Detalles de Despliegue VPN over 3G-4G
Como leer e interpretar las líneas
de comando
En el presente manual se usan las
siguientes convenciones para comandos a ingresar en la interfaz de lineas de
configuracion (CLI).
Comando para ingresar al modo de configuracion global:
configure terminal
Comando para especificar el valor de una varible:
ntp server 172.18.58.200
Comando cuya variable usted debe definir:
Class-map [highest class
name]
Comando para ingresar al modo de configuracion
privilegiado y campos universales imperativos :
Router>enable
Las comandos de configuracion muy largos y que ocupan
varias lineas se subrayan
police
rate 10000 pps burst 10000 packets conform-action
Las variables que se muestran como salida de respuesta
a peticiones en CLI son sombreadas
interface Van64
ip address 10.5.204.5 255.255.255.0
Introducción
En honor a la
verdad nunca espere encontrarme en la necesidad de realizar una conexión utilizando
un ISP y tecnología 3G/4G entre dos (2) sites de alguna red Enterprise y mucho
menos establecer una Easy VPN sobre ella.
En lo
consecutivo y apoyado con la documentación CVD, se deja una plantilla general
de configuración.
Es muy
importante recalcar que en este escenario corresponde a un site remoto y no a
una nodo principal enterprise, por lo que no se tocara a fondo la configuración
de una Easy VPN.
Otra
consideración importante es la linea de script de marcacion que solicita el
proveedor 3G/4G para completar el circuito y lograr conexión a internet.
Visión general del negocio
La
conectividad a los datos de una organización ya no se limita a las paredes de
sus edificios. El mundo es más móvil, y los consumidores de hoy esperan que los
productos y servicios lleguen a ellos. Por ejemplo:
• Las clínicas móviles
requieren una comunicación al día con varios especialistas y la posibilidad de
intercambiar radiografías de pacientes, exámenes médicos y archivos.
• Las unidades de despliegue
móvil de emergencia requieren una comunicación al minuto, retroalimentación de
información remota e intercomunicación del sitio local.
• Ferias y eventos especiales
requieren quioscos interactivos y puntos de acceso a Internet, procesamiento de
tarjetas de crédito y campañas de marketing al minuto a través de publicidad
digital.
Estas son
sólo algunas situaciones en las que celular es probablemente la única opción
para proporcionar conectividad de red de área amplia (WAN) de alto ancho de
banda.
La
conectividad celular también puede actuar como un transporte de WAN resistente
para su sitio remoto. Un sitio remoto resiliente proporciona una red siempre
accesible para las aplicaciones con las que interactúan los usuarios
directamente, desde la copia de seguridad y recuperación de sitio a sitio hasta
el servicio de correo electrónico. La forma en que los usuarios interactúan con
la red y su capacidad para alcanzar servicios esenciales repercute en el
rendimiento general del negocio.
Los servicios
de red confiables proporcionados por Cisco SBA -como la conexión a Internet, la
infraestructura de WAN y la seguridad- ayudan a asegurar que una empresa pueda
confiar en aplicaciones tales como conferencias web para una colaboración
crítica.
La alta
disponibilidad en los sitios remotos es un requisito esencial para la productividad,
seguridad y seguridad dentro de la mayoría de las organizaciones. Por lo tanto,
la capacidad de mantener la conectividad para transacciones críticas de datos
empresariales es imprescindible para el diseño de Cisco SBA.
Cisco SBA es
una arquitectura prescriptiva que ofrece una red fácil de usar, flexible y
escalable con conectividad por cable, conectividad inalámbrica, seguridad,
optimización de WAN y componentes de comunicación unificados. Elimina los
desafíos de integrar los diversos componentes de la red utilizando un diseño
estandarizado que es confiable y que cuenta con amplias ofertas de soporte.
Resumen técnico
Esta guía
proporciona un diseño que utiliza la tecnología Cisco 3G y 4G para permitir una
conectividad altamente disponible, segura y optimizada para LAN remotesite.
Opciones y consideraciones
sobre celulares
La
conectividad celular permite esta solución con una opción flexible, de alta
velocidad, alta ancho de banda. Existen dos infraestructuras inalámbricas
celulares que pueden ofrecer conectividad WAN de red de alto ancho de banda:
Acceso múltiple por división de código (CDMA) y Sistema global para
comunicaciones móviles (GSM). En los Estados Unidos existen redes GSM y CDMA;
En otras partes del mundo, sólo una opción puede estar disponible. Tecnologías
como el Universal Mobile Telecommunications Service (UMTS), Evolved High-Speed
Packet Access (HSPA +) y Long Term Evolution (LTE), todo sobre la
infraestructura GSM. Otras tecnologías celulares como Evolution-Data Optimized
(EVDO) se ejecutan en la red celular CDMA.
Evolved High-Speed Packet
Access Categoría 7
HSPA + es una
mejora de la norma HSPA y se basa en el estándar UMTS. Las velocidades de
descarga varían de 4 a 10 Mbps y las velocidades de carga pueden ser de 0,5 a
1,5 Mbps. Los principales portadores de EE.UU. que soportan HSPA Cat 7 son
T-Mobile y AT & T. La tarjeta de interfaz WAN de alta velocidad mejorada
(EHWIC) con la referencia EHWIC-3G-HSPA + 7-A sólo es compatible en Estados
Unidos, Canadá y México, pero otros modelos similares pueden ser utilizados en
otros países.
Evolución-Datos optimizados
El protocolo
de red de alta velocidad EVDO tiene múltiples revisiones: Rev A y Rev 0. Como
se indicó anteriormente, esta tecnología cabalga por encima de la red CDMA. El
rendimiento promedio de la descarga puede ser de 0,3 a 1,5 Mbps mientras que el
promedio de transferencia de carga puede ser de 0,2 a 1,0 Mbps en las redes que
soportan Rev A. Las dos principales compañías estadounidenses que soportan esta
tecnología son Verizon y Sprint. Esta guía cubre el EHWIC con la referencia
EHWIC-3G-EVDO-V, que es específica de Verizon, y los enrutadores de servicios
integrados Cisco 819 (ISR) con las referencias C819G-S-K9 y C819HG-S-K9. Son
específicos de Sprint. También hay otros EHWIC y Cisco 819 Series routers que
soportan Verizon, Sprint, y BSNL (un transportista específico de la India).
Evolución a largo plazo
LTE utiliza
una infraestructura IP plana para reducir la latencia a valores comparables a
las opciones WAN de línea terrestre. Introduce acceso múltiple de división de
frecuencia ortogonal (OFDMA) y múltiple entrada, salida múltiple (MIMO) para
mejorar el rendimiento. Usted puede esperar descargas a velocidades que van
desde 5-12 Mbps y cargas a velocidades que van desde 2-5 Mbps. Actualmente,
Cisco ofrece EHWICs y routers que soportan LTE en las redes estadounidenses
Verizon y AT & T. EHWIC-4G-LTE-A para AT & T y EHWIC-4G-LTE-V para
Verizon, pero Cisco hace una tercera EHWIC que funciona en otros países y
también hace que Cisco 819 Serie que apoyan a los proveedores de EE.UU., así
como proveedores europeos.
Consideraciones sobre la antena
La
conectividad de antena es un aspecto importante de la tecnología celular y
puede ser el factor determinante del rendimiento total de su conexión a
Internet 3G / 4G. Hay dos tecnologías de antena que se benefician del uso de
dos antenas separadas: Diversity y MIMO. La diversidad es una solución al
problema cada vez mayor de interferencia de señal. Mediante el uso de dos
antenas colocadas en diferentes ubicaciones físicas, se mejora la posibilidad
de mantener una señal celular sólida. MIMO mejora drásticamente el rendimiento
mediante el uso de las dos antenas para comunicarse en diferentes canales. Para
asegurar el funcionamiento MIMO, debe colocar sus antenas al menos 17 pulgadas
de distancia entre sí. Como se mencionó anteriormente, MIMO sólo se implementa
actualmente en redes LTE.
Compatibilidad al revés
Los
enrutadores Cisco EHWIC y Cisco 819 enumerados en este documento son
compatibles con las tecnologías asociadas a esa compañía. Así, por ejemplo, el
AT & T LTE EHWIC con el número de pieza EHWIC-4G-LTE-A soporta LTE, HSPA +,
UMTS e incluso Enhanced Data Rates para Evolution GSM (EDGE). El EHWIC de
Verizon LTE con la referencia Febrero de 2013 Series Introducción 4
EHWIC-4G-LTE-V soporta LTE, EVDO Rev A, EVDO Rev 0 y 1XRTT. Un beneficio de
esta compatibilidad hacia atrás es la resiliencia; Si hay problemas de tiempo
de inactividad o de señal asociados con una tecnología específica, como LTE, la
conectividad a Internet puede recurrir sin problemas a tecnologías celulares
más lentas. Esto también permite la planificación avanzada mediante la compra
de un EHIWC o un Cisco 819 Series Router que admita la tecnología aún no
disponible en el área de despliegue. Con el lanzamiento rápido de LTE a través
de los Estados Unidos, sería aconsejable elegir un producto de Cisco que se
beneficiaría de futuras actualizaciones de carriers.
Consideraciones para implementar el
sitio remoto celular
Antes de
comenzar el proceso de implementación del sitio remoto 3G / 4G, debe determinar
qué tecnología aprovechar al definir su topología física.
En muchos
casos, decidir qué tecnología utilizar para su conexión 3G / 4G debe basarse
exclusivamente en el proveedor dominante en el área en la que está
implementando el sitio remoto. Si hay varios proveedores con buena cobertura,
si está obligado contractualmente a un proveedor específico o si la ubicación
de implementación es móvil, repase las siguientes preguntas para determinar la
mejor opción de tecnología celular:
• ¿Qué proveedor de la zona admite la tecnología celular de
ancho de banda más alto?
Póngase en
contacto con su proveedor de servicios local para ver qué tecnologías celulares
se implementan en el área. Si sólo una compañía soporta LTE, su decisión puede
ser clara.
• ¿El costo es un factor?
Si es así,
¿cuánto ancho de banda se utilizará y en qué marco de tiempo? Diferentes
proveedores ofrecen diferentes modelos de pago. Algunos pueden ser mejores para
el uso de ancho de banda constante, y algunos pueden ser mejores para el uso
ocasional. Depende en gran medida de su uso esperado. Póngase en contacto con
los proveedores de servicios en el área de despliegue para determinar las
opciones del plan disponibles.
• Si se produce un fallo, ¿necesita hardware redundante para
la capacidad de intercambio en caliente?
Si utiliza un
módem celular AT & T no compatible con LTE o un módem celular compatible
con LTE de cualquier proveedor, puede mover su tarjeta SIM de un dispositivo a
otro sin consultar a su proveedor de servicios.
• ¿Cambiará su oficina de una región a otra?
Si su sitio
remoto es móvil, como una clínica de salud, debe examinar cuidadosamente los
mapas de servicio de los proveedores de servicios para determinar qué compañía
tiene la mejor cobertura para su aplicación.
• ¿Está obligado contractualmente a un proveedor específico?
Si éste es el caso, su opción
del portador se ha decidido ya, pero qué tecnología utilizar todavía puede ser
una pregunta. Se recomienda que elija LTE aunque no esté soportado en su área
de despliegue, ya que los transportistas están lanzando LTE en lugares nuevos
con frecuencia.
Topología
Figura1.:
Topología, escenario de referencia
Proceso
1: Instalación de módulo HWIC sobre ISR
Paso 1: Insertar
la tarjeta SIM dentro de la ranura del módulo HWIC, Validar Figura2.
Paso 2: Apagar
al ISR (Integrated Services Router), Router de Servicios Integrados G2.
Paso 3: Insertar
y fijar el módulo HWIC en la bahía del ISR.
Paso 4: Encender,
esperar la culminación de los procesos post y boot. Comenzar la configuración.
Figura2.:
Inserción la tarjeta SIM dentro de la ranura del módulo HWIC
Paso 5:
Una vez el ISR complete su arranque, verificar el reconocimiento del módulo instalado.
Validar Figura3.
Ejemplo:
ISR_G2#show
inventory
Figura3.:
Inserción la tarjeta SIM dentro de la ranura del módulo HWIC
Proceso 2: Configurando el Chat Script
Las secuencias de comandos de
conversación son cadenas de texto utilizadas para enviar comandos para la
marcación de módem, para iniciar sesión en sistemas remotos e inicializar
dispositivos asíncronos conectados a una línea asincrónica. La interfaz 3G WAN
debe ser tratada como cualquier otra interfaz asíncrona.
El siguiente script de chat
muestra la información necesaria para conectarse a la red Movistar Venezuela GSM.
Utiliza una cadena de marcación específica de la portadora y un valor de tiempo
de espera de 30 segundos. Tenga en cuenta que su operador puede requerir un
script de chat diferente.
Paso 1: Crear un Chat Script, en modo de
configuracion global.
chat-script [Script-Name]
[Script]
Ejemplo:
chat-script gsm
"" "ATDT*99#" TIMEOUT 60 "CONNECT"
Paso 2: Aplicar el script a la línea
asincrónica.
line [Cellular-Interface-Number]
script dialer [Script-Name]
Ejemplo:
line 0/1/0
script dialer gsm
Proceso 3: Configurando el ISR Remoto.
Paso 1: Crear listas de acceso que seran
usadas para el NAT (de ser necesario) y para el marcado automatico.
access-list 2 permit any
Paso 2: Crear el dialer y asociar la
listas de acceso creada.
dialer-list 1 protocol ip list 2
Paso 3: Configurar interfaz Celuar.
No olvidar la descripcion, direccion IP por DHCP,
traduccion IP en direccion de salida, protocolo de encapsulacion ppp, ademas de
la lista de dialer y lista de acceso.
interface Cellular0/1/0
description # Conectado a
ISP 3G (HSPA) - Movitar#
ip address negotiated
ip nat outside
ip virtual-reassembly in
encapsulation ppp
dialer in-band
dialer idle-timeout 0
dialer string gsm
dialer-group 1
async mode interactive
ppp chap refuse
ppp pap refuse
ppp ipcp dns request
no shutdown
exit
Paso 4: Completar la configuracion de la
linea asincronica.
line 0/1/0
exec-timeout 0 0
script dialer gsm
modem InOut
no exec
transport input all
rxspeed 3600000
txspeed 384000
exit
Paso 5: Incluir una ruta por default y una
linea para la traduccion IP NAT.
ip route 0.0.0.0 0.0.0.0 Cellular0/1/0
ip nat inside source list 1 interface Cellular0/1/0 overload
Paso 6: Configuracion de parametros DHCP e
interfaz de conexion para la red LAN del site Remoto.
ip dhcp excluded-address 192.168.255.1 192.168.255.9
!
ip dhcp pool LAN_pruebas_ISP_3G_HSPA
network 192.168.255.0 255.255.255.0
dns-server 8.8.8.8 4.2.2.2
default-router 192.168.255.1
lease 6 23 59
domain-name Pruebas_ISP_3G_HSPA.com
!
interface Eth0/0
description # Interface LAN pruebas ISP 3G HSPA #
ip address 192.168.255.1 255.255.255.0
ip nat inside
ip virtual-reassembly
in
no shutdown
!
interface lo0
description # Interfaz Origen Prueba Conexion 3G #
ip add 200.200.200.200 255.255.255.255
ip nat inside
ip virtual-reassembly in
no shutdown
exit
Proceso 4: Comprobar la configuración y el establecimiento de la
conexión 3G/4G
Importante,
al igual que una VPN, se necesita algún intento de cruzar trafico de datos con
destino a la red WAN para el establecimiento de una conexión 3G/4G. Validar Figura 4.
Ejemplo:
ping 8.8.8.8 source lo0
Figura4.:
Prueba simple de tráfico desde ISR. IP provista por MOVISTAR.
Proceso 5: Configuracion Easy VPN en ISR del site Remoto
La
interfaz de salida será la interfaz celular recién creada.
crypto isakmp invalid-spi-recovery
crypto isakmp
keepalive 15
!
crypto ipsec client ezvpn KavanayenVPN-ADSL
connect auto
group KavanayenVPN-ADSL key pti%2CiSc0Ly8e7UA$#
mode network-extension
peer 190.216.238.122 default
peer 201.248.80.66
username Ftd-EzVPN-user password 6 Ftd-EzVPN-p@$$w0rd
xauth userid mode local
!
interface Cellular0/0/0
crypto ipsec client ezvpn KavanayenVPN-ADSL outside
Proceso 6: Comprobar conexión VPN
Ejemplo:
Show crypto isakmp sa
Show crypto ipsec sa
Figura5.:
Levantamiento de VPN desde ISR. IP provista por MOVISTAR, verificación de
encapsulación de paquetes.
Referencias:
Cisco SBA. VPN Remote Site over 3G/4G Deployment Guide . Febrero 2013.
