Universidade Gregório Semedo

Faculdade de Engenharia e Novas Tecnologias

Curso de Engenharia Informática

Implementação de FLEXVPN com Autenticação e

Monitoramento entre Escritórios do BCI

Adilson José Pedro

Nº 171754

Orientador:
Licenciado Bernardo Adão

Luanda/2019
 Adilson José Pedro

Implementação de FLEXVPN com Autenticação e

Monitoramento entre Escritórios do BCI

Trabalho de Conclusão do Curso apresentado à

Universidade Gregório Semedo como parte
dos requisitos para obtenção do grau
académico de Licenciado em Engenharia
Informática.

Júri

Presidente

__________________________
(grau académico, nome, cargo)
Universidade Gregório Semedo

Orientador
__________________________
(grau académico, nome, cargo)
Universidade Gregório Semedo

Arguente
__________________________
(grau académico, nome, cargo)
Universidade Gregório Semedo

Luanda, ____ de____________ de 2019

Dedicatória
A minha mãe dedicado esse trabalho por causa do investimento e confiança que depositou ao
longo dos anos, embora as várias dificuldades só permitiram que fosse possível agora.
Agradecimentos
Em primeiro lugar agradeço a Deus, pela saúde, força, capacitação, persistência que me deu.
A Universidade Gregório Semedo pela oportunidade.
A minha mãe e irmãos pelo facto de toda confiança que têm por mim.
A minha amada esposa pela paciência e força.
A Crinos pelo investimento.
Epígrafe

“Não há limite para a produção de livros, e estudar

demais deixa exausto o corpo.”.

Salomão, o Rei
Resumo
Neste trabalho de defesa de tese, apresentei uma solução nova da Cisco para implementar uma
Flexvpn para substituir um Túnel GRE, com autenticação usando o TACACS+(Terminal
Access Controller Access Control Service) interligando as várias agências e a sede,fazendo
também atraveis do Syslog a monitoria do que se passa nos equipamentos. Primeiramente
falei dos conceitos que são a base para este projecto onde além dos conceitos básico de Redes
de Computadores, falei também acerca de VPN com maior relevo nos conceitos de Flexvpn e
seu protocolo chave o IKEv2,feito isso apresento de forma teórica e prática o TACACS+ para
autenticação e autorização e por fim além dos conceitos apresentamos também o Syslog de
forma teórica e práctica.
Palavras-chave: Flexvpn, IKEv2, AAA, vpn, Syslog.

Abstract
Key Words: Flexvpn, IKEv2, AAA, vpn, Syslog.

Índice

Dedicatória................................................................................................................................. II
Agradecimentos ........................................................................................................................ III
Epígrafe .................................................................................................................................... IV
Resumo ...................................................................................................................................... V
Abstract ..................................................................................................................................... VI
Índice de tabelas ....................................................................................................................... IX
Índice de figuras ........................................................................................................................ X
Lista de acrónimos .................................................................................................................. XII
Lista de abreviaturas .............................................................................................................. XIII
1 Introdução ............................................................................................................................ 1
1.1 Objectivos .................................................................................................................... 1
1.1.1 Objectivo geral ......................................................................................................... 1
1.1.2 Objectivos específicos .............................................................................................. 1
1.2 Pesquisa da literatura ................................................................................................... 1
1.3 Contribuição do trabalho ............................................................................................. 2
1.4 Organização do trabalho .............................................................................................. 2
2 Fundamentos para implementação de uma Flexvpn ............................................................ 3
2.1 Redes de Computadores ............................................................................................... 3
2.2 Endereçamento ............................................................................................................. 6
2.3 Protocolos de Roteamento ........................................................................................... 8
2.4 VPN ........................................................................................................................... 12
2.5 GRE(Generic Routing Protocol) ................................................................................ 13
2.5.1 Tipos de VPN ......................................................................................................... 14
2.5.2 Diferentes Tecnologias VPN .................................................................................. 15
2.5.3 Tipos de protocolos VPN ....................................................................................... 16
2.6 FlexVPN .................................................................................................................... 20
2.6.1 Por quê FlexVPN? .................................................................................................. 23
2.6.2 Valor FlexVPN ....................................................................................................... 24
 2.7 Autenticação-Tacacs+ ................................................................................................ 24
2.7.1 Vantagens ............................................................................................................... 25
2.7.2 Desvantagens .......................................................................................................... 25
2.7.3 Vantagem do TACACS .......................................................................................... 26
2.7.4 Desvantagem do TACACS .................................................................................... 26
2.8 Syslog......................................................................................................................... 26
2.8.1 Servidores Syslog ................................................................................................... 27
2.8.2 Mensagens Syslog .................................................................................................. 28
2.8.3 As desvantagens do Syslog .................................................................................... 28
2.9 Métodos ..................................................................................................................... 29
2.9.1 Procedimentos Experimentais ................................................................................ 29
3 Resultados .......................................................................................................................... 30
3.1 Análise da Infra-estrutura .......................................................................................... 30
3.2 Proposta de solução ................................................................................................... 30
3.3 Implementação ........................................................................................................... 30
3.4 Luanda Sede ............................................................................................................... 32
3.4.1 Configuração do IKEv2 na sede............................................................................. 34
3.4.2 Configurar IGP na sede .......................................................................................... 34
3.4.3 Configuração TACACS+ Server ............................................................................ 35
3.4.4 Servidor Syslog ...................................................................................................... 38
3.5 Benguela Filial-1 ........................................................................................................ 39
3.6 Configuração do IKEv2 na Filial Benguela ............................................................... 41
3.7 Malange Filial-2 ......................................................................................................... 42
3.7.1 Configuração do IKEV2 na Filial de Malange....................................................... 44
3.7.2 Configurar IGP na Filial Benguela......................................................................... 44
3.8 Lubango Filial-3 ........................................................................................................ 45
3.8.1 Configuração do IKEv2 na Filial Lubango ............................................................ 46
3.8.2 Configurar IGP na Filial Benguela......................................................................... 47
3.9 Análise dos Resultados .............................................................................................. 47
4 Conclusões ......................................................................................................................... 55
Bibliografia ................................................................................................................................. 1
Apêndices ................................................................................................................................... 3
Anexos ........................................................................................................................................ 4
Índice de tabelas
TABELA 2 1 ENDEREÇAMENTO IP ................................................................................................ 7
TABELA 2 2 COMPARAÇÃO DE IKEV1 E IKEV2 ......................................................................... 19

TABELA 3 1TABELA DE EQUIPAMENTO ...................................................................................... 31

TABELA 3 2 LUANDA SEDE ........................................................................................................ 32
TABELA 3 3 BENGUELA FILIAL-1............................................................................................... 40
TABELA 3 4 MALANGE FILIAL-2 ................................................................................................ 43
TABELA 3 5 LUBANGO FILIAL-3 ................................................................................................ 45
 Índice de figuras
FIGURA 2 1 REDES DE ÀREA LOCAL ............................................................................................. 4
FIGURA 2 2 REDE DE ÁREA METROPOLITANA ............................................................................. 4
FIGURA 2 3 REDES DE ÁREA AMPLAS/MUNDIAIS ........................................................................ 5
FIGURA 2 4 REDES PEER- TO- PEER .............................................................................................. 6
FIGURA 2 5 REDES CLIENTE-SERVIDOR ........................................................................................ 6
FIGURA 2 6 PROTOCOLO GRE ................................................................................................... 13
FIGURA 2 7 VPN INTRANET....................................................................................................... 14
FIGURA 2 8 VPN EXTRANET...................................................................................................... 14
FIGURA 2 9 VPN DE ACESSO REMOTO ...................................................................................... 15
FIGURA 2 10 COMPARAÇÃO DO IKEV1 E IKEV2 ....................................................................... 20
FIGURA 2 11 FLEXVPN UNIFICADA ............................................................................................ 21
FIGURA 2 12 PERGUNTAS PARA IMPLEMENTAR VPN ................................................................. 22
FIGURA 2 13 FLEXVPN ............................................................................................................... 22
FIGURA 2 14 FUNCIONAMENTO DO AAA................................................................................... 25
FIGURA 2 15 FUNCIONAMENTO DO SYSLOG .............................................................................. 27

FIGURA 3 1 TOPOLOGIA DA FLEXVPN NO GNS3 30

FIGURA 3 2 DIAGRAMA DE INTERLIGAÇÃO COM OS ISP 31
FIGURA 3 3 DIAGRAMA DA SEDE-LUANDA 32
FIGURA 3 4 LOGIN SERVIDOR TACACS 35
FIGURA 3 5 CLI SERVIDOR TACACS 35
FIGURA 3 6 TELA PRINCIPAL DO SERVIDOR TACACS 36
FIGURA 3 7 CRIAÇÃO DE GRUPO DE AUTENTICAÇÃO 37
FIGURA 3 8 CRIAÇÃO DE USUÁRIOS 37
FIGURA 3 9 SERVIDOR SYSLOG 38
FIGURA 3 10 ENDEREÇOS IPS DO SERVIDOR SYSLOG 39
FIGURA 3 11 DIAGRAMA DO SITE BENGUELA FILIAL 40
FIGURA 3 12 DIAGRAMA DO SITE MALANGE FILIAL 42
FIGURA 3 13 DIAGRAMA DO SITE LUBANGO FILIAL 45
Lista de acrónimos
LAN: Local Area Network
MAN: Metropolitan Area Network
RADIUS: Remote Authentication Dial In User Service
RIP: Routing Information Protocol
TACACS: Terminal Access Controller Access-Control System
WAN: Wide Area Network
Lista de abreviaturas
AAA: Authentication Authorization Accounting
BGP: Border Gateway Protocol
DMVPN: Dynamic Multipoint Virtual Private Network
EIGRP: Enhanced Interior Gateway Routing Protocol
ISP: Internet Service Provider
IPSec: Internet Protocol Security
IP: Internet Protocol
IKE: Internet Exchange
ISAKMP: Internet Security Association and Key Management Protocol
OSPF: Open shortest Path First
PC: Personal Computer
RFC: Request for Comments
SA: Security Association
SNMP: Simple Network Management
TCP: Transmission Control Protocol
VPN: Virtual Private Network
1 Introdução
O valor que as informações/dados ganharam nos últimos anos equipara-se ao mesmo
ou superior valor das moedas, pois eles podem gerar ganhos volumosos de dinheiro ou
percas consideráveis.Com isso as empresas têm grande necessidade de manter
comunicação entre elas e suas dependências, isso pode ser feito atráveis de links
dedicados e uso de VPNs tradicionais tal como o GRE, alinhado a isso há a dificuldade
em nossa realidade (pais) das ISP (Internet Service Provider) terem cobertura em todas
as zonas do pais.
A questão que se impõe é: Como o Banco BCI poderá manter comunicação entre si,
com custo baixo, sem depender do tipo de provedora e acima de tudo de forma segura?
1.1 Objectivos

1.1.1 Objectivo geral

Implementar FlexVPN, Autenticar e Monitorar a comunicação entre agências do Banco
e escritórios garantindo segurança e maior velocidade na comunicação do Banco.
A implementação dessa solução é transparente ao provisionamento da provedora de
internet.

1.1.2 Objectivos específicos

 Configurar IKEv2;
 Configurar IGP;
 Configurar o Tacacs+;
 Configurar syslog.
1.2 Pesquisa da literatura
Este trabalho ajudará próximos estudantes que decidirem falar sobre soluções VPNs
recentes no mercado a encontrarem aqui um guia, pelo facto de termos na solução aqui
apresentada uma combinação de vários factores como transporte, segurança e
compatibilidade com VPNs antigas, sem que com isso haja aumento de custos e
complicações em termos de implementação da solução.
Dessa forma o leitor também terá uma preparação de um tópico importante para duas
importantes provas da Cisco para profissionais que queiram se destacar no mercado, e
acima de tudo a empresa que tiver a solução implementada poderá garantir transporte e
segurança de dados sem com isso ter grandes custos.
1.3 Contribuição do trabalho
Este trabalho apresentará uma investigação sobre FlexVPN, um novo tipo de VPN ou
tida também como a “mãe das VPNs”.É do meu conhecimento que é a primeira vez que
se faz um trabalho deste na língua Universidade, na verdade todas as pesquisas que fiz
não encontrei algum trabalho sobre este tema na língua portuguesa a principal razão
dever-se-á pelo facto de ser uma solução nova e para estudiosos um tópico da próxima
Certificação CCIE Enterprise da Cisco, sua relevância vem sob duas prespectivas: a
primeira por se apresentar de forma práctica a implementação, autenticação e
monitoramento desta solução para empresas e a segunda para fins de estudo para a
certificação dita acima e/ou outras que tenham o mesmo tema relacionado.
1.4 Organização do trabalho
O presente relatório foi estruturado da seguinte forma: no segundo capítulo foi
apresentado os conceitos teóricos onde destacou-se sobre redes, tipo de redes, VPN e
tipos de vpn, FlexVPN, tacacs+ e o Syslog. Por fim no terceiro capítulo apresentou-se a
implementação prática, onde foi o resumo dos resultados alcançados sobre os objectivos
que definimos e consequentemente abordamos análise dos resultados no capitulo quarto.
2 Fundamentos para implementação de uma Flexvpn
2.1 Redes de Computadores
Segundo [1] uma rede de computadores interliga uma multiplicidade de sistemas
autónomos e independentes, permitindo partilha de recursos, com os seguintes
objectivos :
 Acesso a informação (bases de dados) e a recursos de processamento (hardware /
software);
 Comunicação entre sistemas para troca de vários tipos de informação – acesso a
múltiplos serviços;
 Suporte de aplicações, processamento e controlo distribuídos – utilização
eficiente de recursos de transmissão e comutação (sub-rede de comunicação);
 Rentabilização de recursos especializados e dispendiosos;
 Elevada flexibilidade (recursos diversificados);
 Elevada fiabilidade e disponibilidade (recursos alternativos).
Uma rede deve permitir acesso a recursos remotos de modo relativamente transparente
aos utilizadores e sem degradação perceptível de desempenho.
De acordo com [2] podemos classificar as redes de computadores em três tipos:
LAN-Local Área Networks
Um dos tipos de redes mais utilizados no mundo inteiro.
Redes privadas com um “raio” relativamente pequeno, destinado a um edifício ou
conjunto deles.
São utilizadas normalmente para interligar computadores pessoais e partilhar vários
recursos (impressoras, espaço em disco,etc).[2]
Figura 2 1 Redes de àrea Local

[Fonte 2]
Man-Metropolitan Área Networks
Trata-se de uma versão alargada da LAN, com maiores dimensões mas utilizando
tecnologias idênticas.
Podem agrupar várias redes corporativas, num ambiente público ou privado.
São utilizadas para transporta dados, mas também é comum a sua utilização para voz
ou vídeo.
Associam-se por vezes. As redes de televisão por cabo, ou similares.[2]

Figura 2 2 Rede de Área Metropolitana

[Fonte 2]
WAN-Wide Área Networks
São redes de grandes dimensões, a nível planetário, continental, ou nacional.
Interligam, habitualmente, várias sub-redes, transformando as redes locais, ou
metropolitanas, isoladas, como parte integrante de uma rede de maior dimensão.
Geralmente interligam milhares de LANs.
Internet resulta da junção de várias redes mais pequenas, sendo hoje a principal WAN
mundial.[2]

Figura 2 3 Redes de Área Amplas/Mundiais

[Fonte 2]
Redes peer- to- peer
 Todos os computadores têm competências iguais, não existe um computador
dedicado exclusivamente para partilhar recursos.
 É o utilizador que define quais os recursos que quer partilhar- que pode ser uma
pasta, uma impressora, entre outros
 Cada computador pode aceder aos recursos disponibilizados pelos outros
computadores.
 Figura 2 4 Redes peer- to- peer

[Fonte 2]
Redes cliente-servidor
As redes cliente-servidor permitem o funcionamento em rede de um número muito
maior de computadores proporcionando a centralização do controlo do funcionamento
de rede bem como melhores condições de segurança da informação.[2]

Figura 2 5 Redes cliente-servidor

[Fonte 2]

2.2 Endereçamento
Um endereço IPv4 é formado por 32 bits que é o mesmo que dizermos que possui
quatro octetos representados na forma decimal (ex: 192.168.0.1). Uma parte desse
endereço (bits mais significativos) indicam-nos a rede e a outra parte (bits menos
significativos) indicam-nos qual a máquina dentro da rede.
Com o objectivo de serem possíveis redes de diferentes dimensões, foram definidas
cinco diferentes classes de endereços IP (Classes: A, B, C, D e E).[3]
Originalmente, o espaço de endereçamento IP foi dividido estruturas de tamanho fixo
designadas de “classes de endereço”. As principais são a classe A, classe B e classe C.
Com base nos primeiros bits (prefixo) de um endereço IP, conseguimos facilmente
determinar rapidamente a qual a classe pertence de determinado endereço IP. [3]

Tabela 2 1 Endereçamento IP

A classe A possui um conjunto de endereços que vão desde o 1.0.0.0 até 127.0.0.0,
onde o primeiro octeto (primeiros 8 bits N.H.H.H) de um endereço IP identifica a rede
e os restantes 3 octetos ( 24 bits) irão identificar um determinado host nessa rede. [3]
Exemplo de um endereço Classe A – 120.2.1.0
A classe B possui um conjunto de endereços que vão desde o 128.0.0.0 até
191.255.0.0, onde os dois primeiros octetos (16 bits N.N.H.H) de um endereço IP
identificam a rede e os restantes 2 octetos ( 16 bits) irão identificar um determinado
host nessa rede. [3]
Exemplo de um endereço Classe B – 152.13.4.0
A classe C possui um conjunto de endereços que vão desde o 192.0.0.0 até
223.255.255.0, onde os três primeiros octetos (24 bits N.N.N.H) de um endereço IP
identificam a rede e o restante octeto ( 8 bits) irão identificar um determinado host
nessa rede.
Exemplo de um endereço Classe C – 192.168.10.0[3]
Relativamente a endereços IP existem os endereços públicos e os endereços privados.
A maioria dos endereços IP são públicos, permitindo assim que as nossas redes (ou
pelo menos o nosso router que faz fronteira entre a nossa rede e a Internet) estejam
acessíveis publicamente através da Internet, a partir de qualquer lado.[4]
Quanto a endereços privados, estes não nos permitem acesso directo à Internet, no
entanto esse acesso é possível mas é necessário recorrer a mecanismos de NAT
(Network Address Translation) que traduzem o nosso endereço privado num endereço
público.[4]
Segundo [4] Os intervalos de endereços privados são:
de 10.0.0.0 a 10.255.255.255 (10.0.0.0 /8)
de 172.16.0.0 a 172.31.255.255 (172.16.0.0 /12)
de 192.168.0.0 a 192.168.255.255 (192.168.0.0 /16)
Os endereços públicos são geridos por uma entidade reguladora, muita das vezes são
pagos e permitem identificar univocamente uma máquina (PC, routers,etc) na Internet.
O organismo que gere o espaço de endereçamento público (endereços IP
“encaminháveis”) é a Internet Assigned Number Authority (IANA).[4]
2.3 Protocolos de Roteamento
O roteamento é a principal forma utilizada na Internet para a entrega de pacotes de
dados entre hosts (equipamentos de rede de uma forma geral, incluindo computadores,
roteadores etc.). O modelo de roteamento utilizado é o do salto-por-salto (hop-by-hop),
onde cada roteador que recebe um pacote de dados abre-o, verifica o endereço de
destino no cabeçalho IP, calcula o próximo salto que vai deixar o pacote um passo mais
próximo de seu destino e entrega o pacote neste próximo salto. Este processo se repete
e assim segue ate a entrega do pacote ao seu destinatário. No entanto, para que este
funcione, são necessários dois elementos: tabelas de roteamento e protocolos de
roteamento.[5]
Tabelas de roteamento são registros de endereços de destino associados ao numero de
saltos até ele, podendo conter varias outras informações.[5]
Protocolos de roteamento determinam o conteúdo das tabelas de roteamento, ou seja,
são eles que ditam a forma como a tabela e’ montada e de quais informações ela e’
composta. Existem dois tipos de algoritmo atualmente em uso pelos protocolos de
roteamento: o algoritmo baseado em Vetor de Distancia (Distance-Vector Routing
Protocols) e o algoritmo baseado no Estado de Enlace (Link State Routing
Protocols).[5]
Roteamento Interno
Os roteadores utilizados para trocar informações dentro de Sistemas Autônomos são
chamados roteadores internos (interior routers) e podem utilizar uma variedade de
protocolos de roteamento interno (Interior Gateway Protocols – IGPs). Dentre eles
estão: RIP, IGRP, EIGRP, OSPF e Integrated IS-IS.[5]
Roteamento Externo
Roteadores que trocam dados entre Sistemas Autônomos são chamados de roteadores
externos (exterior routers), e estes utilizam o Exterior Gateway Protocol (EGP) ou o
BGP (Border Gateway Protocol). Para este tipo de roteamento são considerados
basicamente coleções de prefixos CIDR (Classless Inter Domain Routing) identificados
pelo numero de um Sistema Autonomo.[5]
Protocolos de Roteamento Interno (Interior Routing Protocols)
RIP (Routing Information Protocol)
O RIP foi desenvolvido pela Xerox Corporation no inicio dos anos 80 para ser utilizado
nas redes Xerox Network Systems (XNS), e, hoje em dia, e’ o protocolo intradominio
mais comum, sendo suportado por praticamente todos os fabricantes de roteadores e
disponível na grande maioria das versões mais atuais do sistema operacional UNIX.[5]
Um de seus benefícios é a facilidade de configuração. Alem disso, seu algoritmo não
necessita grande poder de computação e capacidade de memória em roteadores ou
computadores.[5]
O protocolo RIP funciona bem em pequenos ambientes, porem apresenta serias
limitações quando utilizado em redes grandes. Ele limita o numero de saltos (hops)
entre hosts a 15 (16 e’ considerado infinito). Outra deficiência do RIP e’ a lenta
convergência, ou seja, leva relativamente muito tempo para que alterações na rede
fiquem sendo conhecidas por todos os roteadores. Esta lentidão pode causar loops de
roteamento, por causa da falta de sincronia nas informações dos roteadores.[5]
O protocolo RIP e’ também um grande consumidor de largura de banda, pois, a cada
30 segundos, ele faz um broadcast de sua tabela de roteamento, com informações sobre
as redes e sub-redes que alcança.[5]
Por fim, o RIP determina o melhor caminho entre dois pontos, levando em conta
somente o numero de saltos (hops) entre eles. Esta técnica ignora outros fatores que
fazem diferença nas linhas entre os dois pontos, como: velocidade, utilização das
mesmas (trafego) e toda as outras métricas que podem fazer diferença na hora de se
determinar o melhor caminho entre dois pontos. [RFC(Request for Comments)
1058][5]
IGRP (Interior Gateway Protocol)
O IGRP também foi criado no inicio dos anos 80 pela Cisco Systems Inc., detentora de
sua patente. O IGRP resolveu grande parte dos problemas associados ao uso do RIP
para roteamento interno.[5]
O algoritmo utilizado pelo IGRP determina o melhor caminho entre dois pontos dentro
de uma rede examinando a largura de banda e o atraso das redes entre roteadores. O
IGRP converge mais rapidamente que o RIP, evitando loops de roteamento, e não tem
a limitação de saltos entre roteadores.[5]
Com estas características, o IGRP viabilizou a implementação de redes grandes,
complexas e com diversas topologias.[5]
EIGRP (Enhanced IGRP)
A Cisco aprimorou ainda mais o protocolo IGRP para suportar redes grandes,
complexas e criticas, e criou o Enhanced IGRP.[5]
O EIGRP combina protocolos de roteamento baseados em Vetor de Distancia
(Distance-Vector Routing Protocols) com os mais recentes protocolos baseados no
algoritmo de Estado de Enlace (Link-State). Ele também proporciona economia de
trafego por limitar a troca de informações de roteamento àquelas que foram
alteradas.[5]
Uma desvantagem do EIGRP, assim como do IGRP, é que ambos são de propriedade
da Cisco Systems, não sendo amplamente disponíveis fora dos equipamentos deste
fabricante.[5]
OSPF (Open Shortest Path First)
Foi desenvolvido pelo IETF (Internet Engineering Task Force) como substituto para o
protocolo RIP. Caracteriza-se por ser um protocolo intra-domínio, hierárquico, baseado
no algoritmo de Estado de Enlace (Link-State) e foi especificamente projetado para
operar com redes grandes. Outras características do protocolo OSPF são:
A inclusão de roteamento por tipo de serviço (TOS – type of service routing). Por
exemplo, um acesso FTP poderia ser feito por um link de satélite, enquanto que um
acesso a terminal poderia evitar este link, que tem grande tempo de retardo, e ser feito
através de um outro enlace;
O fornecimento de balanceamento de carga, que permite ao administrador especificar
múltiplas rotas com o mesmo custo para um mesmo destino. O OSPF distribui o
tráfego igualmente por todas as rotas;
O suporte a rotas para hosts, sub-redes e redes especificas;
A possibilidade de configuração de uma topologia virtual de rede, independente da
topologia das conexões físicas. Por exemplo, um administrador pode configurar um
link virtual entre dois roteadores mesmo que a conexão física entre eles passe através
de uma outra rede;
A utilização de pequenos “hello packets” para verificar a operação dos links sem ter
que transferir grandes tabelas. Em redes estáveis, as maiores atualizações ocorrem uma
vez a cada 30 minutos.[5]
O protocolo ainda especifica que todas os anúncios entre roteadores sejam autenticados
(isto não quer dizer que necessariamente reflita a realidade das implementações).
Permite mais de uma variedade de esquema de autenticação e que diferentes áreas de
roteamento (ver abaixo) utilizem esquemas diferentes de autenticação;
Duas desvantagens deste protocolo são a sua complexidade, e maior necessidade por
memória e poder computacional, característica inerente aos protocolos que usam o
algoritmo de Estado de Enlace (Link-State).[5]
O OSPF suporta, ainda, roteamento hierárquico de dois níveis dentro de um Sistema
Autônomo, possibilitando a divisão do mesmo em áreas de roteamento. Uma área de
roteamento é tipicamente uma coleção de uma ou mais sub-redes intimamente
relacionadas. Todas as áreas de roteamento precisam estar conectadas ao backbone do
Sistema Autônomo, no caso, a Área 0. Se o trafego precisar viajar entre duas áreas, os
pacotes são primeiramente roteados para a Área 0 (o backbone). Isto pode não ser bom,
uma vez que não há.[5]
Roteamento inter-areas enquanto os pacotes não alcançam o backbone. Chegando a
Área 0, os pacotes são roteados para a Área de Destino, que e’ responsável pela entrega
final. Esta hierarquia permite a consolidação dos endereços por área, reduzindo o
tamanho das tabelas de roteamento. Redes pequenas, no entanto, podem operar
utilizando uma única área OSPF. [RFC 1583][5]
Integrated IS-IS (Intermediate System to Intermediate System Routing Exchange
Protocol)
O IS-IS [OSI 10589], assim como o OSPF, e’ um protocolo intra-domínio, hierárquico
e que utiliza o algoritmo de Estado de Enlace. Pode trabalhar sobre varias sub-redes,
inclusive fazendo broadcasting para LANs, WANs e links ponto-a-ponto.[5]
O Integrated IS-IS e’ uma implementação do IS-IS que, alem dos protocolos OSI,
atualmente também suporta o IP. Como outros protocolos integrados de roteamento, o
IS-IS convoca todos os roteadores a utilizar um único algoritmo de roteamento.[5]
Para rodar o Integrated IS-IS, os roteadores também precisam suportar protocolos
como ARP, ICMP e End System-to-Intermediate System (ES-IS).[5]
Protocolo de Roteamento Externo (Exterior Routing Protocol)
BGP (Border Gateway Protocol)
O BGP [RFCs 1771, 1772, 1773, 1774,1657] assim como o EGP, é um protocolo de
roteamento interdominios, criado para uso nos roteadores principais da Internet.[5]
O BGP foi projetado para evitar loops de roteamento em topologias arbitrarias, o mais
serio problema de seu antecessor, o EGP (Exterior Gateway Protocol). Outro problema
que o EGP não resolve – e e’ abordado pelo BGP – e’ o do Roteamento Baseado em
Política (policy-based routing), um roteamento com base em um conjunto de regras
não-técnicas, definidas pelos Sistemas Autônomos.[5]
2.4 VPN
Pode-se dizer que uma VPN (Virtual Private Network) é um conjunto de políticas que
controlam a conectividade e a qualidade de serviço de uma rede privada. São redes que
compartilham um meio físico comum, porém possuem privacidade dos dados através
de criptografia. São redes virtuais, pois não possuem
enlaces ou linhas dedicados entre as suas extremidades; no entanto, para os usu-
ários e clientes, são “transparentes” e possuem as mesmas funcionalidades de
segurança de enlaces dedicados. As VPNs consistem em soluções simples e flexíveis,
tratando-se de uma poderosa ferramenta de tunelamento oferecida pelos provedores de
serviço de Internet (ISPs). As VPNs foram originalmente introduzidas para
permitir aos provedores de serviços o uso de uma mesma infraestrutura comum
na emulação de enlaces ponto-a-ponto entre os sites dos clientes, e foram
desenvolvidas nos moldes de uma rede geograficamente distribuída ou WAN (Wide
Area Network), podendo abranger uma ampla área geográfica, frequentemente
um país ou continente, com todos os atributos de segurança, gerenciamento e
processamento[6]
Uma rede privada virtual ou VPN (Virtual Private Network) é uma área
de crescimento importante na Internet. Usando protocolos padronizados, as
empresas são capazes de conectar suas redes privadas com segurança usando
os recursos econômicos e altamente disponíveis da Internet. O objetivo da
Internet é proporcionar comunicação entre os nós das redes de modo irrestrito. Porém,
existem muitas situações tais como transações financeiras, pagamentos, etc. nas quais
se exige privacidade das informações e uma conectividade controlada. A maneira de
baixo custo e eficiente de obter tal resultado
é a utilização de VPNs.O crescimento das VPNs tem
sido acompanhado por uma explosão nas técnicas disponíveis para prover
essa função. A maior parte dessas técnicas utiliza abordagens padronizadas,
mas cada uma utiliza protocolos diferentes e possui suas próprias vantagens
e desvantagens.[6]
A grande motivação das VPNs foi o fator custo, pois, ao invés de se
utilizar de um grande número de linhas dedicadas para a interconexão entre seus
diversos pontos, uma VPN faz uso dos serviços existentes das redes
IPs espalhadas mundialmente, para estender as redes corporativas de uma
empresa a pontos distantes, como outros escritórios, filiais, parceiros e até
mesmo residências. Outro fator motivacional que podemos destacar é que
as VPNs podem permitir o acesso a qualquer lugar alcançado pela Internet;
e, como a Internet está hoje onipresente, conexões podem ser facilmente
estabelecidas.[6]
2.5 GRE(Generic Routing Protocol)

Túneis GRE são geralmente configurados entre roteadores fonte e roteadores

destino(pacotes ponto-a-ponto). Os pacotes designados para serem enviados através do
túnel(já encapsulados com um cabeçalho de um protocolo como, por exemplo, o IP) são
encapsulados por um novo cabeçalho(cabeçalho GRE) e colocados no túnel com o
endereço de destino do final do túnel.Ao chegar a este final, os pacotes são
desencapsulados(retira-se o cabeçalho GRE) e continuarão seu caminho para o destino
determinado pelo cabeçalho original.[N--0]

Figura 2 6 Protocolo GRE

[Fonte N--0]
Desvatangens
 Os túneis GRE são,geralmente,configurados manualmente, o que requer um
esforço grande no gerênciamento e manutenção de acordo com a quantidade de
 túneis:toda vez que o final de um túnel mudar,ele deverá ser manualmente
configurado;
 Embora a quantidade de processamento requerida para encapsular um pacote
GRE pareça pequena,existe uma relação direta entre o número de túneis a serem
configurados e o processamento requerido para o encapsulamento dos pacotes
GRE: quanto maior a quantidade de túneis, maior será o processamento
requerido para o encapsulamento;
 Uma grande quantidade de túneis poderá afectar a eficiência da rede.[N--0]

2.5.1 Tipos de VPN

Há vários tipos de redes privadas virtuais, das quais iremos destacar:
VPN Intranet: utilizada, por exemplo, para facilitar a comunicação entre
diferentes sites de uma empresa;

Figura 2 7 VPN Intranet

[Fonte 6]
VPN Extranet: utilizada para conectar uma empresa a seus fornecedores,
clientes, etc.

Figura 2 8 VPN Extranet

[Fonte 6]
VPN de Acesso Remoto: utilizada para conectar uma empresa a seus
empregados que estejam fisicamente distantes. Neste caso, a estação
remota disca para o provedor de acesso, conectando-se à Internet, e
o software de VPN cria uma rede virtual privada entre o usuário remoto e o servidor de
VPN corporativo através da Internet[6]

Figura 2 9 VPN de Acesso Remoto

[Fonte 6]

2.5.2 Diferentes Tecnologias VPN

VPN site a site
Uma VPN site-to-site é usada principalmente por empresas e organizações, geralmente
conhecida como VPN de roteador a roteador. Organizações diferentes têm seus locais
de trabalho em várias áreas geográficas e todas essas organizações utilizam essa VPN
para conectar a rede de um local fixo ao outro local. Existem dois tipos, uma é VPN
baseado em Intranet e outro VPN baseado em Extranet. Se várias filiais de uma matriz
principal localizadas em locais diferentes estiverem conectadas usando a VPN site-to-
site, isso será chamado de VPN baseada na Intranet. E se diferentes empresas se
conectarem usando a VPN site-to-site, isso se chamará extra-net. A VPN site-to-site
cria uma ponte virtual entre as redes e as conecta através da Internet a uma conexão
protegida e privada entre os sistemas. Na VPN site-to-site, um dos roteadores se
comporta como um cliente VPN, enquanto outro se comporta como um servidor
VPN.[7]
VPN de acesso remoto
A VPN de acesso remoto permite que um usuário se conecte a uma rede privada e
permite que ele utilize seus recursos e serviços remotamente. A conexão segura entre o
cliente e a rede privada ocorre através da Internet. Essa VPN é útil tanto para empresas
quanto para usuários domésticos. A VPN pode ser utilizada por um funcionário da
empresa durante as férias para acessar remotamente os arquivos e os recursos na rede
privada. Os usuários que conhecem a segurança da Internet também usam o serviço
VPN para melhorar sua segurança e privacidade. [7]

2.5.3 Tipos de protocolos VPN

Protocolo de encapsulamento da camada 2 (L2TP)
O protocolo de encapsulamento da camada dois depende do conceito do protocolo de
encaminhamento da camada dois (L2F). É um protocolo de encapsulamento que é
principalmente e frequentemente combinado com algum outro protocolo de segurança
VPN para criar uma conexão VPN extremamente segura.[7]
Protocolo de encapsulamento ponto a ponto (PPTP)
O PPTP foi desenvolvido pela Microsoft e pela Ascend em 1999 e é uma das VPN
mais antigas. Esse protocolo de encapsulamento ponto a ponto é uma expansão para o
protocolo ponto a ponto (PPP) e é suportado por todas as versões do Microsoft
Windows. O PPTP utiliza dois pacotes diferentes para configurar uma conexão
VPN.[7]
Camadas de soquetes seguros (SSL)
As VPNs baseadas em SSL também são chamadas de VPNs sem cliente ou VPNs
baseadas na Internet. É uma das VPNs mais utilizadas atualmente, embora existam
alguns fornecedores que fornecem software de cliente separado e isso depende do
protocolo SSL / TLS. A maioria das VPNs baseadas em SSL utiliza um conjunto de
regras semelhante ao utilizado para o site seguro (HTTPS), enquanto o Open VPN usa
um determinado formato para criptografia. Não há um padrão bem categorizado para
VPNs baseadas em SSL; portanto, o protocolo SSL / TLS é usado para configurar a
conexão segura. A conexão é protegida com senha ou nome de usuário descartáveis. As
VPNs baseadas em SSL são basicamente as mesmas que a conexão usada para proteger
sites e um protocolo semelhante é frequentemente usado. [7]
Segurança de protocolo da Internet (IPSec)
Os pacotes de protocolo da Internet não são seguros, pois os dados contidos nele
podem ser alterados durante o processo de comunicação. O IPSec fornece uma
compilação do conjunto padrão de regras e métodos para configurar VPNs seguras e
fornece segurança de transmissão na camada IP. O modo de transporte e o modo de
túnel são os dois modos principais e essenciais da conexão IPSec. As informações de
autenticação e integridade no cabeçalho IPSec são adicionadas ao cabeçalho IP original
quando o IPSec é operado usando o modo de transporte. Enquanto o modo tunnel
mantém mais flexibilidade.
As conexões IPSec e as chaves de criptografia de troca são criadas usando o IKE
(Internet Key Ex-Change Protocol) e também são usadas para compartilhar os dados de
autenticação. Os dois parceiros de túnel organizam os parâmetros da associação VPN
para que possam usar uma SA(Associação de Segurança) comum. As mensagens IKE
são trocadas por meio de pacotes UDP na porta 500 e dependem da associação de
segurança da Internet e do protocolo de gerenciamento de chaves (ISAKMP-
Associação de Segurança da Internet e Protocolo de Gerenciamento de Chaves).[7]
O Internet Key Exchange (IKE) é um protocolo usado para configurar
atributos de segurança de associações de segurança IPSec (SAs), como chave de
criptografia, algoritmo de criptografia e modo, entre pares de IPSec. O Internet Key
Exchange permite que os pares IPSec troquem dinamicamente chaves e negociem
IPSec Security Associations (SAs). Usando o Internet Key Exchange (IKE), as IPSec
Security Associations (SAs) podem ser estabelecidas e removidas dinamicamente em
um período de tempo negociado.

2.5.3.1 Internet Key Exchange (IKE)

O Internet Key Exchange (IKE) é um protocolo IETF e possui duas versões, uma
versão antiga IKEv1 (RFC 2409, RFC 4109) e uma versão relativamente nova, IKEv2
(RFC 5996, RFC 7296 e RFC 7427).[N0]

O Internet Key Exchange é um protocolo híbrido feito dos protocolos Oakley, SKEME
(um mecanismo versátil de troca segura de chaves para Internet) e ISAKMP (Internet
Security Association e Key Management Protocol). O protocolo ISAKMP é uma
estrutura para a troca de chaves de criptografia e cargas úteis de associações de
segurança.[N0]

O IKE usa UDP, número da porta 500. [N0]

2.5.3.2 Versão 1 do Internet Key Exchange (IKEv1)
A operação IKEv1 pode ser dividida em duas fases. 1) Fase 1 (Negociação IKE SA) e
2) Fase 2 (Negociação IPSec SA). A negociação do IKEv1 Phase 1 SA é para proteger
o IKE. A negociação IKEv1 Phase 2 SA destina-se a proteger o IPSec (tráfego real do
usuário). [N0]

A negociação da IKEv1 Fase 1 pode ocorrer em dois modos, usando o Modo Principal
ou o Modo Agressivo. O modo principal IKEv1 Phase 1 possui três pares de
mensagens (total de seis mensagens) entre os pares IPSec. O Modo Agressivo IKE de
Fase 1 possui apenas três trocas de mensagens. O objetivo da IKEv1 Fase 1 é
estabelecer a IKE SA. [N0]

A IKEv1 Fase 2 (Modo Rápido) possui apenas três mensagens. O objetivo da Fase 2 do
IKEv1 é estabelecer o IPSec SA. [N0]

A fase 1 é usada para negociar os parâmetros e o material principal necessário para

estabelecer a IKE Security Association (SA) entre dois pares de IPSec. As associações
de segurança (SAs) negociadas na fase 1 são usadas para proteger futuras
comunicações IKE. [N0]

2.5.3.3 O protocolo de troca de chaves da Internet versão 2 (IKEv2)

O Internet Key Exchange Versão 2 é o padrão de segunda geração para uma troca
segura de chaves entre dispositivos conectados. Para construir uma conexão segura, o
IKEv2 utiliza um protocolo de encapsulamento baseado em IPSec. Durante a
perturbação na conexão VPN, o IKEv2 pode restabelecer a conexão com uma
velocidade rápida, é o poder e a vantagem mais útil do uso do IKEv2. O IKEv2
possibilita o uso no Windows ou no iOS por causa de recursos como re-conexão rápida
e criptografia forte.
Atualmente, o IKEv2 é um dos melhores protocolos em comparação com outros
protocolos VPN para clientes móveis. No momento em que é utilizado em conjunto
com o VPN Connect da Microsoft, o protocolo IKEv2 recriará automaticamente a
conexão VPN se a conexão estabelecida for desconectada.A convenção VPN IKEv2
funcionará de maneira brilhante, mesmo se o usuário alternar entre sistemas. Isso é
especialmente importante para os usuários que gostam de utilizar seus telefones
celulares com frequência e frequência, saem da rede móvel com uma conexão Wi-Fi.
O protocolo IKEv2 está menos em uso agora que o IPSec porque é suportado em
menos plataformas. Por outro lado, o IKEv2 é melhor que outros grandes protocolos
devido à segurança, estabilidade, velocidade e poder de restabelecer uma conexão.
Comparativamente, a VPN IKEv2 é menos popular que outras VPNs existentes, porque
este é um novo protocolo e não é suportado em tantos dispositivos quanto em outras
VPNs existentes. No entanto, a popularidade está se expandindo por causa das coisas
que está preparada para fazer. E um número crescente de clientes está começando a
utilizá-lo à medida que ele se desenvolve continuamente e provavelmente será utilizado
no futuro próximo. [7]

2.5.3.4 Comparação entre IKEv1 e IKEv2

Tabela 2 2 Comparação de IKEv1 e IKEv2

[Fonte -0]
IKE v1 IKE v2
A fase 1 gera: gera apenas 4 mensagens
modo principal: 6 mensagens
modo agressivo: 3 mensagens
sem confiabilidade confirmar e sequênciar
sem autenticação Variantes EAP
baseado na RFC 4995 baseado na RFC 5996

A tabela acima demostra de forma comparativa as duas versões do IKE.

Figura 2 10 Comparação do IKEv1 e IKEv2

2.6 FlexVPN
A mais recente oferta VPN da Cisco FlexVPN é uma solução VPN unificada baseada
no padrão de protocolo IKEv2 que suporta uma variedade de cenários comuns de
implantação de VPN, incluindo Site a Site, Acesso Remoto usando Cisco AnyConnect
ou clientes Windows nativos e recursos de malha dinâmica semelhante a DMVPN. O
FlexVPN também fornece integração perfeita com roteamento, redundância,
autenticação / autorização AAA e vários outros recursos avançados para torná-lo uma
solução de escolha para clientes que procuram uma solução VPN consolidada e
escalável.[N1- (Cisco, 2016)]
Figura 2 11 Flexvpn Unificada

[Fonte N2 (Cisco, 2015)]

Segundo [8] a FlexVPN é uma tecnologia VPN robusta e baseada em padrões que
permite grandes empresas a conectar com segurança filiais e usuários remotos. Ele
fornece redução significativa de custos em comparação com o custo de suporte a vários
tipos de soluções de rede virtual privada (VPN), como GRE (roteamento genérico
encapsulamento), mapa criptográfico e soluções baseadas em interface de túnel virtual
(VTI),porém segundo [N3] Flexvpn é uma tecnologia VPN unificada baseada em
IKEv2 que combina topologias site a site, acesso remoto, hub-spoke e spoke-spoke que
se destaca com as seguintes caracteristicas:
CLI Unificado;
Com base e compatível com o padrão IKEv2;
Infraestrutura unificada: aproveita a interface de túnel IOS ponto a ponto;
Funções unificadas: a maioria dos recursos disponíveis nas topologias;
Recursos principais: AAA, modo de configuração, roteamento dinâmico, IPv6;
Recursos de nível por raio para QOS, VRF, ZBFW, ACL, etc;
Configuração simplificada usando padrões inteligentes;
Interoperável com implementações que não são da Cisco;
Fácil aprender, comercializar e gerenciar;
Segundo ainda N3 a Flexvpn responde a todas as perguntas que aparecem na figura
abaixo:
Figura 2 12 Perguntas para implementar VPN

[Fonte N2]
Para [N4] Flexvpn é somente ikv2 e justifica apresentando a evolução e
caracterististicas atraveis da imagem abaixo:

Figura 2 13 Flexvpn

[Fonte N4]
A FlexVPN conta com o IKEv2 baseado em padrões abertos como uma tecnologia de
segurança e fornece uma série de aprimoramentos específicos da Cisco para fornecer
altos níveis de segurança, valor agregado e diferenciações competitivas. [8]
O FlexVPN é suportado no Cisco Integrated Services Router Generation 2 (ISR G2)
plataformas executando IOS e roteadores de serviços de agregação (ASR 1000)
executando o IOS-XE, incluindo o Cloud Services Router 1000v (CSR 1000v) e
Roteadores da série ISR4000. O Cisco AnyConnect é suportado como cliente, além de
qualquer cliente de terceiros compatível. [8]

2.6.1 Por quê FlexVPN?

Ao longo dos anos, as soluções Cisco IPsec VPN evoluíram de mapas criptográficos
para proteção de túnel conforme listado:
 Mapas criptográficos estáticos
 Mapas criptográficos dinâmicos
 EzVPN legado (Easy VPN) baseado em mapas de criptografia
 Interfaces GRE com mapas criptográficos na interface WAN
 Interfaces GRE com proteção de túnel
 VTI IPsec (interface de túnel virtual): VTI estática e dinâmica
 DMVPN (VPN multiponto dinâmico)
 EzVPN aprimorado com base em VTI IPsec
 GET VPN (VPN de transporte criptografado em grupo)
Como cada solução serve a propósitos diferentes, esses recursos diferentes foram
desenvolvidos de forma relativamente independente, cada um com sua própria
configuração constrói, mostra comandos, infraestrutura de interface subjacente e
conjuntos de recursos enquanto compartilha os componentes básicos do ISAKMP e
IPsec. Um exemplo de essa divergência é que, enquanto o DMVPN usa
predominantemente GRE multiponto interfaces, suporta roteamento de sobreposição
dinâmica e não suporta AAA (autenticação, autorização e contabilidade) e política por
usuário ou por ponto pronto para uso, o EzVPN usa interfaces IPsec VTI ponto a
ponto, integra-se ao AAA e suporta política por usuário ou por ponto, mas não suporta
dinâmica roteamento de sobreposição. Essa separação e divergência tem várias
desvantagens, notadamente em termos de curva de aprendizado e facilidade de solução
de problemas devido às várias conceitos e comandos envolvidos. É difícil configurar os
vários IPsec Soluções de VPN em um único dispositivo. [8]
O protocolo IKEv2 reuniu muitas funcionalidades anteriores definido em várias RFCs.
A introdução do IKEv2 no Cisco IOS foi usada como uma oportunidade de unificar as
diferentes soluções VPN, colocando todas as soluções sob mesma configuração e
componentes básicos e disponibilizando todo o funcionalidades e recursos de protocolo
para todas as topologias de VPN. Isso resultou em FlexVPN. [8]
Com exceção do GET VPN, que essencialmente não cria uma VPN, mas fornece
serviços de criptografia para uma VPN de camada 3 existente, como MPLS
(comutação de rótulo multiprotocolo), o FlexVPN abrange todas as VPNs IPsec
anteriores funcionalidade. O FlexVPN é suportado por uma estrutura amplamente
aprimorada baseada em o padrão IKEv2, interfaces de túnel ponto a ponto e a estrutura
AAA. [8]

2.6.2 Valor FlexVPN

O FlexVPN é uma solução Cisco IOS VPN unificada baseada em IKEv2 que atende a
várias topologias de VPN. A principal proposta de valor do FlexVPN é a unificação
várias topologias de VPN. A principal proposta de valor do FlexVPN é a unificação
interface do usuário, infraestrutura e recursos subjacentes nas topologias da VPN.[8]
Alguns dos benefícios do FlexVPN são:
 Baseado em padrões, interoperável com implementações não Cisco IKEv2;
 Suporte para várias topologias de VPN, como ponto a ponto, acesso remoto,
hub-spoke e mesh dinâmico Várias tecnologias VPN sob uma interface de linha de
comando (CLI);
 Redução no treinamento para aprender várias tecnologias VPN;
 Configuração unificada e comandos show, interface subjacente;
 infraestrutura e recursos nas topologias de VPN suportadas para política por
usuário ou por ponto;
 Suporte para roteamento de sobreposição dinâmica;
 Integração com a infraestrutura Cisco IOS AAA;
 Suporte para encapsulamentos GRE e IPsec nativos com detecção automática de
protocolo de encapsulamento Suporte para overlay e underlay IPv4 e IPv6 com
detecção automática do tipo de transporte IP.[8]
2.7 Autenticação-Tacacs+
Atualmente, a segurança desempenha um papel importante em uma empresa. Sem
nenhuma implementação de solução de segurança em nossa rede, um usuário pode
simplesmente "plug and play" em nossa rede. O usuário pode simplesmente pegar um
endereço IP válido ou ser atribuído automaticamente via DHCP. É conveniente, mas
não é uma boa maneira, se sua rede contiver dados confidenciais. Pior, esse usuário
pode ter todos os direitos da sua rede para poder fazer coisas perigosas. Existem várias
maneiras de proteger uma rede, mas o AAA oferece uma solução completa.[9]
Como funciona o AAA?

Figura 2 14 Funcionamento do AAA

[Fonte 9]

2.7.1 Vantagens
Segundo [9] Todas as ações que os usuários fazem devem ser enviadas ao servidor
AAA para determinar se são permitidas ou não. Este processo tem muitas vantagens:
 Login seguro (o servidor AAA não é exposto aos usuários e somente alguns
protocolos podem ser enviados inicialmente);
 Gerenciamento fácil em um ou alguns servidores centralizados;
 Firewalls ou outros dispositivos de segurança podem ser colocados diante dos
servidores AAA para protegê-los
Pode aceitar ou rejeitar comandos específicos;
 Todos os comandos digitados pelos usuários podem ser registrados para análise
posterior.

2.7.2 Desvantagens
 Requer servidor poderoso (para lidar com todo o tráfego e solicitações)
Segundo [9] AAA significa Autenticação, Autorização e Contabilidade.
Autenticação: especifique quem você é (geralmente via nome de usuário e senha de
login)
Autorização : especifique quais ações você pode executar, que recurso você pode
acessar
Contabilidade : monitore o que você faz, quanto tempo faz (pode ser usado para
cobrança e auditoria)
Com o AAA, os usuários devem se autenticar antes de obter um endereço IP para
acessar a rede. Caso contrário, eles só podem usar protocolos específicos para
continuar autenticando. [9]
Segundo [9] para autenticação, podemos fazer isso via banco de dados local, padrão
802.1x (desenvolvido para fornecer um método para autenticar dispositivos que tentam
acessar uma porta de switch / LAN) ou via servidores AAA remotos. Existem dois
protocolos AAA cliente / servidor populares para se comunicar entre servidores AAA
remotos e dispositivos de autenticação:
RADIUS (serviço de usuário de discagem de autenticação remota)
TACACS + (Sistema de controle de acesso do controlador de acesso ao terminal)

2.7.3 Vantagem do TACACS

 Fornece maior controle granular que o RADIUS.TACACS + permite que um
administrador de rede defina quais comandos um usuário pode executar.
 Todos os pacotes AAA são criptografados e não apenas senhas (no caso do
Radius).
 O TACACS + usa TCP em vez de UDP. O TCP garante a comunicação entre o
cliente e o servidor.[10]

2.7.4 Desvantagem do TACACS

 Por ser de propriedade da Cisco, pode ser usado apenas entre os dispositivos da
Cisco;
 Suporte menos extenso para contabilidade do que o RADIUS. [10]
2.8 Syslog
O Syslog é uma maneira dos dispositivos de rede enviarem mensagens de eventos para
um servidor de log - geralmente conhecido como servidor Syslog. O protocolo Syslog é
suportado por uma ampla variedade de dispositivos e pode ser usado para registrar
diferentes tipos de eventos. Por exemplo, um roteador pode enviar mensagens sobre
usuários que efetuam logon nas sessões do console, enquanto um servidor da Web pode
registrar eventos de acesso negado. [11]
A maioria dos equipamentos de rede, como roteadores e comutadores, pode enviar
mensagens Syslog. Além disso, os servidores também têm a capacidade de gerar dados
Syslog, assim como a maioria dos firewalls, algumas impressoras e até servidores Web
como o Apache. Os servidores baseados no Windows não oferecem suporte ao Syslog
nativamente, mas um grande número de ferramentas de terceiros facilita a coleta de
dados do Log de Eventos do Windows ou do IIS e o encaminha para um servidor
Syslog. [11]
Ao contrário do SNMP, o Syslog não pode ser usado para "pesquisar" dispositivos para
coletar informações. Por exemplo, o SNMP possui uma estrutura hierárquica complexa
que permite que uma estação de gerenciamento solicite ao dispositivo informações
sobre dados como temperatura ou espaço em disco disponível. Isso não é possível com
o Syslog - ele simplesmente envia mensagens para um local central quando eventos
específicos são acionados.[11]

Figura 2 15 Funcionamento do Syslog

[Fonte 11]

2.8.1 Servidores Syslog

O Syslog é uma ótima maneira de consolidar logs de várias fontes em um único local.
Normalmente, a maioria dos servidores Syslog possui alguns componentes que tornam
isso possível. [11]
Um ouvinte(listener) do Syslog: um servidor Syslog precisa receber mensagens
enviadas pela rede. Um processo de ouvinte reúne dados do syslog enviados pela porta
UDP 514. As mensagens UDP não são confirmadas ou garantidas para chegar,
portanto, esteja ciente de que alguns dispositivos de rede enviarão dados do Syslog via
TCP 1468 para garantir a entrega da mensagem. [11]
Um banco de dados: grandes redes podem gerar uma enorme quantidade de dados
Syslog. Os bons servidores Syslog usarão um banco de dados para armazenar dados do
syslog para recuperação rápida. [11]
Software de gerenciamento e filtragem: devido ao potencial de grandes quantidades de
dados, pode ser complicado encontrar entradas de log específicas quando necessário. A
solução é usar um servidor syslog que automatize parte do trabalho e facilite a
filtragem e a visualização de mensagens importantes de log. Os servidores Syslog
devem ser capazes de gerar alertas, notificações e alarmes em resposta a mensagens
selecionadas - para que os administradores saibam assim que um problema ocorrer e
possam tomar medidas rápidas! [11]

2.8.2 Mensagens Syslog

As mensagens de syslog geralmente incluem informações para ajudar a identificar
informações básicas sobre onde, quando e por que o log foi enviado: endereço IP,
carimbo de data e hora e a mensagem de log real. Às vezes, as mensagens estão em um
formato descritivo, legível por humanos - mas nem sempre! [11]
O Syslog usa um conceito chamado "facilidade" para identificar a fonte de uma
mensagem em qualquer máquina. Por exemplo, um recurso de "0" seria uma
mensagem do Kernel, e um recurso de "11" seria uma mensagem de FTP. Isso remonta
às raízes UNIX do Syslog. A maioria dos equipamentos de rede da Cisco usa os
códigos de instalação "Local6" ou "Local7".[11]
As mensagens de syslog também possuem um campo de nível de gravidade. O nível de
gravidade indica o quão importante a mensagem é considerada. A gravidade de "0" é
uma emergência, "1" é um alerta que precisa de ação imediata e a escala continua até
"6" e "7" - mensagens informativas e de depuração. [11]

2.8.3 As desvantagens do Syslog

Existem algumas desvantagens no Syslog:
 Primeiro, o problema da consistência. O protocolo Syslog não define uma
maneira padrão de formatar o conteúdo da mensagem - e existem tantas
maneiras de formatar uma mensagem quanto os desenvolvedores. Algumas
mensagens podem ser legíveis por humanos, outras não. O Syslog não se
 importa - apenas fornece uma maneira de transportar a mensagem. [11]
 Também existem alguns problemas que surgem devido à maneira como o syslog
usa o UDP como transporte. O UDP não possui conexão e não é garantido -
portanto, pode ser possível perder mensagens de log devido ao
congestionamento da rede ou perda de pacotes. [11]
 Finalmente, existem alguns desafios de segurança com o syslog. Não há
autenticação nas mensagens do syslog; portanto, pode ser possível que uma
máquina represente outra máquina e envie eventos de log falsos. Também é
suscetível a repetir ataques. [11]
Apesar disso, muitos administradores acham que o syslog é uma ferramenta valiosa e
que as desvantagens são relativamente pequenas. [11]
2.9 Métodos

2.9.1 Procedimentos Experimentais

Ficou demostrado neste trabalho de TCC que a utilização da tecnologia FlexVPN nos
dá maior facilidade no acto da sua configuração, comparada com outras tecnologias
VPNs, tal como as Fully-Mesh que são VPNs de extrema complexidade na sua
configuração. Para a empresa em estudo que tem vários escritórios em várias
localidades com consideraveis distânçias há grande necessidade de mante-las ligadas e
com seguarança garantida dos mesmos dados,a FlexVPN é uma tecnologia que
responde a esse desafio e com o facto adicionado de ser simples na sua implementação
sem necessitar que haja intervenção dos provedores de internet.
3 Resultados
3.1 Análise da Infra-estrutura
Há uma variedade de serviços e de informações partilhadas na rede do Banco, no
entanto a tecnologia que o Banco usa é o GRE que é um tipo de VPN que não garante
segurança principalmente, o outro factor é que a necessidade de um transporte rápido
das informações e partilha de serviços devido ao tipo de negócio e Instituição que é o
Banco, actualmente o Banco usa como solução que deixa as venerabilidades que se
pode inferir do que se disse acima
3.2 Proposta de solução
Diante do quadro já conhecido, embora existam várias soluções, apresentamos a mais
inovadora e recente do mercado a: FlexVPN que será capaz de não somente garantir
transporte mas rápido transporte, como também segurança por causa do mais recente
protocolo de segurança que a Cisco criou, o IKEv2,essa solução vai permitir que os
mais variados tipos de equipamentos da infra-estrutura do Banco não tenham problema
com a solução por ser multi-vendedor ou seja é compatível não só com equipamento
cisco.
3.3 Implementação
A implementação da solução aqui apresentada foi feita com o emulador como se
verifica na imagem abaixo,outro sim,os elementos da figura já foram descritos e
explicados na parte superior(fundamentação teórica) e parte inferior do tópico de
implementação.

Figura 3 1 Topologia da Flexvpn no GNS3

Começamos a apresentar os resultados da implementação da solução FlexVPN como
consequência do alcance dos objectivos que foram propostos neste trabalho. A rede tem
uma sede e três filiais, todos encontram-se em locais diferentes, como se pode ver no
diagrama abaixo.

Figura 3 2 Diagrama de Interligação com os ISP

Os equipamentos usados na infra-estrutura foram escolhidos considerando o factor

custo e escalabilidade ou seja, baixo custo, mas com a capacidade de responder as
exigências da solução e capacidade de responder ao aumento de mais equipamentos
(Filiais) na infra-estrutura geral do Banco, sem que seja prejudicial a Sede-HUB.
A sede e as filias estão ligadas via uma provedora de internet, atraveis de endereço
público, cada lá tem seu próprio endereçamento privado.
Tabela 3 1Tabela de equipamento

Site Descrição Quantidade

Sede-Luanda Router Cisco 7200 1
Sede-Luanda Switch 3750x 1
Sede-Luanda Dell Power Edge - Server 2
Sede-Luanda HP-250-GS – PC-Cliente 1
Filial-1 Benguela Router Cisco 7200 1
Filial-1 Benguela Switch Cisco 2960X 1
Filial-1 Benguela HP-250-GS – PC-Cliente 1
Filial-2 Malange Router Cisco 7200 1
Filial-2 Malange Switch Cisco 2960X 1
Filial-2 Malange HP-250-GS – PC-Cliente 1
Filial-3 Lubango Router Cisco 7200 1
Filial-3 Lubango Switch Cisco 2960X 1
Filial-3 Lubango HP-250-GS – PC-Cliente 1

3.4 Luanda Sede

Localizada em Luanda com a seguinte infra-estrutura:
 Router (R1-Luanda)
 Switch (Sw1-Luanda)
 Servidor (Syslog e o Tacacs-Server)
 Computador cliente(PC1-Luanda)

Figura 3 3 Diagrama da Sede-Luanda

O diagrama acima apresenta a topologia da sede, onde temos o serviço de internet a ser
provido por uma ISP para um router local e seguidamente um ligação do router com o
switch para desbruição/acesso local da comunicação entre os vários serviços tais
como:monitoria(Syslog) e autenticação.

Tabela 3 2 Luanda Sede

A tabela acima demostra o endereçamento da sede onde se pode perceber que as
ligações de endereçamento privado fazem parte da LAN e o endereço público tem que
ver com a ISP,o endereçamento para o túnel não está aqui por ser atribuido de forma
dinámica.
Abaixo colocamos uma demosgtração dos mesmo endereços configurados no router:

A figura acima demostra os endereços Ips nas interfaces e seguidamente a descrição das
mesma interfaces.
3.4.1 Configuração do IKEv2 na sede

Acima vemos as características para configuração do protocolo IKEV2. Nela podemos

ver configurada a politica de autorização “default” ou seja padrão.
Seguidamente podemos ver uma pool para endereçamento das filias criadas, essa pool
vai ser o endereçamento em determinada interface do router da filial.Seguidamente
vemos a configuração da proposta de incritação ou método de encriptação usada.
Definimos também na criação do IKEv2 o endereço IP da interface que “falará” com o
spoke(filial) com a respectiva chave para compartilhar com a filial.
Ainda defini-se o perfil com a autenticação remota e local e a interface virtual.

3.4.2 Configurar IGP na sede

Acima temos a demonstração da configuração do protocolo EIGRP com o sistema

autónomo 1, com duas redes vizinhas, há ainda a configuração do passive-interface na
interface f0/0 para que ignore qualquer mensagem recebida e não envia mensagem de
hello.
3.4.3 Configuração TACACS+ Server
Abaixo a tela de login para o servidor Tacacs

Figura 3 4 Login Servidor Tacacs

A tela abaixo demonstra a abertura do servidor Tacacs via CLI, demonstrando que ela
pode ser usada por essa via:

Figura 3 5 CLI Servidor Tacacs

Abaixo a tela principal do servidor Tacacs

Figura 3 6 Tela Principal do Servidor Tacacs

A tela abaixo é uma demostração da criação de grupos de autenticação

Figura 3 7 Criação de Grupo de Autenticação

A tela abaixo é uma demostração de usuários criados para terem acesso a autenticação

Figura 3 8 Criação de usuários

3.4.4 Servidor Syslog
Para simularmos o Servidor Syslog, criamos uma máquina virtual onde virtualizamos o
servidor em questão, como se pode ver na figura algumas especificações do PC e o
aplicativo Tftp para servir de interface do Syslog isso para apresentação das mensagens
que são geradas nos equipamentos da rede.

Figura 3 9 Servidor Syslog

Abaixo uma imagem com os dados do endereçamento do Servidor Syslog:

Figura 3 10 Endereços IPs do Servidor Syslog

Abaixo temos uma demostração do programa Tftp com os logs da rede.

3.5 Benguela Filial-1

 Router (R1-Benguela)
 Switch (Sw1-Benguela)
 Computador cliente (PC1-Benguela)
Figura 3 11 Diagrama do site Benguela Filial

O digagrama acima demostra a disposição fisica e conexões dentro da filial de

Benguela.Como se pode ver,o diagrama ilustra que a intrenet é fornecida por uma ISP
que vai entregar por meio de um router o sinal,ao router está ligado um switch que vai
fazer a destribuição na LAN da Filial.

Tabela 3 3 Benguela Filial-1

A tabela acima demostra o endereçamento da sede onde se pode perceber que as

ligações de endereçamento privado fazem parte da LAN e o endereço público tem que
ver com a ISP,o endereçamento para o túnel não está aqui por ser atribuido de forma
dinámica.
Abaixo colocamos uma demosgtração dos mesmo endereços configurados no router:
A figura acima demostra os endereços Ips nas interfaces e seguidamente a descrição das
mesma interfaces.
3.6 Configuração do IKEv2 na Filial Benguela

Acima vemos as características para configuração do protocolo IKEV2. Nela podemos

ver configurada a politica de autorização “default” ou seja padrão.
Seguidamente vemos a configuração da proposta de encriptação ou algoritmo de
encriptação usada.
Definimos também que o algoritmo de encriptção vai “setar” na interface.
Define-se também que a vizinhança dessa filial será com o HUB com um endereço que
vai permitir que haja vizinhança para qualquer endereço de filial que pretenda formar
vizinhança com a sede (HUB).
Diferente do que acontece na sede, aqui a filial que é a cliente se conecta com a sede via
túnel, como se vê na figura Tunnel 0.
Configurar IGP na Filial Benguela

Acima temos a demonstração da configuração do protocolo EIGRP com o sistema

autónomo 1, com duas redes vizinhas, há ainda a configuração do passive-interface na
interface f0/0 para que ignore qualquer mensagem recebida e não envia mensagem de
hello.
3.7 Malange Filial-2

 Router (R1-Malange)
 Switch (Sw1-Malange)
 Computador cliente (PC1-Malange)

Figura 3 12 Diagrama do site Malange Filial

 O diagrama acima demostra a disposição fisica e conexões dentro da filial de
Malange.Como se pode ver,o diagrama ilustra que a intrenet é fornecida por uma
ISP que vai entregar por meio de um router o sinal,ao router está ligado um switch
que vai fazer a destribuição na LAN da Filial.
Tabela 3 4 Malange Filial-2

A tabela acima demostra o endereçamento da sede onde se pode perceber que as

ligações de endereçamento privado fazem parte da LAN e o endereço público tem que
ver com a ISP,o endereçamento para o túnel não está aqui por ser atribuido de forma
dinámica.
Abaixo colocamos uma demosgtração dos mesmo endereços configurados no router:

A figura acima demostra os endereços Ips nas interfaces e seguidamente a descrição das
mesma interfaces.
3.7.1 Configuração do IKEV2 na Filial de Malange

Acima vemos as características para configuração do protocolo IKEV2. Nela podemos

ver configurada a politica de autorização “default” ou seja padrão.
Seguidamente vemos a configuração da proposta de encriptação ou algoritmo de
encriptação usada.
Definimos também que o algoritmo de encriptção vai “setar” na interface.
Define-se também que a vizinhança dessa filial será com o HUB com um endereço que
vai permitir que haja vizinhança para qualquer endereço de filial que pretenda formar
vizinhança com a sede (HUB).
Diferente do que acontece na sede, aqui a filial que é a cliente se conecta com a sede via
túnel, como se vê na figura Tunnel 0.

3.7.2 Configurar IGP na Filial Benguela

Acima temos a demonstração da configuração do protocolo EIGRP com o sistema

autónomo 1, com duas redes vizinhas, há ainda a configuração do passive-interface na
interface f0/0 para que ignore qualquer mensagem recebida e não envia mensagem de
hello.
3.8 Lubango Filial-3

 Router (R1-Lubango)
 Switch (Sw1-Lubango)
 Computador cliente (PC1-Lubango)

Figura 3 13 Diagrama do site Lubango Filial

O diagrama acima demostra a disposição fisica e conexões dentro da filial de

Malange.Como se pode ver,o diagrama ilustra que a intrenet é fornecida por uma
ISP que vai entregar por meio de um router o sinal,ao router está ligado um switch
que vai fazer a destribuição na LAN da Filial.
Tabela 3 5 Lubango Filial-3

A tabela acima demostra o endereçamento da sede onde se pode perceber que as

ligações de endereçamento privado fazem parte da LAN e o endereço público tem que
ver com a ISP,o endereçamento para o túnel não está aqui por ser atribuido de forma
dinámica.
Abaixo colocamos uma demosgtração dos mesmo endereços configurados no router:

A figura acima demostra os endereços Ips nas interfaces e seguidamente a descrição das
mesma interfaces.

3.8.1 Configuração do IKEv2 na Filial Lubango

Acima vemos as características para configuração do protocolo IKEV2. Nela podemos

ver configurada a politica de autorização “default” ou seja padrão.
Seguidamente vemos a configuração da proposta de encriptação ou algoritmo de
encriptação usada.
Definimos também que o algoritmo de encriptção vai “setar” na interface.
Define-se também que a vizinhança dessa filial será com o HUB com um endereço que
vai permitir que haja vizinhança para qualquer endereço de filial que pretenda formar
vizinhança com a sede (HUB).
Diferente do que acontece na sede, aqui a filial que é a cliente se conecta com a sede via
túnel, como se vê na figura Tunnel 0.

3.8.2 Configurar IGP na Filial Benguela

Acima temos a demonstração da configuração do protocolo EIGRP com o sistema

autónomo 1, com duas redes vizinhas, há ainda a configuração do passive-interface na
interface f0/0 para que ignore qualquer mensagem recebida e não envia mensagem de
hello.
3.9 Análise dos Resultados
O comando show interfaces description dá-nos informação das interfaces e as suas
descrições associadas o estado da interface e o protocolo. Neste caso verificamos as
interfaces que estão ligados ao ISP assim como para a LAN e a interface túnel e o
estado das interfaces e protocolo está up.

Já o comando show ip int brief temos visibilidade dos IPs das interfaces ajuda-nos
também verificar o estado das interfaces e do protocolo.
O comando show ip eigrp neighbor visualiza-nos os vizinhos com quem esta ligado
dando informação do estado do protocolo de roteamento assim como os ip´s dos
vizinhos.

O show crypto ikev2 sa detailed é comando que nos permite verificar o estado da
FlexVPN.Principais parâmetros desse comando são: READY,Assigned host
addr:,initiador of SA
O show crypto ipsec sa visualiza a interface na qual esta configurado o crypto map a
identificação local assim como a identificação remota e os ip´s correspondente da fonte
e destino.Por meio dele podemos ver se os pacotes estão defacto a serem encriptados.
O show ip route visualiza a tabela de rotas do router em questão,demostrando as rotas e
os protocolos por meio do qual podem ser apreendidos.

Como se pode ver na imagem,o R2 de Benguela consegue “ver” a rede de

Luanda(192.168.1.0) , de Malange(192.168.3.0) e Lubango(192.168.5.0) via protocolo
EIGRP(D) 10.1.13.1.

O show crypto session é um comando que permite verificar informações gerais sobre o
estadi de sessão de cada interface virtual da Flexvpn.
Abaixo demonstramos através de dois comandos diferentes como ver os usuários que
estão autenticados:

Asseguir demonstramos os logs do que se passa na rede:

4 Conclusões
Nos dias de hoje não há dúvidas do valor que têm as VPNs para as empresas,
principalmente as que têm um volume de informações críticas, porém não basta apenas
haver transporte mas transporte com velocidade ou seja rapidez na entrega, contudo
ainda assim não é suficiente apenas a velocidade na entrega uma vez que as informações
são de grande relevância e precisam ser entregues com segurança deste modo muitas
soluções VPNs não respondem mais as exigências dos dias de hoje tal como responde a
Flexvpn que o usa o protocolo de segurança mais seguro, por fim as redes precisam
permitir acesso apenas a pessoas que estejam autorizadas e as mesmas redes precisam
ser monitorizadas desta forma se saberá caso aconteça o inesperado atraveis do sistema
de monitoria e se poderá responder com maior velocidade.
Bibliografia
[1]Ricardo. (s.d.). Redes de Comunicação de Dados. Obtido em 13 de Outubro de 2019,
de https://web.fe.up.pt/~mricardo/02_03/rcd/teoricas/cp_v4.pdf
[2]Vinicios, I. (s.d.). Tipos de Redes[online]. Obtido em Outubro de 13 de 2019, de
https://cefiredes10.webnode.pt/tipos-de-rede/
[3]Pinto, P. (s.d.). Redes – Classes de endereços IP, sabe quais são?[online]. Obtido
em 15 de Outubro de 2019, de https://pplware.sapo.pt/tutoriais/networking/classes-de-
endereos-ip-sabe-quais-so/
[4]Pinto, P. (s.d.). Endereços Públicos e Privados[online]. Obtido em 15 de Outubro de
2019, de https://pplware.sapo.pt/truques-dicas/enderecos-publicos-e-privados/
[5]Falsarella[online], D. (s.d.). Tipos de Roteamento. Obtido em 15 de Outubro de 2019,
de https://imasters.com.br/cisco/tipos-de-roteamento
[6]José Mario Oliveira, R. D. (2012). Redes MPLS Fundamentos e Aplicações. Rio de
Janeiro: Brasport.
[7]Katuwal, A. (2017). Deploying and Testing IKEv2, Flex VPN and GET VPN.
Filândia: Metropolia University of Applied Sciences.
[8]Graham Bartlett, A. I. (2016). IKEv2 IPsec Virtual Private Networks. Indianapolis:
Cisco Press.
[9]tut. (s.d.). AAA Tacacs+ and Radius Tutorial. Obtido em 15 de Setembro de 2019, de
https://www.9tut.com/aaa-tacacs-and-radius-tutorial
[10]Bhsharma56, S. (s.d.). Tacacs+ Protocol. Obtido em 15 de Stembro de 2019, de
https://www.geeksforgeeks.org/tacacs-protocol/
[11]Leskiw, A. (s.d.). Understanding Syslog:Servers,Messages & Security[online].
Obtido em 15 de Setembro de 2019, de
https://www.networkmanagementsoftware.com/what-is-syslog/
Apêndices
Anexos