セキュリティ : Cisco FlexVPN

"IP[v6] 非番号」コマンド 設定例の SVTI、DVTI および IKEv2 FlexVPN の EIGRP

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco IOS ® のいくつかのよくあ出会われたシナリオの Enhanced Interior Gateway Routing Protocol (EIGRP)を設定する方法を記述されています。 EIGRPネイバ 隣接関係を受け入れるために、Cisco IOS は同じ サブネット内の IP アドレスからの EIGRP helloパケットを得る必要があります。 ip unnumbered コマンドでその確認をディセーブルにすることは可能性のあるです。

技術情報の最初の一部は同じ サブネットにないパケットを受信するとき EIGRP 失敗を示します。

別の例はその確認をディセーブルにする示し、EIGRP が異なるサブネットに属する同位間の隣接関係を形成するようにしたものです ip unnumbered コマンドの使用を。

この技術情報はまた FlexVPN にサーバから送信 される IP アドレスのハブ・アンド・スポーク配備を示します。 このシナリオに関しては、サブネットの確認は ip address negotiated コマンドとまた ip unnumbered コマンドのために無効です。 ip unnumbered コマンドはポイントツーポイント(P2P)タイプのために主に インターフェイス使用され、P2P アーキテクチャに基づいているのでこれは FlexVPN に完全な適合を作ります。

最後に、IPv6 シナリオは静的で仮想 な トンネルインターフェイス(SVTI)およびダイナミック 仮想 な トンネルインターフェイス両方(DVTI)のための違いと共に示されます。 IPv4 シナリオと IPv6 を比較するとき動作にわずかな変更があります。

さらに、Cisco IOSバージョン 15.1 および 15.3 間の変更は示されます(Cisco バグ ID CSCtx45062)。

ip unnumbered コマンドは DVTI のために必要常にです。 これは仮想テンプレートインターフェイスの静的に設定された IP アドレスが仮想アクセスインターフェイスに決してクローンとして作られないという理由によります。 さらに、設定される IP アドレスのないインターフェイスはダイナミック ルーティング プロトコル 隣接関係を確立できません。 ip unnumbered コマンドは SVTI に必要ではないですが、そのサブネットなしで、ダイナミック ルーティング プロトコル 隣接関係が確立されるとき確認は実行された。 また IPv6 非番号 コマンドは EIGRP 隣接関係を構築するために使用するリンク ローカル アドレスが理由で IPV6 シナリオのために必要ではないです。

担当者、Michal Garcarz および Olivier Pelerin、Cisco TAC エンジニア。

前提条件

要件

Cisco では、次の項目について基本的な知識があることを推奨しています。

  • Cisco IOS の VPN 設定
  • Cisco IOS の FlexVPN 設定

使用するコンポーネント

この文書に記載されている情報は Cisco IOSバージョン 15.3T に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

異なるサブネットの 1 つのイーサネット セグメントの EIGRP

トポロジ: ルータ 1 (R1) (e0/0: 10.0.0.1/24)-------(e0/1: 10.0.1.2/24)ルータ 2 (R2)

R1:
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0

router eigrp 100
network 10.0.0.1 0.0.0.0

R2:
interface Ethernet0/0
ip address 10.0.1.2 255.255.255.0

router eigrp 100
network 10.0.1.2 0.0.0.0

R1 は示します:

*Mar 3 16:39:34.873: EIGRP: Received HELLO on Ethernet0/0 nbr 10.0.1.2
*Mar 3 16:39:34.873:   AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:39:34.873: EIGRP-IPv4(100): Neighbor 10.0.1.2 not on common subnet
for Ethernet0/0

Cisco IOS は期待される隣接関係を形成しません。 これに関する詳細については、EIGRP " Not on Common Subnet " メッセージ平均をする何が参照して下さいか。 技術情報。

異なるサブネットの SVTI セグメントの EIGRP

同じ状況は仮想 な トンネルインターフェイス(VTI) (一般的ルーティングカプセル化)を使用すると発生します。

トポロジ: R1(Tun1: 172.16.0.1/24)-------(Tun1: 172.17.0.2/24) R2

R1:
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0
 
interface Tunnel1
 ip address 172.16.0.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.2

router eigrp 100
 network 172.16.0.1 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R2:
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
 
interface Tunnel1
 ip address 172.17.0.2 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.1

router eigrp 100
 network 172.17.0.2 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R1 は示します:

*Mar  3 16:41:52.167: EIGRP: Received HELLO on Tunnel1 nbr 172.17.0.2
*Mar  3 16:41:52.167:   AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar  3 16:41:52.167: EIGRP-IPv4(100): Neighbor 172.17.0.2 not on common subnet
for Tunnel1

これは正常な動作です。

Ip unnumbered コマンドを使用して下さい

この例に確認をディセーブルにし、異なるサブネットの同位間の EIGRP セッションの確立を可能にする ip unnumbered コマンドを使用する方法を示されています。

トポロジーは前例に類似したですが、ループバックへのポイントことトンネルのアドレスは ip unnumbered コマンドによって今定義されます:

トポロジ: R1(Tun1: 172.16.0.1/24)-------(Tun1: 172.17.0.2/24) R2

R1:
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0
 
interface Loopback0
 ip address 172.16.0.1 255.255.255.0

interface Tunnel1
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.2

router eigrp 100
 network 172.16.0.1 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R2:
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0

interface Loopback0
 ip address 172.17.0.2 255.255.255.0

interface Tunnel1
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.1

router eigrp 100
 network 172.17.0.2 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R1 は示します:

*Mar  3 16:50:39.046: EIGRP: Received HELLO on Tunnel1 nbr 172.17.0.2
*Mar  3 16:50:39.046:   AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar  3 16:50:39.046: EIGRP: New peer 172.17.0.2
*Mar  3 16:50:39.046: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 172.17.0.2
(Tunnel1) is up: new adjacency


R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   172.17.0.2              Tu1               12 00:00:07    7  1434  0  13

R1#show ip route eigrp
      172.17.0.0/24 is subnetted, 1 subnets
D        172.17.0.0 [90/27008000] via 172.17.0.2, 00:00:05, Tunnel1

R1#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                10.0.0.1         YES manual up                    up      
Loopback0                172.16.0.1      YES manual up                    up      
Tunnel1                    172.16.0.1      YES TFTP  up                    up 

R2 はこれに類似したです。

特定の IPアドレス設定に ip unnumbered コマンドを変更した後、EIGRP 隣接関係は形成しません。

異なるサブネットの DVTI セグメントへの SVTI の EIGRP 

この例はまた ip unnumbered コマンドを使用します。 以前に述べられるルールは DVTI に同様に適用されます。

トポロジ: R1(Tun1: 172.16.0.1/24) (Virtual テンプレート: 172.17.0.2/24) R2

前例は SVTI の代りに DVTI を使用するためにここに修正されます。 さらに、トンネル 保護はこの例に追加されます。

R1:
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto ipsec profile prof
 set transform-set TS
!
interface Loopback0
 ip address 172.16.0.1 255.255.255.0
!
interface Tunnel1
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.2
 tunnel protection ipsec profile prof
!
router eigrp 100
 network 172.16.0.1 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R2:
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto isakmp profile profLAN
   keyring default
   match identity address 10.0.0.1 255.255.255.255
   virtual-template 1
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto ipsec profile profLAN
 set transform-set TS
 set isakmp-profile profLAN
 
interface Loopback0
 ip address 172.17.0.2 255.255.255.0
!
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile profLAN
!
!
router eigrp 100
 network 172.17.0.2 0.0.0.0
 passive-interface default
 no passive-interface Virtual-Template1

すべては予想通りはたらきます:

R1#show crypto session 
Crypto session current status
Interface: Tunnel1
Session status: UP-ACTIVE     
Peer: 10.0.0.2 port 500
  IKEv1 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map


R1#show crypto ipsec sa
interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 10.0.0.1
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 10.0.0.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 89, #pkts encrypt: 89, #pkts digest: 89
    #pkts decaps: 91, #pkts decrypt: 91, #pkts verify: 91

   
R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
0   172.17.0.2              Tu1               13 00:06:31    7  1434  0  19

R1#show ip route eigrp
      172.17.0.0/24 is subnetted, 1 subnets
D        172.17.0.0 [90/27008000] via 172.17.0.2, 00:06:35, Tunnel1




R2#show crypto session
Crypto session current status
Interface: Virtual-Access1
Profile: profLAN
Session status: UP-ACTIVE     
Peer: 10.0.0.1 port 500
  IKEv1 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map


R2#show crypto ipsec sa
interface: Virtual-Access1
    Crypto map tag: Virtual-Access1-head-0, local addr 10.0.0.2
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 10.0.0.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 107, #pkts encrypt: 107, #pkts digest: 107
    #pkts decaps: 105, #pkts decrypt: 105, #pkts verify: 105
 
 
R2#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
0   172.16.0.1              Vi1               13 00:07:41   11   200  0  16


R2#show ip route eigrp
      172.16.0.0/24 is subnetted, 1 subnets
D        172.16.0.0 [90/1433600] via 172.16.0.1, 00:07:44, Virtual-Access1

前例に関しては、トンネルインターフェイスの下で 172.16.0.1 および 172.17.0.2 を直接設定することを試みるとき EIGRP は前にと同じエラーと丁度失敗します。

異なるサブネットの IKEv2 屈曲の EIGRP VPN

FlexVPN ハブ & スポーク 設定のための例はここにあります。 サーバはクライアントにおけるコンフィギュレーションモードによって IP アドレスを送信 します。

トポロジ: R1(e0/0: 172.16.0.1/24)-------(e0/1: 172.16.0.2/24) R2

ハブ(R1)設定:

aaa new-model
aaa authorization network LOCALIKEv2 local

crypto ikev2 authorization policy AUTHOR-POLICY
 pool POOL
!
crypto ikev2 keyring KEYRING
 peer R2
  address 172.16.0.2
  pre-shared-key CISCO
 !        

crypto ikev2 profile default
 match identity remote key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list LOCALIKEv2 AUTHOR-POLICY
 virtual-template 1

interface Loopback0
 ip address 1.1.1.1 255.255.255.0
!
interface Ethernet0/0
 ip address 172.16.0.1 255.255.255.0

interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default
!         
!
router eigrp 1
 network 1.1.1.1 0.0.0.0
 passive-interface default
 no passive-interface Virtual-Template1
!
ip local pool POOL 192.168.0.1 192.168.0.10

スポーク設定:

aaa new-model
aaa authorization network FLEX local

crypto ikev2 authorization policy FLEX
 route set interface
!
!
!
crypto ikev2 keyring KEYRING
 peer R1
  address 172.16.0.1
  pre-shared-key CISCO
 !        
!
!
crypto ikev2 profile default
 match identity remote address 172.16.0.1 255.255.255.255
 identity local key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list FLEX FLEX

interface Loopback0
 ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/0
 ip address 172.16.0.2 255.255.255.0

interface Tunnel0
 ip address negotiated
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 172.16.0.1
 tunnel protection ipsec profile default

router eigrp 1
 network 0.0.0.0
 passive-interface default
 no passive-interface Tunnel0

スポーク使用 SVTI すべてのスポークのために DVTI を使用するハブに接続するため。 Open Shortest Path First (OSPF)およびそれがインターフェイスの下でそれを設定して(SVTI か DVTI)できない程に適用範囲が広くない EIGRP がので EIGRP が Tun0 インターフェイスで有効に なるようにするために、ネットワーク 0.0.0.0 はスポークで使用されます。 受動インターフェイスは隣接関係が Tun0 インターフェイスでだけ形成されるようにするために使用されます。

この配備に関しては、ハブの ip unnumbered を設定することもまた必要です。 仮想テンプレートインターフェイスの下で IP アドレスを手動で設定するとき、仮想アクセスインターフェイスにクローンとして作られません。 それから、仮想アクセスインターフェイスに割り当てられる IP アドレスがないし EIGRP 隣接関係は形成しません。 EIGRP 隣接関係を形成するためにこういうわけで DVTI に ip unnumbered コマンドがインターフェイスします常に必要となります。

この例では、EIGRP 隣接関係は 1.1.1.1 と 192.168.0.9 の間で構築されます。

ハブのテスト:

R1#show ip int brief 
Interface              IP-Address      OK? Method Status                Protocol
Ethernet0/0            172.16.0.1      YES NVRAM  up                    up      
Ethernet0/1            unassigned      YES NVRAM  administratively down down    
Ethernet0/2            unassigned      YES NVRAM  administratively down down    
Ethernet0/3            unassigned      YES NVRAM  administratively down down    
Loopback0              1.1.1.1         YES manual up                    up         
Virtual-Access1        1.1.1.1         YES unset  up                    up      
Virtual-Template1      1.1.1.1         YES manual up                    down

R1#show crypto session
Crypto session current status

Interface: Virtual-Access1
Session status: UP-ACTIVE     
Peer: 172.16.0.2 port 500
  IKEv2 SA: local 172.16.0.1/500 remote 172.16.0.2/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H   Address             Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                               (sec)         (ms)       Cnt Num
0   192.168.0.9          Vi1                      10 01:28:49   12  1494  0  13

R1#show ip route eigrp
....
Gateway of last resort is not set

      2.0.0.0/24 is subnetted, 1 subnets
D        2.2.2.0 [90/27008000] via 192.168.0.9, 01:28:52, Virtual-Access1



スポーク見通しから、ip address negotiated コマンドは IP アドレス非番号 コマンドと同じをはたらかせ、サブネットの確認は無効です。 

スポークのテスト:

R2#show ip int brief 
Interface              IP-Address      OK? Method Status                Protocol
Ethernet0/0            172.16.0.2      YES NVRAM  up                    up      
Ethernet0/1            unassigned      YES NVRAM  administratively down down    
Ethernet0/2            unassigned      YES NVRAM  administratively down down    
Ethernet0/3            unassigned      YES NVRAM  administratively down down    
Loopback0              2.2.2.2         YES NVRAM  up                    up      
Tunnel0                192.168.0.9     YES NVRAM  up                    up

R2#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE     
Peer: 172.16.0.1 port 500
  IKEv2 SA: local 172.16.0.2/500 remote 172.16.0.1/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

R2#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H   Address             Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                               (sec)         (ms)       Cnt Num
0   1.1.1.1             Tu0                     14 01:30:18   15  1434  0  14

R2#show ip route eigrp
....
      1.0.0.0/24 is subnetted, 1 subnets
D        1.1.1.0 [90/27008000] via 1.1.1.1, 01:30:21



ルーティングにおけるコンフィギュレーションモード

インターネット鍵交換 バージョン 2 (IKEv2)はもう一つのオプションです。 ルーティングを押すためにコンフィギュレーションモードを使用することは可能性のあるです。 このシナリオでは、EIGRP および ip unnumbered コマンドは必要ではないです。

コンフィギュレーションモードによってそのルートを送信 するためにハブを設定するために前例を修正できます:

crypto ikev2 authorization policy AUTHOR-POLICY 
 pool POOL
 route set access-list SPLIT

ip access-list standard SPLIT
 permit 1.1.1.0 0.0.0.255

スポークはスタティックとして 1.1.1.1 を、ない EIGRP 見ます:

R2#show ip route
....
      1.0.0.0/24 is subnetted, 1 subnets
S        1.1.1.0 is directly connected, Tunnel0


反対方向の同じプロセスが動作する。 スポークはハブにルートを送信 します:

crypto ikev2 authorization policy FLEX 
 route set access-list SPLIT

ip access-list standard SPLIT
 permit 2.2.2.0 0.0.0.255

ワールド・トゥデイはスタティック(ない EIGRP)としてそれを見ます:

R1#show ip route 
....
      2.0.0.0/24 is subnetted, 1 subnets
S        2.2.2.0 is directly connected, Virtual-Access1

このシナリオに関しては、ダイナミック ルーティング プロトコルおよび ip unnumbered コマンドは必要ではないです。

異なるサブネットの SVTI セグメントの IPV6 EIGRP

IPv6 に関しては、状況は異なっています。 これは EIGRP か OSPF隣接を構築するために IPv6 リンク ローカル アドレス(FE80::/10)が使用されるという理由によります。 有効なリンク ローカル アドレスは同じ サブネットに、そうそこにですそれのために IPv6 非番号 コマンドを使用する必要常に属しません。

ここのトポロジーは前例のためと同じです、但し例外としてはすべての IPv4 アドレスは IPv6 アドレスと置き換えられます。

R1 設定:

interface Tunnel1
 no ip address
 ipv6 address FE80:1::1 link-local
 ipv6 address 2001:1::1/64
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode gre ipv6
 tunnel destination 2001::2

interface Loopback0
 description Simulate LAN
 no ip address
 ipv6 address 2001:100::1/64
 ipv6 enable
 ipv6 eigrp 100

interface Ethernet0/0
 no ip address
 ipv6 address 2001::1/64
 ipv6 enable

ipv6 router eigrp 100

R2 設定:

interface Tunnel1
 no ip address
 ipv6 address FE80:2::2 link-local
 ipv6 address 2001:2::2/64
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode gre ipv6
 tunnel destination 2001::1

interface Loopback0
 description Simulate LAN
 no ip address
 ipv6 address 2001:200::1/64
 ipv6 enable
 ipv6 eigrp 100

interface Ethernet0/0
 no ip address
 ipv6 address 2001::2/64
 ipv6 enable

ipv6 router eigrp 100

トンネル アドレスは異なるサブネットに(2001:1::1/64 および 2001:2::2/64)ありますが、それは重要ではないです。 リンク ローカル アドレスは隣接関係を構築するために使用されます。 これらのアドレスによって、それは常に成功します。

R1:

R1#show ipv6 int brief 
Ethernet0/0            [up/up]
    FE80::A8BB:CCFF:FE00:6400
    2001::1
Loopback0              [up/up]
    FE80::A8BB:CCFF:FE00:6400
    2001:100::1
Tunnel1                [up/up]
    FE80:1::1
    2001:1::1

R1#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H   Address             Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                               (sec)         (ms)       Cnt Num
0   Link-local address: Tu1                      12 00:13:58  821  4926  0  17
    FE80:2::2

R1#show ipv6 route eigrp
...
D   2001:2::/64 [90/28160000]
     via FE80:2::2, Tunnel1
D   2001:200::/64 [90/27008000]
     via FE80:2::2, Tunnel1

R2:

R2#show ipv6 int brief 
Ethernet0/0            [up/up]
    FE80::A8BB:CCFF:FE00:6500
    2001::2
Loopback0              [up/up]
    FE80::A8BB:CCFF:FE00:6500
    2001:200::1
Tunnel1                [up/up]
    FE80:2::2
    2001:2::2

R2#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H   Address             Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                               (sec)         (ms)       Cnt Num
0   Link-local address: Tu1                      14 00:15:31   21  1470  0  18
    FE80:1::1

R2#show ipv6 route eigrp
...
D   2001:1::/64 [90/28160000]
     via FE80:1::1, Tunnel1
D   2001:100::/64 [90/27008000]
     via FE80:1::1, Tunnel1

ピア IPv6 ネットワークは EIGRPプロセスによってインストールされます。 R1 で、2001:2::/64 ネットワークはインストールされ、そのネットワークは 2001:1::/64 より別のサブネットです。 同じは R2 で本当です。 たとえば、ピアIP アドレスのためのサブネットである 2001::1/64 はインストールされています。 IPv6 非番号 コマンドのためのここに必要がありません。 さらに、IPv6 address コマンドはトンネルインターフェイスで IPv6 enable コマンドで IPv6 を有効に するとき)リンク ローカル アドレスが使用されるので EIGRP 隣接関係を確立するために必要とされないし、(それらは自動的に生成されます。

異なるサブネットの IKEv2 屈曲の IPV6 EIGRP VPN

IPv6 のための DVTI 設定は IPv4 のためにと異なっています: 静的IP アドレスをもう設定することはできません。

R1(config)#interface Virtual-Template2 type tunnel
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 address ?
  autoconfig  Obtain address using autoconfiguration
  dhcp        Obtain a ipv6 address using dhcp
  negotiated  IPv6 Address negotiated via IKEv2 Modeconfig

R1(config-if)#ipv6 address

これは仮想アクセスインターフェイスへのスタティック アドレスが決してクローンとして作られないので、期待されます。 こういうわけで IPv6 非番号 コマンドはハブ 設定のために推奨され、IPv6 アドレスによってネゴシエートされるコマンドはスポーク設定のために推奨されます。

トポロジーは前例と同じです、但し例外としてはすべての IPv4 アドレスは IPv6 アドレスと置き換えられます。

ハブ(R1)設定:

aaa authorization network LOCALIKEv2 local 

crypto ikev2 authorization policy AUTHOR-POLICY
 ipv6 pool POOL

crypto ikev2 keyring KEYRING
 peer R2
  address 2001::2/64
  pre-shared-key CISCO
 
crypto ikev2 profile default
 match identity remote key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list LOCALIKEv2 AUTHOR-POLICY
 virtual-template 1

interface Loopback0
 no ip address
 ipv6 address 2001:100::1/64
 ipv6 enable
 ipv6 eigrp 100

interface Ethernet0/0
 no ip address
 ipv6 address 2001::1/64
 ipv6 enable

interface Virtual-Template1 type tunnel
 no ip address
 ipv6 unnumbered Loopback0
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv6
 tunnel protection ipsec profile default

ipv6 local pool POOL 2001:10::/64 64
ipv6 router eigrp 100
 eigrp router-id 1.1.1.1

スポーク(R2)設定:

aaa authorization network FLEX local

crypto ikev2 authorization policy FLEX
 route set interface

crypto ikev2 keyring KEYRING
 peer R1
  address 2001::1/64
  pre-shared-key CISCO

crypto ikev2 profile default
 match identity remote address 2001::1/64
 identity local key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list FLEX FLEX

interface Tunnel0
 no ip address
 ipv6 address negotiated
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv6
 tunnel destination 2001::1
 tunnel protection ipsec profile default
!
interface Ethernet0/0
 no ip address
 ipv6 address 2001::2/64
 ipv6 enable

ipv6 router eigrp 100
 eigrp router-id 2.2.2.2

確認:

R2#show ipv6 eigrp neighbors 
EIGRP-IPv6 Neighbors for AS(100)
H   Address             Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                               (sec)         (ms)       Cnt Num
0   Link-local address: Tu0                      11 00:12:32   17  1440  0  12
    FE80::A8BB:CCFF:FE00:6500

R2#show ipv6 route eigrp
....
D   2001:100::/64 [90/27008000]
     via FE80::A8BB:CCFF:FE00:6500, Tunnel0

R2#show crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation     
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Tunnel0
Uptime: 00:13:17
Session status: UP-ACTIVE     
Peer: 2001::1 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 2001::1
      Desc: (none)
  IKEv2 SA: local 2001::2/500
          remote 2001::1/500 Active
          Capabilities:(none) connid:1 lifetime:23:46:43
  IPSEC FLOW: permit ipv6 ::/0 ::/0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 190 drop 0 life (KB/Sec) 4271090/2803
        Outbound: #pkts enc'ed 194 drop 0 life (KB/Sec) 4271096/2803
 
R2#ping 2001:100::1 repeat 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 2001:100::1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/4/5 ms

R2#show crypto session detail   
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation     
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Tunnel0
Uptime: 00:13:27
Session status: UP-ACTIVE     
Peer: 2001::1 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 2001::1
      Desc: (none)
  IKEv2 SA: local 2001::2/500
          remote 2001::1/500 Active
          Capabilities:(none) connid:1 lifetime:23:46:33
  IPSEC FLOW: permit ipv6 ::/0 ::/0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 292 drop 0 life (KB/Sec) 4271071/2792
        Outbound: #pkts enc'ed 296 drop 0 life (KB/Sec) 4271082/2792

DVTI の場合、IPv6 は手動で設定することができません。 IPv6 非番号 コマンドはハブのために推奨され、IPv6 アドレスによってネゴシエートされるコマンドはスポークで推奨されます。

このシナリオは IPv6 に DVTI のための非番号 コマンドを示します。 、IPv4 に対する IPv6 のために、仮想テンプレートインターフェイスの IPv6 非番号 コマンドが必要ではないことに注意することは重要です。 この理由は IPv6 SVTI シナリオのためと同じです: リンク ローカル IPv6 アドレスは隣接関係を構築するために使用されます。 バーチャル テンプレートからクローンとして作られる仮想アクセスインターフェイスは IPv6 リンク ローカル アドレスおよびそれをです EIGRP 隣接関係を構築して十分受継ぎます。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

既知の警告

Cisco バグ ID CSCtx45062 FlexVPN: Eigrp はトンネル IP が /32 である場合よくあるサブネットをチェックするべきではありません。

この不具合および修正は FlexVPN 仕様ではないです。 修正(ソフトウェア リリース 15.1)を設定する前にこのコマンドを入力して下さい:

R2(config-if)#do show run int tun1
Building configuration...

Current configuration : 165 bytes

interface Tunnel1
 tunnel source Ethernet0/0
 tunnel destination 192.168.0.1
 tunnel protection ipsec profile prof1

R2(config-if)#ip address 192.168.200.1 255.255.255.255
Bad mask /32 for address 192.168.200.1

修正(15.3) ソフトウェアの後でこのコマンドを入力して下さい:

R2(config-if)#do show run int tun1
Building configuration...

Current configuration : 165 bytes

interface Tunnel1
 tunnel source Ethernet0/0
 tunnel destination 192.168.0.1
 tunnel protection ipsec profile prof1

R2(config-if)#ip address 192.168.200.1 255.255.255.255
R2(config-if)#
*Jun 14 18:01:12.395: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor
192.168.100.1 (Tunnel1) is up: new adjacency

実際にソフトウェア リリース 15.3 に 2 つの変更があります:

  • ネットマスク /32 はすべての IP アドレスのために受け入れられます。
  • /32 アドレスを使用するとき EIGRPネイバのサブネット 確認がありません。

要約

EIGRP 動作は ip unnumbered コマンドによって変更されます。 それは同じ サブネットがあるように EIGRP 隣接関係を確立する間、確認しますディセーブルにします。

バーチャル テンプレートの DVTIs 構成されたIPアドレスを静的に使用するとき、virtual-access にクローンとして作られないことを覚えておくこともまた重要です。 こういうわけで ip unnumbered コマンドは必要です。

FlexVPN に関しては、クライアントのネゴシエートされたアドレスを使用するとき ip unnumbered コマンドを使用する必要性がありません。 しかし EIGRP を使用するとき、ハブでそれを使用することは重要です。 ルーティングのためにコンフィギュレーションモードを使用するとき、EIGRP は必要ではないです。

SVTI に関しては、IPv6 は隣接関係のためにリンク ローカル アドレスを使用し、IPv6 非番号 コマンドを使用する必要がありません。

DVTI の場合、IPv6 は手動で設定することができません。 IPv6 非番号 コマンドはハブのために推奨され、IPv6 アドレスによってネゴシエートされるコマンドはスポークで推奨されます。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116346