Instancia VPN y sus aplicaciones simples en el switch

Última respuesta ag. 01, 2019 16:56:54 69 2 1 0

Hola, hoy vamos a presentar la instancia de VPN y sus aplicaciones simples en el firewall de USG. En esta publicación, nos centramos en el aislamiento del tráfico en el router de capa 3.

075602yf4jwwuqffhjnogj.png?image.png

En la red que se muestra en la figura anterior, las redes de los dos sitios están conectadas a través de una línea privada entre los conmutadores principales. El contexto es el siguiente:

 

1. En el sitio 1, existen dos VLAN de usuario (VLAN 10 y VLAN 20) en CoreSW-Site1. VLAN 10 es la VLAN de servicio y VLAN 20 es la VLAN de recuperación ante desastres (DR). Las puertas de enlace predeterminadas de las dos VLAN residen en CoreSW-Site1.

 

2. CoreSW-Site1 está conectado a FW1 y FW2 mediante rutas estáticas a través de la VLAN 30. VRRP se implementa en las interfaces internas de los firewalls. La dirección IP virtual de VRRP es 192.168.30.1.

 

3. CoreSW-Site1 está conectado a CoreSW-Site2 a través de VLAN 1000. VLAN 20 en el sitio 1 y VLAN 21 en el sitio 2 necesitan comunicarse entre sí.

 

4. Para el Sitio 1, la VLAN 10 y la VLAN 20 deben estar completamente aisladas.

 

5. Una vez completadas las configuraciones, la VLAN 10 puede comunicarse con los firewalls, la VLAN 20 puede comunicarse con la VLAN 21 y la VLAN 10 está completamente aislada de la VLAN 20 y la VLAN 21.

 

Las puertas de enlace de VLAN 10 y VLAN 20 se implementan en CoreSW-Site1, lo que significa que VLANIF 10 y VLANIF 20 se configuran en CoreSW-Site1. Debido a que las dos interfaces de Capa 3 han implementado la accesibilidad de ruta por defecto, VLAN 10 y VLAN 20 pueden comunicarse entre sí a través de CoreSW-Site1. Esto conlleva riesgos de seguridad y no cumple con los requisitos. La implementación de una ACL en CoreSW-Site1 puede cumplir con el requisito de aislamiento del tráfico, pero no es necesariamente la mejor solución con la mayor escalabilidad.

 

Otra solución es crear una instancia de VPN en CoreSW-Site1 para aislar completamente el tráfico diferente. VLAN 10 y VLAN 30 se mantienen en el dispositivo raíz, y VLAN 20 y VLAN 1000 se colocan en la instancia de VPN. El dispositivo raíz y la instancia de VPN están completamente aislados.

 

Una instancia de VPN, también llamada instancia de enrutamiento y reenvío virtual (VRF), es un concepto similar a un dispositivo virtual. De manera predeterminada, todas las interfaces de un dispositivo de red (como una interfaz de capa 3 o una subinterfaz de un firewall o una interfaz VLANIF de un conmutador) pertenecen a la misma instancia de VPN, es decir, la instancia raíz de un dispositivo. Cuando se crea una instancia de VPN en el dispositivo de red, se pueden agregar interfaces específicas a la instancia de VPN, de modo que las interfaces estén dedicadas a la instancia. La instancia de VPN aquí puede considerarse como un dispositivo virtual. Cada instancia de VPN utiliza una tabla de reenvío de datos independiente del dispositivo raíz, como una tabla de enrutamiento. Las instancias de VPN usan diferentes planos de reenvío de datos. Por lo tanto, el tráfico recibido por una interfaz en una instancia de VPN no se reenvía a otras instancias de VPN o dispositivos raíz. En este caso, se logra un aislamiento absoluto del tráfico. Este concepto es clave para MPLS VPN. Este documento describe solo cómo usar instancias VPN para implementar el aislamiento de datos.


075616lltlplt8lapao8zk.png?image.png


La hoja de ruta de configuración es la siguiente:

 

1. Cree las VLAN 10, 20, 30 y 1000 en CoreSW-Site1.

2. Configure las interfaces de Capa 2 en CoreSW-Site1 y agregue las interfaces a VLAN específicas.

3. Cree una instancia de VPN denominada test en CoreSW-Site1.

4. En CoreSW-Site1, agregue VLANIF 20 y VLANIF 1000 a la instancia test de VPN. Las dos interfaces están completamente aisladas del dispositivo raíz.

5. Configure una ruta estática predeterminada para el dispositivo raíz de CoreSW-Site1. El siguiente salto de la ruta es la dirección IP virtual VRRP 192.168.30.1 del firewall.

6. Configure una ruta estática a la VLAN 21 para instancia prueba de VPN en CoreSW-Site1. El siguiente salto de la ruta es CoreSW-Site2.

7. Nota: Las rutas de retorno a 192.168.10.0/24 deben configurarse en FW1 y FW2.

 

La configuración de CoreSW-Site1 es la siguiente:

 


vlan batch 10 20 30 1000

 

interface GigabitEthernet0/0/11

   port link-type access

   port default vlan 30

   description Connect-to-FW1

interface GigabitEthernet0/0/12

   port link-type access

   port default vlan 30

   description Connect-to-FW2

interface GigabitEthernet0/0/15

   port link-type trunk

   port trunk allow-pass vlan 1000

   undo port trunk allow-pass vlan 1

   description Connect-to-CoreSwitchSite2

interface eth-trunk1

   port link-type trunk

   port trunk allow-pass vlan 10

   undo port trunk allow-pass vlan 1

   description Connect-to-E9000-2X3X

interface eth-trunk2

   port link-type trunk

   port trunk allow-pass vlan 20

   undo port trunk allow-pass vlan 1

   description Connect-to-E9000-1E4E

 

# Create a VPN instance named test.

 

ip vpn-instance test

   route-distinguisher 100:1

 

#Configure VLANIF interfaces, and add VLANIF 20 and VLANIF 1000 into the VPN instance.

interface Vlanif10

  ip address 192.168.10.1 255.255.255.0

interface Vlanif20

  ip binding vpn-instance test

  ip address 192.168.20.1 255.255.255.0

interface Vlanif30

  ip address 192.168.30.4 255.255.255.0

interface Vlanif1000

  ip binding vpn-instance test

  ip address 192.168.255.1 255.255.255.252

 

#Configure static route, a default route for root device, and a static route destined for Site2-VLAN21 for VPN Instance test:

 

ip route-static 0.0.0.0 0 192.168.30.1

ip route-static vpn-instance test 192.168.21.0 24 192.168.255.2

 

Tenga en cuenta que la salida del comando display ip routing-table muestra la tabla de enrutamiento del dispositivo raíz, y la salida del comando display ip routing-table vpn-instance test muestra la tabla de enrutamiento de la prueba de instancia VPN. Además, cuando el comando ping se ejecuta en CoreSW-Site1, CoreSW-Site1 utiliza la interfaz del dispositivo raíz como interfaz de origen y busca la ruta a la dirección de destino en la tabla de enrutamiento del dispositivo raíz. Para realizar una operación de ping en la instancia de VPN, por ejemplo, haga ping a la dirección IP 192.168.255.2 de CoreSW-Site2 desde CoreSW-Site1, ejecute el siguiente comando.

 


<S53>ping -vpn-instance test 192.168.255.2

  PING 192.168.255.2: 56  data bytes, press CTRL_C to break

    Reply from 192.168.255.2: bytes=56 Sequence=1 ttl=255 time=1 ms

    Reply from 192.168.255.2: bytes=56 Sequence=2 ttl=255 time=1 ms

    Reply from 192.168.255.2: bytes=56 Sequence=3 ttl=255 time=1 ms

    Reply from 192.168.255.2: bytes=56 Sequence=4 ttl=255 time=1 ms

    Reply from 192.168.255.2: bytes=56 Sequence=5 ttl=255 time=1 ms

 

  --- 192.168.255.2 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 1/1/1 ms

 

Espero que disfruten esta publicación, si tienen alguna sugerencia o pregunta, pueden responder en esta publicación.

 

Si desea obtener más información, visite nuestro sitio web de soporte (haga clic aquí), o puede visitar nuestro KB (haga clic aquí) para conocer más casos


  • x
  • convención:

wissal
Publicado 2019-7-31 21:18:57 Útil(0) Útil(0)
Gracias por compartir.
  • x
  • convención:

Telecommunications%20engineer%2C%20currently%20senior%20project%20manager%20at%20an%20operator%2C%20partner%20of%20Huawei%2C%20in%20the%20radio%20access%20network%20department%2C%20for%2020%20years%20I%20managed%20several%20types%20of%20projects%2C%20for%20the%20different%20nodes%20of%20the%20network.
Gustavo.HdezF
Moderador Publicado 2019-8-1 16:56:54 Útil(0) Útil(0)
Muy interesante tema sobre las opciones de configuración de la función de VPN en un firewall. Gracias por compartir. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje