Cuando formamos los SA en IPSEC lo hacemos en Point-To-Point, tanto para el control plane como para el data plane. Es decir, en una topología con DMVPN, el HUB tiene que mantener un SA con cada Spoke y, cuando los spokes hablan entre ellos forman otra SA.
GETVPN crea Multipoint SA. Es lo que se conoce como GROUP SA y es compartido por todos los miembros. Lo que hace es añadir una extensión GDOI (Group DOI) al ISAKMP. En este grupo todos acuerdan tener la misma clave (key) para la encriptación/desencriptación. Por lo tanto solo crea un único SA para todo el escenario. Esto supone una gran ventaja.
Esta extensión GDOI lo centraliza todo en un Key Server. Todos los miembros se registran en él con lo que se llaman las GDOI SA, que se negocian sobre el puerto UDP 848.
Con GETVPN conseguimos una separación del proceso entre el control plane y el data plane.
Tenemos dos roles:
- Key Server (KS) -> responsble del control plane (key management)
- Group Member (GM) -> responsble del data plane (traffic encryption)
Hay 2 fases:
- FASE 1: aseguramos la comunicación
- Los miembros se autentican en el Key Server
- La política de seguridad es igual que ISAKMP
- Forma un Group SA para y con todos los miembros. No como en DMVPN que forma un SA para cada uno. Se usa para intercambiarse las claves de encriptación/desencriptación.
- FASE 2: los miembros consiguen el access list del KS
- Configuración de access list en el KS para definir el tráfico permitido en el túnel.
- El KS distribuye las claves entre los miembros
- Dos tipos de clave:
- Traffic Encryption Key (TEK) -> para encriptar los datos
- Key Encryption Key (KEK) -> para renegociar el intercambio
Es buena idea tener Servidores KS de backup, a los que llaman Cooperative Key Server. Si solo tenemos uno y se cae, perderemos las comunicaciones.
Todos los GM (miembros) se registran también en los Cooperative Key Server, pero sigue siendo el Servidor KS principal el que mantiene las ISAKMP SA. Entre el Servidor KS y los de backup comparten una clave (key-pair) que genera el Servidor KS principal y que se importan los Cooperative Key Server.
Actuan en los típicos roles de Active-Standby. El KS principal actualiza la Base de Datos GM, las políticas, etc.
Configuración básica
R1#
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.252
no sh
!
interface Ethernet0/1
ip address 192.168.0.1 255.255.255.0
no sh
!
interface Loopback0
ip address 1.1.1.1 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 10.0.0.2
!
R2#
ip routing
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.252
no sh
!
interface Ethernet0/1
ip address 172.16.1.1 255.255.255.252
no sh
!
interface Ethernet0/2
ip address 172.16.2.1 255.255.255.252
no sh
!
interface Ethernet0/3
ip address 172.16.3.1 255.255.255.252
no sh
!
interface Loopback0
ip address 2.2.2.2 255.255.255.255
!
R3#
interface Ethernet0/0
ip address 172.16.1.2 255.255.255.252
no sh
!
interface Ethernet0/1
ip address 192.168.10.1 255.255.255.0
no sh
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.1.1
!
R4#
interface Ethernet0/0
ip address 172.16.2.2 255.255.255.252
no sh
!
interface Ethernet0/1
ip address 192.168.20.1 255.255.255.0
no sh
!
interface Loopback0
ip address 4.4.4.4 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.2.1
R5#
interface Ethernet0/0
ip address 172.16.3.2 255.255.255.252
no sh
!
interface Ethernet0/1
ip address 192.168.30.1 255.255.255.0
no sh
!
interface Loopback0
ip address 5.5.5.5 255.255.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.3.1
FASES DE IKE
En R1: primero generamos el access list y la clave RSA del tamaño que queráis.
access-list 101 permit icmp any any
crypto key generate rsa general label GETVPN-RSA
crypto isakmp policy 1
encryption aes
authentication pre-share
group 2
crypto isakmp key GETVPN address 172.16.1.2
crypto isakmp key GETVPN address 172.16.2.2
crypto isakmp key GETVPN address 172.16.3.2
!
crypto ipsec transform-set GETVPN-TRANSFORM esp-aes esp-sha-hmac
mode tunnel
crypto ipsec profile GETVPN
set transform-set GETVPN-TRANSFORM
crypto gdoi group GETVPN-GROUP
identity number 1111
server local
rekey authentication mypubkey rsa GETVPN-RSA
rekey transport unicast
address ipv4 10.0.0.1
sa ipsec 1
profile GETVPN
match address ipv4 101
replay counter
no tag
En el resto de equipos:
crypto isakmp policy 1
encryption aes
authentication pre-share
group 2
crypto isakmp key GETVPN address 10.0.0.1
crypto gdoi group GETVPN-GROUP
identity number 1111
server address ipv4 10.0.0.1
crypto map GETVPN-MAP 10 gdoi
set group GETVPN-GROUP
interface Ethernet0/0
crypto map GETVPN-MAP
Para verificar:
show crypto gdoi group
show crypto gdoi isakmp sa
show crypto gdoi ipsec sa
show crypto gdoi ks members
show crypto gdoi ks policy
show crypto gdoi gm
En el Servidor KS vemos 3 equipos registrados.
show crypto gdoi ks |
En uno de los miembros vemos el registro y la descarga del access list
show crypto gdoi gm / show crypto gdoi gm acl |
como paso un GM a otro Key Server. No puedo hacerlo me sale el siguiente error.
ResponderEliminarcrypto gdoi group getvpn
! Incomplete GDOI Group Configuration
! No server type configured
Router(config)#crypto gdoi group getvpn
ResponderEliminarRouter(config-gkm-group)# identity number 1234
Router(config-gkm-group)#crypto isakmp key cisco address 172.19.4.1
A pre-shared key for address mask 172.19.4.1 255.255.255.255 already exists!
Router(config)#crypto isakmp key cisco address 172.19.4.2
A pre-shared key for address mask 172.19.4.2 255.255.255.255 already exists!
Router(config)#