Curso Selectivo Perfil Seguridad

TEMA 5

Alta disponiblidad en VPN: DMVPN

Alta disponibilidad en redes VPN: DMVPN

Introduccin Escenario en una red VPN Escenario en una red DMVPN El trfico de difusin sobre tneles IPSEC El protocolo de tnel GRE Redes NBMA y NHRP El Protocolo de enrutamiento EIGRP Los protocolos VRRP y HSRP Las redes DMVPN Ejemplo de configuracin DMVPN

Introduccin

Ventajas en VPN Cuotas de acceso mucho menores que en lneas dedicadas Independencia del proveedor de acceso Independencia de la distancia Mayor ancho de banda al mnimo coste Servicio de conectividad a Internet nativo Independencia de la interfaz de acceso (ADSL,UMTS,Cable,LMDS) Inconvenientes Costes iniciales mayores debido a la infraestructura requerida Requiere mayores conocimientos que en conexiones dedicadas
Seguridad Protocolos

Enrutadores con mayor capacidad de proceso Nivel de fiabilidad menor que en lneas dedicadas Mayor latencia y jitter (variacin del retardo)

Escenario tipo de una Red VPN

d llo Fa e c ce la so

orta o sop adcast n c e I ps /Bro icast t l u M

c ce la so

ipa nc i r p

IPSec

d llo Fa

FW,IDS,Auth.Proxy Www,https... IPSec

Internet
Www,https... Www,https... FW,IDS,Auth.Proxy IPSec Www,https... IPSec Www,https... IPSec

Www,https...

FW,IDS,Auth.Proxy

Cliente IPSec+FW centralizado

Cliente IPSec+FW centralizado

Escenario tipo de una Red DMVPN

Trfico de difusin sobre SA IPSEC

Las SA de IPSEC, no soportan trfico de difusin. IKE solo negociar SA

con patrones basados en mscaras.

crypto ipsec transform-set AppBTZ esp-des esp-md5-hmac crypto ipsec transform-set DefBTZ ah-md5-hmac ! crypto map MapGtt 10 ipsec-isakmp set peer 195.157.45.238 set transform-set AppBTZ match address 102 crypto map MapGtt 20 ipsec-isakmp set peer 195.157.45.238 set transform-set DefBTZ match address 107 ! access-list 102 permit tcp 10.30.24.0 0.0.0.255 10.26.8.0 0.0.0.255 range 200 500 access-list 107 permit ip 10.30.24.0 0.0.0.255 10.26.8.0 0.0.0.255 Esta configuracin debe ser simtrica en el otro extremo.

No se permiten ACL como:

access-list 107 permit ip 10.0.0.0 0.255.255.255 10.30.255.255 0.0.0.0 o access-list 107 permit ip 10.0.0.0 0.255.255.255 host 224.0.0.10

El Protocolo de tnel GRE

Utilizado en VPN,DMVPN, PPTP En IOS se implementa mediante interfaces Tunnel Conexiones peer-to-peer
interface Tunnel0 ip unnumbered Ethernet0/0 tunnel source ATM0.1 tunnel mode gre tunnel destination 192.168.34.0 y tunnel destination 192.168.23.0

Conexiones multipunto o mGre

interface Tunnel0 tunnel source ATM0.1 tunnel mode gre multipoint tunnel key 12213

El Protocolo de tnel GRE

GRE RFC 2784

Encapsulacin
BIT C
Indica la existencia de comprobacin de checksum Si est a 1, indica la presencia del campo clave o Key Un 1 en este campo indica la activacin de comprobacin del nmero de secuencia Debe contener el valor 0 Define el tipo de protocolo transportado. Los tipos soportados se encuentran definidos en la RFC1700 Contiene el complemento a 1 de la cabecera GRE y sus datos, siempre que el bit C est activado Es un nmero de 16 bytes destinado a identificar un flujo GRE dentro del tnel Si el bit S se encuentra a 1, GRE proporciona un servicio de reordenacin de paquetes no fiable.

Reservado
Checksum

Ver

Protocol Type
Reservado

BIT K

BIT S

Versin

Protocol Type
C Reservado
Checksum

GRE RFC 2890

Ver

Protocol Type
Reservado

Checksum

Key

Key
Sequence Number

Sequence Number

El protocolo de tnel GRE

interface Tunnel0 Ip address 10.0.0.1 255.0.0.0 Tunnel source Dialer1 Tunnel destination 172.16.0.3 Tunnel key 1234 interface Tunnel0 Ip address 10.0.0.1 255.0.0.0 Tunnel source Dialer1 Tunnel mode gre multipoint Tunnel key 1234
m G R E M u ltip u n to
R1

Punto-Punto

interface Tunnel0 Ip address 10.0.0.2 255.0.0.0 Tunnel source Dialer1 Tunnel destination 172.16.0.2 Tunnel key 1234 interface Tunnel0 Ip address 10.0.0.2 255.0.0.0 Tunnel source Dialer1 Tunnel mode gre multipoint Tunnel key 1234
G R E P u n to a P u n to
R1

Multipunto

T u n n e l0 T u n n e l0 T u n n e l1 T u n n e l0
R3

T u n n e l2

T u n n e l0 T u n n e l0
R2 R3 R2

T u n n e l0 T u n n e l0
R4 R4

T u n n e l0

El protocolo de tnel GRE

Encapsulacin del transporte

Redes NBMA

Una red NBMA es un concepto opuesto a una red Broadcast En una red Broadcast, mltiples dispositivos se encuentran conectados al mismo medio fsico. Cuando uno de ellos transmite, todos los dems le escuchan, pero solo contesta aquel a quien va dirigida la trama. En una red NBMA, todos los dispositivos se encuentran conectados, pero los datos son transmitidos desde un dispositivo a otro a travs de un circuito virtual. Ejemplos comunes de redes NBMA son ATM, Frame-Relay y X.25 NHRP es un protocolo utilizado para determinar la asociacin entre la subred NBMA y la direccin pblica de inter-red utilizada.
La RFC 2332 define este protocolo. Dentro de una red DMVPN, NHRP sera el encargado de relacionar la direccin de la red remota y la direccin IP pblica para alcanzarla.

El protocolo EIGRP
Evolucin del protocolo IGRP desarrollado por Cisco en 1986 con la

intencin de subsanar las deficiencias de RIP. La primera versin de EIGRP aparece en 1990, con el objetivo de proporcionar mejor escalabilidad y tiempos de convergencia. EIGRP es un protocolo de vector de distancia con caractersticas de estado de enlace. Trata de reunir lo mejor de cada tipo. Su uso ha sido tanto en entornos IGP como EGP.
El algoritmo DUAL, basado en investigaciones de SRI International, es

el encargado de obtener convergencias libres de bucles con tiempos muy reducidos.

EIGRP, dispone de 4 componentes: Mdulos dependientes del protocolo (IP, IPX) Descubrimiento y recuperacin de vecinos Protocolo de transporte de rutas fiable (RTP) Algoritmo DUAL (Diffusing Update Algorithm)

El protocolo EIGRP
Mdulos dependientes del protocolo EIGRP utiliza diferentes mdulos que de forma independiente soportan IP, IPX y AppleTalk. Descubrimiento y Recuperacin de Vecinos EIGRP descubre y mantiene informacin de sus vecinos, enviando cada 5 segundos paquetes HELLO, mediante la direccin de multicast 224.0.0.10 Si el router no recibe un paquete HELLO en 15 segundos (3 actualizaciones), elimina a su vecino de la tabla. RTP Para manejar paquetes EIGRP se utiliza un protocolo fiable: RTP. RTP asegura la entrega de las actualizaciones de rutas y adems utiliza nmeros de secuencia para asegurar una entrega ordenada. Enva paquetes a la direccin de multicast 224.0.0.10. Contesta por unicast utilizando paquetes HELLO sin datos DUAL EIGRP implementa DUAL para seleccionar caminos y garantizar ausencia de bucles. Este algoritmo desarrollado por JJ Garcia Luna-Aceves, fu comprobado matemticamente para demostrar su ausencia de bucles. Tampoco necesita incorporar mecanismos de congelacin de rutas y actualizaciones peridicas, lo cual ralentizara los tiempos de convergencia.

El protocolo EIGRP
DUAL DUAL selecciona siempre para cada destino el mejor camino(succesor) y una segunda alternativa, denominada feasible succesor. En caso de fallo en del sucesor en curso, automticamente sera seleccionado el feasible succesor Temporizadores EIGRP actualiza rutas nicamente cuando es necesario. No existen temporizadores peridicos. EIGRP utiliza paquetes HELLO cada 5 segundos para aprender informacin de sus vecinos Mtricas EIGRP Las mtricas de EIGRP se basan en una expresin que incorpora las siguientes variables:
Ancho de banda de la interfaz Fiabilidad (Nmero de veces que ha fallado en un intervalo de tiempo) Carga (Estado de ocupacin de la interfaz) Retardo (Delay)

EIGRPmetric={ K1 x BW +[(k2 x BW)/(256-load)]+k3 x Delay} x {k5/(reliability+k4)}

El protocolo EIGRP

Tipos de paquetes EIGRP

Hello
Descubrimiento/Recuperacin de vecinos

Acknowledgement (ack)
Paquete HELLO sin datos. Reconoce la recepcin de un paquete de actualizacin

Update
Paquete de actualizacin conteniendo informacin de rutas. Debe ser confirmados con Ack

Query
EIGRP enva paquetes QUERY para encontrar sucesores alcanzables (feasible succesor)

Reply
EIGRP contesta paquetes REPLAY para responder a paquetes QUERY.

Resumen
Protocolo hbrido (vector de distancia con caractersticas de estado de enlace) Nmero de protocolo IP 88 Soporta VLSM (Mscaras IP de longitud variable) Mtrica por defecto: Ancho de Banda y Retardo (BW + Delay) Se puede incluir la carga y la fiabilidad en la mtrica Slo enva actualizaciones parciales de rutas cuando existen cambios Soporta autenticacin Algoritmo DUAL Permite balanceo de carga Protocolo utilizado en la parte core de la red. Utilizado en redes grandes

Protocolos VRRP y HSRP

HSRP (Hot Standby Routing Protocol) Propietario de Cisco, publicado en la RFC 2281 Es capaz de compartir una direccin MAC e IP entre un grupo de routers En caso de fallo del enrutador designado como Maestro, otro del mismo grupo tomar la direccin MAC e IP del grupo proporcionando alta disponibilidad a los host o mquinas que utilicen estos valores VRRP (Virtual Router Redundancy Protocol) Estndar IETF definido en la RFC 2338 Similar a HSRP

IPSTB (IP Standby Protocol) Creado por Digital Equipment Corporation Similar a HSRP

Las redes DMVPN

Dynamic Multipoint VPN (DMPVN) es una combinacin de los

protocolos GRE, NHRP e IPsec

NHRP permite a los interlocuteres disponer de direcciones IP

dinmicas (ej. Conmutadas o xDSL) con los tneles GRE/Ipsec

El backbone de la red se conforma en topologa Hub Spoke La parte Hub define los enrutadores principales en la Raz de

la red. Los spoke son los enrutadores remotos que se conectan a la raz.

Permite el establecimiento directo de tneles spoke-spoke de

forma dinmica

Las redes DMVPN

A excepcin de BGP4, los protocolos de encaminamiento IGP utilizan Multicast IPSEC no permite formar SA con direcciones multicast Solucin:
Tunel GRE, dentro de IPSEC en modo transporte.

Cabecera IP pblica

IPSEC esp/ah transporte

GRE Multipunto

Cabecera IP Privada

Datos Cifrados

Las redes DMVPN

Topologa en malla parcial (Partial Mesh) mGRE IPsec NHRP
HUB
Direcciones Privadas
10.1.4.0/24

R1

Direccin IP Esttica

Spoke
R2

Direccin IP Dinmica

10.1.3.0/24

Direcciones Privadas Direccin IP Dinmica

Spoke
R3

Direccin IP Dinmica
10.1.1.0/24

Direcciones Privadas

R4

Spoke = Tnel Esttico

Direcciones Privadas
10.1.2.0/24

= Tnel Dinmico

mGRE y NHRP

Un paquete es encaminado hacia la interfaz mGRE por su next-hop o prximo salto El next-hop es la direccin IP de la interfaz tnel del otro extremo mGRE consulta la tabla cach de NHRP, y recupera la direccin NBMA del router remoto mGRE encapsula el paquete en una carga IP/GRE La nueva direccin destino del paquete ser la direccin NBMA El trfico Multicast ser enviado nicamente hacia interlocutores remotos identificados en la configuracin NHRP

Establecimiento del Tnel DMVPN

Ejemplo Prctico 1:
interface Tunnel0 bandwidth 1000 ip address 10.38.54.58 255.255.0.0 no ip redirects ip mtu 1510 ip flow ingress ip nhrp authentication z5gtY6 ip nhrp map multicast dynamic ip nhrp network-id 9347 ip nhrp holdtime 600 no ip nhrp record no ip split-horizon delay 512 tunnel source Ethernet0/0 tunnel mode gre multipoint tunnel key 9347 interface Ethernet0/1 ip address 10.1.0.1 255.255.0.0 bandwidth 10000 delay 100 half-duplex interface FastEthernet0/1 ip address 10.1.0.2 255.255.0.0 bandwidth 10000 delay 200 duplex auto interface Tunnel0 bandwidth 1000 ip address 10.38.54.59 255.255.0.0 no ip redirects ip mtu 1410 ip nhrp authentication z5gtY6 ip nhrp map multicast dynamic ip nhrp network-id 9347 ip nhrp holdtime 600 no ip split-horizon eigrp 100 no ip split-horizon delay 520 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel key 9347

10.1.0.0/16

Ethernet0/1
R1

Ethernet0/1
R2

10.38.54.58 193.145.232.149

10.38.54.59 193.145.232.150

interface Tunnel0 bandwidth 128 ip address 10.38.40.7 255.255.0.0 no ip redirects ip mtu 1410 ip nhrp authentication z5gtY6 ip nhrp map multicast dynamic ip nhrp map multicast 193.145.232.149 ip nhrp map 10.38.54.58 193.145.232.149 ip nhrp map multicast 193.145.232.150 ip nhrp map 10.38.54.59 193.145.232.150 ip nhrp map multicast 193.145.232.147 ip nhrp map 10.38.40.8 193.145.232.147 ip nhrp network-id 9347 ip nhrp holdtime 300 ip nhrp nhs 10.38.54.58 ip nhrp nhs 10.38.54.59 ip nhrp nhs 10.38.40.8 no ip split-horizon delay 1600 tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 9347

193.145.232.146

193.145.232.147

R3

R4

10.38.40.7

10.38.40.8

Spoke
10.2.0.0/16 10.3.0.0/16

D 10.1.1.2/32 [90/22969600] via 10.38.54.59, 00:07:12, Tunnel0 D 10.3.0.0/16 [90/20412160] via 10.38.40.8, 14:55:08, Tunnel0 D 10.1.0.0/16 [90/20435200] via 10.38.54.58, 14:55:16, Tunnel0 Coste1: ((10^7/128)+1600+100)x256 = 20435200 Coste2: ((10^7/128)+1600+200)x256 = 20460800

interface Tunnel0 bandwidth 128 ip address 10.38.40.8 255.255.0.0 no ip redirects ip mtu 1410 ip nhrp authentication z5gtY6 ip nhrp map multicast dynamic ip nhrp map multicast 193.145.232.149 ip nhrp map 10.38.54.58 193.145.232.149 ip nhrp map multicast 193.145.232.150 ip nhrp map 10.38.54.59 193.145.232.150 ip nhrp network-id 9347 ip nhrp holdtime 300 ip nhrp nhs 10.38.54.58 ip nhrp nhs 10.38.54.59 no ip split-horizon delay 1600 tunnel source Ethernet0 tunnel mode gre multipoint tunnel key 9347

# show ip eigrp neighbor P 10.1.0.0/16, 1 successors, FD is 20435200 via 10.38.54.58 (20435200/281600), Tunnel0 via 10.38.54.59 (20460800/307200), Tunnel0

EIGRP coste: ((10^7/MinBW)+(Delay)) x 256

Ejemplo prctico 2:
2 Proveedores de
Router Oficina Principal
1 0

Router Oficina secundaria

IPSEC+GRE
P) R G I (E

rStub

rZona
R SI D

acceso en la raz Conexiones remotas cruzadas Accesos remotos ADSL/LMDS y backup RDSI Backup RDSI con franja horaria (time-range) Router de calidad de servicio Firewall redundante con 5 DMZ Servidor Raius DHCP centralizado Trfico masivo encaminado por el tnel secundario

Internet
IPSEC+GRE

TELEFONICA DATA (Frame-Relay)

BROADNET (LMDS)

IPSEC+GRE

IPSEC+GRE IPSEC+GRE

LAN ISP
RA S (R TC -R DS I)

Serv. IPSEC LAN 1

rAlicante
CISCOSYSTEMS

VPN3005
1 0

rBackUp

up Back LAN

I) (RDS

Concentrador VPN Accesos conmutados

Pri1 Pri0

Router Backup DMVPN

{Lan Backup}

{IPSEC}

{Acceso Corporativo Inet} {Servicios Inet} {RAS}

{Usuarios VPN conmutados}

Router principal RDSI, DMVPN

LAN QoS
rQoS
1 0

Router de Calidad de Servicio QoS

rPix

Firewall Redundante
2 3 4 5 1 0

Serv BBDD

d i gi t a l

d i gi t a l

d i gi t a l

DMZ
Serv RADIUS

Desarrollo

Serv SSL

Servidores

Referencias

Cisco Warp: Configuring Dynamic Multipoint VPN Using GRE Over

IPSec With EIGRP, NAT, and CBAC

http://www.cisco.com/warp/public/707/dmvpn-gre-eigrp.html GRE RFC 2784, RFC 2890 Ciscopress.com CCDA Cert. Guide Cisco: Dynamic Multipoint IPsec VPNs (Using Multipoint GRE/NHRP

to Scale IPsec VPNs)

http://www.cisco.com/en/US/tech/tk583/tk372/technologies_white_pap er09186a008018983e.shtml

Curso Selectivo Perfil Seguridad

FIN Tema 5