lunes, 6 de marzo de 2017

CISCO–VPN_over_3G-4G

Detalles de Despliegue VPN over 3G-4G
Como leer e interpretar las líneas de comando
              En el presente manual se usan las siguientes convenciones para comandos a ingresar en la interfaz de lineas de configuracion (CLI).
Comando para ingresar al modo de configuracion global:
                 configure terminal
Comando para especificar el valor de una varible:
                 ntp server 172.18.58.200
Comando cuya variable usted debe definir:   
                 Class-map [highest class name]
Comando para ingresar al modo de configuracion privilegiado y campos universales imperativos      :
                 Router>enable
Las comandos de configuracion muy largos y que ocupan varias lineas se subrayan
                 police rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta a peticiones en CLI son sombreadas
interface Van64   
 ip address 10.5.204.5 255.255.255.0

Introducción
          En honor a la verdad nunca espere encontrarme en la necesidad de realizar una conexión utilizando un ISP y tecnología 3G/4G entre dos (2) sites de alguna red Enterprise y mucho menos establecer una Easy VPN sobre ella.
En lo consecutivo y apoyado con la documentación CVD, se deja una plantilla general de configuración.
Es muy importante recalcar que en este escenario corresponde a un site remoto y no a una nodo principal enterprise, por lo que no se tocara a fondo la configuración de una Easy VPN.
Otra consideración importante es la linea de script de marcacion que solicita el proveedor 3G/4G para completar el circuito y lograr conexión a internet.
Visión general del negocio
La conectividad a los datos de una organización ya no se limita a las paredes de sus edificios. El mundo es más móvil, y los consumidores de hoy esperan que los productos y servicios lleguen a ellos. Por ejemplo:
• Las clínicas móviles requieren una comunicación al día con varios especialistas y la posibilidad de intercambiar radiografías de pacientes, exámenes médicos y archivos.
• Las unidades de despliegue móvil de emergencia requieren una comunicación al minuto, retroalimentación de información remota e intercomunicación del sitio local.
• Ferias y eventos especiales requieren quioscos interactivos y puntos de acceso a Internet, procesamiento de tarjetas de crédito y campañas de marketing al minuto a través de publicidad digital.
Estas son sólo algunas situaciones en las que celular es probablemente la única opción para proporcionar conectividad de red de área amplia (WAN) de alto ancho de banda.
La conectividad celular también puede actuar como un transporte de WAN resistente para su sitio remoto. Un sitio remoto resiliente proporciona una red siempre accesible para las aplicaciones con las que interactúan los usuarios directamente, desde la copia de seguridad y recuperación de sitio a sitio hasta el servicio de correo electrónico. La forma en que los usuarios interactúan con la red y su capacidad para alcanzar servicios esenciales repercute en el rendimiento general del negocio.
Los servicios de red confiables proporcionados por Cisco SBA -como la conexión a Internet, la infraestructura de WAN y la seguridad- ayudan a asegurar que una empresa pueda confiar en aplicaciones tales como conferencias web para una colaboración crítica.
La alta disponibilidad en los sitios remotos es un requisito esencial para la productividad, seguridad y seguridad dentro de la mayoría de las organizaciones. Por lo tanto, la capacidad de mantener la conectividad para transacciones críticas de datos empresariales es imprescindible para el diseño de Cisco SBA.
Cisco SBA es una arquitectura prescriptiva que ofrece una red fácil de usar, flexible y escalable con conectividad por cable, conectividad inalámbrica, seguridad, optimización de WAN y componentes de comunicación unificados. Elimina los desafíos de integrar los diversos componentes de la red utilizando un diseño estandarizado que es confiable y que cuenta con amplias ofertas de soporte.

Resumen técnico
Esta guía proporciona un diseño que utiliza la tecnología Cisco 3G y 4G para permitir una conectividad altamente disponible, segura y optimizada para LAN remotesite.

Opciones y consideraciones sobre celulares
La conectividad celular permite esta solución con una opción flexible, de alta velocidad, alta ancho de banda. Existen dos infraestructuras inalámbricas celulares que pueden ofrecer conectividad WAN de red de alto ancho de banda: Acceso múltiple por división de código (CDMA) y Sistema global para comunicaciones móviles (GSM). En los Estados Unidos existen redes GSM y CDMA; En otras partes del mundo, sólo una opción puede estar disponible. Tecnologías como el Universal Mobile Telecommunications Service (UMTS), Evolved High-Speed ​​Packet Access (HSPA +) y Long Term Evolution (LTE), todo sobre la infraestructura GSM. Otras tecnologías celulares como Evolution-Data Optimized (EVDO) se ejecutan en la red celular CDMA.
Evolved High-Speed ​​Packet Access Categoría 7
HSPA + es una mejora de la norma HSPA y se basa en el estándar UMTS. Las velocidades de descarga varían de 4 a 10 Mbps y las velocidades de carga pueden ser de 0,5 a 1,5 Mbps. Los principales portadores de EE.UU. que soportan HSPA Cat 7 son T-Mobile y AT & T. La tarjeta de interfaz WAN de alta velocidad mejorada (EHWIC) con la referencia EHWIC-3G-HSPA + 7-A sólo es compatible en Estados Unidos, Canadá y México, pero otros modelos similares pueden ser utilizados en otros países.
Evolución-Datos optimizados
El protocolo de red de alta velocidad EVDO tiene múltiples revisiones: Rev A y Rev 0. Como se indicó anteriormente, esta tecnología cabalga por encima de la red CDMA. El rendimiento promedio de la descarga puede ser de 0,3 a 1,5 Mbps mientras que el promedio de transferencia de carga puede ser de 0,2 a 1,0 Mbps en las redes que soportan Rev A. Las dos principales compañías estadounidenses que soportan esta tecnología son Verizon y Sprint. Esta guía cubre el EHWIC con la referencia EHWIC-3G-EVDO-V, que es específica de Verizon, y los enrutadores de servicios integrados Cisco 819 (ISR) con las referencias C819G-S-K9 y C819HG-S-K9. Son específicos de Sprint. También hay otros EHWIC y Cisco 819 Series routers que soportan Verizon, Sprint, y BSNL (un transportista específico de la India).
Evolución a largo plazo
LTE utiliza una infraestructura IP plana para reducir la latencia a valores comparables a las opciones WAN de línea terrestre. Introduce acceso múltiple de división de frecuencia ortogonal (OFDMA) y múltiple entrada, salida múltiple (MIMO) para mejorar el rendimiento. Usted puede esperar descargas a velocidades que van desde 5-12 Mbps y cargas a velocidades que van desde 2-5 Mbps. Actualmente, Cisco ofrece EHWICs y routers que soportan LTE en las redes estadounidenses Verizon y AT & T. EHWIC-4G-LTE-A para AT & T y EHWIC-4G-LTE-V para Verizon, pero Cisco hace una tercera EHWIC que funciona en otros países y también hace que Cisco 819 Serie que apoyan a los proveedores de EE.UU., así como proveedores europeos.
Consideraciones sobre la antena
La conectividad de antena es un aspecto importante de la tecnología celular y puede ser el factor determinante del rendimiento total de su conexión a Internet 3G / 4G. Hay dos tecnologías de antena que se benefician del uso de dos antenas separadas: Diversity y MIMO. La diversidad es una solución al problema cada vez mayor de interferencia de señal. Mediante el uso de dos antenas colocadas en diferentes ubicaciones físicas, se mejora la posibilidad de mantener una señal celular sólida. MIMO mejora drásticamente el rendimiento mediante el uso de las dos antenas para comunicarse en diferentes canales. Para asegurar el funcionamiento MIMO, debe colocar sus antenas al menos 17 pulgadas de distancia entre sí. Como se mencionó anteriormente, MIMO sólo se implementa actualmente en redes LTE.
Compatibilidad al revés
Los enrutadores Cisco EHWIC y Cisco 819 enumerados en este documento son compatibles con las tecnologías asociadas a esa compañía. Así, por ejemplo, el AT & T LTE EHWIC con el número de pieza EHWIC-4G-LTE-A soporta LTE, HSPA +, UMTS e incluso Enhanced Data Rates para Evolution GSM (EDGE). El EHWIC de Verizon LTE con la referencia Febrero de 2013 Series Introducción 4 EHWIC-4G-LTE-V soporta LTE, EVDO Rev A, EVDO Rev 0 y 1XRTT. Un beneficio de esta compatibilidad hacia atrás es la resiliencia; Si hay problemas de tiempo de inactividad o de señal asociados con una tecnología específica, como LTE, la conectividad a Internet puede recurrir sin problemas a tecnologías celulares más lentas. Esto también permite la planificación avanzada mediante la compra de un EHIWC o un Cisco 819 Series Router que admita la tecnología aún no disponible en el área de despliegue. Con el lanzamiento rápido de LTE a través de los Estados Unidos, sería aconsejable elegir un producto de Cisco que se beneficiaría de futuras actualizaciones de carriers.

Consideraciones para implementar el sitio remoto celular
Antes de comenzar el proceso de implementación del sitio remoto 3G / 4G, debe determinar qué tecnología aprovechar al definir su topología física.
En muchos casos, decidir qué tecnología utilizar para su conexión 3G / 4G debe basarse exclusivamente en el proveedor dominante en el área en la que está implementando el sitio remoto. Si hay varios proveedores con buena cobertura, si está obligado contractualmente a un proveedor específico o si la ubicación de implementación es móvil, repase las siguientes preguntas para determinar la mejor opción de tecnología celular:

• ¿Qué proveedor de la zona admite la tecnología celular de ancho de banda más alto?
Póngase en contacto con su proveedor de servicios local para ver qué tecnologías celulares se implementan en el área. Si sólo una compañía soporta LTE, su decisión puede ser clara.

• ¿El costo es un factor?
Si es así, ¿cuánto ancho de banda se utilizará y en qué marco de tiempo? Diferentes proveedores ofrecen diferentes modelos de pago. Algunos pueden ser mejores para el uso de ancho de banda constante, y algunos pueden ser mejores para el uso ocasional. Depende en gran medida de su uso esperado. Póngase en contacto con los proveedores de servicios en el área de despliegue para determinar las opciones del plan disponibles.

• Si se produce un fallo, ¿necesita hardware redundante para la capacidad de intercambio en caliente?
Si utiliza un módem celular AT & T no compatible con LTE o un módem celular compatible con LTE de cualquier proveedor, puede mover su tarjeta SIM de un dispositivo a otro sin consultar a su proveedor de servicios.

• ¿Cambiará su oficina de una región a otra?
Si su sitio remoto es móvil, como una clínica de salud, debe examinar cuidadosamente los mapas de servicio de los proveedores de servicios para determinar qué compañía tiene la mejor cobertura para su aplicación.

• ¿Está obligado contractualmente a un proveedor específico?
Si éste es el caso, su opción del portador se ha decidido ya, pero qué tecnología utilizar todavía puede ser una pregunta. Se recomienda que elija LTE aunque no esté soportado en su área de despliegue, ya que los transportistas están lanzando LTE en lugares nuevos con frecuencia.
Topología
Figura1.: Topología, escenario de referencia
Proceso 1: Instalación de módulo HWIC sobre ISR
Paso 1: Insertar la tarjeta SIM dentro de la ranura del módulo HWIC, Validar Figura2.
Paso 2: Apagar al ISR (Integrated Services Router), Router de Servicios Integrados G2.
Paso 3: Insertar y fijar el módulo HWIC en la bahía del ISR.
Paso 4: Encender, esperar la culminación de los procesos post y boot. Comenzar la configuración.
Figura2.: Inserción la tarjeta SIM dentro de la ranura del módulo HWIC


Paso 5: Una vez el ISR complete su arranque, verificar el reconocimiento del módulo instalado. Validar Figura3.
Ejemplo:
ISR_G2#show inventory
Figura3.: Inserción la tarjeta SIM dentro de la ranura del módulo HWIC


Proceso 2: Configurando el Chat Script
Las secuencias de comandos de conversación son cadenas de texto utilizadas para enviar comandos para la marcación de módem, para iniciar sesión en sistemas remotos e inicializar dispositivos asíncronos conectados a una línea asincrónica. La interfaz 3G WAN debe ser tratada como cualquier otra interfaz asíncrona.
El siguiente script de chat muestra la información necesaria para conectarse a la red Movistar Venezuela GSM. Utiliza una cadena de marcación específica de la portadora y un valor de tiempo de espera de 30 segundos. Tenga en cuenta que su operador puede requerir un script de chat diferente.

Paso 1: Crear un Chat Script, en modo de configuracion global.
chat-script [Script-Name] [Script]
Ejemplo:
chat-script gsm "" "ATDT*99#" TIMEOUT 60 "CONNECT"


Paso 2: Aplicar el script a la línea asincrónica.
line [Cellular-Interface-Number]
 script dialer [Script-Name]
Ejemplo:
line 0/1/0
 script dialer gsm


Proceso 3: Configurando el ISR Remoto.
Paso 1: Crear listas de acceso que seran usadas para el NAT (de ser necesario) y para el marcado automatico.
access-list 2 permit any


Paso 2: Crear el dialer y asociar la listas de acceso creada.
dialer-list 1 protocol ip list 2


Paso 3: Configurar interfaz Celuar.
No olvidar la descripcion, direccion IP por DHCP, traduccion IP en direccion de salida, protocolo de encapsulacion ppp, ademas de la lista de dialer y lista de acceso.

interface Cellular0/1/0
         description # Conectado a ISP 3G (HSPA) - Movitar#
         ip address negotiated
         ip nat outside
 ip virtual-reassembly in
 encapsulation ppp
 dialer in-band
 dialer idle-timeout 0
 dialer string gsm
 dialer-group 1
 async mode interactive
 ppp chap refuse
 ppp pap refuse
 ppp ipcp dns request
 no shutdown
exit


Paso 4: Completar la configuracion de la linea asincronica.
line 0/1/0
 exec-timeout 0 0
 script dialer gsm
 modem InOut
 no exec
 transport input all
 rxspeed 3600000
 txspeed 384000
exit


Paso 5: Incluir una ruta por default y una linea para la traduccion IP NAT.
ip route 0.0.0.0 0.0.0.0 Cellular0/1/0
ip nat inside source list 1 interface Cellular0/1/0 overload


Paso 6: Configuracion de parametros DHCP e interfaz de conexion para la red LAN del site Remoto.
ip dhcp excluded-address 192.168.255.1 192.168.255.9
!
ip dhcp pool LAN_pruebas_ISP_3G_HSPA
 network 192.168.255.0 255.255.255.0
 dns-server 8.8.8.8 4.2.2.2
 default-router 192.168.255.1
 lease 6 23 59
 domain-name Pruebas_ISP_3G_HSPA.com
!
interface Eth0/0
 description # Interface LAN pruebas ISP 3G HSPA #
 ip address 192.168.255.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 no shutdown
!
interface lo0
 description # Interfaz Origen Prueba Conexion 3G #
 ip add 200.200.200.200 255.255.255.255
 ip nat inside
 ip virtual-reassembly in
 no shutdown
exit


Proceso 4: Comprobar la configuración y el establecimiento de la conexión 3G/4G
                 Importante, al igual que una VPN, se necesita algún intento de cruzar trafico de datos con destino a la red WAN para el establecimiento de una conexión 3G/4G. Validar Figura 4.
Ejemplo:
ping 8.8.8.8 source lo0

Figura4.: Prueba simple de tráfico desde ISR. IP provista por MOVISTAR.


Proceso 5: Configuracion Easy VPN en ISR del site Remoto
                 La interfaz de salida será la interfaz celular recién creada.
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 15
!
crypto ipsec client ezvpn KavanayenVPN-ADSL
 connect auto
 group KavanayenVPN-ADSL key pti%2CiSc0Ly8e7UA$#
 mode network-extension
 peer 190.216.238.122 default
 peer 201.248.80.66
 username Ftd-EzVPN-user password 6 Ftd-EzVPN-p@$$w0rd
 xauth userid mode local
!
interface Cellular0/0/0
 crypto ipsec client ezvpn KavanayenVPN-ADSL outside

Proceso 6: Comprobar conexión VPN
Ejemplo:
Show crypto isakmp sa
Show crypto ipsec sa

Figura5.: Levantamiento de VPN  desde ISR. IP provista por MOVISTAR, verificación de encapsulación de paquetes.


Referencias:

Cisco SBA. VPN Remote Site over 3G/4G Deployment Guide . Febrero 2013.



Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)