DMVPN, czyli Transport Independent Design dla IWAN. Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

DMVPN, czyli Transport Independent Design dla IWAN Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation

AVC MPLS 3G/4G-LTE ASR1000- AX Chmura prywatna Wirtualna chmura prywatna Oddział WAAS Akamai PfRv3 Internet Chmura publiczna Zarządzanie i orkiestracja Niezależność od transportu Inteligentna kontrola ścieżki Optymalizacja aplikacji Bezpieczeństwo informacji! Sieć nakładkowa (+IPSec)! Spójny model operacyjny! Optymalny routing aplikacji! Efektywne zużycie pasma! Monitorowanie aplikacji! Optymalizacja i caching! Szyfrowanie NG! Ochrona sieci DMVPN Performance Routing AVC, WAAS, Akamai Suite-B, CWS, ZBFW 2

Tradycyjnie IWAN Active/Standby Active/Active GETVPN/MPLS DMVPN/Internet Data Center ASR 1000 ASR 1000 Data Center ASR 1000 ASR 1000 DMVPN ISP A SP V ISP A SP V Dwie domeny rutingowe MPLS: ebgp lub Static Internet: ibgp, EIGRP lub OSPF Redystrybucja Ryzyko pętli DMVPN Internet GETVPN MPLS DMVPN Internet DMVPN MPLS Jedna domena rutingowa ibgp, EIGRP, lub OSPF ISR-G2 Branch ISR-G2 Branch 3

AVC PfR QoS Wybór ścieżki Overlay Routing Protocol (BGP, EIGRP) Routing klasyczny Transport Independent Design (DMVPN) Sieć nakładkowa MPLS Internet ZBFW CWS Warstwa transportowa 4

Funkcjonalność Standard IPSec GRE over IPSec DMVPN Typ Sieci Hub & Spoke mesh mała skala Hub & Spoke mesh mała skala Redundancja Failover Stateful Failover Routing Stateless Failover Hub & Spoke duża skala z dynamicznymi tunelami każdy-zkażdym Active/Active bazujące na dynamicznym routingu Kompatybilność Multivendor Multivendor Routery Cisco IP Multicast Brak wsparcia Wspierane Replikacja Multicast na hub QoS Wspierane Wspierane Per Tunnel QoS, Hub do Spoke Kontrola Polityki Zarządzane lokalnie Zarządzane lokalnie Zarządzane lokalnie Technologia Tunelowany VPN Tunele Punkt-Punkt IKEv1 Tunelowany VPN Tunele Punkt-Punkt IKEv1 Tunelowany VPN Tunel Multi-Point GRE IKEv1 Infrastruktura Sieciowa Transport Prywatny i Publiczny Transport Prywatny i Publiczny Transport Prywatny i Publiczny IPv6 5

Generic Route Encapsulation (GRE) (Protokół IP 47) Przenosi: IP broadcast, IP multicast, protokoły nie-ip GRE umożliwia zastosowanie (przenoszenie) adresacji prywatnej na bazie sieci publicznej Tworzy interfejs Przenosi protokoły routingu Wspiera mechanizm keepalive ów 6

L3 Tunel GRE Tunel IPsec IP HDR Dane IP HDR GRE HDR IP HDR Dane IP HDR ESP HDR IP HDR GRE HDR Zaszyfrowane IP HDR Dane IPsec (ESP) przenosi jedynie unicastowy ruch IP GRE zapewnia hermetyzację również ruchu L3 innego niż IP, oraz multicastów i broadcastów Przy szyfrowaniu IPSec tuneli GRE stosowany jest tryb tunelowy Trybu tunelowego IPsec używamy zamiast transportowego, bo: Przy wsparciu akceleratora sprzętowego jest tak naprawdę szybszy Nowa funkcjonalność (np. LAF) wymagają trybu tunelowego 7

19268.0/24.2 H2 172675.75 Hub 1727.638 Internet Spoke 1 172676.76 19268.2.0/24 Spoke 2.2 H1 19268.0.0/24.2 H3 8

Tryb tunelowy crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 172675.75 crypto isakmp key cisco48 address 172676.76 crypto ipsec transform-set trans2 esp-3des esp-md5-hmac mode tunnel Profil IPsec Ochrona ruchu na interfejsie GRE crypto ipsec profile vpnprof set transform-set trans2 interface Tunnel0 ip address 100.2.2 255.255.255.252 ip mtu 1400 tunnel source GigabitEthernet0/0 tunnel destination 172675.75 tunnel protection ipsec profile vpnprof interface Tunnel1 ip address 100.3.2 255.255.255.252 ip mtu 1400 tunnel source GigabitEthernet0/0 tunnel destination 172676.76 tunnel protection ipsec profile vpnprof interface GigabitEthernet0/0 ip address 1727.638 255.255.255.0 interface GigabitEthernet0/1 ip address 19268.0 255.255.255.0 router eigrp 1 network 10.0.0.0 network 19268.0.0 auto-summary ip classless ip route 0.0.0.0 0.0.0.0 1726.638 9

crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco47 address 1727.638 Tryb tunelowy Profil IPsec Ochrona ruchu na interfejsie GRE crypto ipsec transform-set trans2 esp-3des esp-md5-hmac mode transport crypto ipsec profile vpnprof set transform-set trans2 interface Tunnel0 ip address 100.2 255.255.255.0 ip mtu 1400 tunnel source FastEthernet0/0 tunnel destination 1727.638 tunnel protection ipsec profile vpnprof interface FastEthernet0/0 ip address 172675.75 255.255.255.0 interface FastEthenet0/1 ip address 19268 255.255.255.0 router eigrp 1 network 10.0.0.0 network 19268.0 auto-summary ip classless ip route 0.0.0.0 0.0.0.0 172675.74 10

crypto isakmp policy 1 authentication pre-share crypto isakmp key cisco48 address 1727.638 Tryb tunelowy Profil IPsec Ochrona ruchu na interfejsie GRE crypto ipsec transform-set trans2 esp-3des esp-md5-hmac mode transport crypto ipsec profile vpnprof set transform-set trans2 interface Tunnel0 ip address 100.3 255.255.255.0 ip mtu 1400 tunnel source FastEthernet0/0 tunnel destination 1727.638 tunnel protection ipsec profile vpnprof interface FastEthernet0/0 ip address 172676.76 255.255.255.0 interface FastEthenet0/1 ip address 19268.2 255.255.255.0 router eigrp 1 network 10.0.0.0 network 19268.2.0 auto-summary ip classless ip route 0.0.0.0 0.0.0.0 172676.75 11

DMVPN czyli rozwiązanie działające w oparciu o Cisco IOS stworzone do budowania tuneli IPSec+GRE w prosty, dynamiczny i skalowalny sposób VPN Hub Spoke n Redukcja konfiguracji i wdrożenie bezdotykowe Spoke 1 Dynamiczne tunele typu spoke-to-spoke dla częściowej/pełnej topologii typu mesh Może być użyte bez szyfrowania IPSec (opcjonalnie) Różnorodność opcji i rozwiązań Spoke 2 Tunele dynamiczne Tunele statyczne Statyczny adres IP Dynamiczny adres IP 12

Umożliwia tworzenie dynamicznych topologii full-mesh lub partial-mesh na żądanie przy zachowaniu prostej konfiguracji gwiazdy VPN Hub Spoke n Wspiera oddziały z dynamicznym adresem na interfejsie WAN Spoke 1 Nie wymagają konfiguracji Hub a przy dodawaniu kolejnych oddziałów Automatyczne budowanie tuneli IPSEC inicjowane przez oddział Spoke 2 Tunele dynamiczne Tunele statyczne Statyczny adres IP Dynamiczny adres IP 13

Next Hop Resolution Protocol (NHRP) Proces NHRP Registration Procesy NHRP Resolution oraz NHRP Redirect Multipoint GRE Tunnel Interface (mgre) Jeden interfejs GRE wspiera wiele tuneli GRE/IPSec Eliminuje złożoność konfiguracji routera Szyfrowanie poprzez IPSec Tunnel Protection Dynamicznie tworzy i aplikuje reguły szyfrowania Procesy routingu Dynamiczny routing między węzłami Wiele protokołów: EIGRP, RIP, OSPF, BGP, ODR 14

Statyczne tunele Spoke-to-hub 19268.0.0/24 Dynamiczne tunele Spoke-to-spoke Statyczny znany adres IP Dynamiczne nieznane adresy Spoke A 19268.0/24 Physical: dynamic Tunnel0: 10.0.01 Physical: 1727.0 Tunnel0: 10.0.0 Spoke B Physical: dynamic Tunnel0: 10.0.02 19268.2.0/24 15

Tunel Spoke-Hub Tunel Spoke-spoke Hub-and-spoke (Faza 1) Spoke-to-spoke (Faza 2) Podczas prezentacji omówimy fazę pierwszą oraz fazę drugą Hierarchia (Faza 3) 16

Faza 1 12.2(13)T Połączenia hub-to-spoke Interfejsy point-to-point GRE na spoke, mgre dla hub Uproszczona i mała konfiguracja hub Wsparcie dla dynamicznych IP CPEs (NAT) Wsparcie dla protokołów routingu i multicast Lokalizacje typu spoke nie wymagają pełnej tablicy routingu, sumaryzacja na hub Faza 2 12.3(4)T (Faza 1 +) Dodanie połączenia typu spoke-to-spoke Interfejsy mgre na spoke Bezpośrednia komunikacja spoke-to-spoke (redukcja przesyłu danych na hub) Router spoke musi posiadać pełną tablicę routingu; brak sumaryzacji Tunel spoke-to-spoke uruchamiany przez spoke Ograniczenia routingu Faza 3 12.4.(6)T (Faza 2 +) Lepsza skalowalność Routery spoke nie wymagają pełnej tablicy routingu Tunel spoke-to-spoke wyzwalany przez hub Usunięcie ograniczeń protokołów routingu NHRP route/next-hops w RIB (15.2(1)T) 17

Spoke-to-hub tunnels Spoke-to-spoke tunnels 2547oDMVPN tunnels IWAN 1.0 Supported IWAN 1.0 Tested IWAN 2.0 Supported Hub and spoke (Phase 1) Spoke-to-spoke (Phase 2) VRF-lite IWAN 2.0 Supported Server Load Balancing Hierarchical (Phase 3) 2547oDMVPN 18

Routery oddziałowe rejestrują się w hubie jako klienci serwera NHRP (RFC 2332) używając statyczne mapowanie NHRP Hub tworzy dynamiczny wpis w tabeli NHRP i mapuje prywatny adres tunelu GRE spoke a do dynamicznego (lub statycznego) adresu publicznego spoke a Routery oddziałowe rozgłaszają swoje prywatne sieci LAN do huba a hub uczy się adresacji w poszczególnych spoke ach Tunele spoke-to-hub są tunelami dynamicznymi oraz permanentnymi VPN Brak tuneli spoke-to-spoke ruch między oddziałami przesyłany przez hub 19

Mapowanie NHRP Tablica routingu = Dynamiczne tunele IPsec Adr. fiz.: 1727.0 Tunnel0: 10.0.0 19268.0/24 10.0.01 à 1726 10.0.02 à 1726.2 19268.0.0/24 à bezp. 19268.0/24 à 10.0.01 19268.2.0/24 à 10.0.02 Adr. fiz.: 1726.2 (dynamiczny) Adr. fiz.: (dynamiczny) 1726 Tunnel0: 10.0.02 Tunnel0: 10.0.01 19268/24 Spoke A Spoke B 19268.2/24 10.0.0 à 1727.0 10.0.0 à 1727.0 19268.0.0/24 à 10.0.0 19268.0.0/24 à 10.0.0 19268.0/24 à bezp. 19268.0/24 à 10.0.0 19268.2.0/24 à 10.0.0 19268.2.0/24 à bezp. 20

Profil Crypto (brak peer a oraz ACL) Podsieć /24 Konfiguracja NHRP Routing w Hub and Spoke Tunel mgre Szyfrowanie tunelu Brak ACL i crypto map crypto ipsec profile vpnprof set transform-set t1 interface Tunnel0 bandwidth 1000 ip address 10.0.0 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 100000 ip nhrp holdtime 360 no ip split-horizon eigrp 1 ip summary-address eigrp 1 19268.0.0/16 delay 1000 ip tcp adjust-mss 1360 tunnel source Serial1/0 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile vpnprof interface Serial1/0 ip address 1727.0 255.255.255.0 21

Profil Crypto (brak peer a oraz ACL) Podsieć /24 Konfiguracja NHRP Tunel p-pgre Szyfrowanie tunelu Brak ACL i crypto map crypto ipsec profile vpnprof set transform-set t1 interface Tunnel0 bandwidth 1000 ip address 10.0.01 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map 10.0.0 1727.0 ip nhrp network-id 100000 ip nhrp holdtime 360 ip nhrp nhs 10.0.0 delay 1000 tunnel source Serial1/0 ip tcp adjust-mss 1360 tunnel destination 1727.0 tunnel key 100000 tunnel protection ipsec profile vpnprof interface Serial1/0 ip address negotiated 22

Profil Crypto (brak peer a oraz ACL) Podsieć /24 Konfiguracja NHRP Tunel p-pgre Szyfrowanie tunelu Brak ACL i crypto map crypto ipsec profile vpnprof set transform-set t1 interface Tunnel0 bandwidth 1000 ip address 10.0.02 255.255.255.0 ip mtu 1400 ip nhrp authentication test ip nhrp map 10.0.0 1727.0 ip nhrp network-id 100000 ip nhrp holdtime 360 ip nhrp nhs 10.0.0 delay 1000 tunnel source Serial1/0 ip tcp adjust-mss 1360 tunnel destination 1727.0 tunnel key 100000 tunnel protection ipsec profile vpnprof interface Serial1/0 ip address negotiated 23

C C C D D 1727.0.0/30 is directly connected, Serial1/0 10.0.0.0/24 is directly connected, Tunnel0 19268.0.0/24 is directly connected, Ethernet0/0 19268.0/24 [90/2841600] via 10.0.01, 22:39:04, Tunnel0 19268.2.0/24 [90/2841600] via 10.0.02, 22:39:10, Tunnel0... S* 0.0.0.0/0 [1/0] via 1727.0.2 D 19268.0.0/16 is a summary, 00:04:13, Null0 Hub C 1726.0/30 is directly connected, Serial1/0 C 10.0.0.0/24 is directly connected, Tunnel0 C 19268.0/24 is directly connected, Ethernet0/0 S* 0.0.0.0/0 is directly connected, Serial1/0 D 19268.0.0/16 [90/2841600] via 10.0.0, 00:00:08, Tunnel0 Spoke A C 1726.2.0/30 is directly connected, Serial1/0 C 10.0.0.0/24 is directly connected, Tunnel0 C 19268.2.0/24 is directly connected, Ethernet0/0 S* 0.0.0.0/0 is directly connected, Serial1/0 D 19268.0.0/16 [90/2841600] via 10.0.0, 00:00:05, Tunnel0 Spoke B 24

10 20% ruchu wymaga relacji spoke-to-spoke Są pewne rodzaje ruchu IP, które z definicji występują w relacji spoke to-spoke (np. ruch audio/video) Powoduje to obciążenie routerów centralnych oraz obciążenie łączy w węźle centralnym W Fazie 1 tracimy zalety podkładowej (transportowej) sieci IP VPN (np. MPLS lub Internet) Problem rozwiązuje zastosowanie interfejsów mgre w spoke ach a także mechanizmy NHRP Resolution oraz NHRP Redirect VPN 25

Komputer PC (19268.25) w podsieci węzła Spoke A, chce skontaktować się z serwerem web (19268.2.37) w podsieci węzła Spoke B. Wysyła pakiet w kierunku serwera. 19268.0.0/24 Physical: 1727.0 Tunnel0: 10.0.0 Physical: 1726.2 Tunnel0: 10.0.02 Spoke B.37 Spoke A 19268.0/24 Physical: 1726 Tunnel0: 10.0.01.25 PC 19268.2.0/24 Web 26

Router w węźle Spoke A sprawdza routing do sieci docelowej (19268.2.0). Według tablicy routingu podsieć docelowa jest dostępna poprzez 10.0.02, poprzez interfejs tunnel0. 19268.0.0/24 Physical: 1727.0 Tunnel0: 10.0.0 Physical: 1726.2 Tunnel0: 10.0.02 Spoke B 19268.0.0/24 à 10.0.0 19268.2.0/24 à 10.0.02 Spoke A 19268.0/24 Physical: 1726 Tunnel0: 10.0.01.25 PC 19268.2.0/24.37 Web 27

Router Spoke A sprawdza swoją tabelę NHRP pod względem adresu przeznaczenia 10.0.02 i nie znajduje wpisu. Wysyła zapytanie NHRP query do serwera NHRP. 19268.0.0/24 Physical: 1727.0 Tunnel0: 10.0.0 Physical: 1726.2 Tunnel0: 10.0.02 Spoke B 10.0.0 à 1727.0 Spoke A 19268.0/24 Physical: 1726 Tunnel0: 10.0.01.25 PC 19268.2.0/24.37 Web 28

Serwer NHRP (węzeł Hub) rozwiązuje adres 10.0.02 na odpowiedni adres publiczny (1726.2) i wysyła odpowiedź do routera Spoke A. 19268.0.0/24 10.0.01 à 1726 10.0.02 à 1726.2...... Physical: 1727.0 Tunnel0: 10.0.0 Physical: 1726.2 Tunnel0: 10.0.02 Spoke B.37 Spoke A 19268.0/24 Physical: 1726 Tunnel0: 10.0.01.25 PC 19268.2.0/24 Web 29

Router Spoke A odbiera odpowiedź NHRP i umieszcza ją w swojej tabeli mapowania NHRP - to uruchamia budowę tunelu GREoIPSec bezpośrednio do adresu 1726.2. Spoke A używa swojego adresu publicznego. 19268.0.0/24 Physical: 1727.0 Tunnel0: 10.0.0 Physical: 1726.2 Tunnel0: 10.0.02 10.0.0 à 1727.0 10.0.02 à 1726.2 Spoke A Physical: 1726 Tunnel0: 10.0.01.25 19268.2.0/24 Spoke B 19268.0/24 PC = Dynamiczny, tymczasowy tunel IPSec Spoke-to-spoke.37 Web 30

Tunel do Spoke B został zestawiony i rozpoczyna się przesyłanie danych ze Spoke A do Spoke B. UWAGA: tunel przesyła ruch tylko w jedną stronę. 19268.0.0/24 Physical: 1727.0 Tunnel0: 10.0.0 Physical: 1726.2 Tunnel0: 10.0.02 Spoke A 19268.0/24 Physical: 1726 Tunnel0: 10.0.01.25 PC Spoke B.37 19268.2.0/24 Web = Dynamiczny, tymczasowy tunel IPSec Spoke-to-spoke 31

Serwer web otrzymuje pakiet od PC i wysyła odpowiedź do PC. Ruch zwrotny powoduje procedurę weryfikacji routingu oraz sprawdzenie NHRP dla routera Spoke A. Pakiet jest wysyłany bezpośrednio do Spoke A. 19268.0.0/24 Physical: 1727.0 Tunnel0: 10.0.0 Physical: 1726.2 Tunnel0: 10.0.02 Spoke A 19268.0/24 Physical: 1726 Tunnel0: 10.0.01.25 PC Spoke B.37 19268.2.0/24 Web = Dynamiczny, tymczasowy tunel IPSec Spoke-to-spoke 32

Po upłynięciu skonfigurowanego limitu czasowego, wpisy NHRP przedawniają się i tunel IPSec od Spoke A do Spoke B przestaje istnieć. 19268.0.0/24 Physical: 1727.0 Tunnel0: 10.0.0 Physical: 1726.2 Tunnel0: 10.0.02 10.0.0 à 1727.0 10.0.02 à 1726.2 Spoke A 19268.0/24 Physical: 1726 Tunnel0: 10.0.01.25 PC Spoke B.37 19268.2.0/24 Web = Dynamiczny, tymczasowy tunel IPSec Spoke-to-spoke 33

crypto isakmp policy 1 encr aes authentication pre-share group 2 crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode transport crypto ipsec profile TP set transform-set TSET interface Tunnel ip address 10.0.0 255.255.255.0 no ip redirects ip nhrp authentication cisco ip nhrp map multicast dynamic ip nhrp network-id 1111 ip nhrp redirect tunnel key 10 no ip split-horizon eigrp 10 ip summary-address eigrp 10 19268.0.0 255.255.0.0 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile TP 34

crypto isakmp policy 1 encr aes authentication pre-share group 2 crypto isakmp key cisco123 address 0.0.0.0 0.0.0.0 crypto ipsec transform-set TSET esp-aes esp-sha-hmac mode transport crypto ipsec profile TP set transform-set TSET interface Tunnel ip address 10.0.0.2 255.255.255.0 no ip redirect ip nhrp authentication cisco ip nhrp map 10.0.0 1727.0 ip nhrp map multicast 1727.0 ip nhrp network-id 1111 ip nhrp nhs 10.0.0 ip nhrp shortcut tunnel key 10 tunnel source FastEthernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile TP 35

Keeping the Defaults in Separate VRFs EIGRP default default INSIDE Enable FVRF DMVPN on the Spokes default Internet Edge Block Allow the ISP learned Default Route in the FVRF and used for tunnel establishment VPN-DMZ OUTSIDE default Global Table contains Default Route learned via tunnel. User data traffic follow Tunnel to INSIDE interface on firewall EIGRP (200) default Internet Internet Allow for consistency for implementing corporate security policy for all users default 36 36

Since WAN interface is in a VRF, pre-shared key needs to be defined in the VRF Tunnel Destination lookup forced in VRF FVRF WAN interface defined in the VRF LAN interface stays in Global Table ip vrf FVRF rd 100:1! crypto keyring DMVPN vrf FVRF pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123! Interface Tunnel0 ip address 172.50 255.255.255.0 ip nhrp authentication HBfR3lpl ip nhrp map multicast 3.3.3.3 ip nhrp map 172.50.254 3.3.3.3 ip nhrp network-id 1 ip nhrp nhs 172.50.254 ip nhrp shortcut tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel vrf FVRF tunnel protection ipsec profile dmvpn! Interface GigabitEthernet 0/0 description WAN interface to ISP in vrf ip address dhcp ip vrf forwarding FVRF Interface GigabitEthernet 0/1 description LAN interface In Global Table 37

IWAN CVD http://www.cisco.com/c/dam/en/us/td/docs/solutions/cvd/jan2015/cvd-iwandesignguide-jan15.pdf Introduction to IWAN (2015 Melbourne) https://www.ciscolive.com/online/connect/sessiondetail.ww?session_id=82772&backbtn=true Intelligent WAN (IWAN) Architecture (2015 Milan) https://www.ciscolive.com/online/connect/sessiondetail.ww?session_id=81978&backbtn=true IWAN and AVC Management with Cisco Prime Infrastructure (2015 Milan) https://www.ciscolive.com/online/connect/sessiondetail.ww?session_id=81876&backbtn=true Whitepapers, presentations, case studies http://www.cisco.com/c/en/us/solutions/enterprise-networks/intelligent-wan/index.html DMVPN http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/15-s/sec-conn-dmvpn-15-s-book.html ISR and ASR AX Ordering Guide http://www.cisco.com/c/en/us/products/collateral/routers/3900-series-integrated-services-routers-isr/guide_c07-726864.html 38

Dziękuję J Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation