セキュリティ : Cisco FlexVPN

"IP[v6] 非番号」コマンド 設定例の SVTI、DVTI および IKEv2 FlexVPN の EIGRP

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、Cisco IOS® でよく発生するいくつかのシナリオにおける Enhanced Interior Gateway Routing Protocol(EIGRP)の設定方法について説明します。 Cisco IOS では、EIGRP ネイバー隣接関係(アジャセンシー)を受け入れるために、同じサブネット内の IP アドレスから EIGRP HELLO パケットを取得する必要があります。 この確認は、ip unnumbered コマンドを使用して無効にすることができます。

この記事の最初の部分では、EIGRP で同じサブネット内にないパケットを受信した場合に発生する EIGRP の障害について説明しています。

もう 1 つの例では、この確認を無効にし、EIGRP で異なるサブネットに属しているピア間の隣接関係を形成できるようにする ip unnumbered コマンドの使用方法を示しています。

この記事では、サーバから送信される IP アドレスを使用した、FlexVPN のハブ アンド スポークの導入についても説明しています。 このシナリオの場合、サブネットの確認は、ip address negotiated コマンドについてだけでなく ip unnumbered コマンドについても無効になります。 ip unnumbered コマンドは、ポイントツーポイント(P2P)タイプのインターフェイスに主に使用します。このコマンドは、P2P アーキテクチャに基づくため、FlexVPN が最適なものになります。

最後に、IPv6 でのシナリオについて、スタティック仮想トンネル インターフェイス(SVTI)とダイナミック仮想トンネル インターフェイス(DVTI)の両方に関する相違とともに説明します。 IPv6 を IPv4 シナリオと比較すると、動作に若干の変更があります。

また、Cisco IOS バージョン 15.1 と 15.3 の間での変更についても説明しています(Cisco Bug ID CSCtx45062)。

DVTI では、ip unnumbered コマンドが必ず必要になります。 これは、仮想テンプレート インターフェイスに静的に設定された IP アドレスが、仮想アクセス インターフェイスに複製されることはないためです。 また、IP アドレスが設定されていないインターフェイスでは、ダイナミック ルーティング プロトコルの隣接関係を確立できません。 ip unnumbered コマンドは SVTI では必要になりませんが、そのサブネットがないと、ダイナミック ルーティング プロトコルの隣接関係が確立される際に確認が実行されます。 また、ipv6 unnumbered コマンドも IPv6 シナリオで不要です。これは、EIGRP 隣接関係を作成するためにリンクローカル アドレスが使用されるためです。

担当者、Michal Garcarz および Olivier Pelerin、Cisco TAC エンジニア。

前提条件

要件

Cisco では、次の項目について基本的な知識があることを推奨しています。

  • Cisco IOS の VPN 設定
  • Cisco IOS での FlexVPN 設定

使用するコンポーネント

このドキュメントの情報は、Cisco IOS バージョン 15.3T に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

異なるサブネットを持つ 1 つのイーサネット セグメントでの EIGRP

トポロジ: ルータ 1(R1)(e0/0: 10.0.0.1/24)-------(e0/1: 10.0.1.2/24)ルータ 2(R2)

R1:
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0

router eigrp 100
network 10.0.0.1 0.0.0.0

R2:
interface Ethernet0/0
ip address 10.0.1.2 255.255.255.0

router eigrp 100
network 10.0.1.2 0.0.0.0

R1 では、次のように表示します。

*Mar 3 16:39:34.873: EIGRP: Received HELLO on Ethernet0/0 nbr 10.0.1.2
*Mar 3 16:39:34.873:   AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:39:34.873: EIGRP-IPv4(100): Neighbor 10.0.1.2 not on common subnet
for Ethernet0/0

Cisco IOS では、想定した隣接関係を形成しません。 これに関する詳細は、「EIGRP の "Not On Common Subnet" というメッセージの意味は?」という 記事を参照してください。

異なるサブネットを持つ SVTI セグメントでの EIGRP

同じ状況が、仮想トンネル インターフェイス(VTI)(Generic Routing Encapsulation(GRE)トンネル)を使用する場合に発生します。

トポロジ: R1(Tun1: 172.16.0.1/24)-------(Tun1: 172.17.0.2/24)R2

R1:
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0
 
interface Tunnel1
 ip address 172.16.0.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.2

router eigrp 100
 network 172.16.0.1 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R2:
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
 
interface Tunnel1
 ip address 172.17.0.2 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.1

router eigrp 100
 network 172.17.0.2 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R1 では、次のように表示します。

*Mar  3 16:41:52.167: EIGRP: Received HELLO on Tunnel1 nbr 172.17.0.2
*Mar  3 16:41:52.167:   AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar  3 16:41:52.167: EIGRP-IPv4(100): Neighbor 172.17.0.2 not on common subnet
for Tunnel1

これは正常な動作です。

IP アンナンバード コマンド(ip unnumbered)の使用

次の例では、確認を無効にし、異なるサブネットのピア間での EIGRP セッションの確立を可能にする ip unnumbered コマンドの使用方法を示しています。

トポロジは前の例と似ていますが、この場合はトンネルのアドレスが、ループバックを指している ip unnumbered コマンドによって定義されています。

トポロジ: R1(Tun1: 172.16.0.1/24)-------(Tun1: 172.17.0.2/24)R2

R1:
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0
 
interface Loopback0
 ip address 172.16.0.1 255.255.255.0

interface Tunnel1
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.2

router eigrp 100
 network 172.16.0.1 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R2:
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0

interface Loopback0
 ip address 172.17.0.2 255.255.255.0

interface Tunnel1
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.1

router eigrp 100
 network 172.17.0.2 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R1 では、次のように表示します。

*Mar  3 16:50:39.046: EIGRP: Received HELLO on Tunnel1 nbr 172.17.0.2
*Mar  3 16:50:39.046:   AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar  3 16:50:39.046: EIGRP: New peer 172.17.0.2
*Mar  3 16:50:39.046: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 172.17.0.2
(Tunnel1) is up: new adjacency


R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   172.17.0.2              Tu1               12 00:00:07    7  1434  0  13

R1#show ip route eigrp
      172.17.0.0/24 is subnetted, 1 subnets
D        172.17.0.0 [90/27008000] via 172.17.0.2, 00:00:05, Tunnel1

R1#show ip int brief
Interface                  IP-Address      OK? Method Status                Protocol
Ethernet0/0                10.0.0.1         YES manual up                    up      
Loopback0                172.16.0.1      YES manual up                    up      
Tunnel1                    172.16.0.1      YES TFTP  up                    up 

R2 でも、これと同様です。

ip unnumbered コマンドを特定の IP アドレス設定に変更すると、EIGRP 隣接関係は形成されません。

異なるサブネットを持つ SVTI から DVTI へのセグメントでの EIGRP 

この例でも ip unnumbered コマンドが使用されています。 前に説明したルールが DVTI にも適用されます。

トポロジ: R1(Tun1: 172.16.0.1/24)-------(仮想テンプレート: 172.17.0.2/24)R2

前の例が、ここでは SVTI の代わりに DVTI を使用するために変更されています。 また、この例では tunnel protection(トンネル保護)も追加されています。

R1:
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto ipsec profile prof
 set transform-set TS
!
interface Loopback0
 ip address 172.16.0.1 255.255.255.0
!
interface Tunnel1
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.2
 tunnel protection ipsec profile prof
!
router eigrp 100
 network 172.16.0.1 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R2:
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto isakmp profile profLAN
   keyring default
   match identity address 10.0.0.1 255.255.255.255
   virtual-template 1
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto ipsec profile profLAN
 set transform-set TS
 set isakmp-profile profLAN
 
interface Loopback0
 ip address 172.17.0.2 255.255.255.0
!
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile profLAN
!
!
router eigrp 100
 network 172.17.0.2 0.0.0.0
 passive-interface default
 no passive-interface Virtual-Template1

次に示すように、すべてが想定どおりに機能しています。

R1#show crypto session 
Crypto session current status
Interface: Tunnel1
Session status: UP-ACTIVE     
Peer: 10.0.0.2 port 500
  IKEv1 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map


R1#show crypto ipsec sa
interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 10.0.0.1
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 10.0.0.2 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 89, #pkts encrypt: 89, #pkts digest: 89
    #pkts decaps: 91, #pkts decrypt: 91, #pkts verify: 91

   
R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
0   172.17.0.2              Tu1               13 00:06:31    7  1434  0  19

R1#show ip route eigrp
      172.17.0.0/24 is subnetted, 1 subnets
D        172.17.0.0 [90/27008000] via 172.17.0.2, 00:06:35, Tunnel1




R2#show crypto session
Crypto session current status
Interface: Virtual-Access1
Profile: profLAN
Session status: UP-ACTIVE     
Peer: 10.0.0.1 port 500
  IKEv1 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map


R2#show crypto ipsec sa
interface: Virtual-Access1
    Crypto map tag: Virtual-Access1-head-0, local addr 10.0.0.2
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
   current_peer 10.0.0.1 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 107, #pkts encrypt: 107, #pkts digest: 107
    #pkts decaps: 105, #pkts decrypt: 105, #pkts verify: 105
 
 
R2#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
0   172.16.0.1              Vi1               13 00:07:41   11   200  0  16


R2#show ip route eigrp
      172.16.0.0/24 is subnetted, 1 subnets
D        172.16.0.0 [90/1433600] via 172.16.0.1, 00:07:44, Virtual-Access1

前の各例では、トンネル インターフェイスで直接 172.16.0.1 と 172.17.0.2 を設定しようとすると、EIGRP が前のエラーとまったく同じエラーで失敗します。

異なるサブネットを持つ IKEv2 Flex VPN の EIGRP

以下に FlexVPN ハブ アンド スポーク構成の例を示します。 サーバでは、コンフィギュレーション モードによって IP アドレスをクライアントに送信します。

トポロジ: R1(e0/0: 172.16.0.1/24)-------(e0/1: 172.16.0.2/24)R2

ハブ(R1)の設定:

aaa new-model
aaa authorization network LOCALIKEv2 local

crypto ikev2 authorization policy AUTHOR-POLICY
 pool POOL
!
crypto ikev2 keyring KEYRING
 peer R2
  address 172.16.0.2
  pre-shared-key CISCO
 !        

crypto ikev2 profile default
 match identity remote key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list LOCALIKEv2 AUTHOR-POLICY
 virtual-template 1

interface Loopback0
 ip address 1.1.1.1 255.255.255.0
!
interface Ethernet0/0
 ip address 172.16.0.1 255.255.255.0

interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default
!         
!
router eigrp 1
 network 1.1.1.1 0.0.0.0
 passive-interface default
 no passive-interface Virtual-Template1
!
ip local pool POOL 192.168.0.1 192.168.0.10

スポークの設定:

aaa new-model
aaa authorization network FLEX local

crypto ikev2 authorization policy FLEX
 route set interface
!
!
!
crypto ikev2 keyring KEYRING
 peer R1
  address 172.16.0.1
  pre-shared-key CISCO
 !        
!
!
crypto ikev2 profile default
 match identity remote address 172.16.0.1 255.255.255.255
 identity local key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list FLEX FLEX

interface Loopback0
 ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/0
 ip address 172.16.0.2 255.255.255.0

interface Tunnel0
 ip address negotiated
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 172.16.0.1
 tunnel protection ipsec profile default

router eigrp 1
 network 0.0.0.0
 passive-interface default
 no passive-interface Tunnel0

スポークでは、すべてのスポークに対して DVTI を使用するハブに接続するために、SVTI が使用されています。 EIGRP は Open Shortest Path First(OSPF)ほど柔軟性がなく、またインターフェイス(SVTI または DVTI)で設定できないため、EIGRP が Tun0 インターフェイスで確実に有効になるように、スポークには network 0.0.0.0 が使用されています。 隣接関係が Tun0 インターフェイスに対してのみ確実に構成されるように、パッシブ インターフェイスが使用されています。

この導入では、ハブに ip unnumbered を設定することも必要です。 仮想テンプレート インターフェイスで IP アドレスを手動で設定すると、そのアドレスは仮想アクセス インターフェイスに複製されません。 また、仮想アクセス インターフェイスに IP アドレスが割り当てられず、EIGRP 隣接関係も形成されません。 このため、DVTI インターフェイスが EIGRP 隣接関係を形成するために、ip unnumbered コマンドが必ず必要になります。

次の例では、EIGRP 隣接関係が 1.1.1.1 と 192.168.0.9 の間で作成されています。

ハブでのテスト:

R1#show ip int brief 
Interface              IP-Address      OK? Method Status                Protocol
Ethernet0/0            172.16.0.1      YES NVRAM  up                    up      
Ethernet0/1            unassigned      YES NVRAM  administratively down down    
Ethernet0/2            unassigned      YES NVRAM  administratively down down    
Ethernet0/3            unassigned      YES NVRAM  administratively down down    
Loopback0              1.1.1.1         YES manual up                    up         
Virtual-Access1        1.1.1.1         YES unset  up                    up      
Virtual-Template1      1.1.1.1         YES manual up                    down

R1#show crypto session
Crypto session current status

Interface: Virtual-Access1
Session status: UP-ACTIVE     
Peer: 172.16.0.2 port 500
  IKEv2 SA: local 172.16.0.1/500 remote 172.16.0.2/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H   Address             Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                               (sec)         (ms)       Cnt Num
0   192.168.0.9          Vi1                      10 01:28:49   12  1494  0  13

R1#show ip route eigrp
....
Gateway of last resort is not set

      2.0.0.0/24 is subnetted, 1 subnets
D        2.2.2.0 [90/27008000] via 192.168.0.9, 01:28:52, Virtual-Access1



スポークにとって、ip address negotiated コマンドは ip address unnumbered コマンドと同様に機能し、サブネットの確認は無効になります。 

スポークでのテスト:

R2#show ip int brief 
Interface              IP-Address      OK? Method Status                Protocol
Ethernet0/0            172.16.0.2      YES NVRAM  up                    up      
Ethernet0/1            unassigned      YES NVRAM  administratively down down    
Ethernet0/2            unassigned      YES NVRAM  administratively down down    
Ethernet0/3            unassigned      YES NVRAM  administratively down down    
Loopback0              2.2.2.2         YES NVRAM  up                    up      
Tunnel0                192.168.0.9     YES NVRAM  up                    up

R2#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE     
Peer: 172.16.0.1 port 500
  IKEv2 SA: local 172.16.0.2/500 remote 172.16.0.1/500 Active
  IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
        Active SAs: 2, origin: crypto map

R2#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H   Address             Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                               (sec)         (ms)       Cnt Num
0   1.1.1.1             Tu0                     14 01:30:18   15  1434  0  14

R2#show ip route eigrp
....
      1.0.0.0/24 is subnetted, 1 subnets
D        1.1.1.0 [90/27008000] via 1.1.1.1, 01:30:21



ルーティングのコンフィギュレーション モード

インターネット キー エクスチェンジ バージョン 2(IKEv2)は、もう 1 つのオプションです。 ルートをプッシュするために、コンフィギュレーション モードを使用できます。 このシナリオでは、EIGRP と ip unnumbered コマンドは不要です。

前の例は、コンフィギュレーション モードによってそのルートを送信するようにハブを設定するために、次のように変更できます。

crypto ikev2 authorization policy AUTHOR-POLICY 
 pool POOL
 route set access-list SPLIT

ip access-list standard SPLIT
 permit 1.1.1.0 0.0.0.255

次に示すように、スポークでは 1.1.1.1 を EIGRP ではなく、スタティックと見なします。

R2#show ip route
....
      1.0.0.0/24 is subnetted, 1 subnets
S        1.1.1.0 is directly connected, Tunnel0


同じプロセスが反対方向に機能します。 次に示すように、スポークではハブにルートを送信します。

crypto ikev2 authorization policy FLEX 
 route set access-list SPLIT

ip access-list standard SPLIT
 permit 2.2.2.0 0.0.0.255

次に示すように、ハブではそのルートを(EIGRP ではなく)スタティックと見なします。

R1#show ip route 
....
      2.0.0.0/24 is subnetted, 1 subnets
S        2.2.2.0 is directly connected, Virtual-Access1

このシナリオでは、ダイナミック ルーティング プロトコルと ip unnumbered コマンドは不要です。

異なるサブネットを持つ SVTI セグメントの IPv6 EIGRP

IPv6 の場合、状況は異なります。 これは、IPv6 リンクローカル アドレス(FE80::/10)が EIGRP または OSPF の隣接関係を作成するために使用されるためです。 有効なリンクローカル アドレスが常に同じサブネットに属しているため、このアドレスに対して ipv6 unnumbered コマンドを使用する必要はありません。

次の例のトポロジは前の例の場合と同じですが、すべての IPv4 アドレスが IPv6 アドレスに置き換えられています。

R1 の設定:

interface Tunnel1
 no ip address
 ipv6 address FE80:1::1 link-local
 ipv6 address 2001:1::1/64
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode gre ipv6
 tunnel destination 2001::2

interface Loopback0
 description Simulate LAN
 no ip address
 ipv6 address 2001:100::1/64
 ipv6 enable
 ipv6 eigrp 100

interface Ethernet0/0
 no ip address
 ipv6 address 2001::1/64
 ipv6 enable

ipv6 router eigrp 100

R2 の設定:

interface Tunnel1
 no ip address
 ipv6 address FE80:2::2 link-local
 ipv6 address 2001:2::2/64
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode gre ipv6
 tunnel destination 2001::1

interface Loopback0
 description Simulate LAN
 no ip address
 ipv6 address 2001:200::1/64
 ipv6 enable
 ipv6 eigrp 100

interface Ethernet0/0
 no ip address
 ipv6 address 2001::2/64
 ipv6 enable

ipv6 router eigrp 100

トンネル アドレスは異なるサブネット(2001:1::1/64 および 2001:2::2/64)にありますが、これは重要ではありません。 リンクローカル アドレスは、隣接関係を作成するために使用されています。 これらのアドレスを使用すれば、隣接関係の形成は常に成功します。

R1 で次のようにコマンドを入力します。

R1#show ipv6 int brief 
Ethernet0/0            [up/up]
    FE80::A8BB:CCFF:FE00:6400
    2001::1
Loopback0              [up/up]
    FE80::A8BB:CCFF:FE00:6400
    2001:100::1
Tunnel1                [up/up]
    FE80:1::1
    2001:1::1

R1#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H   Address             Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                               (sec)         (ms)       Cnt Num
0   Link-local address: Tu1                      12 00:13:58  821  4926  0  17
    FE80:2::2

R1#show ipv6 route eigrp
...
D   2001:2::/64 [90/28160000]
     via FE80:2::2, Tunnel1
D   2001:200::/64 [90/27008000]
     via FE80:2::2, Tunnel1

R2 で次のようにコマンドを入力します。

R2#show ipv6 int brief 
Ethernet0/0            [up/up]
    FE80::A8BB:CCFF:FE00:6500
    2001::2
Loopback0              [up/up]
    FE80::A8BB:CCFF:FE00:6500
    2001:200::1
Tunnel1                [up/up]
    FE80:2::2
    2001:2::2

R2#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H   Address             Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                               (sec)         (ms)       Cnt Num
0   Link-local address: Tu1                      14 00:15:31   21  1470  0  18
    FE80:1::1

R2#show ipv6 route eigrp
...
D   2001:1::/64 [90/28160000]
     via FE80:1::1, Tunnel1
D   2001:100::/64 [90/27008000]
     via FE80:1::1, Tunnel1

ピアの IPv6 ネットワークは、EIGRP プロセスによってインストールされます。 R1 上では 2001:2::/64 ネットワークがインストールされ、このネットワークは 2001:1::/64 とは異なるサブネットです。 R2 にも同じことが当てはまります。 たとえば、2001::1/64 がインストールされ、これはそのピアの IP アドレスのサブネットです。 この場合、ipv6 unnumbered コマンドは必要ありません。 また、EIGRP 隣接関係を確立するためにトンネル インターフェイスで ipv6 address コマンドは必要ありません。これは、リンクローカル アドレスが使用され(および、これらが、ipv6 enable コマンドを使用して IPv6 を有効にした際に自動的に生成され)るためです。

異なるサブネットを持つ IKEv2 Flex VPN の IPv6 EIGRP

IPv6 用の DVTI 設定は、IPv4 の場合の設定とは異なります。 静的 IP アドレスを設定することはできなくなりました。

R1(config)#interface Virtual-Template2 type tunnel
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 address ?
  autoconfig  Obtain address using autoconfiguration
  dhcp        Obtain a ipv6 address using dhcp
  negotiated  IPv6 Address negotiated via IKEv2 Modeconfig

R1(config-if)#ipv6 address

これは、静的アドレスが仮想アクセス インターフェイスに複製されないため予想できます。 このため、ハブの設定には ipv6 unnumbered コマンドが推奨され、スポークの設定には ipv6 address negotiated コマンドが推奨されます。

トポロジは前の例と同じですが、すべての IPv4 アドレスが IPv6 アドレスに置き換えられています。

ハブ(R1)の設定:

aaa authorization network LOCALIKEv2 local 

crypto ikev2 authorization policy AUTHOR-POLICY
 ipv6 pool POOL

crypto ikev2 keyring KEYRING
 peer R2
  address 2001::2/64
  pre-shared-key CISCO
 
crypto ikev2 profile default
 match identity remote key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list LOCALIKEv2 AUTHOR-POLICY
 virtual-template 1

interface Loopback0
 no ip address
 ipv6 address 2001:100::1/64
 ipv6 enable
 ipv6 eigrp 100

interface Ethernet0/0
 no ip address
 ipv6 address 2001::1/64
 ipv6 enable

interface Virtual-Template1 type tunnel
 no ip address
 ipv6 unnumbered Loopback0
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv6
 tunnel protection ipsec profile default

ipv6 local pool POOL 2001:10::/64 64
ipv6 router eigrp 100
 eigrp router-id 1.1.1.1

スポーク(R2)の設定:

aaa authorization network FLEX local

crypto ikev2 authorization policy FLEX
 route set interface

crypto ikev2 keyring KEYRING
 peer R1
  address 2001::1/64
  pre-shared-key CISCO

crypto ikev2 profile default
 match identity remote address 2001::1/64
 identity local key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list FLEX FLEX

interface Tunnel0
 no ip address
 ipv6 address negotiated
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv6
 tunnel destination 2001::1
 tunnel protection ipsec profile default
!
interface Ethernet0/0
 no ip address
 ipv6 address 2001::2/64
 ipv6 enable

ipv6 router eigrp 100
 eigrp router-id 2.2.2.2

確認:

R2#show ipv6 eigrp neighbors 
EIGRP-IPv6 Neighbors for AS(100)
H   Address             Interface              Hold Uptime   SRTT   RTO  Q  Seq
                                               (sec)         (ms)       Cnt Num
0   Link-local address: Tu0                      11 00:12:32   17  1440  0  12
    FE80::A8BB:CCFF:FE00:6500

R2#show ipv6 route eigrp
....
D   2001:100::/64 [90/27008000]
     via FE80::A8BB:CCFF:FE00:6500, Tunnel0

R2#show crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation     
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Tunnel0
Uptime: 00:13:17
Session status: UP-ACTIVE     
Peer: 2001::1 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 2001::1
      Desc: (none)
  IKEv2 SA: local 2001::2/500
          remote 2001::1/500 Active
          Capabilities:(none) connid:1 lifetime:23:46:43
  IPSEC FLOW: permit ipv6 ::/0 ::/0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 190 drop 0 life (KB/Sec) 4271090/2803
        Outbound: #pkts enc'ed 194 drop 0 life (KB/Sec) 4271096/2803
 
R2#ping 2001:100::1 repeat 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 2001:100::1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/4/5 ms

R2#show crypto session detail   
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection     
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation     
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Tunnel0
Uptime: 00:13:27
Session status: UP-ACTIVE     
Peer: 2001::1 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: 2001::1
      Desc: (none)
  IKEv2 SA: local 2001::2/500
          remote 2001::1/500 Active
          Capabilities:(none) connid:1 lifetime:23:46:33
  IPSEC FLOW: permit ipv6 ::/0 ::/0
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 292 drop 0 life (KB/Sec) 4271071/2792
        Outbound: #pkts enc'ed 296 drop 0 life (KB/Sec) 4271082/2792

DVTI の場合、IPv6 を手動で設定することはできません。 ハブには ipv6 unnumbered コマンドが推奨され、スポークには ipv6 address negotiated コマンドが推奨されます。

このシナリオでは、DVTI 用の ipv6 unnumbered コマンドを示しています。 IPv6 の場合、IPv4 とは異なり、仮想テンプレート インターフェイスに対して ipv6 unnumbered コマンドが不要なことに注目することが重要です。 この理由は、IPv6 の SVTI シナリオの場合と同じです。 つまり、リンクローカル IPv6 アドレスが隣接関係の作成に使用されます。 仮想テンプレートから複製された仮想アクセス インターフェイスでは IPv6 リンクローカル アドレスを継承し、そのアドレスがあれば EIGRP 隣接関係を作成できます。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

既知の警告

Cisco Bug ID CSCtx45062 FlexVPN: トンネルの IP アドレスが /32 の場合に、EIGRP が共通のサブネットをチェックしません。

このバグおよび修正は、FlexVPN 固有のものではありません。 修正(ソフトウェア リリース 15.1)を実装する前に、次のコマンドを入力します。

R2(config-if)#do show run int tun1
Building configuration...

Current configuration : 165 bytes

interface Tunnel1
 tunnel source Ethernet0/0
 tunnel destination 192.168.0.1
 tunnel protection ipsec profile prof1

R2(config-if)#ip address 192.168.200.1 255.255.255.255
Bad mask /32 for address 192.168.200.1

修正(ソフトウェア 15.3)後に、次のコマンドを入力します。

R2(config-if)#do show run int tun1
Building configuration...

Current configuration : 165 bytes

interface Tunnel1
 tunnel source Ethernet0/0
 tunnel destination 192.168.0.1
 tunnel protection ipsec profile prof1

R2(config-if)#ip address 192.168.200.1 255.255.255.255
R2(config-if)#
*Jun 14 18:01:12.395: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor
192.168.100.1 (Tunnel1) is up: new adjacency

実際にはソフトウェア リリース 15.3 には次の 2 つの変更があります。

  • Netmask /32 がすべての IP アドレスで受け入れられる。
  • /32 アドレスを使用する場合、EIGRP ネイバーのサブネットは確認されない。

要約

EIGRP の動作は、ip unnumbered コマンドによって変更されます。 このコマンドでは、EIGRP の隣接関係を確立すると同時に、同じサブネットのチェックを無効にします。

仮想テンプレートに DVTI の静的に設定された IP アドレスを使用する場合、そのアドレスは仮想アクセスに複製されないことに注意することも重要です。 このため、ip unnumberedが必要です。

FlexVPN については、クライアントでネゴシエートされたアドレスを使用する場合に、ip unnumbered コマンドを使用する必要はありません。 しかし、EIGRP を使用する場合は、ハブでこのコマンドを使用することが重要です。 ルーティングにコンフィギュレーション モードを使用する場合は、EIGRP は不要です。

SVTI の場合、IPv6 では隣接関係にリンクローカル アドレスを使用するため、ipv6 unnumbered コマンドを使用する必要はありません。

DVTI の場合、IPv6 を手動で設定することはできません。 ハブには ipv6 unnumbered コマンドが推奨され、スポークには ipv6 address negotiated コマンドが推奨されます。

関連情報



Document ID: 116346