Comunidade de Suporte da Cisco - Webcast ao Vivo:
Itzcoatl Espinosa
Cisco Support Engineer 04/06/14
GET VPN (Group Encrypted Transport
VPN): Configuração e Troubleshooting
Cisco Confidential 2
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Webcast com Especialistas em Tecnologia da Comunidade Cisco
Especialista de hoje:
Itzcoatl Espinosa, Cisco Support Engineer
Engenheiro TAC
Cisco Confidential 3
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Especialistas ajudantes de hoje:
Webcast com Especialistas em Tecnologia da Comunidade Cisco
Ricardo Prado
Engenheiro TAC
Paulo de Aguiar
Engenheiro TAC
Obrigado por estar com a gente hoje!
Durante a apresentação, serão feitas algumas perguntas para o público.
Dê suas respostas, participe!
Cisco Confidential 5
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Obrigado por estar com a gente hoje!
https://supportforums.cisco.com/xxxxx
Se você quiser baixar uma cópia da apresentação de hoje, basta
clicar no link abaixo ou ir até a Comunidade de Suporte e buscar
este webcast na aba “Canto dos especialistas”.
Primeira Pergunta
Você sabe o qué é GETVPN (Group Encrypted Transport VPN)?
a) Eu tenho uma idéia básica do que é e como funciona.
b) Eu tenho conhecimento teórico sobre o tema, mas sem experiência prática.
c) Eu já trabalhei com GETVPN no laboratório.
d) Eu tenho GETVPN em uma rede de produção.
Cisco Confidential 7
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Agenda
• O qué é GETVPN?
• Conceitos básicos
• Implementação e Configuração
• Key Server em modo cooperativo (COOP KS)
• Verificação e solução de problemas
• Demo lab
Cisco Confidential 9
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
GETVPN: Group Encrypted Transport Virtual Private Network
• Nova geração de VPNs para WAN que não utiliza túneis tradicionais ponto-a- ponto.
• Baseado em um modelo de membros confiáveis. Os membros de um grupo GETVPN podem comunicar-se uns com os outros usando uma política comum, de modo que a negociação IPSec entre GMs não é necessária.
• Escalável (conexão any-to-any).
• Preserva a origem e o destino do endereço IP no cabeçalho do pacote.
• Fornece segurança para conexões privadas WAN.
• Criptografa o tráfego em redes MPLS.
Conceitos básicos
• GDOI. (Group Domain of Interpretation). Protocolo ISAKMP utilizado para o gerenciamento de chaves. Ele é utilizado na comunicação entre os KS e GMs sobre a porta UDP 848.
• Key Server (KS). Controla e estabelece Associações de Segurança (SAs.) Manutenção das políticas e chaves do grupo.
• Group Member (GM). Cadastra-se com o servidor para obter o IPSEC SAs
(associações de segurança) que são necessários para criptografar o tráfego.
Cisco Confidential 11
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Conceitos básicos
• KEK (Key Encryption Key). Criptografa as mensagens de rekey entre o servidor e os membros do grupo.
• Tempo de vida KEK. Pelo menos 3 vezes a TEK.
crypto gdoi group GDOI-GROUP1 server local
rekey lifetime seconds 86400
• TEK (Traffic Encryption Key). IPSEC SA usado para a comunicação dos membros do grupo (GMs).
• Tempo de vida TEK. Valor recomendado: 2 horas:
crypto IPSec profile profile1
set security-association lifetime seconds 7200
Equipamentos e requisitos
• IOS imagem: 12.4(15)T8 e 12.4(22)T2
• IOS-XE imagem: 12.2(33)XNC
Referência: GETVPN_DIG_version_1_0_External.pdf
Cisco Confidential 13
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
GETVPN utiliza os seguintes passos:
1.Cadastro do GM ao Key Server
2. Autenticação e envio de políticas de criptografia KS (SAs) (KEK) 3. Envio de tráfego entre os GMs. (TEK)
4. Envio do Rekey.
GETVPN
Key Server
GM 1 GM 2
Instale a chave RSA para o rekey. Exemplo:
crypto key generate rsa modulus 1024 label REKEYRSA
Verifique o status da chave
show crypto key mypubkey rsa
Se co-op KS será feito, a chave deve ser “exportable”.
crypto key generate rsa modulus 1024 label REKEYRSA exportable
Configuração do Key Server
Cisco Confidential 15
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Usado para enviar políticas.
O KS monitora o tempo de vida (lifetime) da SA, e envia um rekey antes que ela expirar.
As chaves podem ser distribuídas da forma unicast ou multicast.
Multicast. Usado em uma grande implantação. É escalável, mas requer uma infra-estrutura de roteamento em multicast.
Unicast. A GM precisa confirmar o recebimento do rekey ao KS.
Rekey (Distribuição de Chaves)
As seguintes alterações gerarão rekey pelo Key Server.
Altere a crypto ACL.
Modifique o IPSec transformar set.
Altere o tipo de rekey (unicast para multicast, ou vice-versa).
Mude o endereço multicast do rekey.
Alterar chave RSA.
Modificar as configurações de perfil do crypto Ativar ou desativar a detecção de anti-replay.
Rekey (Distribuição de Chaves)
Cisco Confidential 17
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Instale KS em locais geograficamente separados.
Pode ser usado o rekey unicast em implantações até 2.000 GMs.
Use certificados em vez de chave “pre-shared” para escalabilidade e segurança.
Quando há mais de 1000 GMs e as políticas são grandes, as
mensagens do rekey podem ser muito grandes também. Às vezes, é recomendado aumentar o tamanho da memória dos buffers no KS.
buffers huge size 64000
Implementação do GETVPN
A rede deve ser acessível entre os KS e os membros do grupo.
O roteador CE (Customer Edge) deve ter o hardware de criptografia apropriado para lidar com a quantidade de tráfego esperado.
Se houver um firewall no meio, certifique-se que não estão bloqueados os seguintes protocolos :
GDOI (UDP 848).
ESP (IP 50).
O servidor de NTP e a Autoridade Certificadora (CA) devem ser acessíveis.
O cadastro dos membros pode ser equilibrada entre os Key Servers.
Implementação do GETVPN
Cisco Confidential 19
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Recomenda-se reduzir a configuração tanto quanto seja possível.
Colocar entradas de permit e ao final ter o deny any any implícito.
Não utilizar portas para definir o ACL.
Há um limite de 100 entradas na ACL, contudo, ter visto problemas de desempenho em configurações menores.
Utilizar uma configuração simétrica e resumir redes para evitar o consumo da memória:
Ejemplo: permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0
Configuração do ACL do crypto
KS1#show run
crypto isakmp policy 1 Políticas Fase I
encr 3des
!
crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac
!
crypto ipsec profile profile1 Perfil que utiliza o transform
set transform-set 3des-sha set
!
crypto gdoi group group1 Gerar o grupo do GETVPN
identity number 1111 Identificador do grupo
server local
rekey address ipv4 rekey_mul Tipo de rekey utilizado
rekey retransmit 10 number 2
rekey authentication mypubkey rsa REKEYRSA Chave usada para o rekey
sa ipsec 1 Políticas de Fase II (IPSEC)
profile profile1
match address ipv4 getvpn_acl Crypto ACL
replay time window-size 40
address ipv4 10.10.10.1 Endereço do servidor
Configuração do Key Server
Cisco Confidential 21
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Continuação
!
ip access-list extended getvpn_acl ACL do criptografado
permit ip host 3.3.3.3 host 4.4.4.4 permit ip host 4.4.4.4 host 3.3.3.3
!
!
ip access-list extended rekey_mul ACL para o rekey em multicast permit ip host 10.10.10.1 host 239.0.1.2
permit ip host 20.20.20.1 host 239.0.1.2
!
!
ntp source Loopback0 Configuração do NTP
ntp master 1
Configuração do Key Server
GM#show run
crypto isakmp policy 1 Políticas de Fase I
encr 3des
!
crypto gdoi group group1 Gerar o grupo do GETVPN
identity number 1111 Identificador do grupo
server address ipv4 10.10.10.1 Servidor primário para o cadastro server address ipv4 20.20.20.1 Servidor secundário
!
crypto map gdoi_map 1 gdoi Aplicação do grupo no crypto map set group group1
!
interface Loopback0
ip address 3.3.3.3 255.255.255.255
!
interface Ethernet0/0 Aplicação do crypto map na interface ip address 192.168.3.1 255.255.255.0
crypto map gdoi_map
Configuração do Group Member (GM)
Cisco Confidential 23
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Você sabe o que é GETVPN em modo cooperativo ?
a) Conheço o conceito.
b) Eu tenho o conhecimento teórico necessário.
c) Eu fiz o GETVPN no laboratório.
d) Eu tenho GETVPN em modo cooperativo em uma rede em produção.
Segunda Pergunta
Cisco Confidential 25
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Usado em grandes implantações para garantir redundância e cadastro de todos os GMs.
O KS principal é responsável pela criação e distribuição das políticas de criptografia.
Ele envia atualizações para os outros KS para manter a sincronia.
O KS secundário mantém o controle do estado do KS primário (Alive o Dead).
Se os KS secundários param de receber mensagens do COOP. O KS secundário muda para o estado primário.
O cadastro pode ser feito em qualquer KS para realizar o balanceamento de carga, no entanto, apenas o KS primário faz a distribuição das mensagens do rekey.
Coop Key Server
Gerar uma chave RSA e exporta-la para os outros Key Servers.
A escolha do KS primário se baseia na mais alta prioridade.
Ativar os ISAKMP keepalives (Dead Peer Detection - DPD).
As configurações de GETVPN devem ser iguais entre os Key Servers.
Se certificados PKI são usados para autenticar a Fase I, recomendamos o uso de uma chave RSA diferente.
Coop Key Server
Key Server 1
GM 1 GM 2
Key Server 2
Cisco Confidential 27
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Gerar um tipo de chave exportável
crypto key generate rsa modulus 1024 label REKEYRSA exportable
Exporte a chave RSA
crypto key export rsa REKEYRSA pem terminal 3des <pass code>
Importar a chave em outros KSs.
crypto key import rsa REKEYRSA pem terminal <pass code>
Configure o Key Server em modo cooperativo
crypto isakmp keepalive 15 periodic Ativar keepalive
!
crypto gdoi group GDOI-GROUP1 server local
address ipv4 10.0.0.1 Endereço do KS local
redundancy Ativar redundância
local priority 250 Prioridade para a escolha
peer address ipv4 10.0.6.1 Endereço do KS secundário
Configuração do Coop Key Server
Cisco Confidential 29
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Cadastro com sucesso de um membro
May 10 22:56:23.871: %CRYPTO-5-GM_REGSTER: Start registration to KS 10.10.10.1 for group group1 using address 3.3.3.3
May 10 22:56:24.051: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE May 10 22:56:24.051: ISAKMP:(1005):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE May 10 22:56:24.055: GDOI:INFRA:(0): Completed KEK Processing
May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E
May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E
May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111):Completed processing 2 GDOI SA TEK Payloads
May 10 22:56:24.055: ISAKMP:(1005): sending packet to 10.10.10.1 my_port 848 peer_port 848 (I) GDOI_IDLE May 10 22:56:24.055: %GDOI-5-GM_REGS_COMPL: Registration to KS 10.10.10.1 complete for group group1 using address 3.3.3.3
May 10 22:56:24.059: GDOI:GM:(0):Registration installed 2 new ipsec SA(s) for group group1.
Cadastro do Group Member
KS1_CA#show cry gdoi GROUP INFORMATION
Group Name : group1 (Multicast) Group Identity : 1111
Group Members : 2 IPSec SA Direction : Both Active Group Server : Local Redundancy : Configured Local Address : 10.10.10.1 Local Priority : 250
Local KS Status : Alive Local KS Role : Primary
Group Rekey Lifetime : 86400 secs Group Rekey
Remaining Lifetime : 86005 secs Rekey Retransmit Period : 10 secs Rekey Retransmit Attempts: 2 Group Retransmit
Remaining Lifetime : 0 secs
Verificação do Key Server
IPSec SA Number : 1
IPSec SA Rekey Lifetime: 3600 secs Profile Name : profile1
Replay method : Time Based Replay Window Size : 40
SA Rekey
Remaining Lifetime : 2516 secs
ACL Configured : access-list getvpn_acl
Group Server list : Local
Cisco Confidential 31
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Verificação do Group Member
GM1#show crypto gdoi GROUP INFORMATION
Group Name : group1 Group Identity : 1111 Rekeys received : 0 IPSec SA Direction : Both
Active Group Server : 10.10.10.1 Group Server list : 10.10.10.1 20.20.20.1
GM Reregisters in : 2426 secs Rekey Received : never
Rekeys received Cumulative : 0 After registration : 0
ACL Downloaded From KS 10.10.10.1:
access-list permit ip host 3.3.3.3 host 4.4.4.4 access-list permit ip host 4.4.4.4 host 3.3.3.3
KEK POLICY:
Rekey Transport Type : Multicast Lifetime (secs) : 86400
Encrypt Algorithm : 3DES Key Size : 192
Sig Hash Algorithm : HMAC_AUTH_SHA Sig Key Length (bits) : 1024
TEK POLICY for the current KS-Policy ACEs Downloaded:
Ethernet0/0:
IPsec SA:
spi: 0x22AF9D8E(581934478)
transform: esp-3des esp-sha-hmac
sa timing:remaining key lifetime (sec): (2549)
Anti-Replay(Time Based) : 40 sec interval
Uma vez cadastrado, verifique o rekey:
GM1#show cry isakmp sa
IPv4 Crypto ISAKMP SA
dst src state conn-id status
239.0.1.2 10.10.10.1 GDOI_REKEY 1006 ACTIVE 10.10.10.1 3.3.3.3 GDOI_IDLE 1005 ACTIVE
Os GMs devem receber periodicamente o rekey.
GM#00:02:51: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 1 GM# 00:03:02: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 2 GM# 00:03:12: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 3
Verificação do Group Member
Cisco Confidential 33
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Verificação do Coop KS
KS1_CA#show cry gdoi ks coop Crypto Gdoi Group Name :group1
Group handle: 2147483650, Local Key Server handle: 2147483650
Local Address: 10.10.10.1 Local Priority: 250
Local KS Role: Primary , Local KS Status: Alive Primary Timers:
Peer Sessions:
Session 1:
Server handle: 2147483651 Peer Address: 20.20.20.1 Peer Priority: 100
Peer KS Role: Secondary , Peer KS Status:
Alive
Antireplay Sequence Number: 4
IKE status: Established Counters:
KS2#show crypto gdoi ks coop Crypto Gdoi Group Name :group1
Group handle: 2147483650, Local Key Server handle:
2147483650
Local Address: 20.20.20.1 Local Priority: 100
Local KS Role: Secondary , Local KS Status: Alive Secondary Timers:
Peer Sessions:
Session 1:
Server handle: 2147483651 Peer Address: 10.10.10.1 Peer Priority: 250
Peer KS Role: Primary , Peer KS Status: Alive Antireplay Sequence Number: 183
IKE status: Established Counters:
GM2#show crypto ipsec sa
interface: Ethernet0/0
Crypto map tag: gdoi_map, local addr 4.4.4.4
local ident (addr/mask/prot/port): (4.4.4.4/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (3.3.3.3/255.255.255.255/0/0) current_peer 0.0.0.0 port 848
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
local crypto endpt.: 4.4.4.4, remote crypto endpt.: 0.0.0.0 path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0 current outbound spi: 0x22AF9D8E(581934478) PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x22AF9D8E(581934478)
transform: esp-3des esp-sha-hmac ,
outbound esp sas:
spi: 0x22AF9D8E(581934478)
Tráfego criptografado nos GMs
Cisco Confidential 35
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
No Key Server
Show crypto gdoi
Show crypto gdoi ks acl
Show crypto gdoi ks coop
Show crypto gdoi ks members
Show crypto gdoi ks policy
No Group Member
Show crypto gdoi
Show crypto gdoi gm acl
Show crypto gdoi gm rekey
Show crypto gdoi ipsec sa
Show crypto isakmp sa
Show crypto ipsec sa
Comandos úteis
Limpar o túnel
Clear crypto sa Clear crypto isakmp Clear crypto gdoi
Nota: O comando ”clear crypto gdoi" executado no Key Server, limpa todos os cadastros.
Debugs
debug crypto gdoi ? error Error level event Event level gm Group Member ks Key Server packet Packet level
NOTA: A ativação dos debugs em um ambiente de produção pode causar problemas de desempenho nos roteadores.
Comandos úteis
Cisco Confidential 37
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Verifique a conectividade entre os GMs e KS (ping).
Se o KS está atrás de um firewall, verifique se o GDOI (UDP 848) estar permitido.
Se você tiver rekey em multicast, verifique se o roteador está ativado para roteamento em multicast.
A fase 1 de IKE é usada para o cadastro, verifique que as políticas entre o KS e GM são iguais.
Se existe um grande número de GMs tentando se cadastrar ao mesmo tempo pode causar high CPU no KS.
Ao usar certificados, verifique se eles estão corretos e são válidos.
Problemas no cadastro do Group Member
A falha pode ser causada por uma diferença no SPI(Security Payload Index) entre os GMs por alguma divisão na rede.
Essa divisão faz com que os Key Servers percam a sincronia e cada um envia as suas próprias chaves TEK.
Verifique se eles estão usando o mesmo SPI e restaure a comunicação entre os Key Servers.
Falha de criptografia no GM
Cisco Confidential 39
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Qual das seguintes alterações não irão gerar um tiro do rekey?
a) Mudar a ACL crypto
b) Alterar o tipo de unicast para multicast rekey. .
c) Alterar o endereço IP do rekey multicast.
d) Mudar o tamanho da janela de anti-replay.
Pergunta 3
Cisco Confidential 41
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Lab Demo: Topología
GETVPN deployment guide
http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps7180/deployment_guide_c 07_554713.html
GETVPN
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htgetvpn.html#wp1159160
Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide
http://tools.cisco.com/search/results/display?url=http%3a%2f%2fwww.cisco.com%2fc%2fdam%2fen%2fus
%2fproducts%2fcollateral%2fsecurity%2fgroup-encrypted-transport-
vpn%2fGETVPN_DIG_version_1_0_External.pdf&pos=2&query=getvpn+scalability
Referências
Envie sua pergunta agora!
Use o painel Q&A para enviar suas perguntas, os
especialistas irão responder ao vivo!
Evento Pergunte aos Especialistas com Itzcoatl Espinosa
Se você quiser tirar mais dúvidas com o nosso especialista, ele estará respondendo a perguntas entre os dias 04 e 13 de Junho, neste link:
https://supportforums.cisco.com/pt/community/3746/ask-the-expert
O vídeo, a apresentação e as perguntas e respostas serão disponibilizados até a terça-feira da semana que vem no link:
https://supportforums.cisco.com/pt/community/2601/webcasts
Cisco Confidential 45
© 2013-2014 Cisco and/or its affiliates. All rights reserved.
Qualifique o conteúdo da Cisco Support Community em Português
Agora é possível qualificar
discussões, documentos, blogs
e vídeos!!!
Spotlight Awards (Prêmio Participantes em Detaque)
O prêmio “participantes em destaque” foi criado em 2012 na comunidade global da Cisco e é usado para reconhecer àqueles membros que dão um contribuição
significativa para a comunidade de suporte da Cisco e que além de tudo exercem um papel de liderança dentro da comunidade em distintas categorias
Foi lançado na comunidade em português, em 1 de dezembro de 2013 e conta com a categoria “O Novato”.
Mais detalhes sobre o premio, podem ser consultados no link:
https://supportforums.cisco.com/pt/community/11990816/participantes_em_destaque
Cisco Confidential 47
© 2013-2014 Cisco and/or its affiliates. All rights reserved.