安全 : Cisco FlexVPN

FlexVPN在与FlexVPN客户端块配置示例的冗余集线器设计发言

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述如何配置在FlexVPN网络的一分支与使用在多个集线器是可用的方案的FlexVPN客户端配置块。

贡献用Marcin Latosiewicz, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • FlexVPN
  • 思科路由协议

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco G2系列集成服务路由器(ISR)
  • Cisco IOS版本15.2M

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

为冗余目的,分支也许需要连接到多个集线器。在辐射端的冗余允许连续作业,不用在集线器端的一个单点故障。

使用辐条配置的两最普通的FlexVPN冗余集线器设计是:

  • 双重网云方法,其中分支一直有两个单独的隧道活动对两集线器。
  • 故障切换方法,其中分支有一活动通道用一台集线器在所有给的此刻。

两个途径有特有的利弊。

方法专业人员缺点
双倍网云
  • 更加快速的恢复在一失败里,根据路由协议计时器
  • 分发在集线器中的流量的更多possibilties,因为对两集线器的连接是活跃的
  • 分支同时保养会话到两集线器,浪费在两集线器的资源
故障切换
  • 容易配置-设置到FlexVPN
  • 在路由协议在失败里不取决于
  • 更加缓慢的恢复基于时间的在对端死机检测(DPD)或(或者)对象跟踪
  • 所有流量被迫到一台集线器每次移动

本文描述第二方法。

配置

注意:使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

这些图表显示传输和重叠拓扑图。

传输网络

此图表说明在FlexVPN网络典型地使用的基本传输网络。

覆盖网络

此图表说明与显示的逻辑连接的覆盖网络故障切换如何应该工作。在正常操作时,分支1和分支2维护一仅关系用一台集线器。

注意:在图表中,固体绿线路显示主要的互联网密钥交换版本2 (IKEv2)/Flex会话和蓝线的连接和方向指示备用连接如果Internet Key Exchange (IKE)会话对主集线器失败。

/24寻址代表为此网云分配的地址池,而不是实际接口编址。这是因为FlexVPN集线器典型地分配分支接口的一个动态IP地址,并且依靠通过路由in命令动态地插入的路由FlexVPN授权块。

分支和集线器基本配置

星型网的基本配置根据从动态多点VPN (DMVPN)的迁移文档到FlexVPN。此配置在FlexVPN迁移描述:从DMVPN的硬移动到在同样设备条款的FlexVPN

辐条配置调整

辐条配置-客户端配置块

必须由客户端配置块扩展辐条配置。

在基本配置中,多个对等项指定。有最高的首选的(低数值)对等体在其他前考虑。

crypto ikev2 client flexvpn Flex_Client
peer 1 172.25.1.1
peer 2 172.25.2.1
client connect Tunnel1

隧道配置必须更改为了允许根据FlexVPN客户端配置块将动态地选择的,隧道目的地。

interface Tunnel1
 tunnel destination dynamic

记住FlexVPN客户端配置块附加对接口是关键的,和不到IKEv2或Internet协议安全性(IPsec)配置文件。

客户端配置块提供多个选项为了调节故障切换时间和操作,包括跟踪对象使用情况、拨号备份和备份组功能。

使用基本配置,分支依靠DPDs为了检测分支是否是无答复的,并且触发更改,一旦对等体被宣称死。选项使用DPD如何不是一快速一个,由于DPDs工作。管理员也许要提高与对象跟踪或相似的增强的配置。

欲知更多信息,参考Cisco IOS配置指南的FlexVPN客户端配置章节,在相关信息部分连接在本文结束时。

全双工辐条配置-参考

crypto logging session

crypto ikev2 keyring Flex_key
 peer Spokes
  address 0.0.0.0 0.0.0.0
  pre-shared-key local cisco
  pre-shared-key remote cisco

crypto ikev2 profile Flex_IKEv2
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local Flex_key
 aaa authorization group psk list default default
 virtual-template 1

crypto ikev2 dpd 30 5 on-demand

crypto ikev2 client flexvpn Flex_Client
  peer 1 172.25.1.1
  peer 2 172.25.2.1
  client connect Tunnel1

crypto ipsec transform-set IKEv2 esp-gcm
 mode transport

crypto ipsec profile default
 set ikev2-profile Flex_IKEv2

interface Tunnel1
 description FlexVPN tunnel
 ip address negotiated
 ip mtu 1400
 ip nhrp network-id 2
 ip nhrp shortcut virtual-template 1
 ip nhrp redirect
 ip tcp adjust-mss 1360
 delay 2000
 tunnel source Ethernet0/0
 tunnel destination dynamic
 tunnel path-mtu-discovery
 tunnel protection ipsec profile default

中心配置

当集线器上配置的多数依然是同样时,必须论及几个方面。大多数适合于对一个情况在哪个或更多spoke连接到一台集线器,而其他在对另一台集线器的关系保持。

分支地址

因为spoke从集线器获取IP地址,通常希望集线器分配从不同的子网的地址或子网的一个不同的部分。

例如:

Hub1

ip local pool FlexSpokes 10.1.1.100 10.1.1.175

Hub2

ip local pool FlexSpokes 10.1.1.176 10.1.1.254

这防止重叠创建,即使地址没有路由在FlexVPN网云外面,也许削弱故障排除。

集线器重叠地址

两集线器能保留在虚拟模板接口的同样IP地址;然而,这能影响在某些情况下排除故障。因为分支只必须有边界网关协议(BGP)的,一对等地址此设计选择使更加容易部署和计划。

有时,它也许希望或不必要。

路由

交换关于连接的spoke的信息集线器是必要的。

他们连接的集线器一定能交换设备特定路由和仍然提供摘要给spoke。

因为思科建议您以FlexVPN和DMVPN使用iBGP,只有该路由协议显示。

bgp log-neighbor-changes
bgp listen range 10.1.1.0/24 peer-group Spokes
network 192.168.0.0
neighbor Spokes peer-group
neighbor Spokes remote-as 65001
neighbor 192.168.0.2 remote-as 65001
neighbor 192.168.0.2 route-reflector-client
neighbor 192.168.0.2 next-hop-self all
neighbor 192.168.0.2 unsuppress-map ALL
access-list 1 permit any

route-map ALL permit 10
match ip address 1

此配置准许:

  • 从地址的动态监听程序分配到spoke
  • 通告网络192.168.0.0/24
  • 通告汇总路由192.168.0.0/16对所有spoke。aggregate-address配置通过null0接口创建该前缀的静态路由,是丢弃路由使用为了防止路由环路。
  • 转发对另一台集线器的特定前缀
  • 确保的路由反射器客户端,集线器交换从在彼此之间的spoke了解的信息

此图表从其中一集线器的角度代表在BGP的前缀交换在此设置。

注意:在此图表中,绿色线路描述spoke提供的信息给集线器,红线描述每台集线器提供的信息给spoke (仅摘要),并且蓝线代表前缀交换在集线器之间。

网络摘要使用

摘要也许不是可适用或在某些情况下希望。请当心,当您选定在前缀时的目的地IP,默认情况下,因为iBGP不改写下一跳。

摘要在网络推荐更改频繁地陈述。例如,不稳定的互联网连接也许要求摘要为了:避免前缀的删除和新增内容,限制更新数量,并且允许多数设置适当地扩展。

spoke-to-spoke通道

在前面部分和配置中提及的方案,在另外集线器的spoke不能设立直接spoke-to-spoke通道。spoke之间的流量连接到另外集线器在中央设备的流。

有此的一容易应急方案。然而,它要求与同样网络ID的下一跳解析协议(NHRP)启用在集线器之间。如果创建在集线器之间的一个点到点通用路由封装(GRE)隧道,例如这可以达到。然后, IPsec没有要求。

验证

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

显示crypto sa ikev2命令通知您关于分支当前连接的地方。

显示crypto ikev2客户端flexvpn命令允许管理员明白FlexVPN客户端操作的当前状态。

Spoke2# show crypto ikev2 client flexvpn
Profile : Flex_Client
Current state:ACTIVE
Peer : 172.25.1.1
Source : Ethernet0/0
ivrf : IP DEFAULT
fvrf : IP DEFAULT
Backup group: Default
Tunnel interface : Tunnel1
Assigned IP address: 10.1.1.111

show logging配置的一成功的故障切换记录在分支设备的此输出:

%CRYPTO-5-IKEV2_SESSION_STATUS: Crypto tunnel v2 is DOWN.  Peer 172.25.1.1:500
Id: 172.25.1.1
%FLEXVPN-6-FLEXVPN_CONNECTION_DOWN: FlexVPN(Flex_Client) Client_public_addr =
172.16.2.2 Server_public_addr = 172.25.1.1
%LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
%CRYPTO-5-IKEV2_SESSION_STATUS: Crypto tunnel v2 is UP.  Peer 172.25.2.1:500
Id: 172.25.2.1
%FLEXVPN-6-FLEXVPN_CONNECTION_UP: FlexVPN(Flex_Client) Client_public_addr =
172.16.2.2 Server_public_addr = 172.25.2.1 Assigned_Tunnel_v4_addr = 10.1.1.177

在此输出中,分支从集线器172.25.1.1断开, Flex_Client客户端配置块检测失败并且强制对通道出来的172.25.2.1的一连接,并且分支分配10.1.1.177 IP。

故障排除

命令输出解释程序工具仅限注册用户)支持某些 show 命令。请使用Output Interpreter Tool为了查看show命令输出分析。

注意:使用 debug 命令之前,请参阅有关 Debug 命令的重要信息

这是相关调试指令:

  • debug crypto ikev2
  • debug radius

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116413