セキュリティ : Cisco FlexVPN

FlexVPN ソフト移行 設定例への DMVPN

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Dynamic Multipoint VPN (DMVPN)および FlexVPN が両方回避策のための必要なしでデバイスで同時に動作する記述され、設定例を提供しますソフト移行を行う方法を。 

: この資料は FlexVPN 移行に説明がある概念で拡張します: DMVPN からの同じデバイスおよび FlexVPN 移行の FlexVPN へのハードな移: DMVPN からの異なるハブ Cisco の 記事の FlexVPN へのハードな移。 両方の文書は移行の間にトラフィックに中断を引き起こすハードな移行を記述します。 これらの技術情報の制限は今調整される Cisco IOS ® ソフトウェアの不足が原因です。

著者:Cisco TAC エンジニア、Marcin Latosiewicz

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • DMVPN
  • FlexVPN

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 統合サービス ルータ(ISR)バージョン 15.3(3)M または それ 以降
  • Cisco 1000 シリーズ集約されたサービス ルータ(ASR1K)リリース 3.10 またはそれ以降 

: ないすべてのソフトウェア および ハードウェア サポート インターネット鍵交換 バージョン 2 (IKEv2)。 詳細は、『Cisco Feature Navigator』を参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

より新しい Cisco IOSプラットフォームおよびソフトウェアの長所の 1 つは次世代 暗号解読法を使用する機能です。 例は RFC 4106 に記述されているように IPsec の暗号化における Galois/カウンター モード(GCM)の Advanced Encryption Standard (AES)の使用、です。 AES GCM はハードウェアの大いにより速い暗号化速度を割り当てます。

: 使用のおよび次世代 暗号解読法への移行についてのその他の情報に関しては、次世代 暗号化 Cisco の 記事を参照して下さい。

設定

この設定例は DMVPN フェーズ 3 設定からの FlexVPN に移行に設計が両方とも同様にはたらくので、焦点を合わせます。 

 DMVPN フェーズ 2DMVPN フェーズ 3FlexVPN
トランスポートGRE Over IPSecGRE Over IPSecGRE Over IPSec、VTI
NHRP 使用方法登録および解決登録および解決解決策
スポークからのネクスト ホップ他のスポークかハブハブからの概略ハブからの概略
NHRP ショートカット切り替えなしはい(オプションの)
NHRP リダイレクションなし
IKE および IPsecIPsec オプションの、典型的な IKEv1IPsec オプションの、典型的な IKEv1 IPsec、IKEv2 

ネットワーク図

このセクションは転送するおよびオーバーレイ ネットワークダイアグラムを両方提供します。

転送ネットワーク ダイアグラム

この例で使用される転送ネットワークは接続される 2 つのスポークが付いている単一ハブが含まれています。 デバイスすべてはインターネットを模倣するネットワークによって接続されます。 

オーバーレイ ネットワークダイアグラム

この例で使用されるオーバーレイ・ネットワークは接続される 2 つのスポークが付いている単一ハブが含まれています。 DMVPN および FlexVPN が両方同時にアクティブであるが、使用します異なる IP アドレス領域をことを覚えていて下さい。 

設定

この設定は Border Gateway Protocol (BGP)の FlexVPN に Enhanced Interior Gateway Routing Protocol (EIGRP)によって DMVPN フェーズ 3 の最も普及した配備を移行します。 Cisco は配備をよりよくスケーリングする可能にするので、FlexVPN の BGP の使用を推奨します。 

: ハブは同じ IP アドレスの IKEv1 (DMVPN)および IKEv2 (FlexVPN)セッションを終了します。 これは最近の Cisco IOS リリースとだけ可能性のあるです。

スポークの設定 

これは IKEv1 および IKEv2 両方の相互運用を可能にする、また転送するのために共存するために IPsec 上の総称ルーティング カプセル化(GRE)を使用する 2 つのフレームワークです 2 つの著しい例外を除く非常に基本設定。

: Internet Security Association and Key Management Protocol(ISAKMP)への関連した変更および IKEv2 設定は太字で強調表示されています。

crypto keyring DMVPN_IKEv1
pre-shared-key address 0.0.0.0 0.0.0.0 key cisco

crypto logging session

crypto ikev2 keyring Flex_key
peer Spokes
address 0.0.0.0 0.0.0.0
pre-shared-key local cisco
pre-shared-key remote cisco

crypto ikev2 profile Flex_IKEv2
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local Flex_key
aaa authorization group psk list default default
virtual-template 1

crypto ikev2 dpd 30 5 on-demand

crypto isakmp policy 10
encr aes
authentication pre-share

crypto isakmp keepalive 30 5

crypto isakmp profile DMVPN_IKEv1
keyring DMVPN_IKEv1
match identity address 0.0.0.0

crypto ipsec transform-set IKEv1 esp-aes esp-sha-hmac
mode transport
crypto ipsec profile DMVPN_IKEv1
set transform-set IKEv1
set isakmp-profile DMVPN_IKEv1

crypto ipsec profile default
set ikev2-profile Flex_IKEv2
interface Tunnel0
desciption DMVPN tunnel
ip address 10.0.0.101 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp map 10.0.0.1 172.25.1.1
ip nhrp map multicast 172.25.1.1
ip nhrp network-id 1
ip nhrp holdtime 900
ip nhrp nhs 10.0.0.1
ip nhrp shortcut
ip tcp adjust-mss 1360
tunnel source Ethernet0/0
tunnel mode gre multipoint
tunnel key 0
tunnel protection ipsec profile DMVPN_IKEv1 isakmp-profile DMVPN_IKEv1
interface Tunnel1
description FlexVPN spoke-to-hub tunnel
ip address negotiated
ip mtu 1400
ip nhrp network-id 2
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel source Ethernet0/0
tunnel destination 172.25.1.1
tunnel protection ipsec profile default ikev2-profile Flex_IKEv2
interface Virtual-Template1 type tunnel
description FlexVPN spoke-to-spoke
ip unnumbered Ethernet1/0
ip mtu 1400
ip nhrp network-id 2
ip nhrp shortcut virtual-template 1
ip nhrp redirect
ip tcp adjust-mss 1360
tunnel protection ipsec profile default ikev2-profile Flex_IKEv2

Cisco IOS Release 15.3 はトンネル フラッド プロテクショ ン設定で IKEv2 および ISAKMP プロファイルを両方接続することを可能にします。 コードへのいくつかの内部変更と共に、これは IKEv1 および IKEv2 が同じデバイスを同時に操作するようにします。

方法が理由で Cisco IOS はより 15.3 が IKEv1 がピアによる IKEv2 に始められる状況のような警告に、それ、導いた先のリリースのプロファイルを(IKEv1 か IKEv2)選択します。 IKE の分離は新しい CLI によって実現するプロファイル レベルに今、ない interface-level 基づいています。

新しい Cisco IOS リリースのもう一つのアップグレードはトンネル キーの付加です。 これは DMVPN および FlexVPN が両方同じソースインターフェイスおよび同じ宛先 IP アドレスを使用するので必要です。 これによって、トラフィックのカプセル化を解除するためにどのトンネルインターフェイスが使用されるか知る GREトンネルのための方法がありません。 トンネル キーは小さい(4 バイト)オーバーヘッドの付加との tunnel0 および tunnel1 を区別することを可能にします。 別のキーは両方のインターフェイスで設定することができますが 1 トンネルを区別するためにだけ必要があります一般的に。 

: DMVPN および FlexVPN が同じインターフェイスを共有するとき共用トンネル 保護 オプションが必要となりません。

従って、スポーク ルーティングプロトコルコンフィギュレーションは基本的です。 EIGRP および BGP は別々にはたらきます。 EIGRP はスケーラビリティを制限するトンネルインターフェイスにだけスポーク間トンネルにピアリングすることを避けるためにアドバタイズします。 BGP はハブルータとのだけ関係を維持します(10.1.1.1) ローカルネットワーク(192.168.101.0/24 をアドバタイズするため)。

router eigrp 100
network 10.0.0.0 0.0.0.255
network 192.168.101.0
passive-interface default
no passive-interface Tunnel0

router bgp 65001
bgp log-neighbor-changes
network 192.168.101.0
neighbor 10.1.1.1 remote-as 65001

ハブの設定

スポーク設定 セクションに説明があるそれらとしてハブサイド 設定で同じような変更を行なって下さい。

: ISAKMP および IKEV2 設定への関連した変更は太字で強調表示されています。

crypto ikev2 authorization policy default
pool FlexSpokes
route set interface

crypto ikev2 keyring Flex_key
peer Spokes
address 0.0.0.0 0.0.0.0
pre-shared-key local cisco
pre-shared-key remote cisco

crypto ikev2 profile Flex_IKEv2
match identity remote address 0.0.0.0
authentication remote pre-share
authentication local pre-share
keyring local Flex_key
aaa authorization group psk list default default
virtual-template 1

crypto ikev2 dpd 30 5 on-demand

crypto isakmp policy 10
encr aes
authentication pre-share

crypto isakmp key cisco address 0.0.0.0

crypto ipsec profile DMVPN_IKEv1
set transform-set IKEv1

crypto ipsec profile default
set ikev2-profile Flex_IKEv2
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
no ip redirects
ip mtu 1400
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp holdtime 900
ip nhrp server-only
ip nhrp redirect
ip summary-address eigrp 100 192.168.0.0 255.255.0.0
ip tcp adjust-mss 1360
tunnel source Loopback0
tunnel mode gre multipoint
tunnel key 0
tunnel protection ipsec profile DMVPN_IKEv1
interface Virtual-Template1 type tunnel
ip unnumbered Loopback100
ip mtu 1400
ip nhrp network-id 2
ip tcp adjust-mss 1360
tunnel protection ipsec profile default

ハブサイドで、IKE プロファイルと IPSec プロファイル間のバインディングはプロファイル レベルに、これがトンネル 保護 コマンドによって完了するスポーク設定とは違って発生します。 アプローチは両方ともこのバインディングを完了する実行可能なメソッドです。 

Next Hop Resolution Protocol(NHRP) ネットワーク ID がクラウドの DMVPN および FlexVPN のために異なっていることに注意することは重要です。 ほとんどの場合、それは NHRP が両方のフレームワーク上の単一 ドメインを作成するとき望ましくないです。

トンネル キーは GRE レベルで DMVPN およびスポーク設定 セクションで述べられる同じ目標を達成するために FlexVPN トンネルを区別します。 

ハブのルーティングコンフィギュレーションはかなり基本的です。 ハブ デバイスは EIGRP を使用するおよび誰維持します BGP を使用するある特定のスポーク、1 のでも 2 つの関係を。 BGP設定は長いの避けるためにリッスン範囲を毎スポーク 設定使用します。 

サマリー アドレスは二度もたらされます。 EIGRP設定は tunnel0 設定 送信 します(100) Ip summary-address eigrp は、および BGP の使用の概略を集約アドレスの使用の概略をもたらします。 概略が NHRP リダイレクションが発生する、ルーティング更新を簡素化するために必要となりようにするために。 かどうかスポーク間 トンネルが確立されるようにする所定のデスティネーションのために存在 するよりよいホップ示す NHRP リダイレクトを送信できます(インターネット制御メッセージ プロトコル (ICMP) リダイレクトと同じように)。 これらの概略もセットアップがよりよくスケーリングするようにする、とハブ各スポークの間で送信されるルーティング更新の量を最小に するために使用されます。 

router eigrp 100
network 10.0.0.0 0.0.0.255
network 192.168.0.0 0.0.255.255
passive-interface default
no passive-interface Tunnel0

router bgp 65001
bgp log-neighbor-changes
bgp listen range 10.1.1.0/24 peer-group Spokes
network 192.168.0.0
aggregate-address 192.168.0.0 255.255.0.0 summary-only
neighbor Spokes peer-group
neighbor Spokes remote-as 65001

確認

この設定例の確認は複数のセクションに分けられます。 

前移行チェック 

DMVPN/EIGRP および FlexVPN/BGP が両方同時に動作するので、スポークが IKEv1 および IKEv2 両方の IPsec 上の関係を維持すること、そして適切なプレフィックスが EIGRP および BGP に学習されることを確認して下さい。  

この例では、Spoke1 は 2 セッションがハブルータによって維持されることを示します; 1 つは IKEv1/Tunnel0 を使用し、1 は IKEv2/Tunnel1 を使用します。

: 2 人の IPSecセキュリティアソシエーション結合(SA) (1 受信および 1 発信)はトンネルのそれぞれのために維持されます。

Spoke1#show cry sess
Crypto session current status
Interface: Tunnel0
Profile: DMVPN_IKEv1
Session status: UP-ACTIVE
Peer: 172.25.1.1 port 500
Session ID: 0
IKEv1 SA: local 172.16.1.2/500 remote 172.25.1.1/500 Active
IPSEC FLOW: permit 47 host 172.16.1.2 host 172.25.1.1
Active SAs: 2, origin: crypto map
Interface: Tunnel1
Profile: Flex_IKEv2
Session status: UP-ACTIVE
Peer: 172.25.1.1 port 500
Session ID: 1
IKEv2 SA: local 172.16.1.2/500 remote 172.25.1.1/500 Active
IPSEC FLOW: permit 47 host 172.16.1.2 host 172.25.1.1
Active SAs: 2, origin: crypto map


ルーティング プロトコルをチェックするとき、隣接性が形成されること、そして正しいプレフィックスが学習されることを確認して下さい。 これは EIGRP とまずチェックされます。 ハブがネイバーとして目に見えること、そして 192.168.0.0/16 アドレス(概略)がハブから学習されることを確認して下さい:

Spoke1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 10.0.0.1 Tu0 10 00:04:02 7 1398 0 13

Spoke1#show ip eigrp topology
EIGRP-IPv4 Topology Table for AS(100)/ID(192.168.101.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - reply Status, s - sia Status
P 192.168.101.0/24, 1 successors, FD is 281600
via Connected, Ethernet1/0
P 192.168.0.0/16, 1 successors, FD is 26880000
via 10.0.0.1 (26880000/256), Tunnel0
P 10.0.0.0/24, 1 successors, FD is 26880000
via Connected, Tunnel0

次に、BGP を確認して下さい:

Spoke1#show bgp summary
(...)
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
10.1.1.1 4 65001 13 11 3 0 0 00:06:56 1
Spoke1#show bgp
BGP table version is 3, local router ID is 192.168.101.1
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
r>i 192.168.0.0/16 10.1.1.1 0 100 0 i
*> 192.168.101.0 0.0.0.0 0 32768 i

出力はことをハブ FlexVPN IP アドレス示したものです(スポークが 1 プレフィクス(192.168.0.0/16)を受け取るネイバーは 10.1.1.1)あります。 さらに、BGP は Routing Information Base (RIB)失敗が 192.168.0.0/16 プレフィクスのために発生したこと管理者を知らせます。 この失敗はそのプレフィクスのためのよりよいルートがそのルーティング テーブルの既に存在あるので発生します。 このルートは EIGRP によってルーティング テーブルをチェックする場合起き、確認することができます。 

Spoke1#show ip route 192.168.0.0 255.255.0.0
Routing entry for 192.168.0.0/16, supernet
Known via "eigrp 100", distance 90, metric 26880000, type internal
Redistributing via eigrp 100
Last update from 10.0.0.1 on Tunnel0, 00:10:07 ago
Routing Descriptor Blocks:
* 10.0.0.1, from 10.0.0.1, 00:10:07 ago, via Tunnel0
Route metric is 26880000, traffic share count is 1
Total delay is 50000 microseconds, minimum bandwidth is 100 Kbit
Reliability 255/255, minimum MTU 1400 bytes
Loading 1/255, Hops 1

移行 

前のセクションは IPsec およびルーティング プロトコルが両方および作業予想通り設定されることを確認しました。 DMVPN から同じデバイスの FlexVPN に移行する最も簡単な方法の 1 つはアドミニストレーティブ ディスタンス(AD)を変更することです。 この例では、Internal BGP (iBGP)に 200 の AD、および EIGRP が持っています 90 の AD をあります。 

FlexVPN をきちんとフローするトラフィックのために BGP はよりよい AD がなければなりません。 この例では、EIGRP AD は内部 および 外部ルートのための 230 および 240 に、それぞれ変更されます。 これは 192.168.0.0/16 プレフィクスのための 200)より望ましいの BGP AD を作ります(。 

もう一つの方式はこれを実現させるために使用される BGP AD を減少させることです。 ただし、プロトコル 移行に配備の他の一部分に影響を与えることができるデフォルト以外 の 値があった後実行する。

この例ではスポークのオペレーションを確認するために、debug ip routing コマンドは使用されます。

: このセクションの情報が実稼働 ネットワークで使用される場合、debug コマンドの使用を避け、次の セクションにリストされている show コマンドに頼って下さい。 また、スポーク EIGRPプロセスはハブとの隣接関係を再確立する必要があります。 

Spoke1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Spoke1(config)#router eigrp 100
Spoke1(config-router)# distance eigrp 230 240
Spoke1(config-router)#^Z
Spoke1#
*Oct 9 12:12:34.207: %SYS-5-CONFIG_I: Configured from console by console
*Oct 9 12:12:43.648: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 10.0.0.1
 (Tunnel0) is down: route configuration changed

*Oct 9 12:12:43.648: RT: delete route to 192.168.0.0 via 10.0.0.1,
 eigrp metric
[90/26880000]
*Oct 9 12:12:43.648: RT: no routes to 192.168.0.0, delayed flush
*Oct 9 12:12:43.648: RT: delete network route to 192.168.0.0/16
*Oct 9 12:12:43.650: RT: updating bgp 192.168.0.0/16 (0x0) :
via 10.1.1.1
*Oct 9 12:12:43.650: RT: add 192.168.0.0/16 via 10.1.1.1, bgp metric [200/0]
Spoke1#
*Oct 9 12:12:45.750: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 10.0.0.1
 (Tunnel0) is up: new adjacency

この出力で注意する 3 つの重要な操作があります: 

  • スポークは AD が変更した注意し、隣接関係をことにディセーブルにします。 
  • ルーティング テーブルでは、EIGRP プレフィクスは結び直され、BGP は導入されます。 
  • EIGRP 上のハブへの隣接関係は再びオンラインになります。 

デバイスの AD を変更するとき、デバイスから他のネットワークにだけパスに影響を与えます; それは他のルータがルーティングをどのように行うか影響を与えません。 たとえば、EIGRP 距離が Spoke1 (およびそれでクラウドの FlexVPN をトラフィックをルーティングするために使用します)増加した後、ハブは設定された(デフォルト) AD を維持します。 これは Spoke1 にトラフィックを戻すために DMVPN を使用することを意味します。 

ある特定の場合、これはファイアウォールが同じインターフェイスのリターントラフィックを期待するとき問題を、のような引き起こす場合があります。 従ってハブでそれを変更する前に、すべてのスポークの AD を変更する必要があります。 トラフィックは FlexVPN によって十分にこれが完了しただけ移行されます。

EIGRP に EIGRP 移行

DMVPN からの EIGRP だけ実行する FlexVPN への移行はこの資料の説明されていなかった詳細ではないです; ただし、それは完璧さのためにここで述べられます。 

例をルーティングする同じ EIGRP自律システム(AS)に DMVPN および EIGRP を両方追加することは可能性のあるです。 これによって、ルーティング 隣接関係は両タイプのクラウドに確立されます。 一般的に推奨されないこれによりロードバランシングは発生します場合があります。

FlexVPN か DMVPN が選択されるようにするために、管理者はインターフェイスごとに異なる遅延値を割り当てることができます。 ただし、対応する仮想アクセスインターフェイスが間、変更が仮想テンプレートインターフェイスで可能性のあるではないことを覚えておくことは重要です。 

後移行チェック

前移行チェック セクション、IPsec およびルーティング プロトコルで使用されるプロセスに類似した確認されなければなりません。 

最初に、IPsec を確認して下さい:

Spoke1#show crypto session
Crypto session current status
Interface: Tunnel0
Profile: DMVPN_IKEv1
Session status: UP-ACTIVE
Peer: 172.25.1.1 port 500
Session ID: 0
IKEv1 SA: local 172.16.1.2/500 remote 172.25.1.1/500 Active
IPSEC FLOW: permit 47 host 172.16.1.2 host 172.25.1.1
Active SAs: 2, origin: crypto map
Interface: Tunnel1
Profile: Flex_IKEv2
Session status: UP-ACTIVE
Peer: 172.25.1.1 port 500
Session ID: 1
IKEv2 SA: local 172.16.1.2/500 remote 172.25.1.1/500 Active
IPSEC FLOW: permit 47 host 172.16.1.2 host 172.25.1.1
Active SAs: 2, origin: crypto map

の前にように、2 セッションは見られます、2 アクティブIPSec SA がある。

スポークで、アグリゲートルート(192.168.0.0/16)はハブから指定し、BGP に学習されます。

Spoke1#show ip route 192.168.0.0 255.255.0.0
Routing entry for 192.168.0.0/16, supernet
Known via "bgp 65001", distance 200, metric 0, type internal
Last update from 10.1.1.1 00:14:07 ago
Routing Descriptor Blocks:
* 10.1.1.1, from 10.1.1.1, 00:14:07 ago
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: none

同様に、ハブで前に付けられるスポーク LAN は EIGRP によって知っている必要があります。 この例では、Spoke2 LAN サブネットはチェックされます: 

Hub#show ip route 192.168.102.0 255.255.255.0
Routing entry for 192.168.102.0/24
Known via "bgp 65001", distance 200, metric 0, type internal
Last update from 10.1.1.106 00:04:35 ago
Routing Descriptor Blocks:
* 10.1.1.106, from 10.1.1.106, 00:04:35 ago
Route metric is 0, traffic share count is 1
AS Hops 0
MPLS label: none

Hub#show ip cef 192.168.102.100
192.168.102.0/24
nexthop 10.1.1.106 Virtual-Access2

出力では、フォワーディングパスはきちんとアップデートされ、仮想アクセスインターフェイスの指摘します。  

その他の考慮事項

このセクションはこの設定例に関連している重要性のいくつかの追加エリアを記述します。

既存のスポーク間トンネル

EIGRP からの BGP への移行によって、スポーク間トンネルはショートカット切り替えがまだ作動中であるので、影響を与えられません。 スポークのショートカット切り替えは 250 の AD の特定の NHRP ルートを挿入します。 

そのようなルートの例はここにあります:

Spoke1#show ip route 192.168.102.100
Routing entry for 192.168.102.0/24
Known via "nhrp", distance 250, metric 1
Last update from 10.1.1.106 on Virtual-Access1, 00:00:42 ago
Routing Descriptor Blocks:
* 10.1.1.106, from 10.1.1.106, 00:00:42 ago, via Virtual-Access1
Route metric is 1, traffic share count is 1

移行され、非移行されたスポーク間の通信

スポークが FlexVPN/BGP に既にあっているマイグレーション プロセスが開始されなかったデバイスと通信したいと思えば、トラフィックはハブに常にフローします。

発生するこれはプロセスです: 

  1. スポークはハブによってアドバタイズされるサマリールートを通って指す宛先のためのルート ルックアップを行います。
  2. パケットはハブの方に送信 されます。 
  3. ハブはパケットを受信し、別の NHRP ドメインの一部である別のインターフェイスの指摘する宛先のためのルート ルックアップを行います。

    : 前のハブ 設定の NHRP ネットワーク ID は FlexVPN および DMVPN 両方のために異なっています。 

NHRP ネットワーク ID が統一されても、問題は移行されたスポークが FlexVPN ネットワーク上のオブジェクトをどこにルーティングするか発生するかもしれません。 これには切り替えを切り詰めるために設定するために使用されるディレクティブが含まれています。 非移行されたスポークはショートカット切り替えを行うために特定の目標と DMVPN ネットワーク上のオブジェクトを、実行するように試みます。 

トラブルシューティング

このセクションは 2 つのカテゴリー 一般的に使用された toubleshoot を移行記述します。 

トンネルを確立する試みにおける問題

IKE ネゴシエーションが失敗した場合これらのステップを完了して下さい: 

  1. これらのコマンドで現在のステートを確認して下さい:

    • show crypto isakmp sa -このコマンドは IKEv1 セッションの量、ソースおよび宛先を明らかにします。
    • ipsec sa-このコマンドが IPSec SA のアクティビティを明らかにすることを暗号ことを示して下さい

      : 出力されるこの完全転送秘密 (PFS) Diffie-Hellman (DH) グループ値の IKEv1 でとは違って、PFS として現われます(Y/N): N, DH group: どれも最初のトンネルネゴシエーションの間に; ただし、キーの再生成が発生した後、正しい値は現われます。 これは動作が CSCug67056 に説明があるのに、不具合ではないです。 IKEv1 と IKEv2 の違いは後者にそれ、SA が AUTH 交換の一部として作成される子です。 DH グループはキーの再生成の間にだけクリプト マップの下で設定される使用されます。 従って、PFS を見ます(Y/N): N, DH group: どれも最初のキーの再生成まで。 IKEv1 を使うと、子 SA 作成が Quick Mode の間に発生し、CREATE_CHILD_SA メッセージに新しい共有秘密を得るために DH パラメータを規定 する 鍵交換 ペイロードの移動のためのプロビジョンがあるので異なる動作を見ます。

    • 示して下さい暗号 ikev2 sa -このコマンドは ISAKMP と同じような出力を提供しますが、IKEv2 に特定ものです。
    • 示して下さい暗号 セッション-このコマンドはこのデバイスで暗号セッションのサマリー出力を提供したものです。
    • 示して下さい暗号 ソケット-このコマンドは暗号ソケットのステータスを表示したものです。
    • show crypto map -このコマンドはインターフェイスに IKE および IPSec プロファイルのマッピングを示したものです。
    • show ip nhrp -このコマンドはデバイスからの NHRP informtion を提供したものです。 これは DMVPN セットアップでスポーク間とスポーク間およびスポーク ツー ハブ バインディングに FlexVPN セットアップで役立ちます。
  2. トンネル確立をデバッグするためにこれらのコマンドを使用して下さい:

    • debug crypto ikev2
    • debug crypto isakmp
    • debug crypto ipsec
    • debug crypto kmi

ルート 伝搬における問題 

EIGRP およびトポロジーを解決するために使用できるいくつかの役に立つコマンドはここにあります:

  • 表示して下さい bgp 概略-接続 された 隣接および状態を確認するためにこのコマンドを使用して下さい。
  • show ip eigrp neighbor - EIGRP によって接続される相手を示すためにこのコマンドを使用して下さい。
  • 示して下さい bgp - BGP に学習されるプレフィックスを確認するためにこのコマンドを使用して下さい。
  • show ip eigrp topology - EIGRP によって学習されるプレフィックスを示すためにこのコマンドを使用して下さい。

ルーティング テーブルにインストールされている学習されるプレフィクスがプレフィクスと異なっていることを確認することは重要です。 これに関する詳細については、Ciscoルータ Cisco の 記事でルート選択、かルーティング TCP/IP Ciscoプレス の 本を参照して下さい。  

既知の警告

その制限は ASR1K で存在 する GREトンネル処理を平行にします。 これは Cisco バグ ID CSCue00443 の下でトラッキングされます。 現時点で、制限に Cisco IOS XE ソフトウェア リリース 3.12 でスケジュールされた修正があります。

一度修正によってが利用可能になる通知を望む場合この不具合を監視して下さい。 



Document ID: 116678