia el resto de Spokes (NHC), por lo que la conectividad ahora será directa Spoke con Spoke (un sólo salto, sin pasar por el Hub)

Show dmvpn spoke fase2

traceroute spoke a spoke fase2

IPSec en Fase 2:

DMVPN no puede ser concebido sin seguridad en la transmisión de datos, por lo que IPSec es parte fundamental de esta forma de conexión, ya que así es posible dar a la conexión Confidencialidad, Integridad, Autenticación y Anti repudio (CIA)

La configuración y funcionalidad de IPSec es simular a la realizada con túneles GRE-IPsec (IKE Fase 1, IKE Fase 2 e implementación en una interfaz), pero la dirección de los pares destino es 0.0.0.0 y se emplea perfiles IPSec. 

La configuración mostrada para el Hub, debe ser la misma en los Spokes:

IPSec-FASE2-HUB

Como se dieron cuenta, DMVPN es una excelente opción al momento de escoger una forma segura y escalable de transmitir información entre sitios empresarial con arquitectura tipo Hub-and-Spoke. 

Espero haya sido de su agrado este tema, sigan implementando topologías con DMVPN, en un próximo blog, explicaré cómo se configura la Fase 3 de DMVPN

Saludos de Quito, Ecuador.

Gustavo

1 Comentario

Clara y excelente explicación Gustavo; una pregunta, como aplico balanceo de carga con DMVPN??

729
Visitas
4
ÚTIL
1
Comentarios