Foro en Español

Reply
Highlighted
Moderator

[Tutorial] Extensión de redes a nivel 2 en entorno de Branch

Hola

 

Como un caso particular dentro de la arquitectura de Branch en AOS8, en alguna ocasión me he encontrado con la necesidad de extender ciertas VLANs a nivel 2 desde las sedes remotas hasta un punto neutro. Generalmente se trata de razones de seguridad (sacar IoT o invitados a Internet a través de una DMZ), pero hay casos de todo tipo.

 

¿En qué consiste esta extensión de nivel 2?

ArubaOS permite la creación de túneles GRE de nivel 2. Esto nos permitirá tener redes completamente aisladas extendidas a todas mis delegaciones. En el caso que nos ocupa (branch), pasaremos esos túneles GRE por dentro de los túneles IPSec que comentamos en el post sobre establecimiento automático de túneles, tal como se muestra en la imagen a continuación:

L2 extension.png

Hasta aquí, bastante sencillo, ¿no? Bien, vamos a ver cómo configurarlo.

 

Configuración para branch controllers

En aras de buscar una configuración lo más sencilla que sea posible, vamos a establecer estos túneles GRE entre su "controller-ip" (para los menos experimentados, la IP de gestión de cualquier controller aruba) y la del VPNC (podríamos usar otro equipo, pero para el ejemplo este nos va bien).

Los pasos serán, por tanto:

  1. Crear la VLAN aislada (la que quiero extender)
  2. Crear túneles GRE (tipo 1)
  3. Asociar la VLAN aislada al túnel

 

vlan 999
…
!
interface tunnel 1
    description tunnel-DMZ-1
    tunnel source controller-ip
    tunnel destination 10.127.2.1
    tunnel mode gre 1
    trusted
    tunnel vlan 999
    tunnel keepalive 10 3
!

En el caso de que quiera tener redundancia, ArubaOS permite crear "tunnel-groups", mediante los cuales el controller de branch tendría túneles activo/backup contra 2 terminadores. Para ello tendría que crear un segundo túnel, y juntar ambos en un tunnel-group:

!
interface tunnel 2
    description tunnel-DMZ-2
    tunnel source controller-ip
    tunnel destination 10.127.2.2
    tunnel mode gre 1
    trusted
    tunnel vlan 999
    tunnel keepalive 10 3
!
tunnel-group dmz
    group type l2
    tunnel 1
    tunnel 2
!

Por si os interesa, tenéis más información sobre "tunnel-group" en este enlace:

http://community.arubanetworks.com/t5/Controller-Based-WLANs/How-to-configure-a-tunnel-group-for-redundancy-of-GRE-tunnels-on/ta-p/234791

 

Nota: tal como hemos venido haciendo hasta ahora, esta configuración la podremos hacer dentro de la carpeta de branch. De esta forma se aplicará a todos los controladores que tengamos en esa carpeta.

 

Configuración de los terminadores de túneles

Para finalizar la configuración tendremos que "cerrar" esos túneles en el otro extremo, que como decía anteriormente podrá estar en los VPNC o en otro equipo. Para ello crearé un túnel por cada controller de branch. Una vez más, utilizaré como origen del túnel el "controller-ip" para que la configuración sea más sencilla:

 

vlan 999
    description L2extension
!
interface tunnel 1
    description TunnelFromBranch1
    tunnel source controller-ip
    tunnel destination 10.127.16.33
    tunnel mode gre 1
    trusted
    tunnel vlan 999
    no inter-tunnel-flooding
    tunnel keepalive 10 3
    ip access-group -none- in
!
interface tunnel 2
    description TunnelFromBranch2
    tunnel source controller-ip
    tunnel destination 10.127.16.65
    tunnel mode gre 1
    trusted
    tunnel vlan 999
    no inter-tunnel-flooding
    tunnel keepalive 10 3
    ip access-group -none- in
!

Un detalle importante es que he utilizado el comando "no inter-tunnel-flooding" para evitar que el broadcast/multicast que llega de una de las branch se propague a todas las demás. 

 

Resultado esperado

Hay varias formas de comprobar que todo ha ido como debía, aquí van algunas de las más comunes:

1) Comprobar que los túneles GRE están establecidos:

(7008-Casa) *#show interface tunnel 999

Tunnel 999 is up line protocol is up
Description: tunnel-HVAC
Source  10.127.16.65
Destination 10.127.2.2
Tunnel mtu is set to 1100
Tunnel is a Layer2 GRE TUNNEL
Tunnel is Trusted
Inter Tunnel Flooding is enabled
Tunnel keepalive is enabled
Keepalive type is Default
Tunnel keepalive interval is 10 seconds, retries 3
	Heartbeats sent 429, Heartbeats lost 40
	Tunnel is down 1 times
tunnel vlan 999

Para comprobar que efectivamente se trata de una red completamente aislada, podremos verificar que el controller de branch no tiene ningún interfaz de L3 asociado a esa VLAN:

(7008-Casa) *#
(7008-Casa) *#show ip interface brief

Interface                   IP Address / IP Netmask        Admin   Protocol   VRRP-IP
vlan 20                   10.127.16.65 / 255.255.255.224   up      up
vlan 1                      unassigned / unassigned        up      down
vlan 10                        2.2.2.1 / 255.255.255.0     up      down
vlan 4093                 172.31.98.23 / 255.255.254.0     up      up
vlan 4094                192.168.1.200 / 255.255.255.0     up      up
loopback                    unassigned / unassigned        up      up
tunnel 999                  unassigned / unassigned        up      up

DHCP is enabled on VLAN(s) 4093, 4094
(7008-Casa) *#show vlan

VLAN CONFIGURATION
------------------
VLAN   Description  Ports               AAA Profile  Option-82
----   -----------  -----               -----------  ---------
1      Default      GE0/0/2-0/5 Pc0-7   N/A          Disabled
10     VLAN0010                         N/A          Disabled
20     VLAN0020     GE0/0/0-0/1         N/A          Disabled
99     VLAN0099                         N/A          Disabled
999    VLAN0999                         N/A          Disabled
4093   VLAN4093     GE0/0/6             N/A          Disabled
4094   VLAN4094     GE0/0/7             N/A          Disabled
(7008-Casa) *#
(7008-Casa) *#

Los usuarios conectados en la delegación aparecerían en la tabla de usuarios (aunque estén aislados el firewall los sigue inspeccionando), pero con una IP de un rango diferente a los de cualquier interfaz local:

(7008-Casa) *#
(7008-Casa) *#show user
This operation can take a while depending on number of users. Please be patient ....

Users
-----
    IP            MAC            Name     Role      Age(d:h:m)  Auth    VPN link  AP name            Roaming   Essid/Bssid/Phy                  Profile   Forward mode  Type  Host Name  User Type
----------   ------------       ------    ----      ----------  ----    --------  -------            -------   ---------------                  -------   ------------  ----  ---------  ---------
10.127.32.3  9c:f3:87:7f:95:b1  hvac      hvac      00:00:00    802.1x            40:e3:d6:cf:f7:c0  Wireless  BlackBox/40:e3:d6:7f:7c:10/a-HT  BlackBox  tunnel        iPad             WIRELESS

User Entries: 1/1
 Curr/Cum Alloc:1/2 Free:0/1 Dyn:1 AllocErr:0 FreeErr:0

Por último, veremos la MAC address del dispositivo en la tabla de bridging de nuestro terminador de túneles:

(POC-VPNC1-DATA) [MDC] #show datapath bridge table 9c:f3:87:7f:95:b1

Datapath Bridge Table Entries
-----------------------------

Flags: P - Permanent, D - Deny, R - Roamed Client, M - Mobile, X - Xsec, A - Auth, T - Trusted
       U - Tunneled User

      MAC          VLAN  Assigned VLAN  Destination  Flags    Age
-----------------  ----  -------------  -----------  -------  ----
9C:F3:87:7F:95:B1  999   999            tunnel 12             0
(POC-VPNC1-DATA) [MDC] #
(POC-VPNC1-DATA) [MDC] #
(POC-VPNC1-DATA) [MDC] #show ip interface brie

Interface                   IP Address / IP Netmask        Admin   Protocol   VRRP-IP
vlan 1                      10.127.2.2 / 255.255.255.0     up      up
vlan 999                   10.127.32.1 / 255.255.255.0     up      up
loopback                    unassigned / unassigned        up      up
tunnel 1                    unassigned / unassigned        up      up
tunnel 2                    unassigned / unassigned        up      up
(POC-VPNC1-DATA) [MDC] #

Y creo que esto es todo :)

 

Como siempre, no dejéis de poner vuestras dudas por aquí.

 

Un saludo!!

 

 

 

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: