セキュリティ : Cisco FlexVPN

FlexVPN は二重 Cloud アプローチ設定例と冗長 な ハブ 設計で話しました

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に複数のハブが利用できるシナリオの FlexVPN クライアントコンフィギュレーション ブロックの使用で FlexVPN ネットワークのスポークを設定する方法を記述されています。 

著者:Cisco TAC エンジニア、Marcin Latosiewicz

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • FlexVPN
  • Cisco ルーティング プロトコル

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco G2 シリーズ 統合サービス ルータ(ISR)
  • Cisco IOS ® バージョン 15.2M

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

冗長性のために、スポークは複数のハブに接続する必要があるかもしれません。 spoke側の冗長性はハブサイドのシングル ポイント障害なしで継続的な作業を可能にします。

スポーク設定を使用する 2 つのもっとも一般的な FlexVPN 冗長 な ハブ設計は次のとおりです:

  • スポークに両方のハブにアクティブな 2 つの個々のトンネルがいつもあるところ、二重クラウド アプローチ
  • スポークにある特定の時点で 1 つのハブが付いているアクティブなトンネルがあるところ、フェールオーバー アプローチ

アプローチに両方とも賛否両論の固有のセットがあります。

アプローチ賛成論反対論
クラウドは二倍になります
  • ルーティング プロトコル タイマーに基づいて失敗の間のより速いリカバリ、
  • 両方のハブへの接続がアクティブであるのでハブ間のトラフィックを分散するより多くの possibilties
  • スポークは両方のハブにセッションを同時に維持します、両方のハブのリソースを消費する
フェールオーバー
  • FlexVPN に作られる容易な設定-
  • 失敗のルーティング プロトコルに頼りません
  • Dead Peer Detection (DPD)または(オプションで)オブジェクト トラッキングで時間ベースより遅いリカバリ
  • すべてのトラフィックは 1 つのハブに一度に移動するために強制されます。

この資料は最初のアプローチを記述したものです。 この設定へのアプローチは Dynamic Multipoint VPN (DMVPN)二重クラウド設定に類似したです。 ハブ & スポークの基本設定は DMVPN からの FlexVPN への移行 文書に基づいています。 FlexVPN 移行を参照して下さい: DMVPN からのこの設定の説明のための同じデバイス技術情報の FlexVPN へのハードな移

ネットワーク図

転送ネットワーク

このダイアグラムは一般的に FlexVPN ネットワークで使用される基本的な転送ネットワークを説明します。

オーバーレイ ネットワーク

ダイアグラムはフェールオーバーがどのように機能する必要があるか示す論理的な接続のオーバーレイ・ネットワークを説明します。 正常な動作の間に、スポーク1およびスポーク2 は両方のハブとの関係を維持します。 失敗に、ルーティング プロトコルは 1 つのハブから別のものに切り替えます。

: ダイアグラムでは、緑の線はインターネット鍵交換 バージョン 2 示します(ハブ 1 への IKEv2)/Flex セッションは、およびブルーラインの接続および方向をハブ 2.への接続を示します。

ハブは両方ともオーバーレイ クラウドで別途の IP アドレッシングを保ちます。 /24 当たることはこのクラウドのために割り当てられるアドレスのプールをない実際のインターフェイス アドレッシング表します。 これは FlexVPN ハブが一般的に スポーク インターフェイスのためのダイナミックIPアドレスを割り当てるという理由により、FlexVPN 許可ブロックで route コマンドによって動的に挿入されるルートに頼ります。

スポーク設定

スポーク トンネルインターフェイス 設定

この例で使用される典型的なコンフィギュレーションは 2 つの別々の宛先アドレスが付いている単に 2 つのトンネルインターフェイスです。

interface Tunnel1
ip address negotiated
ip mtu 1400
ip nhrp network-id 2
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel source Ethernet0/0
tunnel destination 172.25.1.1
tunnel path-mtu-discovery
tunnel protection ipsec profile default

interface Tunnel2
ip address negotiated
ip mtu 1400
ip nhrp network-id 2
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel source Ethernet0/0
tunnel destination 172.25.2.1
tunnel path-mtu-discovery
tunnel protection ipsec profile default

スポーク間トンネルがきちんと形成するようにするためにバーチャルテンプレート(VT)は必要です。

interface Virtual-Template1 type tunnel
ip unnumbered ethernet1/0
ip mtu 1400
ip nhrp network-id 2
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel path-mtu-discovery
tunnel protection ipsec profile default

スポークはこの場合グローバルである、およびバーチャルルーティング フォワーディング(VRF)の LAN インターフェイスを示す非番号 インターフェイスを使用します。 ただし、ループバックインターフェイスを参照することはよいかもしれません。 これはループバックインターフェイスがほとんどすべての状態の下でオンラインに残るという理由によります。

スポーク Border Gateway Protocol (BGP) 設定

Cisco がオーバーレイ・ネットワークで推奨するので、使用されるべきルーティング プロトコルとして iBGP を資料言及この設定だけこの。

: スポークは両方のハブに BGP 到達可能性を保つ必要があります。

router bgp 65001
bgp log-neighbor-changes
network 192.168.101.0
neighbor 10.1.1.1 remote-as 65001
neighbor 10.1.1.1 fall-over
neighbor 10.2.2.1 remote-as 65001
neighbor 10.2.2.1 fall-over

この設定の FlexVPN にプライマリかセカンダリ ハブ概念がありません。 管理者はルーティング プロトコルが別のもの上の 1 つのハブを好むかまたは、あるシナリオでは、ロードバランシングを行うかどうか決定します。

スポーク フェールオーバーおよび統合考慮事項

のためにかかる時間最小に することは失敗を検知するために使用しますこれら二つの典型的なメソッドを話しました。 

スポーク間トンネルおよびフェールオーバー

スポーク間トンネル使用 Next Hop Resolution Protocol(NHRP) ショートカット切り替え。 Cisco IOS はたとえばそれらのショートカットが NHRP ルーティングであることを、示します:

Spoke1#show ip route nhrp
(...)
192.168.102.0/24 is variably subnetted, 2 subnets, 2 masks
H 192.168.102.0/24 [250/1] via 10.2.2.105, 00:00:21, Virtual-Access1

それらのルーティングは BGP 接続が切れると切れません; その代り、それらはデフォルトで 2 時間である NHRP holdtime のために保持されます。 これはアクティブなスポーク間トンネルが失敗に作動中に残ることを意味します。

ハブ コンフィギュレーション

ローカルプール

Network Diagram セクションに記述されているように、ハブは両方とも別途の IP アドレッシングを保ちます。

Hub1

ip local pool FlexSpokes 10.1.1.100 10.1.1.254

Hub2

ip local pool FlexSpokes 10.2.2.100 10.2.2.254

ハブの BGP コンフィギュレーション

ハブ BGP設定は前例に類似したに残ります。

この出力は 192.168.0.1 の LAN IP アドレスのハブ 1 から来ます。

router bgp 65001
bgp log-neighbor-changes
bgp listen range 10.1.1.0/24 peer-group Spokes
network 192.168.0.0
aggregate-address 192.168.0.0 255.255.0.0 summary-only
neighbor Spokes peer-group
neighbor Spokes remote-as 65001
neighbor Spokes fall-over
neighbor 192.168.0.2 remote-as 65001
neighbor 192.168.0.2 route-reflector-client
neighbor 192.168.0.2 next-hop-self all
neighbor 192.168.0.2 unsuppress-map ALL
route-map ALL permit 10
match ip address 1

ip access-list standard 1
permit any

要するに、これはされることがです:

  • FlexVPN ローカル アドレス プールは BGP リッスン 範囲にあります。
  • ローカルネットワークは 192.168.0.0/24 です。
  • 概略はスポークにだけアドバタイズされます。 集約アドレス 設定はルーティングループを防ぐために使用する破棄されたルートである null0 インターフェイスによってそのプレフィクスのためのスタティック ルートを作成します。
  • すべての特定のプレフィックスは他のハブにアドバタイズされます。 それはまた iBGP 接続であるので、ルート リフレクタ 設定を必要とします。

このダイアグラムは FlexVPN 1 つのクラウドのスポークとハブ間の BGP プレフィックスの交換を表します。

: ダイアグラムでは、緑の線はハブにスポークによって提供される情報を示します赤線はスポーク(概略だけ)に各ハブによって提供される情報を示しブルーラインはハブの間で交換されるプレフィックスを表します。

確認

各スポークが両方のハブを持つアソシエーションを保つので、2 IKEv2 セッションは提示暗号 ikev2 sa コマンドで見られます。

IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
3 172.16.1.2/500 172.16.2.2/500 none/none READY
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/3147 sec
Tunnel-id Local Remote fvrf/ivrf Status
1 172.16.1.2/500 172.25.2.1/500 none/none READY
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/3256 sec

ルーティング プロトコル 情報を表示するために、これらのコマンドを入力します:

show bgp ipv4 unicast

show bgp summary

スポークで、サマリ プレフィクスがハブから届くこと、そして両方のハブへの接続がアクティブであることがわかるはずです。

Spoke1#show bgp ipv4 unicast
BGP table version is 4, local router ID is 192.168.101.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*>i 192.168.0.0/16 10.1.1.1 0 100 0 i
* i 10.2.2.1 0 100 0 i
*> 192.168.101.0 0.0.0.0 0 32768 i
Spoke1#show bgp summa
Spoke1#show bgp summary
BGP router identifier 192.168.101.1, local AS number 65001
BGP table version is 4, main routing table version 4
2 network entries using 296 bytes of memory
3 path entries using 192 bytes of memory
3/2 BGP path/bestpath attribute entries using 408 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 896 total bytes of memory
BGP activity 2/0 prefixes, 3/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.1.1.1 4 65001 7 7 4 0 0 00:00:17 1
10.2.2.1 4 65001 75 72 4 0 0 01:02:24 1

トラブルシューティング

解決するべき 2 つの主要なブロックがあります:

  • インターネット キー エクスチェンジ(IKE)
  • インターネット プロトコル セキュリティ(IPsec)

関連した show コマンドはここにあります:

show crypto ipsec sa

show crypto ikev2 sa

関連した debug コマンドはここにあります:

debug crypto ikev2 [internal|packet]

debug crypto ipsec

debug vtemplate event

関連したルーティング プロトコルはここにあります:

show bgp ipv4 unicast (or show ip bgp)

show bgp summary

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116412