NOTAS CCIE WRITTEN - GETVPN

Aunque en el examen de laboratorio no requieren saber montar GETVPN (Group Encrypted Transport VPN), sí que quieren que tengamos nociones de cara al examen teórico.

Cuando formamos los SA en IPSEC lo hacemos en Point-To-Point, tanto para el control plane como para el data plane. Es decir, en una topología con DMVPN, el HUB tiene que mantener un SA con cada Spoke y, cuando los spokes hablan entre ellos forman otra SA.

GETVPN crea Multipoint SA. Es lo que se conoce como GROUP SA y es compartido por todos los miembros. Lo que hace es añadir una extensión GDOI (Group DOI) al ISAKMP. En este grupo todos acuerdan tener la misma clave (key) para la encriptación/desencriptación. Por lo tanto solo crea un único SA para todo el escenario. Esto supone una gran ventaja.

Esta extensión GDOI lo centraliza todo en un Key Server. Todos los miembros se registran en él con lo que se llaman las GDOI SA, que se negocian sobre el puerto UDP 848.




Con GETVPN conseguimos una separación del proceso entre el control plane y el data plane.

Tenemos dos roles:

• Key Server (KS) -> responsble del control plane (key management)
• Group Member (GM) -> responsble del data plane (traffic encryption)

Un router no puede ser KS y GM  a la vez.


Hay 2 fases:

• FASE 1: aseguramos la comunicación

• Los miembros se autentican en el Key Server
• La política de seguridad es igual que ISAKMP
• Forma un Group SA para y con todos los miembros. No como en DMVPN que forma un SA para cada uno. Se usa para intercambiarse las claves de encriptación/desencriptación.

• FASE 2: los miembros consiguen el access list del KS

• Configuración de access list en el KS para definir el tráfico permitido en el túnel.
• El KS distribuye las claves entre los miembros
• Dos tipos de clave:

• Traffic Encryption Key (TEK) -> para encriptar los datos
• Key Encryption Key (KEK) -> para renegociar el intercambio

Cuando se van a renegociar las claves, es KS manda (un mensaje al grupo Group Key Push). Este mensaje se manda por el puerto UDP 848 en unicast o, de una manera más eficiente, en multicast.


Es buena idea tener Servidores KS de backup, a los que llaman Cooperative Key Server. Si solo tenemos uno y se cae, perderemos las comunicaciones.

Todos los GM (miembros) se registran también en los Cooperative Key Server, pero sigue siendo el Servidor KS principal el que mantiene las ISAKMP SA. Entre el Servidor KS y los de backup comparten una clave (key-pair) que genera el Servidor KS principal y que se importan los Cooperative Key Server.

Actuan en los típicos roles de Active-Standby. El KS principal actualiza la Base de Datos GM, las políticas, etc.







Configuración básica

R1#

interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.252
 no sh
!
interface Ethernet0/1
 ip address 192.168.0.1 255.255.255.0
 no sh
!
interface Loopback0
 ip address 1.1.1.1 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
!


R2#

ip routing
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.252
 no sh
!
interface Ethernet0/1
 ip address 172.16.1.1 255.255.255.252
 no sh
!
interface Ethernet0/2
 ip address 172.16.2.1 255.255.255.252
 no sh
!
interface Ethernet0/3
 ip address 172.16.3.1 255.255.255.252
 no sh
!
interface Loopback0
 ip address 2.2.2.2 255.255.255.255
!


R3#

interface Ethernet0/0
 ip address 172.16.1.2 255.255.255.252
 no sh
!
interface Ethernet0/1
 ip address 192.168.10.1 255.255.255.0
 no sh
!
interface Loopback0
 ip address 3.3.3.3 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!


R4#

interface Ethernet0/0
 ip address 172.16.2.2 255.255.255.252
 no sh
!
interface Ethernet0/1
 ip address 192.168.20.1 255.255.255.0
 no sh
!
interface Loopback0
 ip address 4.4.4.4 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.2.1


R5#

interface Ethernet0/0
 ip address 172.16.3.2 255.255.255.252
 no sh
!
interface Ethernet0/1
 ip address 192.168.30.1 255.255.255.0
 no sh
!
interface Loopback0
 ip address 5.5.5.5 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.3.1



FASES DE IKE

En R1: primero generamos el access list y la clave RSA del tamaño que queráis.


access-list 101 permit icmp any any


crypto key generate rsa general label GETVPN-RSA

crypto isakmp policy 1
encryption aes
authentication pre-share
group 2
crypto isakmp key GETVPN address 172.16.1.2
crypto isakmp key GETVPN address 172.16.2.2
crypto isakmp key GETVPN address 172.16.3.2

!
crypto ipsec transform-set GETVPN-TRANSFORM esp-aes esp-sha-hmac
mode tunnel

crypto ipsec profile GETVPN
set transform-set GETVPN-TRANSFORM

crypto gdoi group GETVPN-GROUP
 identity number  1111
 server local
  rekey authentication mypubkey rsa GETVPN-RSA
  rekey transport unicast
  address ipv4 10.0.0.1
  sa ipsec 1
   profile GETVPN
   match address ipv4 101
   replay counter
   no tag



En el resto de equipos:

crypto isakmp policy 1
encryption aes
authentication pre-share
group 2
crypto isakmp key GETVPN address 10.0.0.1


crypto gdoi group GETVPN-GROUP
 identity number  1111
 server address ipv4 10.0.0.1

crypto map GETVPN-MAP 10 gdoi
 set group GETVPN-GROUP

interface Ethernet0/0
 crypto map GETVPN-MAP



Para verificar:

show crypto gdoi group
show crypto gdoi isakmp sa
show crypto gdoi ipsec sa
show crypto gdoi ks members
show crypto gdoi ks policy
show crypto gdoi gm



En el Servidor KS vemos 3 equipos registrados.

show crypto gdoi ks

En uno de los miembros vemos el registro y la descarga del access list

show crypto gdoi gm / show crypto gdoi gm acl