Armado de tuneles L2tpv3 usando modulos de Switching HWIC ESW en routers Cisco

Nota del equipo: A continuación presentaremos un artículo escrito por una de nuestras colaboradoras, Ingeniera y Auxiliar Docente, en él cuenta una resolución práctica y muy particular sobre armado de túneles. Es un tema sobre el que no hay información específica fácilmente disponible; esperamos que les sirva.

Primero, un poco de teoría:
L2tpv3 es una mejora de L2tp. Permite, en pocas palabras, que dos redes LAN remotas se comuniquen sin ser ruteadas a través de una WAN. Crea, a través del intercambio de parámetros de señalización, un circuito virtual a través de la wan, que automáticamente lleva todo el tráfico de una LAN hacia la otra, en forma totalmente transparente.
El encapsulado permite transportar entre los extremos LAN remotos hasta el nivel 2 (de modo que vemos las MAC originales)

Para más INFO teórica:

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t2/feature/guide/gtl2tpv3.html

Si queremos armar un túnel L2tpv3 entre dos routers (peer A y peer B) tomando solo un puerto de acceso de tráfico (lan) por cada peer; la implementación es directa, y sirven las interfaces nativas del equipo.
Pero si llega el caso en que necesitáramos ingresar tráfico de más de un puerto y llevarlo hasta un único puerto en el router remoto, la cosa parecería complicarse.
Esto sería lo deseado

Según la implementación de cisco( asi como para la mayoria de los fabricantes) , los túneles L2tp permiten conectar los flujos entre dos peers en forma punto a punto (decir que lo que parte de un puerto de un peer, solo puede ir a un puerto en el otro peer, y que dos flujos, provenientes de puertos diferentes, no pueden ser recolectados en un puerto único. Esto es así porque dentro de ese túnel, el tráfico de cada puerto entra en una especie de circuito virtual; y la implementación de cisco no permite terminar dos circuitos virtuales en un mismo puerto. (Hay otras tecnologías que permiten hacer punto multipunto y cosas así)

Contrariamente a lo que yo creía, con los módulos de WAN (HWIC-2FE) esto no se podría haber implementado, ya que estas interfaces requieren configuración individual, y por lo que ya dije antes, no se puede configurar más de un VCID por interface .

Esto es lo que no se puede hacer con las placas de routing

El tema es que hay que tener cuidado en cómo se configura, porque acá hay una trampa: El IOS te permite configurar el
xconnect + IP remota + VcID + clase L2tp sobre cada puerto de switching individual, sin darte errores, y es más, permitiendo la negociación del túnel con el extremo remoto. Pero, pequeño detalle, no pasa tráfico.
Lo que Cisco hizo con los modulos de switching (HWIC-ESW) es algo bastante inteligente. Solucionan un problema que su propia implementación no permite.
El xconnect no debe armarse sobre los puertos físicos, sino sobre la Interfaz vlan. De este modo, se “engaña al router”. Podemos hacer entrar tráfico sobre uno o más puertos de switching, gobernados todos por una única interfaz vlan. Con lo cual, se permite que varios puertos compartan el mismo VcID y con lo cual, podremos recibir el trafico agregado en cualquier puerto del otro lado asociado a la misma vlan. (Y multiples variedades, como ser, armar dos vlans y separar sus traficos, etc)

Entonces, si alguna vez tienen que armar un L2tpv3 de estas características, hagan lo siguiente:

1) Crear la clase L2tpv3 con las características de autenticación entre peers
2) Crear el pswudowire class donde vamos a usar L2tpv3 como protocolo de señalización (es automática) y vamos a definir cuál será la IP de wan de nuestro router (llamada IP local)
3) Poner la IP en dicha interfaz de wan (será la que conecta al otro router) y esta si debe ser una interfaz capaz de encapsular en L2tpv3 – Puede o NO ser la loopback
4) Entrar a la interfaz vlan (1 por defecto) y ahí armar el xconnect. (esto afecta a todos los puertos del modulo de switching que pertenezcan a esa vlan)
5) Hacer lo mismo en el router del otro extremo y desde este momento, cualquier cosa que llegue a cualquier puerto de switching será retransmitido a todos los puertos de switching de la misma vlan del otro lado. (Para evitar esto, siguiendo con este ejemplo, podrían ponerse en otra vlan los puertos no utilizados)

Michelle