Itzcoatl Espinosa - Cisco Support Community
Transcrição
Itzcoatl Espinosa - Cisco Support Community
Comunidade de Suporte da Cisco Webcast ao Vivo: GET VPN (Group Encrypted Transport VPN): Configuração e Troubleshooting Itzcoatl Espinosa Cisco Support Engineer 04/06/14 Webcast com Especialistas em Tecnologia da Comunidade Cisco Especialista de hoje: Itzcoatl Espinosa, Cisco Support Engineer Engenheiro TAC © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2 Webcast com Especialistas em Tecnologia da Comunidade Cisco Especialistas ajudantes de hoje: © 2013-2014 Cisco and/or its affiliates. All rights reserved. Ricardo Prado Paulo de Aguiar Engenheiro TAC Engenheiro TAC Cisco Confidential 3 Obrigado por estar com a gente hoje! Durante a apresentação, serão feitas algumas perguntas para o público. Dê suas respostas, participe! © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4 Obrigado por estar com a gente hoje! Se você quiser baixar uma cópia da apresentação de hoje, basta clicar no link abaixo ou ir até a Comunidade de Suporte e buscar este webcast na aba “Canto dos especialistas”. https://supportforums.cisco.com/xxxxx © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5 Primeira Pergunta Você sabe o qué é GETVPN (Group Encrypted Transport VPN)? a) Eu tenho uma idéia básica do que é e como funciona. b) Eu tenho conhecimento teórico sobre o tema, mas sem experiência prática. c) Eu já trabalhei com GETVPN no laboratório. d) Eu tenho GETVPN em uma rede de produção. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6 Agenda • O qué é GETVPN? • Conceitos básicos • Implementação e Configuração • Key Server em modo cooperativo (COOP KS) • Verificação e solução de problemas • Demo lab © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8 GETVPN: Group Encrypted Transport Virtual Private Network • Nova geração de VPNs para WAN que não utiliza túneis tradicionais ponto-aponto. • Baseado em um modelo de membros confiáveis. Os membros de um grupo GETVPN podem comunicar-se uns com os outros usando uma política comum, de modo que a negociação IPSec entre GMs não é necessária. • Escalável (conexão any-to-any). • Preserva a origem e o destino do endereço IP no cabeçalho do pacote. • Fornece segurança para conexões privadas WAN. • Criptografa o tráfego em redes MPLS. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9 Conceitos básicos • GDOI. (Group Domain of Interpretation). Protocolo ISAKMP utilizado para o gerenciamento de chaves. Ele é utilizado na comunicação entre os KS e GMs sobre a porta UDP 848. • Key Server (KS). Controla e estabelece Associações de Segurança (SAs.) Manutenção das políticas e chaves do grupo. • Group Member (GM). Cadastra-se com o servidor para obter o IPSEC SAs (associações de segurança) que são necessários para criptografar o tráfego. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10 Conceitos básicos • KEK (Key Encryption Key). Criptografa as mensagens de rekey entre o servidor e os membros do grupo. • Tempo de vida KEK. Pelo menos 3 vezes a TEK. crypto gdoi group GDOI-GROUP1 server local rekey lifetime seconds 86400 • TEK (Traffic Encryption Key). IPSEC SA usado para a comunicação dos membros do grupo (GMs). • Tempo de vida TEK. Valor recomendado: 2 horas: crypto IPSec profile profile1 set security-association lifetime seconds 7200 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11 Equipamentos e requisitos • IOS imagem: 12.4(15)T8 e 12.4(22)T2 • IOS-XE imagem: 12.2(33)XNC Referência: GETVPN_DIG_version_1_0_External.pdf © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12 GETVPN GETVPN utiliza os seguintes passos: Key Server GM 1 GM 2 1.Cadastro do GM ao Key Server 2. Autenticação e envio de políticas de criptografia KS (SAs) (KEK) 3. Envio de tráfego entre os GMs. (TEK) 4. Envio do Rekey. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13 Configuração do Key Server Instale a chave RSA para o rekey. Exemplo: Verifique o status da chave crypto key generate rsa modulus 1024 label REKEYRSA show crypto key mypubkey rsa Se co-op KS será feito, a chave deve ser “exportable”. crypto key generate rsa modulus 1024 label REKEYRSA exportable © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14 Rekey (Distribuição de Chaves) Usado para enviar políticas. O KS monitora o tempo de vida (lifetime) da SA, e envia um rekey antes que ela expirar. As chaves podem ser distribuídas da forma unicast ou multicast. Multicast. Usado em uma grande implantação. É escalável, mas requer uma infra-estrutura de roteamento em multicast. Unicast. A GM precisa confirmar o recebimento do rekey ao KS. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15 Rekey (Distribuição de Chaves) As seguintes alterações gerarão rekey pelo Key Server. Altere a crypto ACL. Modifique o IPSec transformar set. Altere o tipo de rekey (unicast para multicast, ou vice-versa). Mude o endereço multicast do rekey. Alterar chave RSA. Modificar as configurações de perfil do crypto Ativar ou desativar a detecção de anti-replay. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16 Implementação do GETVPN Instale KS em locais geograficamente separados. Pode ser usado o rekey unicast em implantações até 2.000 GMs. Use certificados em vez de chave “pre-shared” para escalabilidade e segurança. Quando há mais de 1000 GMs e as políticas são grandes, as mensagens do rekey podem ser muito grandes também. Às vezes, é recomendado aumentar o tamanho da memória dos buffers no KS. buffers huge size 64000 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17 Implementação do GETVPN A rede deve ser acessível entre os KS e os membros do grupo. O roteador CE (Customer Edge) deve ter o hardware de criptografia apropriado para lidar com a quantidade de tráfego esperado. Se houver um firewall no meio, certifique-se que não estão bloqueados os seguintes protocolos : GDOI (UDP 848). ESP (IP 50). O servidor de NTP e a Autoridade Certificadora (CA) devem ser acessíveis. O cadastro dos membros pode ser equilibrada entre os Key Servers. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18 Configuração do ACL do crypto Recomenda-se reduzir a configuração tanto quanto seja possível. Colocar entradas de permit e ao final ter o deny any any implícito. Não utilizar portas para definir o ACL. Há um limite de 100 entradas na ACL, contudo, ter visto problemas de desempenho em configurações menores. Utilizar uma configuração simétrica e resumir redes para evitar o consumo da memória: Ejemplo: permit ip 10.0.0.0 255.0.0.0 10.0.0.0 255.0.0.0 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19 Configuração do Key Server KS1#show run crypto isakmp policy 1 encr 3des ! crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac ! crypto ipsec profile profile1 set transform-set 3des-sha ! crypto gdoi group group1 identity number 1111 server local rekey address ipv4 rekey_mul rekey retransmit 10 number 2 rekey authentication mypubkey rsa REKEYRSA sa ipsec 1 profile profile1 match address ipv4 getvpn_acl replay time window-size 40 address ipv4 10.10.10.1 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Políticas Fase I Perfil que utiliza o transform set Gerar o grupo do GETVPN Identificador do grupo Tipo de rekey utilizado Chave usada para o rekey Políticas de Fase II (IPSEC) Crypto ACL Endereço do servidor Cisco Confidential 20 Configuração do Key Server Continuação ! ip access-list extended getvpn_acl ACL do criptografado permit ip host 3.3.3.3 host 4.4.4.4 permit ip host 4.4.4.4 host 3.3.3.3 ! ! ip access-list extended rekey_mul ACL para o rekey em multicast permit ip host 10.10.10.1 host 239.0.1.2 permit ip host 20.20.20.1 host 239.0.1.2 ! ! ntp source Loopback0 Configuração do NTP ntp master 1 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21 Configuração do Group Member (GM) GM#show run crypto isakmp policy 1 encr 3des ! crypto gdoi group group1 identity number 1111 server address ipv4 10.10.10.1 server address ipv4 20.20.20.1 ! crypto map gdoi_map 1 gdoi set group group1 ! interface Loopback0 ip address 3.3.3.3 255.255.255.255 ! interface Ethernet0/0 ip address 192.168.3.1 255.255.255.0 crypto map gdoi_map © 2013-2014 Cisco and/or its affiliates. All rights reserved. Políticas de Fase I Gerar o grupo do GETVPN Identificador do grupo Servidor primário para o cadastro Servidor secundário Aplicação do grupo no crypto map Aplicação do crypto map na interface Cisco Confidential 22 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23 Segunda Pergunta Você sabe o que é GETVPN em modo cooperativo ? a) Conheço o conceito. b) Eu tenho o conhecimento teórico necessário. c) Eu fiz o GETVPN no laboratório. d) Eu tenho GETVPN em modo cooperativo em uma rede em produção. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24 Coop Key Server Usado em grandes implantações para garantir redundância e cadastro de todos os GMs. O KS principal é responsável pela criação e distribuição das políticas de criptografia. Ele envia atualizações para os outros KS para manter a sincronia. O KS secundário mantém o controle do estado do KS primário (Alive o Dead). Se os KS secundários param de receber mensagens do COOP. O KS secundário muda para o estado primário. O cadastro pode ser feito em qualquer KS para realizar o balanceamento de carga, no entanto, apenas o KS primário faz a distribuição das mensagens do rekey. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25 Coop Key Server Gerar uma chave RSA e exporta-la para os outros Key Servers. A escolha do KS primário se baseia na mais alta prioridade. Ativar os ISAKMP keepalives (Dead Peer Detection - DPD). As configurações de GETVPN devem ser iguais entre os Key Servers. Se certificados PKI são usados para autenticar a Fase I, recomendamos o uso de uma chave RSA diferente. Key Server 1 GM 1 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Key Server 2 GM 2 Cisco Confidential 26 Configuração do Coop Key Server Gerar um tipo de chave exportável crypto key generate rsa modulus 1024 label REKEYRSA exportable Exporte a chave RSA crypto key export rsa REKEYRSA pem terminal 3des <pass code> Importar a chave em outros KSs. crypto key import rsa REKEYRSA pem terminal <pass code> Configure o Key Server em modo cooperativo crypto isakmp keepalive 15 periodic ! crypto gdoi group GDOI-GROUP1 server local address ipv4 10.0.0.1 redundancy local priority 250 peer address ipv4 10.0.6.1 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Ativar keepalive Endereço do KS local Ativar redundância Prioridade para a escolha Endereço do KS secundário Cisco Confidential 27 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28 Cadastro do Group Member Cadastro com sucesso de um membro May 10 22:56:23.871: %CRYPTO-5-GM_REGSTER: Start registration to KS 10.10.10.1 for group group1 using address 3.3.3.3 May 10 22:56:24.051: ISAKMP:(1005):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE May 10 22:56:24.051: ISAKMP:(1005):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE May 10 22:56:24.055: GDOI:INFRA:(0): Completed KEK Processing May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): TEK SPI is 0x22AF9D8E May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111): Completed processing GDOI SA TEK Payload - PERMIT May 10 22:56:24.055: GDOI:INFRA:(group1:1005:1111):Completed processing 2 GDOI SA TEK Payloads May 10 22:56:24.055: ISAKMP:(1005): sending packet to 10.10.10.1 my_port 848 peer_port 848 (I) GDOI_IDLE May 10 22:56:24.055: %GDOI-5-GM_REGS_COMPL: Registration to KS 10.10.10.1 complete for group group1 using address 3.3.3.3 May 10 22:56:24.059: GDOI:GM:(0):Registration installed 2 new ipsec SA(s) for group group1. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29 Verificação do Key Server KS1_CA#show cry gdoi GROUP INFORMATION Group Name : group1 (Multicast) Group Identity : 1111 Group Members :2 IPSec SA Direction : Both Active Group Server : Local Redundancy : Configured Local Address : 10.10.10.1 Local Priority : 250 Local KS Status : Alive Local KS Role : Primary Group Rekey Lifetime : 86400 secs Group Rekey Remaining Lifetime : 86005 secs Rekey Retransmit Period : 10 secs Rekey Retransmit Attempts: 2 Group Retransmit Remaining Lifetime : 0 secs © 2013-2014 Cisco and/or its affiliates. All rights reserved. IPSec SA Number :1 IPSec SA Rekey Lifetime: 3600 secs Profile Name : profile1 Replay method : Time Based Replay Window Size : 40 SA Rekey Remaining Lifetime : 2516 secs ACL Configured : access-list getvpn_acl Group Server list : Local Cisco Confidential 30 Verificação do Group Member GM1#show crypto gdoi GROUP INFORMATION Group Name : group1 Group Identity : 1111 Rekeys received :0 IPSec SA Direction : Both Active Group Server : 10.10.10.1 Group Server list : 10.10.10.1 20.20.20.1 GM Reregisters in Rekey Received : 2426 secs : never Rekeys received Cumulative :0 After registration : 0 KEK POLICY: Rekey Transport Type : Multicast Lifetime (secs) : 86400 Encrypt Algorithm : 3DES Key Size : 192 Sig Hash Algorithm : HMAC_AUTH_SHA Sig Key Length (bits) : 1024 TEK POLICY for the current KS-Policy ACEs Downloaded: Ethernet0/0: IPsec SA: spi: 0x22AF9D8E(581934478) transform: esp-3des esp-sha-hmac sa timing:remaining key lifetime (sec): (2549) Anti-Replay(Time Based) : 40 sec interval ACL Downloaded From KS 10.10.10.1: access-list permit ip host 3.3.3.3 host 4.4.4.4 access-list permit ip host 4.4.4.4 host 3.3.3.3 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31 Verificação do Group Member Uma vez cadastrado, verifique o rekey: GM1#show cry isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 239.0.1.2 10.10.10.1 GDOI_REKEY 1006 ACTIVE 10.10.10.1 3.3.3.3 GDOI_IDLE 1005 ACTIVE Os GMs devem receber periodicamente o rekey. GM#00:02:51: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 1 GM# 00:03:02: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 2 GM# 00:03:12: %GDOI-5-GM_RECV_REKEY: Received Rekey for group diffint from 10.0.5.2 to 239.0.1.2 with seq # 3 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32 Verificação do Coop KS KS1_CA#show cry gdoi ks coop Crypto Gdoi Group Name :group1 Group handle: 2147483650, Local Key Server handle: 2147483650 Local Address: 10.10.10.1 Local Priority: 250 Local KS Role: Primary , Local KS Status: Alive Primary Timers: Peer Sessions: Session 1: Server handle: 2147483651 Peer Address: 20.20.20.1 Peer Priority: 100 Peer KS Role: Secondary , Peer KS Status: Alive Antireplay Sequence Number: 4 IKE status: Established Counters: © 2013-2014 Cisco and/or its affiliates. All rights reserved. KS2#show crypto gdoi ks coop Crypto Gdoi Group Name :group1 Group handle: 2147483650, Local Key Server handle: 2147483650 Local Address: 20.20.20.1 Local Priority: 100 Local KS Role: Secondary , Local KS Status: Alive Secondary Timers: Peer Sessions: Session 1: Server handle: 2147483651 Peer Address: 10.10.10.1 Peer Priority: 250 Peer KS Role: Primary , Peer KS Status: Alive Antireplay Sequence Number: 183 IKE status: Established Counters: Cisco Confidential 33 Tráfego criptografado nos GMs GM2#show crypto ipsec sa interface: Ethernet0/0 Crypto map tag: gdoi_map, local addr 4.4.4.4 local ident (addr/mask/prot/port): (4.4.4.4/255.255.255.255/0/0) remote ident (addr/mask/prot/port): (3.3.3.3/255.255.255.255/0/0) current_peer 0.0.0.0 port 848 PERMIT, flags={origin_is_acl,} #pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5 #pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5 local crypto endpt.: 4.4.4.4, remote crypto endpt.: 0.0.0.0 path mtu 1500, ip mtu 1500, ip mtu idb Ethernet0/0 current outbound spi: 0x22AF9D8E(581934478) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x22AF9D8E(581934478) transform: esp-3des esp-sha-hmac , outbound esp sas: spi: 0x22AF9D8E(581934478) transform: esp-3des esp-sha-hmac © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34 Comandos úteis No Key Server Show crypto gdoi Show crypto gdoi ks acl Show crypto gdoi ks coop Show crypto gdoi ks members Show crypto gdoi ks policy No Group Member Show crypto gdoi Show crypto gdoi gm acl Show crypto gdoi gm rekey Show crypto gdoi ipsec sa Show crypto isakmp sa Show crypto ipsec sa © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35 Comandos úteis Limpar o túnel Clear crypto sa Clear crypto isakmp Clear crypto gdoi Nota: O comando ”clear crypto gdoi" executado no Key Server, limpa todos os cadastros. Debugs debug crypto gdoi ? error Error level event Event level gm Group Member ks Key Server packet Packet level NOTA: A ativação dos debugs em um ambiente de produção pode causar problemas de desempenho nos roteadores. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 36 Problemas no cadastro do Group Member Verifique a conectividade entre os GMs e KS (ping). Se o KS está atrás de um firewall, verifique se o GDOI (UDP 848) estar permitido. Se você tiver rekey em multicast, verifique se o roteador está ativado para roteamento em multicast. A fase 1 de IKE é usada para o cadastro, verifique que as políticas entre o KS e GM são iguais. Se existe um grande número de GMs tentando se cadastrar ao mesmo tempo pode causar high CPU no KS. Ao usar certificados, verifique se eles estão corretos e são válidos. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 37 Falha de criptografia no GM A falha pode ser causada por uma diferença no SPI(Security Payload Index) entre os GMs por alguma divisão na rede. Essa divisão faz com que os Key Servers percam a sincronia e cada um envia as suas próprias chaves TEK. Verifique se eles estão usando o mesmo SPI e restaure a comunicação entre os Key Servers. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 38 Pergunta 3 Qual das seguintes alterações não irão gerar um tiro do rekey? a) Mudar a ACL crypto b) Alterar o tipo de unicast para multicast rekey. . c) Alterar o endereço IP do rekey multicast. d) Mudar o tamanho da janela de anti-replay. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 39 © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40 Lab Demo: Topología © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 41 Referências GETVPN deployment guide http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps7180/deployment_guide_c 07_554713.html GETVPN http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/htgetvpn.html#wp1159160 Group Encrypted Transport VPN (GETVPN) Design and Implementation Guide http://tools.cisco.com/search/results/display?url=http%3a%2f%2fwww.cisco.com%2fc%2fdam%2fen%2fus %2fproducts%2fcollateral%2fsecurity%2fgroup-encrypted-transportvpn%2fGETVPN_DIG_version_1_0_External.pdf&pos=2&query=getvpn+scalability © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 42 Envie sua pergunta agora! Use o painel Q&A para enviar suas perguntas, os especialistas irão responder ao vivo! Evento Pergunte aos Especialistas com Itzcoatl Espinosa Se você quiser tirar mais dúvidas com o nosso especialista, ele estará respondendo a perguntas entre os dias 04 e 13 de Junho, neste link: https://supportforums.cisco.com/pt/community/3746/ask-the-expert O vídeo, a apresentação e as perguntas e respostas serão disponibilizados até a terça-feira da semana que vem no link: https://supportforums.cisco.com/pt/community/2601/webcasts © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 44 Qualifique o conteúdo da Cisco Support Community em Português Agora é possível qualificar discussões, documentos, blogs e vídeos!!! © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 45 Spotlight Awards (Prêmio Participantes em Detaque) O prêmio “participantes em destaque” foi criado em 2012 na comunidade global da Cisco e é usado para reconhecer àqueles membros que dão um contribuição significativa para a comunidade de suporte da Cisco e que além de tudo exercem um papel de liderança dentro da comunidade em distintas categorias Foi lançado na comunidade em português, em 1 de dezembro de 2013 e conta com a categoria “O Novato”. Mais detalhes sobre o premio, podem ser consultados no link: https://supportforums.cisco.com/pt/community/11990816/participantes_em_destaque © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 46 Convidamos você a participar da CSC em português e em nossas redes sociais https://supportforums.cisco.com/community/5141/comunidade-de-suporte-cisco-emportugues Portugal: http://www.facebook.com/ciscoportugal Brasil: http://www.facebook.com/CiscoDoBrasil Portugal: https://twitter.com/CiscoPortugal Brasil: http://twitter.com/CiscoDoBrasil Portugal: http://www.youtube.com /user/ciscoportugal Brasil: http://www.youtube.com/user/ciscoDoBrasilTV Portugal: http://ciscoportugalblog.wordpress.com/ © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 47 Muito Obrigado por assistir. Por favor complete o formulário de avaliação e dê sugestões de temas para os próximos webcasts!