Варианты организации на FlexVPN таких конфигураций как L2L VPN (site to site VPN), RA VPN (remote access VPN), DMVPN (dynamic multipoint VPN). Запись вебинара: https://www.youtube.com/watch?v=GJfFrVRLquU

1. FlexVPN
Irina Ilyina-Sidorova
CSE, Cisco TAC Brussels
September, 2014

2. 2
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Support Community – Expert Series Webcast
Сегодня на семинаре Эксперт Cisco TAC Ирина Ильина- Сидорова рассмотрит варианты организации на FlexVPN таких конфигураций как L2L VPN (site to site VPN), RA VPN (remote access VPN), DMVPN (dynamic multipoint VPN)
Ирина Ильина-Сидорова
Инженер центра
технической поддержки
Cisco TAC в Брюсселе

3. 3
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Технические Эксперты
Тема: FlexVPN
Дата проведения вебинара: 23 сентября 2014 года
Сергей Мороз
Инженер центра технической поддержки Cisco TAC в Москве

4. 4
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Спасибо, что посетили наш вебинар сегодня
Сегодняшняя презентация включает опросы аудитории
Пожалуйста, участвуйте!

5. 5
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Спасибо, что присоединились к нам сегодня
Скачать презентацию Вы можете по ссылке:
https://supportforums.cisco.com/ru/document/12306891

6. Присылайте Ваши вопросы!
Используйте панель Q&A, чтобы задать вопрос. Наши эксперты ответят на них.

7. 7
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вопрос №1
Применяете ли Вы сейчас VPN решения?
a)Планируем использовать, но пока не применяем
b)Используем Remote Access VPN
c)Используем Site-to-site VPN
d)Используем DMVPN
e)Используем несколько различных решений
f)Используем FlexVPN

8. 8
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cisco Support Community – Expert Series Webcast
Ирина Ильина-Сидорова
Инженер центра технической поддержки Cisco TAC в Брюсселе
Сентябрь, 2014
FlexVPN

9. 9
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Введение
IKEv2
Site-to-site VPN -> FlexVPN
Remote Access VPN -> FlexVPN
DMVPN -> FlexVPN
Содержание

10. 10
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Введение

11. 11
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Не обратно-совместимый
Используется Suite B
AES 128/256
SHA 256/386
ECDH (P-256/P-384)
ECDSA (P-256/P-384)
RFC 6379 и 6380 – Suite B for IPSec
Защита от DoS
Гибкая аутентификация – ключи, сертификаты, гибридная схема, EAP
IKEv2 – отличия от IKEv1

12. 12
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
IKEv2 - установление соединения

13. 13
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
IPsec Remote Access Clients (IRACs) нуждаются в IP адресе, для создания TSi до того, как созданы CHILD-SA
IKE_AUTH обеспечивает клиент необходимой информацией
CP(CFG_REQUEST посылается клиентом (IRAC) в рамках IKE_AUTH обмена с IPsec Remote Access Server (IRAS)
IRAS обрабатывает CP(CFG_REQUEST) и выдаёт адрес
Могут использоваться как внутренние, так и внешние сервера
IRAS посылает CP(CFG_REPLY) в сторону IRAC с минимальной конфигурацией, необходимой для установления CHILD-SA
IKEv2 – remote access

14. 14
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
IKEv2 – Remote Access - EAP

15. 15
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
IKEv2 Proposal
IKEv2 Policy
Keyring
IKEv2 Profile
Auth methods
IKE configuration
Crypto ikev2 proposal NUMBER_1
encryption aes-cbc-128 3des
integrity sha1
group 2
Crypto ikev2 policy OUR_POLICY
proposal NUMBER_1
Crypto ikev2 keyring OUR_KEYRING
peer CISCO
address X.X.X.X
pre-shared-key local KEY1
pre-shared-key remote KEY2
Crypto ikev2 profile OUR_IKE_PROFILE
match identity remote address X.X.X.X
authentication local pre-share
authentication remote pre-share
keyring OUR_KEYRING

16. 16
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Crypto ipsec transform-set TS esp-aes 128 asp-sha-hmac
Crypto ipsec profile IPSEC_PROFILE
set transform-set TS
set crypto ikev2 profile OUR_IKE_PROFILE
Interface Virtual-Template1 type tunnel
ip unnumbered Ethernet0/0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile IPSEC_PROFILE
IPSec

17. 17
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
crypto ikev2 proposal
AES-CBC 256, 196,128 , 3DES / SHA-512,384,256, SHA-1, MD5 / group 5, 2
crypto ikev2 policy (match any) crypto ipsec transform-set (AES-128, 3DES / SHA, MD5) crypto ipsec profile default (default transform set, ikev2 profile default)
Настройки по умолчанию
Минимальные настройки:
crypto ikev2 profile default
match identity remote address X.X.X.X
authentication local rsa-sig
authentication remote rsa-sig
pki trustpoint TP
!
interface Tunnel0
ip address Y.Y.Y.Y Z.Z.Z.Z tunnel protection ipsec profile default

18. 18
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вопрос №2
Насколько удобна для Вас миграция на IKEv2?
a)Неудобно, будем использовать IKEv1, пока возможно
b)Пока тестируем, о миграции говорить рано
c)Удобно, никаких проблем не вызовет/ не вызывает
d)Мы уже используем только IKEv2

19. 19
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Site-to-Site VPN -> FlexVPN
Keyring
IKE Profile
Routing (статические маршруты или динамическая маршрутизация)
crypto ikev2 keyring OUR_KEYRING
peer RightPeer
address 172.16.2.1
pre-shared-key local KEY_1
pre-shared key remote KEY_2
crypto ikev2 profile default match identity fqdn RouterRight.cisco.com
identity local fqdn RouterLeft.cisco.com
authentication local pre-shared
authentication remote pre-shared keyring local OUR_KEYRING
interface Tunnel0 ip address 10.0.0.1 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 172.16.2.1 tunnel protection ipsec profile default
ip route 192.168.2.0 255.255.255.0 Tunnel0
crypto ikev2 keyring OUR_KEYRING
peer LeftPeer
address 172.16.1.1
pre-shared-key local KEY_2
pre-shared key remote KEY_1
crypto ikev2 profile default match identity fqdn RouterLeft.cisco.com
identity local fqdn RouterRight.cisco.com
authentication local pre-shared
authentication remote pre-shared keyring local OUR_KEYRING
interface Tunnel0 ip address 10.0.0.2 255.255.255.252 tunnel source FastEthernet0/0 tunnel destination 172.16.1.1 tunnel protection ipsec profile default
ip route 192.168.1.0 255.255.255.0 Tunnel0

20. 20
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
HUB:
сrypto ikev2 profile default
match identity key-id MyAnyConnect
identity local dn
authentication local rsa-sig
authentication remote eap query-identity pki trustpoint CA
aaa authentication user eap AC
aaa authorization user eap cached
virtual-template 1
interface virtual-template 1 type tunnel
ip unnumbered loopback0
tunnel mode ipsec ipv4
tunnel protection ipsec profile default
aaa group server radius RADIUS server-private R.R.R.R
auth-port 1812 acct-port 1813 key RADIUS_KEY
aaa authentication login AC group RADIUS
ip local pool FlexPool 10.0.0.1 10.0.0.253
Remote Access VPN -> FlexVPN
user@domain.com
Cleartext-Password = ”MyPass”
Framed-Pool=FlexPool
ipsec:route-accept=any
ipsec:route-set=interface

21. 21
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Сертификат сервера должен находиться в trusted store
Для подключения до логина, сертификат помещается в Local Computer store
В сертификате hub’a необходимо указать верный CN (совпадающий с hostname в профиле AnyConnect)
Настройки клиента устанавливаются в AnyConnect Profile
Remote Access VPN -> FlexVPN
<ServerList>
<HostEntry>
<HostName>AC Hub</HostName>
<HostAddress>flexanyconnect.cisco.com</HostAddress>
<PrimaryProtocol>IPsec
<StandardAuthenticationOnly>true
<AuthMethodDuringIKENegotiation>EAP-MD5</AuthMethodDuringIKENegotiation>
<IKEIdentity>MyAnyConnect</IKEIdentity>
</StandardAuthenticationOnly>
</PrimaryProtocol>
</HostEntry>
</ServerList>

22. 22
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
DMVPN -> FlexVPN

23. 23
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
aaa authorization network default group radius
aaa accounting network default start-stop group radius
crypto ikev2 profile default
match identity remote fqdn domain cisco.com
identity local dn
authentication local rsa-sig
authentication remote pre-shared
keyring aaa default name-mangler extract-host
pki trustpoint CA
aaa authorization user psk cached
virtual-template 1
interface virtual-template1 type tunnel
ip unnumbered loopback0
tunnel protection ipsec profile default
aaa group server radius radius
server-private 192.168.100.254
auth-port 1812 acct-port 1813
key cisco123
crypto ikev2 name-mangler extract-host
fqdn hostname
Hub
ipsec:ikev2-password-remote=KEY ip:interface-config=policy-map PM out framed-ip=10.0.0.1 ipsec:route-set=interface ipsec:route-set=prefix 192.168.0.0/16 ipsec:route-accept=any

24. 24
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Aaa authorization network default local
crypto ikev2 profile default
match certificate HUBMAP
identity local fqdn R3-Spoke.cisco.com
authentication remote rsa-sig
authentication local pre-shared
keyring local OUR_KEYRING
pki trustpoint CA
aaa authorization group cert list default default
interface Tunnel0
ip address negotiated
tunnel source FastEthernet0/0
tunnel destination 172.16.0.1
tunnel protection ipsec profile default
access-list 99 permit 192.168.101.0 0.0.0.255
crypto ikev2 authorization policy default
[route set interface]
route set access-list NN
crypto ikev2 keyring OUR_KEYRING peer HUB
address 172.16.0.1 pre-shared-key local KEY
Spoke

25. 25
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Получение профиля

26. 27
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Multi-hub – параллельные туннели

27. 28
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
aaa authorization network default local
crypto ikev2 profile default match certificate HUBMAP identity local fqdn Spoke1.cisco.com authentication remote rsa-sig authentication local pre-shared keyring local KR pki trustpoint CA aaa authorization group cert list default default dpd 30 2 on-demand
interface Tunnel0 ip address negotiated tunnel source FastEthernet0/0 tunnel destination 172.16.0.1 tunnel protection ipsec profile default
interface Tunnel1 ip address negotiated tunnel source FastEthernet0/0 tunnel destination 172.16.0.2 tunnel protection ipsec profile default
access-list 99 permit 192.168.103.0 0.0.0.255
crypto ikev2 authorization policy default [route set interface] route set access-list 99
Вариант с двумя hub’ами – параллельные туннели

28. 29
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Multi-hub – резервный туннель

29. 30
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
aaa authorization network default local
crypto ikev2 profile default match certificate HUBMAP identity local fqdn Spoke1.cisco.com authentication remote rsa-sig authentication local pre-shared keyring local KR pki trustpoint CA aaa authorization group cert list default default dpd 30 2 on-demand
crypto ikev2 client flexvpn default client connect tunnel 0 peer 1 172.16.0.1 peer 2 172.16.0.2
interface Tunnel0 ip address negotiated tunnel source FastEthernet0/0 tunnel destination dynamic tunnel protection ipsec profile default
peer <n> <ip> peer <n> <ip> track <x> peer <n> <fqdn> peer <n> <fqdn> track <x>
access-list 99 permit 192.168.103.0 0.0.0.255
crypto ikev2 authorization policy default route set interface route set access-list 99
Multi-hub – резервный туннель
RADIUS Backup List
ipsec:ipsec-backup-gateway
До 10-ти резервных gateway’ев

30. 31
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вопрос №3
Считаете ли Вы FlexVPN удачным решением?
a)Нет, мне нравятся разработанные ранее варианты
b)Нет, никакие VPN от Cisco меня полностью не устраивают
c)Пока не могу сказать
d)Да, это удачное решение

31. Отправьте свой вопрос сейчас!
Используйте панель Q&A, чтобы задать вопрос. Эксперты ответят на Ваши вопросы.

32. Получить дополнительную информацию, а также задать вопросы эксперту в рамках данной темы Вы можете на странице, доступной по ссылке:
https://supportforums.cisco.com/community/russian/expert-corner
Вы можете получить видеозапись данного семинара и текст сессии Q&A в течении ближайших 5 дней по следующей ссылке
https://supportforums.cisco.com/community/russian/expert-corner/webcast

33. 34
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Вебинар на русском языке Тема: Возможности интерпретатора Python в NX-OS
во вторник, 21 октября, в 12.00 мск
Присоединяйтесь к эксперту Cisco Антону Тугаю
В течение вебинара Вы узнаете об интеграции интерпретатора языка Python в операционную систему Nexus - NX-OS. Также мы поговорим об особенностях реализации и рассмотрим примеры использования Python, и как он может быть полезен в повседневной жизни сетевых инженеров.
Несколько слов о Python
Интеграция Python в NX-OS
Примеры и демонстрация

34. 35
© 2013-2014 Cisco and/or its affiliates. All rights reserved. https://supportforms.cisco.com/community/russian
http://www.facebook.com/CiscoSupportCommunity
http://twitter.com/#!/cisco_support
http://www.youtube.com/user/ciscosupportchannel
https://plus.google.com/110418616513822966153?prsrc=3#110418616513822966153/posts
http://itunes.apple.com/us/app/cisco-technical-support/id398104252?mt=8
https://play.google.com/store/apps/details?id=com.cisco.swtg_android
http://www.linkedin.com/groups/CSC-Cisco-Support-Community-3210019
Newsletter Subscription: https://tools.cisco.com/gdrp/coiga/showsurvey.do?surveyCode=589&keyCode=146298_2&PHYSICAL%20FULFILLMENT%20Y/N=NO&SUBSCRIPTION%20CENTER=YES

35. 36
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
•Испанском  https://supportforums.cisco.com/community/spanish
•Португальском  https://supportforums.cisco.com/community/portuguese
•Японском  https://supportforums.cisco.com/community/csc-japan

36. Спасибо за Ваше время Пожалуйста, участвуйте в опросе