Siguiendo con la confiiguración de DMVPN, ahora agregamos la encripción de IPSec, que puede ser en modo túnel o transporte, en este caso utilizamos transporte porque sólo es tráfico encriptado que viaja entre dos dispositivos que se conectan directamente, quizás si hubiera una red entre ambos extremos del túnel valdría la pena encriptar en modo túnel:
Transporte encripta/autentica sólo el payload del datagrama y podemos leer origen y destino
Túnel encripta todo el datagrama, por lo que los routers en el camino no pueden interpretar el origen y destino, por ejemplo en casos donde el origen y destino no son parte del esquema de ruteo de la red.
Mas información al respecto aquí.
Los pasos para esta configuración son:
sábado, 2 de agosto de 2014
DMVPN
DMVPN es una tecnología que se basa la generación de túneles de GRE desde varios puntos remotos (spokes) hacia un nodo central (hub), la comunicación a través de esos túneles es en una red Non-Broadcast Multiaccess, lo que se debe tener en cuenta al implementar protocolos de ruteo.
Un documento que pueden consultar es DMVPN Design and Implementation.
Por ser este tipo de red, necesitamos ejecutar un proceso de ruteo para las interfaces físicas y uno para las interfaces lógicas; esto permite que el router conozca la ruta a la dirección lógica de otro túnel a través de la interfaz física,aunque no es obligatorio para levantar los túneles, sino para pasar tráfico a través de ellos.
Para nuestro ejemplo tenemos routers con puertos Ethernet con las direcciones: 1.0.0.0/24
e interfaces lógicas en 2.0.0.0/24
Al estar todos a un switch capa dos, no requieren el ruteo de las interfaces físicas en este caso, pero podrían estar en una red más compleja y funcionaría más o menos igual.
Los pasos principales de configuración son:
Ejemplo de configuración básica:
Un documento que pueden consultar es DMVPN Design and Implementation.
Por ser este tipo de red, necesitamos ejecutar un proceso de ruteo para las interfaces físicas y uno para las interfaces lógicas; esto permite que el router conozca la ruta a la dirección lógica de otro túnel a través de la interfaz física,aunque no es obligatorio para levantar los túneles, sino para pasar tráfico a través de ellos.
Para nuestro ejemplo tenemos routers con puertos Ethernet con las direcciones: 1.0.0.0/24
e interfaces lógicas en 2.0.0.0/24
Al estar todos a un switch capa dos, no requieren el ruteo de las interfaces físicas en este caso, pero podrían estar en una red más compleja y funcionaría más o menos igual.
Los pasos principales de configuración son:
- Asegurarnos de que las interfaces físicas de los routers se pueden comunicar unas con otros, a través de pings
- crear el túnel (interfaces lógicas)
- asignar direcciones de manera que todas estén en la misma red
- bloquear el redireccionamiento de pings
- asignar un valor de MTU al túnel (considerando que una parte del paquete lo ocupa NHRP)
- activar NHRP que nos permite levantar los túneles dinámicos (next hop resolution protocol)
- el network-id
- el mapeo de las direcciones
- el mapeo de multicast (dinámico en hub y estático en spokes)
- indicar la dirección del next-hop-server (ip nhrp nhs A.B.C.D)
- asignar el origen del tráfico en el túnel con la interfaz física
- configurar el tipo de túnel
- configurar en cada túnel los comandos específicos del protocolo de ruteo que utilicemos.
Ejemplo de configuración básica:
viernes, 1 de agosto de 2014
El camino al CCIE de Routing and Switching
Han pasado años de no escribirle a este blog y muchas cosas han cambiado, desde la versión de CCNA que alguna vez tomé como reto y que hoy es totalmente nueva, pero en esencia exige los mismos conocimientos;y sobre todo, yo he cambiado, el tamaño de los retos ha cambiado.
Logré completar 3 CCNP, seguridad, routing and switching, CCDP de diseño, y quisiera seguir con Data Center, pero decidí dejarlo de lado porque descubrí que en el fondo evito enfrentar el CCIE haciendo otras cosas menos difíciles, así que, volveré a escribir aquí como parte de la metodología de estudio y preparación para la siguiente meta.
ITIL foundations v3
CCIE R&S written
CCNP Routing & Switching
CCNA R&S
CCDP
CCDA
CCNP Security
CCNA Security
CCNA Data Center
Cisco Cybersecurity Specialist
Cisco IOS Security Specialist
Cisco IPS Specialist
Cisco VPN Security Specialist
Cisco Firewall Security Specialist
Cisco ASA Specialist
Esta es la lista de temas que se deben dominar para el examen práctico de Cisco Certified Internetwork Expert version 5.0.
Logré completar 3 CCNP, seguridad, routing and switching, CCDP de diseño, y quisiera seguir con Data Center, pero decidí dejarlo de lado porque descubrí que en el fondo evito enfrentar el CCIE haciendo otras cosas menos difíciles, así que, volveré a escribir aquí como parte de la metodología de estudio y preparación para la siguiente meta.
ITIL foundations v3
CCIE R&S written
CCNP Routing & Switching
CCNA R&S
CCDP
CCDA
CCNP Security
CCNA Security
CCNA Data Center
Cisco Cybersecurity Specialist
Cisco IOS Security Specialist
Cisco IPS Specialist
Cisco VPN Security Specialist
Cisco Firewall Security Specialist
Cisco ASA Specialist
Esta es la lista de temas que se deben dominar para el examen práctico de Cisco Certified Internetwork Expert version 5.0.
Suscribirse a:
Entradas
(
Atom
)