GETVPN:Configuración y resolución de problemas - Q&A

Itzcoatl Espinoza

Esta presentación tiene el propósito de dar una introducción a los conceptos básicos utilizados para la implementación de  GETVPN (Group Encrypted Transport VPN), así como su configuración y verificación. Además se hablará sobre problemas comunes que se presentan en este ambiente.

Agenda:

  • ¿Qué es GETVPN?
  • Conceptos básicos
  • Configuración
  • Key Server en modo cooperativo
  • Verificación y resolución de problemas
  • Lab Demo

 

Itzcoatl Espinosa es ingeniero  egresado del Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) Campus Santa Fe donde cursó la carrera de Ingeniería en Electrónica y Comunicaciones (IEC’07). Actualmente forma parte  del Centro de Soporte Técnico (TAC) de Cisco Latinoamérica. 

Itzcoatl  ha trabajado en empresas de IT tales como Getronics y Nortel Networks especializándose en tecnologías de Seguridad. Tiene más de 7 años de experiencia  soportando tecnologías de WAN, Firewall,  VPN, AAA, así como de Detección y Prevención de Intrusos. Espinosa  y ha obtenido las siguientes certificaciones de Cisco: CCNA, CCNP, CCSP y en el año 2012 obtuvo el CCIE en Seguridad (# 33540).

 

Preguntas para el webcast GETVPN: Configuración y Resolución de Problemas en GETVPN:

 

¿ Qué protocolos de ruteo están soportados por GETVPN?

R: EIGRP, OSPF, casi todos los protocolos menos IS-IS su red.

 

¿ Cuál es el número maxi de key servers que se pueden colocar en un ambiente de GETVPN?

R: 8

 

¿ Se pueden colcoar los Key Servers en diferentes lugares geográficos?

R: Sí, siempre y cuando tengan comunicación, y se recomienda tener un enlace redundante en caso de falla.

 

¿Qué puedo hacer para excluir tráfico del cifrado?

R. Mucho tráfico de administración requiere ser excluido del GETVPN. Se puede colocar un ACL de deny en la ACL del crypto o colocar una ACL en el GM, para que tome precedencia.

 

¿Qué es el modelo fail close y fail open?

R: En caso de no exitir conexión con el Key Server, el tráfico viajará en texto plano. Fail close indica que el tráfico no sera enviado si no es cifrado antes.

 

Tengo un Key Server primario y dos secundarios ¿ Cuán ejecuto el commando de “show crypto gdoi ks coop” en algún secundario, me aparece que el estado del otro secundario en Unknown. ?Por qué?

R: Es un comportamiento esperado ya que no se puede llevar un monitoreo entre los KS secundarios.

 

¿Es possible que dos KS se vuelvan primarios si tienen la misma prioridad?

En caso de que la prioridad sea la misma, la elección se basará en la dirección IP mayor. Ambos KS se pueden colocar como primarios si existe problemas de comunicacion en la red y esta se divide.

 

¿ El cambio de cigrado de hardware a software puede ocasionar algún problema?

Este cambio ocasiona que el GM vuelva a registrarse.

 

¿ Puedo colocar algún Key Server como Autoridad Certificadora?

R:Sí, solamente se debe crear un trustpoint para obtener el certificado.

 

¿ Cómo remueve EL Key Server El Group Member de la base de datos cuando se utiliza rekey en multicast?

R: No se remueve ya que no existe un acknowledgement en este caso.

 

220
Visitas
0
ÚTIL
0
Comentarios