Escolar Documentos
Profissional Documentos
Cultura Documentos
R: Existen múltiples plataformas con IOS como sistema operativo con las que se podría
implementar DMVPN, hay que recordar que los equipos deben contar con IOS, además se
debe verificar de sucursales empresariales (sitios) y túneles que se tienen, así como los
anchos de bandas que se planean usar. En este link Cisco ha tomado esas consideraciones
base que se deben tener en cuenta:
https://supportforums.cisco.com/sites/default/files/legacy/3/9/5/26593-DMVPNbk.pdf
R: Las dos tecnologías son muy buenas y útiles a nivel empresarial, todo depende de las
necesidades de la compañía y de los recursos que cuenta.
Ambas se basan en los mismos elementos, IPsec, NHRP y es opcional el uso de GRE;
aunque FlexVPN al ser una tecnología más nueva, consideró ciertos temas como exceso de
overhead de DMVPN y latencia en el proceso query/reply de NHRP, además FlexVPN usa
IKEv2, mientras DMVPN inicialmente se concibió con IKEv1.
P: ¿Puede funcionar DMVPN Spoke to Skoke en un esquema NAT donde los Spokes
se encuentren detrás de modems o equipos realizando NAT?
R: Claro que sí. NAT es un proceso necesario (para usar IPv4 privadas) que ha complicado
las comunicaciones que utilizan VPNs, además de interrumpir ciertos servicios debido a
que se rompe la estructura IPv4 original.
Cuando se implementa DMVPN con IPsec donde los equipos Hub/Spokes también realizan
NAT para la comunicación con los ISPs es necesario configurar NAT Transparency en los
VPN Peers con el siguiente comando:
crypto ipsec nat-transparency udp-encapsulation
R: FlexVPN es una solución más actual que DMVPN, por tal motivo se consideraron
tiempos de respuesta de NHRP y la posibilidad de no usar GRE, sino directamente IPsec,
por lo que puntos como exceso de overhead, posibilidad de más escalabilidad y mejores
tiempos de respuesta se tomaron en cuenta. Es posible una vez que se tiene DMVPN migrar
de forma sencilla a FlexVPN.
http://www.cisco.com/c/en/us/products/collateral/security/dynamic-multipoint-vpn-
dmvpn/data_sheet_c78-468520.html
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_dmvpn/configuration/15-
mt/sec-conn-dmvpn-15-mt-book.pdf
http://www.cisco.com/c/dam/en/us/products/collateral/security/dynamic-multipoint-vpn-
dmvpn/DMVPN_Overview.pdf
P: ¿Se puede tener un Hub de respaldo, dado que el Hub se vuelve un punto crítico de
la red si este cae?
R: Sí, es posible.
P: ¿La fase 1 es cuando aplicas DMVPN para Hub and Spoke y la fase 2 es cuando es
Spoke to Spoke ?
R: En sí todo depende del ISP y el tipo de servicio que se este utilizando, normalmente es
recomendable usar MTU 1400-.
P: ¿Es transparente la red de transporte que utiliza el ISP para conectar las
sucursales?
R: Es correcto, la red de transporte es transparente.-
P: ¿Es realmente necesario configurar los Spoke como mGRE para implementar la
fase 2 de DMVPN y que se de la conectividad Spoke-Spoke?
R: La Fase 1 y 2 utilizan mGRE-, en otras palabras: 1) Fase 1 – Hub - Spoke (mGRE hub,
p2p GRE spokes)
2) Fase 2 – Hub - Spoke con tuneles Spoke-to-Spoke (mGRE en ambos lados).-
P: Tengo una oficina en Italia y otra en Canadá ¿pudiese aplicar este tipo de
configuración para establecer la comunicación ? Actualmente se comunican con VPN
Site-to-Site. ¿Cual sería la ventaja de este tipo podrían comunicarse entre ellas sin
tener que depender de una configuración.
P: ¿Podrían compartir el show run de todos los routers por favor (la configuración
final)?
R: Seguro, los show running-config son los archivos de configuración que pueden
encontrar en el siguiente link de la Comunidad:
https://supportforums.cisco.com/es/document/13186016
P: ¿Cómo NHRP modifíca la tabla de ruteo para que pueda ser enlace point to point
sin pasar por el HUB?
R: NHRP no modifica la tabla de ruteo, el protocolo de ruteo ve el destino por medio del
tunel a un solo hop de distancia.
P: ¿Hay un threshold de tráfico para que el túnel dinámico levante?
R: En cuestión de tiempo por default cada 30 segundos se realiza un check, pero este valor
se puede cambiar. El tunel será desconectado cuando haya 0 kbps de transferencia de datos
por 30 segundos.-
R: Mientras haya conectividad capa 3 se puede monitorear los equipos por SNMP.-
R: IWAN esta basado en DMVPN, así que es importante dominar DMVPN para
implementar iWAN.-
R: Seguro, el comando crypto isakmp key permite establecer la llave compartida entre los
pares de la VPN (pre-shared key).
En cuanto a la dirección 0.0.0.0 es una dirección comodín, es decir, abarca todas las
direcciones. Se usa ello ya que no se tiene certeza de la dirección de destino del túnel
(obtenido dinámicamente por NHRP)
P: ¿Por qué es preferible usar modo transporte en lugar de modo tunel para IPSec?
R: En realidad, tal como se mencionó en el Webcast, hablando en términos de seguridad el
modo túnel es preferible pues permite encriptar tanto el payload como los encabezados
originales y este es el modo usado cuando se tiene Site-to-Site VPN. No obstante, en
términos de aumento de datos de control, posibilidad de fragmentación, el modo túnel debe
incrementar un encabezado de direccionamiento IP adicional, mientras en el modo de
transporte se mantiene el encabezado original. El modo de transporte se puede usar también
en Site-to-Site VPN y también en Remote VPNs. Es una buena práctica disminuir tanto el
MTU a 1400 bytes y el MSS también según las necesidades.
P: ¿Podrían brindar el nombre del emulador de equipos Cisco que soporta DMVPN?
R: La principal ventaja que tiene contra cualquier otro tipo de VPN, es que es estático y
brinda un posibilidad dinámica de generar túneles. Comparado con cualquier otro VPN
tiene mucha carga en los encabezados.
P: ¿Puede funcionar DMVPN Spoke to Skoke en un esquema NAT donde los spokes
se encuentren detras de modems o equipos realizando nat?
R: Claro que sí. NAT es un proceso necesario (para usar IPv4 privadas) que ha complicado
las comunicaciones que utilizan VPNs, además de interrumpir ciertos servicios debido a
que se rompe la estructura IPv4 original.
Cuando se implementa DMVPN con IPsec donde los equipos Hub/Spokes también realizan
NAT para la comunicación con los ISPs es necesario configurar NAT Transparency en los
VPN Peers con el siguiente comando:
crypto ipsec nat-transparency udp-encapsulation
P: ¿Qué pasa si hacia cada sucursal tengo dos enlaces en balanceo de carga y con
diferente proveedor hacia cada sucursal, cómo se levantan los túneles dinámicos entre
las sucursales?
R: Esta pregunta se respondió con la anterior. Se recomienda tener un DMVPN por cada
proveedor y considerar el uso de balanceadores de carga y distintos Hubs.
Si se desea tener un solo túnel con dos distintos ISP, se podría redirigir el tráfico
manipulándolo con route-maps (PBR – Policy-Based Routing) y así tener un ISP principal
y otro de respaldo.
No hay que olvidar que una red dará el sustento al negocio empresarial, por tal motivo el
diseño de esa red debe alinearse a las necesidades, políticas y restricciones de la empresa.
P: En topologías Hub and Spoke y Spoke to Spoke, el HUB cumple una función
principal ¿se puede tener un Hub de Backup?
P: ¿Cuáles serian los equipos (que soportan) y licencias que debería de tener en los
routers para habilitar DMVPN?
P: ¿Qué tan conveniente es tener tanto el HUB como el Spoke en mode gre
multipoint?
R: Es conveniente usar GRE multipoint para poder tener una conectividad dinámica y
evitar tantos cambios en la configuración del lado del hub. -
P: ¿El número del Tunel en la configuración, debe ser la misma tanto para Hubs
como para Spokes?
R: Es correcto.
R: Puede ser, si se refieren a monitorear con alguna herramienta por medio de icmp o snmp.
P: ¿Cuál sería la recomendación de harware para una empresa pequeña, con una
matriz y 5 sitios remotos, considerando que los sitios remotos pueden ser movibles, es
decir desde cualquier sitio?
R: Al ser baja la cantidad de sucursales cualquier ISE está bien, puede ser un ISE800 o 900.
Ahora bien, si al sucursal es movible se recomienda el DMVPN porque nos e necesita hacer
nada en el Hub (matriz) y las sucursales se pueden seguir moviendo para levantar.
R: El emulador de redes de Cisco Systems se llama Cisco VIRL (Virtual Internet Routing
Lab).
Es un excelente emulador, no solo de equipos con IOS, sino con IOS-XR, ASA-OS, NX-
OS entre otros.
Para más información pueden acceder a este enlace:
http://virl.cisco.com/
https://www.youtube.com/watch?v=AHOq756f0UU
R: Voice IP es completamente compatible con DMVPN, al igual que con video, incluso si
se tienen opciones más modernas como multicast es posible que estas funcionen con
DMVPN.