Cisco IOS Security: VRF Aware IPSec

      No Comments on Cisco IOS Security: VRF Aware IPSec

Cisco IOS Security: VRF Aware IPSec

Hola a todos!!  de forma atrasada pero cumpliendo les traigo este post de más VPN 😀 esta vez aplicada a VRF, entonces partamos con la primera pregunta que se deben estar haciendo.

¿WTF es una VRF?

Primero que todo VRF es el acrónimo de ‘Virtual Routing Forwarding’ entonces cuando pensamos en VRF,  pensemos en virtualización, una VRF es una instancia de ruteo dentro de un Router,  sería como tener varios mini-routers dentro del mismo equipo físico, por ende en un equipo físico podríamos tener la misma IP o el mismo segmento de red en diferentes interfaces o en la misma interface subdividida. Ahora porque sería necesario usar VRF? Imaginemos una ISP con varios clientes cada uno de ellos teniendo sus propias redes privadas y su propio protocolo de enrutamiento (EIGRP, OSPF, IS-IS, BGP), habría que pensar en poder separar cada uno de estos para que las tablas de rutas de los clientes no se ‘aplastaran’ entre ellas :D. Bien ya que tenemos la idea de que es una VRF y donde o cuando se puede usar pasemos a la parte de VPN  😀

En el siguiente escenario podemos observar 3 routers, 2 clientes y 1 proveedor, por el lado del proveedor crearemos las VRF para los 2 clientes y así poder separar el tráfico de cada uno de ellos. Luego pasaremos a encriptar las redes de ambos clientes en forma separada con IPSec.

VRF-aware-2

Routing Router Proveedor

Generamos las VRF con el simple comando ‘IP VRF <nombre-VRF>’

VRF-aware-3

La interface hacia la nube la dividimos y las encapsulamos con las VLAN 20 y 30 respectivamente (las vlan pueden cambiar es decisión de ustedes), asignando las VRF creadas y la primera IP disponible en el segmento mostrado, hay que tener en cuenta que primero se aplica la VRF y luego la IP, ya que si se realiza de forma inversa la IP será borrada 😀

VRF-aware-4

Creamos 2 loopbacks, asignamos una VRF para cada una de estas y asignamos las IP correspondientes, el resultado a continuación

VRF-aware-5

Ahora nos faltaría generar el enrutamiento para las VRF, para esto usaremos rutas estáticas solo para ver cómo se harían

VRF-aware-6

Con esto estaríamos listos por la parte de enrutamiento con las VRF por el lado del proveedor, los Router de cliente no van a usar VRF por ende con una configuración básica de interfaces y una ruta por defecto hacia el proveedor bastaría.

VRF-aware-7

VRF-aware-8

IPSEC Router

Configuramos el perfil de ISAKMP también conocido como fase 1 como también el perfil IPSec o de fase 2 en los 3 routers

VRF-aware-9

En el Router de proveedor generamos la ACL para hacer match del tráfico interesante el cual será encriptado, en este caso solo generaré una ACL para ser usada con ambos clientes.

VRF-aware-10

Para el cliente A la ACL no varía mucho ya que solo se debería cambiar la posición de las redes origen por destino y destino por origen;  las claves pre compartidas PSK, usaremos un nuevo comando que es  el keyring esto para hacer encajar las VRF con la PSK cisco

VRF-aware-12

Para las PSK de los clientes lo realizaremos de la forma tradicional

VRF-aware-13

Solo faltaría crear el crypto map y aplicarlo a las interfaces en los 3 routers

VRF-aware-14

VRF-aware-15

Realicemos las pruebas, con el siempre usado ping, en este caso debido a que usamos VRF al ping se le debe decir por cual VRF debe ser ejecutado

VRF-aware-16

Verifiquemos el estado de fase 1 y si nuestro tráfico se está encriptando bajo la VRF del cliente A

VRF-aware-19

VRF-aware-17

Success!!! , podemos ver que la VRF protegida es la VRF del cliente A, cuando se realiza una VPN S2S de la forma tradicional  este campo se presenta como ‘none’

Una ves más, con esto concluimos la parte de ‘Cisco IOS Security: VRF Aware IPSec‘, espero que  sido de su agrado  😎 , favor si les gusto o tienen preguntas al respecto no duden en consultar :mrgreen: