• Author / Uploaded
• Francisco Moraga

• Categories
• Red privada virtual
• Red de área amplia
• Estándares de red
• Tecnología de medios
• Tecnologías de la información

Citation preview

SOLUCIÓN CISCO MERAKI SD-WAN

Franco Román Systems Engineer CISCO Systems Julio 2018

TABLA DE CONTENIDO 1. 2. 3. 4. 5.

INTRODUCCIÓN .............................................................................................................. 2 EQUIPOS Y HERRAMIENTAS A UTILIZAR ......................................................................... 3 TOPOLOGÍA A IMPLEMENTAR ........................................................................................ 4 PARÁMETROS GENERALES ............................................................................................. 5 TEST DE CONECTIVIDAD ................................................................................................. 6 5.1. Interfaces Virtuales (VLANs) y Protocolos Orientados a LAN (DHCP) ......................... 6 6. PRUEBAS DE ENRUTAMIENTO Y VPN ........................................................................... 14 6.1. Configuración Básica de Enrutamiento y recuperación de fallas (Failover) con enlace WAN hacia la red MPLS (SD-WAN) ....................................................................... 14 6.2. Automatización de Túneles VPN Entre los Equipos ............................................... 19 6.3. Balanceo de Carga.................................................................................................. 25 7. PRUEBAS DE PFR A TRAVÉS DE LOS TÚNELES VPN ESTABLECIDOS .............................. 29 8. PRUEBA DE ALTA DISPONIBILIDAD (HA) ....................................................................... 33 9. REGISTRO DE UN EQUIPO EN UNA ORGNAIZACIÓN .................................................... 38 10. CREACIÓN DE UNA RED ............................................................................................. 40 11. ADMINISTRACIÓN DE LICENCIAS ............................................................................... 42

1. INTRODUCCIÓN El propósito de este informe es verificar y documentar las pruebas realizadas sobre la nueva solución y equipos para SD-WAN; su desempeño y el funcionamiento de los protocolos y configuraciones típicas de SD-WAN Meraki.

Cisco Meraki MX Series Security Appliances.

2. EQUIPOS Y HERRAMIENTAS A UTILIZAR Para la ejecución de estas pruebas se esperas contar con los siguientes elementos: Cantidad

Elemento

Componentes Software adicionales Familia MX de Meraki Licencias (MX65, MX65W, necesarias para MX84) activar features de networking y seguridad

4

Equipo a probar

1 1

Generador de tráfico Software de generación WAN-BRIDGE de delay y jitter Laptops para pruebas de conectividad Terminales de CUCM interconectado videoconferencia a la red

2

3. TOPOLOGÍA A IMPLEMENTAR El primer esquema propuesto es para la verificación de servicios para clientes corporativos es el siguiente:

MPLS

Bajo este esquema inicial se busca verificar el funcionamiento del equipo a nivel de conectividad hacia una red de transporte IP (MPLS). De igual forma se desea probar configuraciones de QoS, control de ancho de banda, Traffic Shaping, filtros de control de acceso, políticas basadas en enrutamiento (Para Escenario SD-WAN y para Escenario Internet), así como también se busca la verificación de protocolos estándar a nivel de LAN como DHCP. Además, se buscará validar el funcionamiento de protocolos de encriptación y seguridad avanzada como Antimalware, Control de Aplicaciones, u otros protocolos propuestos que el fabricante considere que puedan ser de interés.

4. PARÁMETROS GENERALES Cantidad máxima de rutas estáticas a configurar Cantidad Máximas de VLANs Cantidad de instancias de VPN soportadas (VPN Tunnels) Cantidad de políticas de acceso soportadas (Firewall Rules)

MX64/65/65W: 256; MX84/100/400/600:1024 MX64/65/65W: 256; MX84/100/400/600:1024 MX64/65/65W:50 ; MX84:100; MX100: 250; MX400: 1,000; MX600: 5,000 MX64, MX65/65W y MX84: 256 MX400,MX600:512

Throughput de la serie de equipos Meraki MX

Esta PoC se realizará con equipos MX65/MX65W simulando sitios remotos, y MX84 simulando un sitio central. Como se mostró en la topología, se conectarán también unos terminales de video conferencia para simular tráfico con QoS a través de una video llamada.

5. TEST DE CONECTIVIDAD 6.1.

5.1. Interfaces Virtuales (VLANs) y Protocolos Orientados a LAN (DHCP)

Objetivo del Test: Verificar el funcionamiento de estos protocolos orientados a ofrecer alta disponibilidad hacia la LAN. Topología: Se debe disponer de un par de computadores o laptops para conectar al MX.

Resultados esperados: Asignación correcta de recursos por DHCP (IP, Gateway, DNS, etc.) y establecimiento de conectividad desde varios HOSTs de la LAN. Entrega de direccionamiento IP a varias máquinas o hosts y verificación de liberación rápida de los recursos asignados vía DHCP. Configuración de interfaces VLAN (Interfaces virtuales de nivel 3) y asociarlas a las interfaces físicas Ethernet pertenecientes a diferentes segmentos de VLAN.

Se configuran las VLANS en los MX, definiendo Segmento de red, Gateway y VLAN, de esta forma el equipo queda entregando en sus puertos de LAN, todas las VLANs en puertos tipo TRUNK y ACCESS.

-

Sitio Central (MX84):

-

Sucursal remota (MX65/65W):

Para Cambiar estos puertos a Acceso y publicar una única VLAN a través de estos puertos se seleccionar el puerto y se modifica el tipo a Access. -

Ejemplo en Sucursal MX65/65W:

Automáticamente el MX, crea un pool de DHCP por cada una de las VLANs creadas, en donde se configura por defecto como Gateway la dirección que se definió en el paso anterior (de acuerdo a la topología propuesta). Adicional se puede configurar opciones sobre el DHCP así como reservar direcciones o asignar fijas.

-

Sitio Central (MX84):

-

Sucursal Remota (MX65/65W):

6. PRUEBAS DE ENRUTAMIENTO Y VPN 6.2. Configuración Básica de Enrutamiento y recuperación de fallas (Failover) con enlace WAN hacia la red MPLS (SD-WAN) Objetivo del Test: Validar funcionamiento básico de enrutamiento en servicios de clientes. Esto es, enrutamiento estático. Definir una IP estática en el equipo /30 la cual tendrá acceso directo al PE conectado a la red MPLS. También validar la recuperación de falla ante caída de enlace WAN principal. Topología:

MPLS

Mediciones o datos a tomar: Probar mecanismo de recuperación al moverse de una conexión (principal) a una secundaria (backup) en caso de falla de conectividad del enlace primario. Degradación del enlace principal con el objetivo de observar la conmutación al enlace secundario. Se dispone como en la gráfica, una configuración al MX con 2 enlaces a internet. Bajo este esquema y sin configuración previa, el MX asimila un canal principal como activo y el otro en modo “Stand-By / Ready”. “Security Appliance -> Appliance Status”

Uplink Status de Sitio Central (HQ)

Status de MX65 de Sucursal

Para ver el la Red del Sitio Central, o de la Sucursal, se debe hacer click en el menú de navegación de la izquierda en la parte “Network”, y ahí se despliegan las redes disponibles dentro de la Organización, que en este caso es “PoC”.

Uplink Status de Sucursal

Vemos que todo el tráfico está pasando por WAN 2, que es el enlace predefinido como Deafult. Se realiza un ejercicio de desconectar el cable de internet principal obligando al equipo a conmutar al link de backup, acción que solo toma 1 segundo.

En el nuevo estado del MX aparece con sólo un enlace WAN a internet, el cual ingresa por el puerto 4 del MX, evidenciando que es el canal secundario el único que está activo. Posterior a este ejercicio volvemos a reconectar el enlace principal, el cual, aunque pasa de nuevo a ser el principal como activo, no impacta en la continuidad del tráfico, tal como se muestra en el gráfico a continuación.

Nota: En caso de utilizar un MX64 (MX65 viene con 2 enlaces WAN dedicados), la configuración del segundo enlace WAN se realiza de la siguiente forma: Se debe conectar a un puerto LAN de mismo equipo y desde el explorador ingresar la dirección URL “setup.meraki.com” o “wired.meraki.com”. Aparecerá la página de monitoreo de conectividad básica donde en la segunda pestaña aparece la opción de Configurar (Configure). Haciendo clic sobre esa pestaña, se solicitará Usuario y Contraseña, que por defecto el nombre es el número de serie del equipo, sin contraseña. Una vez en esta página sobre la sección del puerto cuatro se le cambia el Rol de LAN a Internet (WAN) y quedará listo para recibir DHCP del 2do enlace.

6.3.

Automatización de Túneles VPN Entre los Equipos

Objetivo del Test: Verificar que los equipos puedan establecer conectividad VPN IPsec con solo activar la funcionalidad en cada dispositivo. Se utilizará el médodo “Hub & Spoke”.

Topología:

MPLS

Pruebas a realizar y resultados esperados: Configurar una topología tipo Site-to-Site VPN, para lo cual se debe seleccionar el sitio central como Hub y las sucursales como Spoke. Verificar que todos los equipos en el laboratorio puedan establecer sesiones VPN entre ellos.

Mediciones o datos a tomar: Probar mecanismo de automatización de configuración de VPNs reduciendo el tiempo y los errores en configuración. Verificar el funcionamiento correcto de las sesiones en la herramienta de gestión.

A continuación, la configuración del extremo MX64 (Sucursal), donde se publica la red la a través de la VPN: “Security Appliance -> Site-to-Site VPN”

En el otro extremo se encuentra la sede central (MX84)

El status de las sesiones VPN se ven de la siguiente forma, en VPN Status: Sitio Central:

Sucursal:

Se puede visualizar el estado de la tabla de rutas y el estado de los túneles VPN entre ellas: “Security Appliance -> Monitor -> Route Table”

Desde el punto de vista del MX, la utilización y tráfico del equipo al momento de hacer las pruebas es el siguiente: MX65:

Y vemos que la utilización del equipo no supera el 25%:

MX84:

La utilización del equipo está alrededor del 30%

6.4.

Balanceo de Carga

Objetivo del Test: Verificar la característica de balanceo de carga a nivel de tráfico sobre los dos (2) enlaces WAN, principal y backup, hacia la red MPLS. Topología propuesta:

Mediciones o datos a tomar: Determinar el flujo de cargas balanceadas dependiendo de los anchos de banda configurados en cada enlace (Ratio). Configuración: 1. Ir a “Appliance de Seguridad -> Traffic Shapping -> Selección de uplink -> Balanceo de Carga”. Seleccionar “Habilitado”.

Teniendo los canales como Activo-Activo, se procede a desarrollar una prueba de transmisión en la cual se evidencia que se genera tráfico por ambos enlaces a través de la VPN entre el MX84 y el MX65. Para este caso, el balanceo de carga se hará en base a políticas de tráfico y preferencias de flujo, dejando por la WAN2 todo el tráfico relacionado con las pruebas de QoS, y por WAN1 todo el resto del tráfico. Adicional a esto, WAN2 quedará como backup de WAN1 en caso de perder conectividad por ese enlace.

Tráfico por WAN 1:

Tráfico por WAN 2:

Tráfico por ambas WAN en forma simultánea:

En VPN Status podemos observar mensajes que nos indican qué está sucediendo con la toma de decisiones de cada enlace: “Security Appliance -> VPN Status”

7. PRUEBAS DE PFR A TRAVÉS DE LOS TÚNELES VPN ESTABLECIDOS PFR (Performance Based Routing): Mejora el enrutamiento seleccionando la mejor ruta según la política definida por el usuario. La política de PFR puede: minimizar el costo de manera eficiente, distribuir la carga de tráfico y/o seleccionar la ruta óptima de ejecución para las aplicaciones. Cisco PFR permite una gestión inteligente del tráfico que puede enrutar dinámicamente la WAN y realizar ajustes adaptativos de enrutamiento basados en criterios avanzados como tiempo de respuesta, pérdida de paquetes, jitter, delay, etc. Se deben definir los estándares mínimos de rendimiento para esta clase:    

Nombre - Un nombre descriptivo para la clase. Latencia máxima (ms) - Latencia máxima aceptable para esta clase, en milisegundos. También se puede dejar en blanco para ignorar la latencia. Máxima fluctuación (Jitter) (ms) - Máxima fluctuación aceptable para esta clase, en milisegundos. También se puede dejar en blanco para ignorar la fluctuación de fase. Pérdida máxima (%) (Packect Loss) - Máxima pérdida aceptable para esta clase, en porcentaje del tráfico perdido. También se puede dejar en blanco para ignorar la pérdida.

Objetivo del Test: Verificar los parámetros de Latencia, perdidas y jitter que se miden de los enlaces VPN establecidos. Una vez identificados estos parámetros y basados en las políticas definidas en el dashboard los paquetes deben conmutar entre los enlaces de VPN. Topología:

Pruebas y Resultado esperado: Visualización de las decisiones de transmisión a través del dashboard, visualizar la conmutación entre los enlaces manteniendo el trafico ininterrumpido. Para ello se realizará una video llamada entre 2 terminales telefónicos con capacidad de videoconferencia.

Ejecución de la prueba Se parte del punto de definir un enlace predeterminado, en este caso será WAN1. Luego se crea una clase de performance que denominará “Voice”, donde sus valores de performance requeridos son que se mantengan los delays por debajo de 30ms, jitter de 10ms y un porcentaje de packet loss del 3%. Adicional se debe definir una política en la cual se define el enlace WAN2 como enlace de respaldo en caso de que WAN1 se degrade de tal forma como la definida en la clase “Voice”. Y, además, se crea otra clase que define a WAN2 como enlace principal en caso de que WAN1 no se encuentre disponible. Para configurar estos parámetros ir a “Network Wide -> Security Appliance -> Configure -> Traffic Shaping”. Notar que se debe seleccionar la red Sucursal o Sitio Central dependiendo de cuál es el extremo que se quiere configurar. En este caso será solo el extremo Sucursal (MX64/65W).

Para ver el status de los enlaces y las decisiones de elección de uplink se debe ir a “Security Appliance -> Monitor -> VPN Status” y buscar la sección Uplink Decisions. Al ejecutar la prueba con WAN-BRIDGE, se le inyecta delay, jitter y packet loss al tráfico que pasa por el MX64, y se puede ver en los logs a continuación la conmutación del tráfico por los enlaces WAN1 y WAN2.

La configuración del programa WAN-BRIDGE fue la siguiente:

Para esta prueba se realizó una grabación de video en vivo con la muestra de la video llamada al momento de degradar uno de los enlaces. Dicho video puede ser descargado en el siguiente link: https://cisco.box.com/s/8h2dbxu6p2emjlp0rzhofzfak637ni06

8. PRUEBA DE ALTA DISPONIBILIDAD (HA) Objetivo del Test: Verificar la conectividad del equipo y de la video llamada en curso al momento de que uno de los equipos pierda conectividad, y el equipo de respaldo tome control. Topología (Simplificada):

Pruebas y Resultado esperado: Visualización de las decisiones de transmisión a través del dashboard, visualizar la conmutación entre los enlaces manteniendo el trafico ininterrumpido. Para ello se realizará una video llamada entre 2 terminales telefónicos con capacidad de videoconferencia, y simultáneamente se cortará la energía al equipo que está como principal, a modo de observar cómo el equipo de respaldo toma control.

Para configurar estos parámetros se debe ir a: “Security Appliance -> Appliance Status” y hacer click en “Warm Spare”

Se desplegará una ventana donde aparecerán los equipos disponibles para funcionar como respaldo. Deben ser los mismos equipos, es decir, HA funciona sólo si los 2 equipos son iguales. No se puede configurar HA entre un MX64 y un MX65, por ejemplo. En este caso se agregará un MX84 al sitio central para que funcione como respaldo.

Luego de agregar el dispositivo, el status del appliance se verá así:

Con el SPARE con el status de “Passive, Ready” Con la llamada en curso vemos el status del equipo y el tráfico que está pasando por por sus enlaces WAN 1 y WAN 2

Luego, se desconecta un equipo de la energía, quedando sólo el equipo de respaldo como equipo funcional:

El equipo principal queda como “Unreachable” y el de respaldo queda con el status de “Current Master”, hasta que el principal vuelva a tomar el control.

Y el Status del MX84 que estaba como Stand-By, ahora queda como Master y vemos en la gráfica la cantidad de tráfico al momento del corte:

9. REGISTRO DE UN EQUIPO EN UNA ORGNAIZACIÓN Objetivo del Test: Mostrar el proceso de adición de un equipo a la organización y posteriormente una red de cliente. Imágenes referenciales. 1. Iniciar sesión en el Dashboard de Meraki usando credenciales:

2. Ir a “Organization -> Inventory”. Verificar que el equipo en efecto no ha sido reclamado y añadido a la organización del cliente.

3. Añadir el equipo a la organización. Hacer clic en Reclamar (Claim) para añadir el equipo a la organización. Se puede añadir un equipo por su número Serial (S/N) o por la orden de compra (Sales Order SO, solo si la SO contiene equipos a la misma organización).

4. Una vez reclamado será añadido al inventario, donde estar disponible para añadirlo a una Red, o para ser usado como Warm Spare (Alta disponibilidad) a una red ya existente en la organización.

10.CREACIÓN DE UNA RED Objetivo del Test: Mostrar el proceso de una red (sucursal/oficina) perteneciente a una organización (Cliente) 1. Iniciar sesión en el Dashboard de Meraki usando credenciales:

2. Crear una Red. Existen varios métodos para crear una red: a. Puedes elegir “Organización -> Configurar -> Crear Red”. Esta opción permite configurar mayores detalles de configuración.

b. Se puede ir a “Organización -> Configurar -> Inventario”. Elegir un equipo y elegir crear Red

3. Al elegir opción 2.a, puedes configurar el tipo de red (Seguridad, Wireless, Switching o Combinada), además de elegir plantillas de configuración de otras redes existentes o de plantillas creadas. Además, se pueden elegir los equipos que formaran parte de esta red.

11.ADMINISTRACIÓN DE LICENCIAS Cada dispositivo necesita una licencia para operar. Los UTM Meraki tienen dos tipos de licencias por cada uno de los modelos. Objetivo del Test: Mostrar el proceso para añadir una licencia en una organización (Cliente) 1. Iniciar sesión en el Dashboard de Meraki usando credenciales:

2. Añadir licencias a la organización. Ir a “Organización -> Configurar -> Información de Licencia”. Esta opción te permite modificar mayores detalles de configuración.

3. Añadir la licencia

Existen dos tipos de licencias para los equipos UTM de Meraki. Enterprise license (la cual viene por defecto) y Advanced Security. La diferencia entre los dos tipos son: