セキュリティ : Cisco FlexVPN

FlexVPN の移行: DMVPN から別のハブの FlexVPN への完全移行

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 6 月 28 日) | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

概要

この資料は異なるハブ デバイスの FlexVPN に方法についての情報を Dynamic Multipoint VPN (DMVPN) ネットワークからその現在 存在を移行する提供したものです。 両方のフレームワークのための configuations はデバイスで共存します。 この資料では、もっとも一般的な シナリオだけルーティング プロトコルとして-認証のための事前共有キーおよび Enhanced Interior Gateway Routing Protocol (EIGRP)の使用の DMVPN 示されています。 この資料では、Border Gateway Protocol (BGP)への移行推奨されるルーティング プロトコルである、およびより少なく好ましい EIGRP は示されます。

Marcin Latosiewicz および Atri Basu、Cisco TAC エンジニア

前提条件

要件

Cisco では、次の項目について基本的な知識があることを推奨しています。

  • DMVPN
  • FlexVPN

使用するコンポーネント

: ないすべてのソフトウェア および ハードウェア サポート インターネット鍵交換 バージョン 2 (IKEv2)。 詳細については Cisco Feature Navigator を参照して下さい。

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 統合サービス ルータ(ISR)バージョン 15.2(4)M1 または それ 以降
  • Cisco 集約 サービス ルータ 1000 シリーズ(ASR1K) 3.6.2 リリース 15.2(2)S2 かより新しい

1 つはより新しいプラットフォームおよびソフトウェアの利点 Request For Comments(RFC) 4106 に記述されているようにインターネット プロトコル セキュリティ(IPsec)で暗号化のために Advanced Encryption Standard (AES) Galois/カウンター モード(GCM)のような次世代 暗号解読法を、使用する機能です。 AES GCM はハードウェアの大いにより速い暗号化速度に達することを可能にします。 使用のおよび移行の Cisco推奨を次世代 暗号解読法に参照するために、次世代 暗号化技術情報を参照して下さい。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

移行手順

現在、DMVPN から FlexVPN に移行する推奨される方法は同時に操作しないべき 2 つのフレームワークのためです。 この制限は Cisco バグ ID CSCuc08066 が含まれている Cisco 側の multilple 機能拡張要求の下でトラッキングされる ASR 3.10 リリースで導入されて新しい移行 機能が取除かれた原因であるためにスケジュールされます。 これらの機能は 2013 年 6 月後半に提供予定です。

フレームワークが両方とも同じデバイスで同時に共存し、動作する移行はソフト移行と言われます、フレームワークから他へ最小限の影響およびスムーズなフェールオーバーを示す。 両方のフレームワークのためのコンフィギュレーションが共存する移行はハードな移行と、言われます同時に動作しませんが。 これは最小 1 つのフレームワークからの別のものへのスイッチオーバが VPN 上の通信の欠如を意味することを示します。

異なる 2 つのハブ間の完全移行

この資料では、FlexVPN 新しいハブに現在使用する DMVPN ハブからの移行は説明されています。 この移行は FlexVPN に既に移行されるスポーク間の相互連絡を可能にしまだ DMVPN で動作し、複数のフェーズに実行されたことができる各の移行は別々に話しました。

ルーティング情報がきちんと読み込まれれば、移行され、nonmigrated スポーク間の通信は可能な限り残るはずです。 ただし、追加レイテンシーは移行されて nonmigrated スポークが互い間のスポーク間トンネルを構築しないので観察することができ。 同時に、移行されたスポークは彼ら自身間の直接スポーク間トンネルを確立できるはずです。 同じは nonmigrated スポークに適用します。

この新しい移行 機能が利用できるまで、DMVPN および FlexVPN からの別のハブによって移行を行うためにこれらのステップを完了して下さい:

  1. DMVPN 上の接続性を確認する。
  2. FlexVPN 設定を追加し、トンネルをシャットダウンして下さい新しい設定に属する。
  3. (Maintenance ウィンドウの間に)各スポークで、一つずつ、DMVPN トンネルをシャットダウンして下さい。
  4. 同じスポーク 次ステップ 3、unshut FlexVPN トンネルインターフェイス。
  5. スポーク ツー ハブ 接続を確認して下さい。
  6. FlexVPN 内のスポーク間 接続を確認して下さい。
  7. FlexVPN からの DMVPN のスポーク間 接続を確認して下さい。
  8. 各のためのステップ 3 〜 7 を別々に話しました繰り返して下さい。
  9. ステップ 5、6、か 7 に説明がある確認における問題に直面したら DMVPN に戻るために FlexVPN インターフェイスおよび unshut を DMVPN インターフェイス シャットダウンして下さい。
  10. バックアップされた DMVPN 上のスポーク ツー ハブ通信を確認して下さい。
  11. バックアップされた DMVPN 上のスポーク間通信を確認して下さい。

カスタム アプローチ

前のアプローチがネットワークかルーティングの複雑さによるあなたのための最もよいソリューションではないかもしれません場合移行する前に Cisco 担当者との説明を開始して下さい。 カスタム マイグレーション プロセスを論議することはシステムエンジニアまたは高度 な サービス エンジニアである最もよい人。

ネットワーク トポロジ

転送ネットワーク トポロジ

このダイアグラムはインターネットのホストの典型的な接続トポロジーを示します。 ハブの loopback0 の IP アドレス(172.25.1.1) DMVPN IPSecセッションを終了するために使用されます。 新しいハブの IP アドレス(172.25.2.1) FlexVPN のために使用されます。

2 つのハブ間のリンクに注意して下さい。 このリンクは移行の間に FlexVPN と DMVPN クラウド間の接続を許可して重大です。 DMVPN ネットワークとまたその逆にも通信することを既に FlexVPN に移行されるスポークを可能にします。

オーバーレイ ネットワーク トポロジ

このトポロジ図には、オーバーレイに使用される 2 つの分離されたクラウドが示されています。 DMVPN(緑色の接続)と FlexVPN(赤色の接続)です。 LAN プレフィックスは対応するサイトのために示されています。 10.1.1.0/24 サブネットはインターフェイス アドレッシングの点では実際のサブネットを表しませんが、FlexVPN クラウドに専用されている IP 領域のチャンクを表します。 この背景にある合理性については、「FlexVPN のコンフィギュレーション」セクションで後ほど説明します。

設定

このセクションは DMVPN および FlexVPN コンフィギュレーションを説明します。

DMVPN のコンフィギュレーション

このセクションは DMVPN ハブ & スポークのための基本設定を説明します。

事前共有キー(PSK)は IKEv1 認証のために使用されます。 IPsec が確立されれば、スポーク ツー ハブからの Next Hop Resolution Protocol(NHRP) 登録はハブが動的に当たるスポークの非ブロードキャスト マルチアクセス(NBMA)を学ぶことができるように実行された。

NHRP がスポークおよびハブの登録を行うとき、adjacancy をルーティングすることは確立ルーティングは交換することができます。 この例では、EIGRP はオーバーレイ・ネットワークのために基本的なルーティング プロトコルとして使用されます。

スポークの DMVPN コンフィギュレーション

ルーティング プロトコルとして PSK 認証を用いる DMVPN および EIGRP の基本的な例 設定を見つけることができます。

crypto isakmp policy 10
  encr aes
  authentication pre-share

crypto isakmp key cisco address 0.0.0.0

crypto isakmp keepalive 30 5

crypto isakmp profile DMVPN_IKEv1
  keyring DMVPN_IKEv1
  match identity address 0.0.0.0

crypto ipsec transform-set IKEv1 esp-aes esp-sha-hmac
  mode transport

crypto ipsec profile DMVPN_IKEv1
  set transform-set IKEv1
  set isakmp-profile DMVPN_IKEv1

interface Tunnel0

ip address 10.0.0.101 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp map 10.0.0.1 172.25.1.1
ip nhrp map multicast 172.25.1.1
ip nhrp network-id 1
ip nhrp holdtime 900
ip nhrp nhs 10.0.0.1
ip nhrp shortcut
ip tcp adjust-mss 1360
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel protection ipsec profile DMVPN_IKEv1

router eigrp 100
network 10.0.0.0 0.0.0.255
network 192.168.102.0
passive-interface default
no passive-interface Tunnel0

ハブの DMVPN コンフィギュレーション

ハブ 設定では、トンネルは 172.25.1.1 の IP アドレスの loopback0 からソースをたどられます。 他はルーティング プロトコルとして EIGRP の DMVPN ハブの標準配備です。

crypto isakmp policy 10
encr aes
authentication pre-share

crypto isakmp key cisco address 0.0.0.0

crypto ipsec transform-set IKEv1 esp-aes esp-sha-hmac
mode transport
crypto ipsec profile DMVPN_IKEv1
set transform-set IKEv1

interface Tunnel0
ip address 10.0.0.1 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp holdtime 900
ip nhrp server-only
ip nhrp redirect
ip summary-address eigrp 100 192.168.0.0 255.255.0.0
ip tcp adjust-mss 1360
tunnel source Loopback0
tunnel mode gre multipoint
tunnel protection ipsec profile DMVPN_IKEv1

router eigrp 100
network 10.0.0.0 0.0.0.255
network 192.168.0.0 0.0.255.255
passive-interface default
no passive-interface Tunnel0

FlexVPN のコンフィギュレーション

FlexVPN は、次の基礎となる同じテクノロジーに基づいています。

  • IPsec: DMVPN のデフォルトとは違って IPSecセキュリティアソシエーション結合(SA)をネゴシエートするために、IKEv2 は IKEv1 の代りに使用されます。 IKEv2 は復元力および保護 データ チャネルを確立するため必要であるメッセージ数のような IKEv1 上の機能強化を、提供します。

  • GRE: DMVPN とは違って、静的な、ダイナミック ポイント ツー ポイントインターフェイスは、およびだけでなく、1 つの静的な multpoint GRE インターフェイス使用されます。 この設定により、特にスポークごとまたはハブごとの動作の柔軟性が増します。

  • NHRP: FlexVPN ではスポーク間通信を確立するために、NHRP は主に使用されます。 スポークはハブに登録しません。

  • ルーティング: スポークがハブに NHRP 登録を行わないので、他のメカニズムにハブ・アンド・スポークが双方向に通信できることを確かめるために頼って下さい。 DMVPN と同様、ダイナミック ルーティング プロトコルを使用できます。 ただし、FlexVPN はルーティング情報をもたらすために IPsec を使用することを可能にします。 デフォルトはスポーク ツー ハブ 直通 通信を可能にするトンネルの反対側の IP アドレスのための /32 ルートとして導入することです。

DMVPN からの FlexVPN へのハードな移行では、2 つの framemworks は同じデバイスで同時に動作しません。 ただしそれらを分離しておくことをお勧めします。

複数のレベルで分離を行います。

  • NHRP - 別の NHRP ネットワーク ID (推奨)を使用して下さい。
  • ルーティング:別のルーティング プロセスを使用します(推奨)。
  • バーチャルルーティングおよびフォワーディング(VRF) - VRF 分離割り当ては柔軟性を追加しましたが、ここで説明されていません(オプションの)。

スポークの FlexVPN コンフィギュレーション

DMVPN と比べる FlexVPN のスポーク設定の違いの 1 つは可能性としては 2 つのインターフェイスがあることです。 スポーク ツー ハブ通信のための必須トンネルおよびスポーク間トンネルのためのオプションのトンネルがあります。 すべてはハブ デバイスを通過することをダイナミック スポーク間 トンネリングがないことを選択し、好んだら、バーチャル テンプレート インターフェイスを外すことができトンネルインターフェイスから切り替える NHRP ショートカットを取除きます。

静的なトンネルインターフェイスがネゴシエーションに基づいて IP アドレスを受け取ることに注意して下さい。 これはハブが FlexVPN クラウドの静的なアドレッシングを作成する必要なしでスポークにトンネルインターフェイス IP アドレスを動的に提供するようにします。

aaa new-model
aaa authorization network default local
aaa session-id common

crypto ikev2 profile Flex_IKEv2
match identity remote fqdn domain cisco.com
local identity fqdn spoke.cisco.com
authentication remote rsa-sig
authentication local rsa-sig
aaa authorization group cert list default default
virtual-template 1
crypto ikev2 dpd 30 5 on-demand

: デフォルトで、ローカル識別は IP アドレスを使用するために設定 されます。 従ってアドレスに同様に基づいてピアの対応した マッチ ステートメントは一致する必要があります。 要件が certifcate の識別名 (DN)に基づいて一致するである場合、一致は認証 マップの使用とする必要があります。

Cisco はそれをサポートするハードウェアによって AES GCM を使用することを推奨します。

crypto ipsec transform-set IKEv2 esp-gcm
mode transport

crypto ipsec profile default
set ikev2-profile Flex_IKEv2
! set transform-set IKEv2

interface Tunnel1
ip address negotiated
ip mtu 1400
ip nhrp network-id 2
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
shutdown
tunnel source Ethernet0/0
tunnel destination 172.25.2.1
tunnel path-mtu-discovery
tunnel protection ipsec profile default

interface Virtual-Template1 type tunnel
ip unnumbered Tunnel1
ip mtu 1400
ip nhrp network-id 2
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel path-mtu-discovery
tunnel protection ipsec profile default

公開鍵インフラストラクチャ (PKI)は IKEv2 で大規模 認証を行う推奨される方法です。 ただし制限に気づいている限り、まだ PSK を使用できます。

PSK として cisco を使用する設定例はここにあります。

crypto ikev2 keyring Flex_key
peer Spokes
address 0.0.0.0 0.0.0.0
pre-shared-key local cisco
pre-shared-key remote cisco
crypto ikev2 profile Flex_IKEv2
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local Flex_key
aaa authorization group psk list default default
virtual-template 1
crypto ikev2 dpd 30 5 on-demand

FlexVPN ハブのコンフィギュレーション

通常、ハブはダイナミック スポーク ツー ハブ トンネルだけを終えます。 こういうわけでハブ 設定の FlexVPN のための静的なトンネルインターフェイスを見つけません。 その代り、バーチャル テンプレート インターフェイスは使用されます。

: ハブサイドで、スポークに割り当てられるべきプール アドレスを指定して下さい。

このプールからのアドレスは各スポークのための /32 ルーティングとしてルーティング テーブルの追加された以降です。

aaa new-model
aaa authorization network default local
aaa session-id common

crypto ikev2 authorization policy default
pool FlexSpokes
crypto ikev2 profile Flex_IKEv2
match identity remote fqdn domain cisco.com
local identity fqdn hub.cisco.com
authentication remote rsa-sig
authentication local rsa-sig
aaa authorization group cert list default default
virtual-template 1
crypto ikev2 dpd 30 5 on-demand

Cisco はそれをサポートするハードウェアによって AES GCM を使用することを推奨します。

crypto ipsec transform-set IKEv2 esp-gcm
mode transport

: この設定では、AES GCM オペレーションはコメントになりました。

crypto ipsec profile default
set ikev2-profile Flex_IKEv2
! set transform-set IKEv2

interface Loopback0
description DMVPN termination
ip address 172.25.2.1 255.255.255.255
interface Loopback100
ip address 10.1.1.1 255.255.255.255
interface Virtual-Template1 type tunnel
ip unnumbered Loopback100
ip nhrp network-id 2
ip nhrp redirect
tunnel path-mtu-discovery
tunnel protection ipsec profile default
ip local pool FlexSpokes 10.1.1.100 10.1.1.254

IKEv2 の認証によって、同じプリンシパルはスポークのようにハブで適用されます。 拡張性と柔軟性のために証明書を使用します。 ただし、スポークのように PSK のための同じ 設定を再使用できます。

: IKEv2 は認証に関する柔軟性を提供します。 一方は PSK と反対側が Rivest-Shamir-Adleman シグニチャ(RSA-SIG)を使用する間、認証できます。

要件が認証のために事前共有キーを使用することである場合コンフィギュレーション変更はスポークルータのためにここに記述されているそれらに類似したです。

ハブ間 BGP 接続

特定 の プレフィックスがどこに見つけられるかハブが確認することを確かめて下さい。 これは他のいくつかのスポークが DMVPN に残る間、いくつかのスポークが FlexVPN に移行されたのでますます重要になります。

DMVPN ハブ 設定に基づく相互ハブ BGP 接続はここにあります:

router bgp 65001
network 192.168.0.0
neighbor 192.168.0.2 remote-as 65001

トラフィックの移行

オーバーレイ ルーティング プロトコルとして BGP への移行する[推奨される]

BGP はユニキャスト交換に基づいているルーティング プロトコルです。 特性が原因で、それは DMVPN ネットワークの最もよいスケーリング プロトコルです。

この例では、Internal BGP (iBGP)は使用されます。

スポークの BGP コンフィギュレーション

スポークの移行は 2 つの部分から成ります。 最初に、ダイナミック ルーティングとしてイネーブル BGP:

router bgp 65001
bgp log-neighbor-changes
network 192.168.101.0
neighbor 10.1.1.1 remote-as 65001

BGP 隣接が(見ます次の セクションを)アップした、後 BGP 上の新しいプレフィックスは学習されます、電流 DMVPN クラウドから FlexVPN 新しいクラウドにトラフィックを振ることができます。

ハブの BGP コンフィギュレーション

FlexVPN ハブ-完全な BGP設定

ハブで、各のための隣接性設定を保存することを避けることは、設定しますダイナミック リスナーを別々に話しました。 このセットアップでは、BGP は新しい接続を開始しませんが、IP アドレスの提供されたプールからの接続を許可します。 この場合、FlexVPN 新しいクラウドのアドレスすべての前述のプールは 10.1.1.0/24 です。

注意するべき 2 ポイント:

  • FlexVPN ハブは DMVPN ハブに特定のプレフィックスをアドバタイズします; 従って unsupress マップは使用されています。
  • 10.1.1.0/24 の FlexVPN サブネットをルーティング テーブルにアドバタイズするか、または DMVPN ハブがネクスト ホップとして FlexVPN ハブを見ることを確かめて下さい。

このドキュメントでは後者のアプローチについて示します。

access-list 1 permit any
route-map ALL permit 10
match ip address 1

route-map SET_NEXT_HOP permit 10
set ip next-hop 192.168.0.2

router bgp 65001
network 192.168.0.0
bgp log-neighbor-changes
bgp listen range 10.1.1.0/24 peer-group Spokes
aggregate-address 192.168.0.0 255.255.0.0 summary-only
neighbor Spokes peer-group
neighbor Spokes remote-as 65001

neighbor 192.168.0.1 remote-as 65001
neighbor 192.168.0.1 route-reflector-client
neighbor 192.168.0.1 unsuppress-map ALL
neighbor 192.168.0.1 route-map SET_NEXT_HOP out

DMVPN ハブ-完全な BGP および EIGRP設定

DMVPN ハブの設定は FlexVPN ハブからだけ特定のプレフィックスを受け取り、EIGRP から学習するプレフィックスをアドバタイズするので、基本的です。

router bgp 65001
bgp log-neighbor-changes
redistribute eigrp 100
neighbor 192.168.0.2 remote-as 65001

BGP/FlexVPN への移行する トラフィック

前述のように、DMVPN 機能性をシャットダウンし、移行を行うために FlexVPN を始動して下さい。

このプロシージャは最小限の影響を保証します:

  1. 各スポークで、別々に、これを入力して下さい:
    interface tunnel 0
      shut

    この時点でこのスポークに設定される IKEv1 セッションがないことを、確かめて下さい。 これは show crypto isakmp sa コマンドの出力をチェックし、暗号ロギング session コマンドによって生成される syslog メッセージを監視すれば確認することができます。 これが確認されれば、始動 FlexVPN に進むことができます。

  2. 同じスポークで、これを入力して下さい:
    interface tunnel 1
       no shut

確認手順

IPsec の安定性

IPsec 安定性を評価する最もよい方法は有効に なる 暗号ロギング セッションの設定 コマンドで sylogs を監視することです。 セッションを見ればアップまたはダウンする、これは移行が始まることができる前に訂正する必要がある IKEv2/FlexVPN レベルの問題を示唆できます。

BGP 情報の登録

IPsec が安定 して いる場合、BGPテーブルがスポークからのエントリ(ハブで)およびハブからの概略と読み込まれることを確かめて下さい(スポークで)。 BGP の場合には、これはこれらのコマンドで表示することができます:

show bgp
! or
show bgp ipv4 unicast
! or
show ip bgp summary

FlexVPN ハブからの正しい情報の例はここにあります:

BGP router identifier 172.25.2.1, local AS number 65001
(...omitted...)

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
*10.1.1.100 4 65001 112 123 16 0 0 01:35:58 1
192.168.0.1 4 65001 97 99 16 0 0 01:24:12 4

出力はハブがスポークのそれぞれからの 1 プレフィクスを学習した、スポークは両方ともアスタリスク(*) サインとダイナミックおよびマーク付きですことを示したもので。 合計相互ハブ接続からの 4 つのプレフィックスが受け取られることをまた示します。

スポークからの同じような情報の例はここにあります:

show ip bgp summary
BGP router identifier 192.168.101.1, local AS number 65001
(...omitted...)

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.1.1.1 4 65001 120 109 57 0 0 01:33:23 2

スポークはハブから 2 つのプレフィックスを受け取りました。 このセットアップの場合には、1 プレフィクスは FlexVPN ハブでアドバタイズされる概略であるはずです。 他は BGP に DMVPN スポークで再配布される DMVPN 10.0.0.0/24 ネットワークです。

EIGRP の新しいトンネルへの移行する

EIGRP は比較的簡単な配備および速やかな収束による DMVPN ネットワークの普及した選択です。 ただし、それは BGP より悪いスケーリングし、BGP まっすぐな独自にによって使用できる多くの高度メカニズムを提供しません。 次の セクションは新しい EIGRPプロセスを用いる FlexVPN に移動する方法の 1 つを記述します。

更新されたスポークのコンフィギュレーション

新しい自律 システム (AS)は別途の EIGRPプロセスと追加されます:

router eigrp 200
network 10.1.1.0 0.0.0.255
network 192.168.101.0
passive-interface default
no passive-interface Tunnel1

: スポーク間トンネル上のルーティング プロトコル 隣接関係を確立しないことが最善です。 従って、tunnel1 のだけインターフェイスを(スポーク ツー ハブ)受動にして下さい。

更新された FlexVPN ハブのコンフィギュレーション

同様に、FlexVPN ハブのために、スポークで設定される 1 つと一致する appopriate AS のルーティング プロトコルを準備して下さい。

router eigrp 200
network 10.1.1.0 0.0.0.255

スポークの方の概略背部を提供するために使用する 2 つのメソッドがあります。

  • スタティック ルートを再配布して下さい null0 (優先 する オプション)を指す。
    ip route 192.168.0.0 255.255.0.0 null 0
    ip route 10.1.1.0 255.255.255.0 null 0

    ip prefix-list EIGRP_SUMMARY_ONLY seq 5 permit 192.168.0.0/16
    ip prefix-list EIGRP_SUMMARY_ONLY seq 10 permit 10.1.1.0/24

    route-map EIGRP_SUMMARY permit 20
    match ip address prefix-list EIGRP_SUMMARY_ONLY

    router eigrp 200
    distribute-list route-map EIGRP_SUMMARY out Virtual-Template1
    redistribute static metric 1500 10 10 1 1500 route-map EIGRP_SUMMARY


    このオプションはハブの仮想化 テクノロジー(VT)設定への修正なしで概略の制御および再配布を可能にします。 これはそれと関連付けられるアクティブなバーチャルアクセスがある場合ハブの VT 設定が修正することができないので、重要です。

  • バーチャルテンプレートの DMVPN 形式サマリー アドレスを設定して下さい。

    この設定は各バーチャルアクセスへの前述の概略の内部 処理および複製が理由で、推奨されません。 それは参照用にここに示されています。

    interface Virtual-Template1 type tunnel
    ip summary-address eigrp 200 192.168.0.0 255.255.0.0


    を説明するもう一つの側面は相互ハブ ルーティング交換です。 これは iBGP に EIGRP 例を再配布する場合することができます。

DMVPN ハブ:更新された BGP のコンフィギュレーション

このコンフィギュレーションは基本のままです。 EIGRP から BGP に特定のプレフィックスを再配布して下さい:

router bgp 65001

redistribute eigrp 100

neighbor 192.168.0.2 remote-as 65001

FlexVPN ハブ:更新された BGP のコンフィギュレーション

、FlexVPN で DMVPN ハブに類似した、BGP に新しい EIGRPプロセスのプレフィックスを再配布して下さい:

router bgp 65001

 redistribute eigrp 200 redistribute static

 neighbor 192.168.0.1 remote-as 65001

FlexVPN への移行する トラフィック

DMVPN 機能性をシャットダウンし、移行を行うために各スポークの FlexVPN を、一つずつ持って来て下さい。 次の手順によって影響を最小にできます。

  1. 各スポークで、別々に、これを入力して下さい:
    interface tunnel 0 
      shut

    この時点でこのスポークで設定される IKEv1 セッションがないことを、確かめて下さい。 これは show crypto isakmp sa コマンドの出力をチェックし、暗号ロギング session コマンドによって生成される syslog メッセージを監視すれば確認することができます。 これが確認されれば、始動 FlexVPN に進むことができます。
  2. 同じスポークで、これを入力して下さい:
    interface tunnel 1
       no shut

確認手順

IPsec の安定性

BGP の場合にはように、IPsec が安定 して いる場合評価して下さい。 そうする最もよい方法は有効に なる 暗号ロギング セッションの設定 コマンドで sylogs を監視することです。 セッションがアップまたはダウンするのを見る場合これは移行が始まることができる前に訂正する必要がある IKEv2/FlexVPN レベルの問題を示唆できます。

トポロジ テーブル内の EIGRP 情報

EIGRPトポロジーテーブルがスポークのハブおよび概略のスポーク LAN エントリと読み込まれることを確かめて下さい。 これはハブおよびスポークのこのコマンドを入力する場合確認することができます:

show ip eigrp [AS_NUMBER] topology

スポークからの出力例はここにあります:

Spoke1#show ip eigrp 200 topology 
EIGRP-IPv4 Topology Table for AS(200)/ID(192.168.101.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status

P 10.1.1.1/32, 1 successors, FD is 26112000
via Rstatic (26112000/0)
via 10.1.1.1 (26240000/128256), Tunnel1

P 192.168.101.0/24, 1 successors, FD is 281600
via Connected, Ethernet1/0

P 192.168.0.0/16, 1 successors, FD is 26114560
via 10.1.1.1 (26114560/2562560), Tunnel1

P 10.1.1.100/32, 1 successors, FD is 26112000
via Connected, Tunnel1

P 10.1.1.0/24, 1 successors, FD is 26114560
via 10.1.1.1 (26114560/2562560), Tunnel1

出力はスポークが LAN サブネット(斜体で)およびそれらのための概略について確認することを示したものです(太字で)。

ハブからの出力例はここにあります:

hub2# show ip eigrp 200 topology
EIGRP-IPv4 Topology Table for AS(200)/ID(172.25.2.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status

P 10.1.1.1/32, 1 successors, FD is 128256
via Connected, Loopback200

P 192.168.101.0/24, 1 successors, FD is 26905600
via 10.1.1.100 (26905600/281600), Virtual-Access1

P 192.168.0.0/16, 1 successors, FD is 2562560
via Rstatic (2562560/0)

P 10.1.1.0/24, 1 successors, FD is 2562560
via Rstatic (2562560/0)

出力はハブがスポークの LAN サブネットについて確認することを(斜体で)、(太字で)、および各スポークの割り当てられた IP アドレス アドバタイズするネゴシエーションによってサマリ プレフィクス示したものです。

その他の考慮事項

既にあっているスポーク間トンネル

DMVPN トンネルインターフェイスのシャットダウンが NHRP エントリを削除しますので既にあっているスポーク間トンネルは中断 されます。

クリア NHRP エントリ

FlexVPN ハブはスポークからの NHRP 登録 手続に知るためにトラフィック背部をルーティングする方法を頼りません。 ただし、ダイナミック スポーク間トンネルは NHRP エントリに頼ります。

DMVPN では、ハブの NHRP がクリアされれば、短命の接続に関する問題という結果に終る場合があります。 FlexVPN では、スポークのクリア NHRP により中断 されるためにスポーク間トンネルに関した FlexVPN IPSecセッションを引き起こします。 ハブの NHRP をクリアすることは FlexVPN セッションに効果をもたらしません。

これは、FlexVPN でデフォルトでという理由によります:

  • スポークはハブに登録されません。
  • ハブは NHRP リダイレクタとしてだけはたらき、NHRP エントリをインストールしません。
  • NHRP ショートカット エントリは、スポーク間でスポークにインストールされ、ダイナミックになります。

既知の警告

スポーク間 トラフィックは Cisco バグ ID CSCub07382 から影響を受けるかもしれません。

関連情報



Document ID: 115727