Por Leonardo Sambrana
VPN ou Rede privada virtual, é uma rede de comunicações privada construída sobre uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrões, não necessariamente seguros. Em resumo, cria uma conexão segura e criptografada, que pode ser considerada como um túnel, entre localidades remotas.
As VPNs usam tecnologias de tunelamento e criptografia que fornecem confidencialidade, autenticação e integridade aos dados tráfegados. Apesar de ser uma tecnologia amplamente adotada, a tarefa de realizar a configuração desse tuneis, com todas suas fases, e em larga escala pode ser uma tarefa demorada e desafiadora. É nesse ponto que a Meraki oferece o recurso de AutoVPN.
Cisco Meraki Auto VPN
A funcionalidade AutoVPN é um recurso único da Meraki que permite estabelecer tuneis IPSec VPN entre localidades que possuem equipamentos MX (desde que em uma mesma organização) com um unico click. E nas próximas paginas vou abordar uma visão geral de como o AutoVPN se diferencia de outras soluções do mercado.
Inicialmente, antes de se pensar em realizar um tunel VPN os MX precisam saber onde seus peersestão, e mais importante como vão se comunicar com eles. Para isso a Meraki utiliza um serviço chamado punch, e isto é usado porque não necessariamente o MX vai estar conectado direto a internet, mas pode estar atras de um NAT, firewall, etc. Cada MX usa o punchpara se conectar a nuvem da Meraki.
VPN registry
Uma vez conectados a nuvem da Meraki cada MX passa para a fase de registro, chamado Cisco Meraki VPN registry com esse serviço, cada MX informa a nuvem da Meraki seus endereços IP. Endereços das interfaces internas, externas e IP publico fazem parte do VPN registry. Após esse registro a nuvem da Meraki age como um orquestrador e entende qual a melhor maneira de criar um tunel ponto a ponto entre os MX. Existem basicamente 3 opções:
- Se o IP publico da interface do MX e o IP configurado na interface for o mesmo, o MX está diretamente conectado a internet, e esse enderçamento será usado para estabelecer o tunel
- Se o IP publico da interface do MX e o IP configurado na interface forem diferentes, o MX está atras de um NAT e nesse caso há duas opções
- Se a localidade remota em questão for alcançavel via L3 por endereçamento privado (rede MPLS por exemplo) o IP da interface do MX será usado para estabelecer o tunel
- Se a localidade remota em questão não for alcançavel via L3 por endereçamento privado, então o IP publico do MX será usado para estabelecer o tunel.
E então a mágica da Meraki
Nesse ponto o dashboard sabe como rotear o tráfego entre os MX, sabe quantos caminhos existem entre os MX (o que é importante caso usamos SDWAN num próximo passo), e pode estabelecer tuneis ponto a ponto, usando o conceito de UDP hole punch quando aplicável. Portanto aqui temos:
- Quais MXs devem estabelecer tuneis entre si e mais importante, como um deve alcançar o outro
- Quais redes remotas são acessiveis por quais MX
- Como rotear o tráfego para redes que não estão diretamente conectadas
- E todo processo com ambos os lados da comunicação estando totalmente autenticados, autorizados e confiáveis atraves do dashboard.
Tradicionamenteo o processo acima descrito pode levar dias ou semanas para ser cuidadosamente planejado e desenhado. Após isso ainda muitas horas e linhas de configuração serão necessárias para se fazer a implementação de diversos routers ou firewall suportando VPN.
O AutoVPN da Meraki tem diversas vantagens com relação a abordagem tradicional. A configuração dos tuneis demora não mais de 30 segundos para ser feita, os MX atualizam constantemente suas chaves de criptografia, isso significa segurança constante e sem maiores esforços para sua rede alem claro da integração com diversos outros produtos através do dashboard.
Conclusão
Cisco Meraki AutoVPN transforma a complexidade tradicional de configuração de VPNs em simplicidade gerenciada em nuvem mantendo a segurança e garantindo performance e alta escalabilidade. E é inclusive a base para o recurso SDWAN da Meraki que é tão simples de ser implementado quanto o AutoVPN.