Часть II.

Модуль III. Site-to-Site VPNs



Краткое описание модуля:

Этот модуль является продолжением предыдущего. Он имеет еще больший практический уклон. В этом модуле, мы перейдем к практическому внедрению изученных технологий в большую корпоративную сеть, в наш основной проект. Именно так, как Вы будите делать это в рамках реального предприятия - два филиала, будут отдалены друг от друга посредством реального Интернет. Однако, без знаний из предыдущего модуля, сделать это будет невозможно.

Нам предстоит на удаленном компьютере развернуть филиальную сеть и подключить её к головной сети посредством DMVPN - основной технологии, изучаемой в этом модуле.

DMVPN, это многогранная и сложная технология для автоматического построения туннелей между spoke роутерами, которая может быть реализована различными способами. DMVPN может работать в режиме фазы 1, 2 и 3. Каждая из фаз, накладывает свои ограничения на поведение туннелей, на возможность суммаризации маршрутов, а так же на возможность применения того или иного протокола динамической маршрутизации. Мы узнаем, почему в сети DMVPN, при количестве spoke роутеров более 100, применение OSPF невозможно. Узнаем, почему необходимо запрещать query сообщения в EIGRP и почему BGP является наилучшим решением. Но если BGP, то iBGP или eBGP? В случае нахождения филиальных роутеров за NAT, потребуется применение технологии NAT-Traversal, но и здесь всё не так просто - не каждый филиал может быть закрыт за динамическим NAT. В режиме фазы 2, образуется incomplete запись в CEF, которая влияет на производительность сети - нам предстоит разобраться и с этим вопросом. Отказоустойчивость Hub, может быть реализована посредством Dual Hub Single Cloud и Dual Hub Dual Cloud, и каждый из вариантов реализации обладает своими преимуществами и недостатками. В этом модуле, мы, на практических примерах, перепробуем десятки всевозможных вариантов касательно фаз, протоколов динамической маршрутизации, суммаризации, NAT, отказоустойчивости и выберем наилучшее сочетание конфигураций, исходя из конкретных задач предприятия. Помимо DMVPN, нами будут изучаться еще несколько VPN технологий, одна из которых - Static and Dynamic VTI, обладающая десятком преимуществ и одним существенным недостатком...

Таким образом, изучив этот модуль, Вы сможете развертывать полноценные Site-to-Site VPN решения в реальной корпоративной среде, выбирая для этого наилучшую технологию.


Урок 1. Static and Dynamic VTI


1. Определение системных требований для построения сети филиала. Выбор между единой и территориально-распределенной архитектурой.

2. Развертывание небольшой сети филиала на удаленном компьютере.

3. VPN технологии категории Site-to-Site для объединения филиалов, такие как IPSec (GRE и Crypto-Map); IPSec (Static and Dynamic VTI); IPSec + GRE (DMVPN).

4. Недостатки технологии IPSec Crypto-Map, изученной в модуле II. Static and Dynamic VTI как лучшая альтернатива – отсутствие необходимости в наличии публичного IP адреса со стороны spoke + автоматическая настройка hub роутера при подключении каждого нового spoke.

5. Практическая работа по конфигурации Static and Dynamic VTI на примере лабораторного проекта, в котором Branch роутер сокрыт за NAT. Совместная работа IPSec и ISAKMP профилей.

6. Идеология Dynamic VTI. Шаблон Virtual Template, на основании которого происходит автоматическое создание виртуальных туннельных интерфейсов (VTI). Особенности и назначение команды IP unnumbered.

7. Отключение проверки identity в IPSec – механизм автоматического подключения неограниченного количества филиалов к роутеру MainOffice без внесения каких-либо изменений в его конфигурацию + подключение филиальных роутеров, сокрытых за NAT (без публичного IP адреса).

8. Особенности маршрутизации в VPN сети, построенной с использованием технологии Dynamic VTI. Почему статическая маршрутизация не работает?

9. Обеспечение маршрутизации с помощью протокола Open Shortest Path First (OSPF). Определение роли DR роутера. Почему в топологии Hub-and-Spoke, spoke роутер никогда не должен становится DR-ом?

10. Детальное объяснение принципов работы технологии Static and Dynamic VTI. Принцип построения связи между туннельным ip адресом Branch роутера и виртуальным интерфейсом virtual-template на Hub роутере в связки с динамическим маршрутом. Совместная работа профиля ISAKMP, pre-shared ключа и группы keyring, virtual access и virtual template, профиля IPSec и политики transform-set. Изучение процесса установки туннелей и процесса передачи трафика.

11. Подключение дополнительного филиала к тестовому лабораторному проекту, конфигурация роутера Branch 2 по принципу Static VTI. В каких случаях применять технологию Dynamic VTI, а в каких Static VTI?

12. Особенности ассоциаций безопасности (Security Associations) в изучаемой конфигурации.

13. Ситуация, при которой несколько удаленных пиров (Branch роутеров) сокрыты за одним единственным NAT IP-адресом. Механизмы, с помощью которых Hub роутер сопоставляет конкретный ESP пакет с конкретной ассоциацией безопасности.

14. Технология NAT Traversal (NAT-T). Дополнительный UDP заголовок перед ESP c целью прохождения пакета через NAT без нарушения целостности. UDP порты 500 и 4500.

15. Особенности NAT Traversal при использовании Authentication Header (AH) и комбинированного режима ESP + AH.

16. Изучение процесса передачи IPSec пакета с включенной технологией NAT Traversal по сети. Почему изменение номеров портов в UDP заголовке PAT-устройством, не приводит к нарушению целостности пакета при использовании ESP?

17. Автоматическая активация технологии NAT Traversal при обнаружении NAT устройства на пути следования трафика. Механизмы обнаружения. Изучение команды для ручной активации технологии NAT Traversal.

18. Детальное изучение механизма трансляции портов при прохождении ESP пакета через PAT устройство. Отдельные ассоциации безопасности для каждого порта. Branch роутеры как инициаторы соединения.

19. Перевод Static and Dynamic VTI на аутентификацию по сертификатам. Особенности RDN поля Organization Unit в личных сертификатах, выпускаемых для филиальных роутеров. Работа с картой сертификатов (certificate map).

20. Подведение итогов по теме Static and Dynamic VTI. Многочисленные преимущества и один существенный недостаток.



Урок 2. DMVPN, часть I


1. Технология Dynamic Multipoint Virtual Private Network (DMVPN), знакомство. Преимущества перед Static and Dynamic VTI.

2. Идеология DMVPN – автоматическое построение логической топологии Full-Mesh (связей каждый на каждого) при физической топологии Hub-and-Spoke. Детальное изучение принципов построения автоматических связей в DMVPN.

3. Протоколы, входящие в состав DMVPN – mGRE, NHRP, IPsec, IGP. Роль каждого протокола в технологии DMVPN.

4. Протокол разрешения шлюза Next Hop Resolution Protocol (NHRP), входящий в состав DMVPN. Назначение и принцип действия.

5. Практическая работа по развертыванию DMVPN на примере лабораторного проекта.

6. Конфигурация на Spoke. Встроенный механизм аутентификации NHRP и целесообразность его применения. Активация дополнительной защиты, встроенной в протокол GRE.

7. Продолжение конфигурации. Работа с командами «ip nhrp map multicast», «ip nhrp nhs», «ip nhrp registration no-unique». Описание и назначение каждой команды.

8. Команда «ip nhrp network-id» как идентификатор DMVPN сессии. Обзор ситуаций, при которых необходимо выполнять разграничение сессий.

9. Понятие Next-Hop Server и Next-Hop Client в топологии DMVPN. Роль NHS и NHC.

10. Конфигурация на Hub. Отличия от конфигурации на Spoke. Особенности команды «ip nhrp map multicast dynamic».

11. Point-to-Multipoint взаимодействие между Hub и Spoke. Модифицированный протокол multipoint GRE (mGRE), обеспечивающий возможность работы в многоадресной среде. Необходимость применения команды «tunnel mode GRE multipoint».

12. Знакомство с NHRP таблицей резолюций. NHRP таблица как основное средство диагностики. Детальное изучение вывода таблицы.

13. Изучение принципов работы механизма автоматического сопоставления физических IP адресов с адресами туннельных интерфейсов Spoke роутеров (основа работы DMVPN). Статический и динамический mapping.

14. Особенности IP адресации туннельных интерфейсов в сети DMVPN.

15. Обмен служебными сообщениями в сети DMVPN. Сообщения типа Registration Request/Reply, Resolution Request/Reply, Purge Request, Error Indication. Изучение каждого сообщения с помощью WireShark. Роль каждого из сообщений в механизме автоматического построения логической топологии Full-Mesh.

16. Настройка маршрутизации в DMVPN сети. Настройка статической и динамической маршрутизации. Особенности neighbor взаимодействия. Определение DR роутера с помощью настройки приоритетов «ip ospf priority».

17. Некорректная работа OSPF в Point-to-Multipoint среде. Объяснение причин возникновения проблем. Решение проблем с помощью настройки OSPF.

18. Краткая памятка по методам ускорения маршрутизации. Process Switching и Cisco Express Forwarding. Таблица FIB.

19. Проблема маршрутизации первого пакета с использованием медленного метода Process Switching в DMVPN сети. Incomplete запись в CEF.

20. Статические и динамические туннели. Ограничение времени жизни динамических туннелей как способ экономии ресурсов Spoke роутеров. Условия, при которых динамический туннель остается открытым.

21. Регулирование времени жизни динамических туннелей с помощью команды «ip nhrp holdtime». Рекомендации по установке оптимального значения таймера.

22. Регулировка частоты отправки сообщений типа NHRP Resolution Request. Целесообразность регулировки.

23. Ограничение количества отправок служебных NHRP сообщений в единицу времени для уменьшения сетевой нагрузки.

24. Возможна ли корректная работа DMVPN без активного хаб роутера? Проверка на практике.

25. Фазы DMVPN. Понятие фаз.

26. DMVPN фаза 2. Принципы работы, преимущества и недостатки. Необходимость отключения механизма предотвращения возникновения петель split-horizon при использовании EIGRP в сети DMVPN. Почему нет необходимости в отключении split-horizon в случае использования OSPF?

27. Особенности сохранения информации об оригинальном next-hop адресе в протоколе EIGRP. Причины, по которым необходимо запрещать изменение next-hop адреса в режиме второй фазы.

28. Сохранение оригинального next-hop адреса в протоколе OSPF. Команда «ip ospf network (broadcast / point-to-multipoint)».

29. DMVPN фаза 3. Огромные преимущества и полностью нивелированные недостатки фазы 2. Дополнительные команды «ip nhrp redirect» и «ip nhrp shortcut» в настройках туннельных интерфейсов. Особенности настройки протоколов OSPF и EIGRP.

30. Практическая работа по переводу сети DMVPN в режим третьей фазы. Сравнение принципов работы фазы 2 и фазы 3 на практических примерах. Фаза 3 как решение проблемы incomplete записи в CEF. Почему для фазы 3 требуется разрешить изменение next-hop адреса в маршрутах, проходящих через Hub роутер?

31. Новое сообщение NHRP Traffic Indication (NHRP Redirect), свойственное фазе 3. Роль сообщения.

32. DMVPN фаза 1 – передача данных между филиалами только через Hub роутер. Преимущества и недостатки фазы 1. Команды конфигурации и особенности взаимодействия с протоколами динамической маршрутизации.

33. Практическая реализация фазы 1. Сравнение принципов работы с фазой 2 и 3. Изучение сообщений, свойственных фазе 1 с помощью WireShark.

34. Сравнение и выбор наилучшей фазы для организации защищенных VPN соединений в корпоративной среде.

35. Протоколы динамической маршрутизации в DMVPN сети. Сложный выбор одного из трех протоколов - OSPF, EIGRP и BGP. А может IS-IS? И что насчет RIP?

36. Серьезные ограничения протокола OSPF при работе в DMVPN сети. Проблема при попытке разделения OSPF на регионы из-за multipoint интерфейсов.

37. Грамотное разделение OSPF на регионы в условиях существующих ограничений. Схема 1 и схема 2. Рекомендации по выбору схемы.

38. Бесконтрольное распространение LSU сообщений, отсутствие суммаризации на Hub и возможности фильтрации маршрутов на ABR роутере посредством prefix-list.

39. Максимальное количество Spoke роутеров, при котором всё еще возможно использовать OSPF в DMVPN сети, и количество Spoke роутеров, при котором использование OSPF недопустимо.

40. EIGRP как более оптимальный протокол для обеспечения динамической маршрутизации в DMVPN сети. Сравнение поведения OSPF и поведения EIGRP в случае добавления/удаления подсети, а также в случае полной потери одного из Spoke роутеров. Служебный трафик передаваемый по сети и его влияние на сходимость. Преимущества и недостатки EIGRP в контексте DMVPN сети.

41. BGP как наилучший вариант для обеспечения динамической маршрутизации в DMVPN сети. Десять причин, по которым стоит выбрать BGP и одна причина, по которой делать этого не стоит.

42. Выбор конкретного протокола динамической маршрутизации исходя из количества Spoke роутеров, входящих в состав DMVPN сети.

43. Суммаризация, как важная часть оптимизации сходимости любого протокола динамической маршрутизации. Начало практической работы по выполнению суммаризации в протоколах OSPF, EIGRP и BGP.

44. Суммаризация подсетей пользователей таким образом, чтобы подсети в каждом из филиалов суммаризировались в разные подсети по 16-той маске.

45. Влияние суммаризации на сходимость OSPF в DMVPN сети. В каких случаях происходит частичный, а в каких случаях полный запуск SPF алгоритма?

46. Суммаризация подсетей пользователей таким образом, чтобы подсети в каждом из филиалов суммаризировались в одну и ту же подсеть по 16-той маске. В чем преимущества этого типа суммаризации и почему её невозможно выполнить при использовании OSPF?

47. Суммаризация на Hub в EIGRP (DMVPN фаза 1 и 3). Преимущества суммаризации на Hub. Почему невозможно выполнить суммаризацию на Hub в режиме фазы 2?

48. Query сообщения в EIGRP и их влияние на производительность сети. Причины возникновения Query сообщений и их устранение. Stub роутеры.

49. Консолидация знаний в области суммаризации. Еще раз о типах суммаризации, которые можно применять при использовании OSPF, EIGRP и BGP. Зависимость типа суммаризации от используемой фазы DMVPN.

50. Перевод DMVPN на использование протокола динамической маршрутизации BGP (практическая работа).

51. Краткая памятка о принципах работы BGP. EBGP и IBGP связи. Особенности анонсирования сетей и установки neighbor взаимоотношений.

52. Реализация IBGP в DMVPN. Выбор номера автономной системы. Частные и публичные номера ASN.

53. Механизм защиты от петель маршрутизации в IBGP как причина некорректной работы. Решение проблемы с помощью технологии Route Reflector (RR).

54. Настройка функции «next-hop-self» на Hub роутере для обеспечения работы DMVPN в режиме фазы 3. Параметр «all».

55. Альтернативный способ настройки функции «next-hop-self» с помощью Route-Map. Объяснение принципов работы.

56. Суммаризация на Hub в BGP (DMVPN фаза 1 и 3). Использование команды «aggregate-address». Параметр «summary-only».

57. Невозможность автоматической настройки Hub роутера при подключении нового Spoke из-за особенностей BGP. Решение проблемы с помощью технологии BGP Dynamic Neighbors. Детальное изучение принципа работы технологии. Определение версии IOS, поддерживающей технологию с помощью Cisco Feature Navigator.

58. Преимущества и недостатки применения IBGP связей в DMVPN сети. IBGP без низлежащего IGP протокола.

59. Переход на использование EBGP связей, при которых каждый Spoke роутер находится в разных автономных системах. Почему нельзя использовать 16-ти битные номера автономных систем?

60. Особенности логики работы BGP при использовании EBGP связей. Требуется ли технология Route Reflector (RR)? Next-Hop адреса в маршрутах, проходящих через Hub.

61. Невозможность применения технологии BGP Dynamic Neighbors в рассмотренной конфигурации. Переход к использованию EBGP связей, при которых Spoke роутеры находятся в одной и той же автономной системе.

62. Игнорирование атрибута as-path в полученных маршрутах. Использование параметра «allowas-in» для отключения механизма защиты от петель маршрутизации.

63. Подведение итогов. Рекомендации по конечном выбору фазы DMVPN, метода суммаризации и протокола динамической маршрутизации для организации защищенных VPN соединений в корпоративной среде.

...

Содержание остальных уроков находится в разработке. Оно появится здесь в ближайшее время.