セキュリティ : Cisco FlexVPN

FlexVPN は FlexVPN クライアント ブロック設定例と冗長 な ハブ 設計で話しました

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に複数のハブが利用できるシナリオの FlexVPN クライアントコンフィギュレーション ブロックの使用で FlexVPN ネットワークのスポークを設定する方法を記述されています。

著者:Cisco TAC エンジニア、Marcin Latosiewicz

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • FlexVPN
  • Cisco ルーティング プロトコル

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco G2 シリーズ 統合サービス ルータ(ISR)
  • Cisco IOS ® バージョン 15.2M

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

冗長性のために、スポークは複数のハブに接続する必要があるかもしれません。 spoke側の冗長性はハブサイドのシングル ポイント障害なしで継続的な作業を可能にします。

スポーク設定を使用する 2 つのもっとも一般的な FlexVPN 冗長 な ハブ設計は次のとおりです:

  • スポークに両方のハブにアクティブな 2 つの個々のトンネルがいつもあるところ、二重クラウド アプローチ
  • スポークにある特定の時点で 1 つのハブが付いているアクティブなトンネルがあるところ、フェールオーバー アプローチ

アプローチに両方とも賛否両論の固有のセットがあります。

アプローチ賛成論反対論
クラウドは二倍になります
  • ルーティング プロトコル タイマーに基づいて失敗のより速いリカバリ、
  • 両方のハブへの接続がアクティブであるのでハブ間のトラフィックを分散するより多くの possibilties
  • スポークは両方のハブにセッションを同時に維持します、両方のハブのリソースを消費する
フェールオーバー
  • FlexVPN に作られる容易な設定-
  • 失敗のルーティング プロトコルに頼りません
  • Dead Peer Detection (DPD)または(オプションで)オブジェクト トラッキングで時間ベースより遅いリカバリ
  • すべてのトラフィックは 1 つのハブに一度に移動するために強制されます

この資料は第 2 アプローチを記述したものです。

設定

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

これらのダイアグラムは転送するおよびオーバーレイ トポロジーダイアグラムを両方示します。

転送ネットワーク

このダイアグラムは FlexVPN ネットワークで一般的に使用する基本的な転送ネットワークを説明します。

オーバーレイ ネットワーク

このダイアグラムはフェールオーバーがどのように機能する必要があるか示す論理的な接続のオーバーレイ・ネットワークを説明します。 正常な動作の間に、スポーク1およびスポーク2 は 1 つのハブだけとの関係を維持します。

: ダイアグラムでは、点灯状態 (緑)行はインターネット キー エクスチェンジ(IKE) セッションがプライマリ ハブ失敗にもしプライマリ インターネット鍵交換 バージョン 2 示します(IKEv2)/Flex セッションは、および点を打たれたブルーラインの接続および方向をバックアップ接続を示します。

/24 当たることはこのクラウドのために割り当てられるアドレスのプールおよびない実際のインターフェイス アドレッシングを表します。 これは FlexVPN ハブが一般的に スポーク インターフェイスのためのダイナミックIPアドレスを割り当てるという理由により、FlexVPN 許可ブロックで route コマンドによって動的に挿入されるルートに頼ります。

スポークおよびハブの基本設定

ハブ & スポークの基本設定は Dynamic Multipoint VPN (DMVPN)からの FlexVPN への移行 文書に基づいています。 この設定は FlexVPN 移行に説明があります: DMVPN からの同じデバイス技術情報の FlexVPN へのハードな移

スポーク設定調整

スポーク設定-クライアントコンフィギュレーション ブロック

スポーク設定はクライアントコンフィギュレーション ブロックによって拡張する必要があります。

基本設定では、マルチプルピアは規定 されます。 最も高いプリファレンス(低い数字)のピアは他の前に考慮されます。

crypto ikev2 client flexvpn Flex_Client
peer 1 172.25.1.1
peer 2 172.25.2.1
client connect Tunnel1

トンネル設定はトンネル宛先が FlexVPN クライアントコンフィギュレーション ブロックに基づいて、動的に選択されるように変更される必要があります。

interface Tunnel1
 tunnel destination dynamic

FlexVPN クライアントコンフィギュレーション ブロックがインターフェイスに接続する、ないであり IKEv2 またはインターネット プロトコル セキュリティ(IPsec)プロファイルにことを覚えていることは重大。

クライアントコンフィギュレーション ブロックはフェールオーバー時間およびオペレーションを調節するためにトラッキング オブジェクト使用方法、ダイヤル バックアップおよびバックアップ グループ機能性が含まれている複数のオプションを提供します。

基本設定によって、スポークは DPDs にピアが完全に宣言されればスポークが無理解である、変更を引き起こしますかどうか検出するために頼り。 DPD を使用するオプションはファースト 1、どのようにが理由で DPDs 作業そうなったものではないです。 管理者はオブジェクト トラッキングまたは同じような機能拡張の設定を高めたいと思うかもしれません。

詳細については、この資料の終わりに関連情報セクションでリンクされる Cisco IOSコンフィギュレーション ガイドの FlexVPN クライアントコンフィギュレーション章を参照して下さい。

完全なスポーク設定-参照

crypto logging session

crypto ikev2 keyring Flex_key
 peer Spokes
  address 0.0.0.0 0.0.0.0
  pre-shared-key local cisco
  pre-shared-key remote cisco

crypto ikev2 profile Flex_IKEv2
 match identity remote address 0.0.0.0
 authentication remote pre-share
 authentication local pre-share
 keyring local Flex_key
 aaa authorization group psk list default default
 virtual-template 1

crypto ikev2 dpd 30 5 on-demand

crypto ikev2 client flexvpn Flex_Client
  peer 1 172.25.1.1
  peer 2 172.25.2.1
  client connect Tunnel1

crypto ipsec transform-set IKEv2 esp-gcm
 mode transport

crypto ipsec profile default
 set ikev2-profile Flex_IKEv2

interface Tunnel1
 description FlexVPN tunnel
 ip address negotiated
 ip mtu 1400
 ip nhrp network-id 2
 ip nhrp shortcut virtual-template 1
 ip nhrp redirect
 ip tcp adjust-mss 1360
 delay 2000
 tunnel source Ethernet0/0
 tunnel destination dynamic
 tunnel path-mtu-discovery
 tunnel protection ipsec profile default

ハブの設定

ハブ 設定の大半が間、複数の側面は当たる必要があります。 殆んどは状況に他は別のハブとの関係に残るが 1 つのハブに接続されるどれまたはより多くのスポークの関係します。

スポーク アドレス

スポークがハブからの IP アドレスを得るので、ハブが異なるサブネットからのアドレスかサブネットのさまざまな部分を割り当てることが普通望まれます。

次に、例を示します。

Hub1

ip local pool FlexSpokes 10.1.1.100 10.1.1.175

Hub2

ip local pool FlexSpokes 10.1.1.176 10.1.1.254

これはアドレスがトラブルシューティングを損なうかもしれない FlexVPN クラウドの外でルーティングされなくても、オーバーラップ作成を防ぎます。

ハブ オーバーレイ アドレス

ハブは両方とも仮想テンプレートインターフェイスの同じ IP アドレスを保つことができます; ただし、これは場合によってはトラブルシューティングに影響を与えることができます。 この設計選択はスポークは Border Gateway Protocol (BGP)のための 1 つのピアアドレスだけなければならないので展開し、計画することもっと簡単にします。

場合によっては、それは望まれるか、または必要とされないかもしれません。

ルーティング

ハブが接続されるスポークについての情報を交換することは必要です。

ハブはまだ接続したデバイスの特定のルーティングを交換し、スポークに概略を提供できる必要があります。

FlexVPN および DMVPN と iBGP を使用することを Cisco が推奨するので、そのルーティング プロトコルだけが示されています。

bgp log-neighbor-changes
bgp listen range 10.1.1.0/24 peer-group Spokes
network 192.168.0.0
neighbor Spokes peer-group
neighbor Spokes remote-as 65001
neighbor 192.168.0.2 remote-as 65001
neighbor 192.168.0.2 route-reflector-client
neighbor 192.168.0.2 next-hop-self all
neighbor 192.168.0.2 unsuppress-map ALL
access-list 1 permit any

route-map ALL permit 10
match ip address 1

この設定は割り当てます:

  • スポークに割り当てられるアドレスからのダイナミック リスナー
  • 192.168.0.0/24 のアドバタイジング ネットワーク
  • すべてのスポークへの 192.168.0.0/16 のアドバタイジング サマリールート。 集約アドレス 設定はルーティングループを防ぐために使用する破棄されたルートである null0 インターフェイスによってそのプレフィクスのためのスタティック ルートを作成します。
  • 他のハブへの特定のプレフィックスのフォワーディング
  • ハブが互い間のスポークから学ばれる情報を交換することを確かめるルートリフレクタクライアント

このダイアグラムはハブの 1 つの観点からこのセットアップの BGP のプレフィクス交換を、表します。

: このダイアグラムでは、緑の線はハブにスポークによって提供される情報を示します赤線はスポーク(概略だけ)に各ハブによって提供される情報を示しブルーラインはハブの間で交換されるプレフィックスを表します。

ネットワーク概略使用

概略は適当またはあるシナリオでは望まれてかもしれません。 iBGP がネクスト ホップをデフォルトで無効にしないのでプレフィックスの宛先IP を指定するとき注意して下さい。

概略は状態を頻繁に変更するネットワークで推奨されます。 たとえば、不安定なインターネット接続は概略を必要とするかもしれません: プレフィックスの削除および付加を避け、更新の数を制限し、ほとんどのセットアップがきちんとスケーリングするようにして下さい。

スポーク間トンネル

前のセクションで述べられるシナリオおよび設定では異なるハブのスポークは直接スポーク間トンネルを確立できません。 中央デバイス上の異なるハブ フローに接続されるスポーク間のトラフィック。

これのための容易な回避策があります。 ただし同じネットワーク ID の Next Hop Resolution Protocol(NHRP)がハブの間で有効に なることを、必要とします。 ハブ間のポイントツーポイント一般的ルーティングカプセル化を作成する場合、これを、たとえば達成することができます。 それから、IPsec が必要となりません。

確認

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

提示暗号 ikev2 sa コマンドはスポークが現在どこにについて接続されるか知らせたものです。

提示暗号 ikev2 クライアント flexvpn コマンドは管理者が FlexVPN クライアント オペレーションの現在のステートの言うことがわかることを可能にします。

Spoke2# show crypto ikev2 client flexvpn
Profile : Flex_Client
Current state:ACTIVE
Peer : 172.25.1.1
Source : Ethernet0/0
ivrf : IP DEFAULT
fvrf : IP DEFAULT
Backup group: Default
Tunnel interface : Tunnel1
Assigned IP address: 10.1.1.111

show logging 設定の正常なフェールオーバーはスポーク デバイスのこの出力を記録 します:

%CRYPTO-5-IKEV2_SESSION_STATUS: Crypto tunnel v2 is DOWN.  Peer 172.25.1.1:500
Id: 172.25.1.1
%FLEXVPN-6-FLEXVPN_CONNECTION_DOWN: FlexVPN(Flex_Client) Client_public_addr =
172.16.2.2 Server_public_addr = 172.25.1.1
%LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
%CRYPTO-5-IKEV2_SESSION_STATUS: Crypto tunnel v2 is UP.  Peer 172.25.2.1:500
Id: 172.25.2.1
%FLEXVPN-6-FLEXVPN_CONNECTION_UP: FlexVPN(Flex_Client) Client_public_addr =
172.16.2.2 Server_public_addr = 172.25.2.1 Assigned_Tunnel_v4_addr = 10.1.1.177

この出力では、ハブ 172.25.1.1 からのスポーク切断は、Flex_Client クライアントコンフィギュレーション ブロック失敗を検知し、トンネルが起動する、スポーク 10.1.1.177 の IP は割り当てられます 172.25.2.1 への接続を強制し。

トラブルシューティング

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

関連した debug コマンドはここにあります:

  • debug crypto ikev2
  • debug radius

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116413