セキュリティ : Cisco FlexVPN

FlexVPN は二重 Cloud アプローチ設定例と冗長 な ハブ 設計で話しました

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、複数のハブを使用できるシナリオで、FlexVPN クライアント設定ブロックを使用して、FlexVPN ネットワーク内にスポークを設定する方法について説明します。 

著者:Cisco TAC エンジニア、Marcin Latosiewicz

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • FlexVPN
  • Cisco のルーティング プロトコル

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco G2 シリーズのサービス統合型ルータ(ISR)
  • Cisco IOS® バージョン 15.2M

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

冗長性のために、スポークを複数のハブに接続することが必要になる場合があります。 スポーク側の冗長性によって、ハブ側でのシングル ポイント障害の発生しない継続的な運用が可能になります。

スポークの設定を使用する最も一般的な 2 つの FlexVPN 冗長ハブ設計は、次のとおりです。

  • 2 つのクラウド アプローチ:スポークに、両方のハブに常にアクティブな 2 つの別のトンネルがある。
  • フェールオーバー アプローチ:スポークに、任意の時点で 1 つのハブを持つアクティブなトンネルがある。

両方のアプローチに特有の長所と短所がいくつかあります。

アプローチ長所短所
2 つのクラウド
  • ルーティング プロトコル タイマーに基づいて失敗の間のより速いリカバリ、
  • 両方のハブへの接続がアクティブであるのでハブ間のトラフィックを分散するより多くの possibilties
  • スポークで両方のハブに対するセッションを同時に維持するため、両方のハブのリソースが消費される
フェールオーバー
  • 設定が容易(FlexVPN に組み込まれる)
  • 障害時にルーティング プロトコルに依存しない
  • リカバリ時間がより長くなる(Dead Peer Detection(DPD; デッドピア検出)または オブジェクト トラッキング(任意)に基づく
  • すべてのトラフィックは 1 つのハブに一度に移動するために強制されます。

この資料は最初のアプローチを記述したものです。 この設定へのアプローチは Dynamic Multipoint VPN (DMVPN)二重クラウド設定に類似したです。 ハブ & スポークの基本設定は DMVPN からの FlexVPN への移行 文書に基づいています。 FlexVPN 移行を参照して下さい: DMVPN からのこの設定の説明のための同じデバイス技術情報の FlexVPN へのハードな移

ネットワーク図

転送ネットワーク

このダイアグラムは一般的に FlexVPN ネットワークで使用される基本的な転送ネットワークを説明します。

オーバーレイ ネットワーク

ダイアグラムはフェールオーバーがどのように機能する必要があるか示す論理的な接続のオーバーレイ・ネットワークを説明します。 正常な動作の間に、スポーク1およびスポーク2 は両方のハブとの関係を維持します。 失敗に、ルーティング プロトコルは 1 つのハブから別のものに切り替えます。

: ダイアグラムでは、緑の線はインターネット鍵交換 バージョン 2 示します(ハブ 1 への IKEv2)/Flex セッションは、およびブルーラインの接続および方向をハブ 2.への接続を示します。

ハブは両方ともオーバーレイ クラウドで別途の IP アドレッシングを保ちます。 /24 当たることはこのクラウドのために割り当てられるアドレスのプールをない実際のインターフェイス アドレッシング表します。 これは、FlexVPN ハブでは、通常スポークのインターフェイスにダイナミック IP アドレスを割り当て、FlexVPN の許可ブロックに route コマンドで動的に挿入されたルートに依存するためです。

スポーク設定

スポーク トンネルインターフェイス 設定

この例で使用される典型的なコンフィギュレーションは 2 つの別々の宛先アドレスが付いている単に 2 つのトンネルインターフェイスです。

interface Tunnel1
ip address negotiated
ip mtu 1400
ip nhrp network-id 2
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel source Ethernet0/0
tunnel destination 172.25.1.1
tunnel path-mtu-discovery
tunnel protection ipsec profile default

interface Tunnel2
ip address negotiated
ip mtu 1400
ip nhrp network-id 2
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel source Ethernet0/0
tunnel destination 172.25.2.1
tunnel path-mtu-discovery
tunnel protection ipsec profile default

スポーク間トンネルがきちんと形成するようにするためにバーチャルテンプレート(VT)は必要です。

interface Virtual-Template1 type tunnel
ip unnumbered ethernet1/0
ip mtu 1400
ip nhrp network-id 2
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel path-mtu-discovery
tunnel protection ipsec profile default

スポークはこの場合グローバルである、およびバーチャルルーティング フォワーディング(VRF)の LAN インターフェイスを示す非番号 インターフェイスを使用します。 ただし、ループバックインターフェイスを参照することはよいかもしれません。 これはループバックインターフェイスがほとんどすべての状態の下でオンラインに残るという理由によります。

スポーク Border Gateway Protocol (BGP) 設定

Cisco がオーバーレイ・ネットワークで推奨するので、使用されるべきルーティング プロトコルとして iBGP を資料言及この設定だけこの。

: スポークは両方のハブに BGP 到達可能性を保つ必要があります。

router bgp 65001
bgp log-neighbor-changes
network 192.168.101.0
neighbor 10.1.1.1 remote-as 65001
neighbor 10.1.1.1 fall-over
neighbor 10.2.2.1 remote-as 65001
neighbor 10.2.2.1 fall-over

この設定の FlexVPN にプライマリかセカンダリ ハブ概念がありません。 管理者はルーティング プロトコルが別のもの上の 1 つのハブを好むかまたは、あるシナリオでは、ロードバランシングを行うかどうか決定します。

スポーク フェールオーバーおよび統合考慮事項

のためにかかる時間最小に することは失敗を検知するために使用しますこれら二つの典型的なメソッドを話しました。 

スポーク間トンネルおよびフェールオーバー

スポーク間トンネル使用 Next Hop Resolution Protocol(NHRP) ショートカット切り替え。 Cisco IOS はたとえばそれらのショートカットが NHRP ルーティングであることを、示します:

Spoke1#show ip route nhrp
(...)
192.168.102.0/24 is variably subnetted, 2 subnets, 2 masks
H 192.168.102.0/24 [250/1] via 10.2.2.105, 00:00:21, Virtual-Access1

それらのルーティングは BGP 接続が切れると切れません; その代り、それらはデフォルトで 2 時間である NHRP holdtime のために保持されます。 これはアクティブなスポーク間トンネルが失敗に作動中に残ることを意味します。

ハブ コンフィギュレーション

ローカルプール

Network Diagram セクションに記述されているように、ハブは両方とも別途の IP アドレッシングを保ちます。

ハブ 1

ip local pool FlexSpokes 10.1.1.100 10.1.1.254

ハブ 2

ip local pool FlexSpokes 10.2.2.100 10.2.2.254

ハブの BGP コンフィギュレーション

ハブ BGP設定は前例に類似したに残ります。

この出力は 192.168.0.1 の LAN IP アドレスのハブ 1 から来ます。

router bgp 65001
bgp log-neighbor-changes
bgp listen range 10.1.1.0/24 peer-group Spokes
network 192.168.0.0
aggregate-address 192.168.0.0 255.255.0.0 summary-only
neighbor Spokes peer-group
neighbor Spokes remote-as 65001
neighbor Spokes fall-over
neighbor 192.168.0.2 remote-as 65001
neighbor 192.168.0.2 route-reflector-client
neighbor 192.168.0.2 next-hop-self all
neighbor 192.168.0.2 unsuppress-map ALL
route-map ALL permit 10
match ip address 1

ip access-list standard 1
permit any

要するに、これはされることがです:

  • FlexVPN ローカル アドレス プールは BGP リッスン 範囲にあります。
  • ローカルネットワークは 192.168.0.0/24 です。
  • 概略はスポークにだけアドバタイズされます。 集約アドレス 設定はルーティングループを防ぐために使用する破棄されたルートである null0 インターフェイスによってそのプレフィクスのためのスタティック ルートを作成します。
  • すべての特定のプレフィックスは他のハブにアドバタイズされます。 それはまた iBGP 接続であるので、ルート リフレクタ 設定を必要とします。

このダイアグラムは FlexVPN 1 つのクラウドのスポークとハブ間の BGP プレフィックスの交換を表します。

: ダイアグラムでは、緑の線はハブにスポークによって提供される情報を示します赤線はスポーク(概略だけ)に各ハブによって提供される情報を示しブルーラインはハブの間で交換されるプレフィックスを表します。

確認

各スポークが両方のハブを持つアソシエーションを保つので、2 IKEv2 セッションは提示暗号 ikev2 sa コマンドで見られます。

IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
3 172.16.1.2/500 172.16.2.2/500 none/none READY
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/3147 sec
Tunnel-id Local Remote fvrf/ivrf Status
1 172.16.1.2/500 172.25.2.1/500 none/none READY
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/3256 sec

ルーティング プロトコル 情報を表示するために、これらのコマンドを入力します:

show bgp ipv4 unicast

show bgp summary

スポークで、サマリ プレフィクスがハブから届くこと、そして両方のハブへの接続がアクティブであることがわかるはずです。

Spoke1#show bgp ipv4 unicast
BGP table version is 4, local router ID is 192.168.101.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*>i 192.168.0.0/16 10.1.1.1 0 100 0 i
* i 10.2.2.1 0 100 0 i
*> 192.168.101.0 0.0.0.0 0 32768 i
Spoke1#show bgp summa
Spoke1#show bgp summary
BGP router identifier 192.168.101.1, local AS number 65001
BGP table version is 4, main routing table version 4
2 network entries using 296 bytes of memory
3 path entries using 192 bytes of memory
3/2 BGP path/bestpath attribute entries using 408 bytes of memory
0 BGP route-map cache entries using 0 bytes of memory
0 BGP filter-list cache entries using 0 bytes of memory
BGP using 896 total bytes of memory
BGP activity 2/0 prefixes, 3/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.1.1.1 4 65001 7 7 4 0 0 00:00:17 1
10.2.2.1 4 65001 75 72 4 0 0 01:02:24 1

トラブルシューティング

解決するべき 2 つの主要なブロックがあります:

  • ンターネット キー交換(IKE)
  • インターネット プロトコル セキュリティ(IPsec)

関連する show コマンドを以下に示します。

show crypto ipsec sa

show crypto ikev2 sa

関連する debug コマンドを下に示します。

debug crypto ikev2 [internal|packet]

debug crypto ipsec

debug vtemplate event

関連したルーティング プロトコルはここにあります:

show bgp ipv4 unicast (or show ip bgp)

show bgp summary


Document ID: 116412