IP : ボーダー ゲートウェイ プロトコル(BGP)

BGP設定例の ASA VPN/IPsec

2015 年 8 月 14 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 4 月 23 日) | フィードバック

概要

この資料は Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)間の IPsec サイト間VPN トンネル上のボーダー ゲートウェイ プロトコル(BGP)隣接性の確立に設定 例をその実行ソフトウェア バージョン 9.x およびソフトウェア バージョン 15.x を実行する Cisco IOS ® ルータ提供したものです。

Dinkar Sharma および Amandeep Singh によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco は ASA および Cisco IOSデバイスの IPsec サイト間VPN トンネル設定のナレッジがあることを推奨します。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS ソフトウェア リリース 15.x およびそれ以降を実行する Cisco 2900 ルータ。

  • ソフトウェア バージョン 9.x およびそれ以降を実行する ASA 5500-x。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

コマンド・ライン コンフィギュレーション

この資料はローカル ASA およびリモートルータの設定を使用します。

ローカル ASA

ASA Version 9.2(2)4

!--- Configure the Inside and outside interface.

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 203.0.113.1 255.255.255.0
!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 172.16.20.1 255.255.255.0
!

!--- Configure BGP router process.

router bgp 200
 bgp log-neighbor-changes
 address-family ipv4 unicast
  neighbor 198.51.100.1 remote-as 100
  neighbor 198.51.100.1 description Remote Router
  neighbor 198.51.100.1 ebgp-multihop 255
  neighbor 198.51.100.1 activate
  network 172.16.20.0 mask 255.255.255.0
  no auto-summary
  no synchronization
 exit-address-family
!
route outside 198.51.100.0 255.255.255.0 203.0.113.2 1
!--- The traffic specified by this ACL is traffic that is to be encrypted and
sent across the VPN tunnel.


access-list outside_cryptomap permit ip host 203.0.113.1 host 198.51.100.1
!

!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 300.
!---The configuration commands here define the Phase 1 policy parameters that are used.


crypto ikev1 policy 300
 authentication pre-share
 encryption 3des
 hash md5
 group 5
 lifetime 86400
!

!--- In order to create and manage the database of connection-specific records for
!--- ipsec-l2l-IPsec (LAN-to-LAN) tunnels, use the command tunnel-group in global
!--- configuration mode. For L2L connections the name of the tunnel group MUST be the
IP !--- address of the IPsec peer.

tunnel-group 198.51.100.1 type ipsec-l2l

!--- Enter the pre-shared-key in order to configure the authentication method.

tunnel-group 198.51.100.1 ipsec-attributes
 ikev1 pre-shared-key cisco123
!

!--- Enable ikev1 on outside interface.

crypto ikev1 enable outside


!--- PHASE 2 CONFIGURATION ---!
!--- The encryption types for Phase 2 are defined here.
!---Define the transform set for Phase 2.

crypto ipsec ikev1 transform-set TSET esp-3des esp-sha-hmac

!--- Define which traffic should be sent to the IPsec peer.


crypto map outside_map 1 match address outside_cryptomap

!--- Sets the IPsec peer

crypto map outside_map 1 set peer 198.51.100.1

!--Sets the IPsec transform set "TSET" to be used with the crypto map entry
"outside_map".

crypto map outside_map 1 set ikev1 transform-set TSET

!---Specifies the interface to be used with the settings defined in
this configuration.


crypto map outside_map interface outside

リモート ルータ

version 15.1
!
!--- PHASE 1 CONFIGURATION ---!
!--- This configuration uses isakmp policy 300.
!--- The configuration commands here define the Phase 1 policy parameters
that are used.


crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 5

!--- Enter the pre-shared-key in order to configure the authentication method.


crypto isakmp key cisco123 address 203.0.113.1 255.255.255.0
!

!--- PHASE 2 CONFIGURATION ---!!--- The encryption types for Phase 2 are defined here.

!---Define the transform set for Phase 2.


crypto ipsec transform-set TSET esp-3des esp-sha-hmac

!--- Define crypto map which is used to establish the IPsec Security Association
for protecting the traffic.

crypto map CMAP 10 ipsec-isakmp

!--- Sets the IP address of the remote end.

set peer 203.0.113.1

!--- Configures IPsec to use the transform-set
!--- "Router-IPSEC" defined earlier in this configuration.


 set transform-set TSET

!--- Specifies the interesting traffic to be encrypted.


 match address VPN
!
!
interface Loopback0
 ip address 172.16.30.1 255.255.255.0
!

!--- Configures the interface to use the crypto map "CMAP" for IPsec.

interface FastEthernet0/0
 ip address 198.51.100.1 255.255.255.0
 duplex auto
 speed auto
 crypto map CMAP
!

!--- Configure BGP router process


router bgp 100
 no synchronization
 bgp log-neighbor-changes
 network 172.16.30.0 mask 255.255.255.0
 neighbor 203.0.113.1 remote-as 200
 neighbor 203.0.113.1 ebgp-multihop 255
 no auto-summary
!
ip route 0.0.0.0 0.0.0.0 198.51.100.2
!

!--- Define which traffic should be sent to the IPsec peer.


ip access-list extended VPN
 permit ip host 198.51.100.1 host 203.0.113.1
!

ASA デバイスマネージャ コンフィギュレーション

この資料は VPN および BGP設定を使用します。

VPN の設定

次の手順を実行します。

  1. VPN ウィザードを使用して、LAN-to-LAN 接続を確立するには、[Wizards] > [VPN Wizard] の順に選択します。 [VPN Wizard] ウィンドウで、[Next] クリックします。ここでは、デフォルトの選択は Site-to-Site です。

  2. ピアIP アドレス フィールドでは、ピアIP アドレスを入力して下さい。 VPN アクセスインターフェイス ドロップダウン リストから、トンネルを終えたいと思うインターフェイスを選択して下さい。 [Next] をクリックします。

  3. ローカルネットワークおよびリモートネットワーク フィールドでは、ローカルおよびリモートネットワーク IP アドレス(すなわち、暗号化されたいと思うトラフィック)をそれぞれ入力して下さい。 [Next] をクリックします。

    : IP アドレスは BGP 隣接性に形成されてほしいローカルおよびリモート IP アドレスです。

  4. カスタマイズされた Configurationオプション・ボタンをクリックし、次に IKE バージョン 1 チェックボックスをチェックして下さい。 [Next] をクリックします。

  5. 認証方式タブを選択して下さい。 Pre-Shared Key フィールドでは、事前共有キーを入力して下さい。 [Next] をクリックします。

  6. 暗号化アルゴリズム タブを選択して下さい。 IKE ポリシーおよび IPsec 提案フィールドでは、使用したいと思う IKE ポリシーおよび IPsec 提案を入力して下さい。 [Next] をクリックします。

  7. これはオプショナルコンフィギュレーションです。 このステップをスキップすることを選択したら『Next』 をクリック して下さい。

  8. この設定の概略がこれまでのところ完了したページ表示。 ASA に設定を押すために『Finish』 をクリック して下さい。

  9. このイメージに示すように VPN 設定を表示できます。

BGP設定

  1. > ルーティング > BGP > 一般『Configuration』 を選択 して下さい。 イネーブル BGP ルーティング チェックボックスをチェックして下さい。 AS Number フィールドでは、自律番号を入力して下さい。 [Apply] をクリックします。

  2. > ルーティング > BGP > IPV4 ファミリー > ネイバー 『Configuration』 を選択 して下さい。 IP アドレスおよびリモート AS フィールドでは、それぞれ BGP 隣接 IP アドレス(すなわち、リモートルータ)およびリモート AS 数を入力して下さい。 [OK] をクリックします。

  3. > ルーティング > BGP > IPV4 ファミリー > ネットワーク 『Configuration』 を選択 して下さい。 リモートルータにアドバタイズすることを望むネットワークのための情報を入力して下さい。

確認

ここでは、設定が正常に動作していることを確認します。

ASDM を使用して、ロギングを有効にし、ログを表示できます。

  • show crypto isakmp sa - Internet Security Association and Key Management Protocol(ISAKMP) Security Association (SA)を示します同位の間で構築される。
    ASA# show crypto isakmp sa
    IKEv1 SAs:
       Active SA: 1
        Rekey SA: 0 (A tunnel will report 1 Active and 1 Rekey SA during rekey)
    Total IKE SA: 1

    1   IKE Peer: 198.51.100.1
        Type    : L2L             Role    : responder
        Rekey   : no              State   : MM_ACTIVE

    There are no IKEv2 SAs

    Router#sh crypto isakmp sa
    IPv4 Crypto ISAKMP SA
    dst             src             state          conn-id slot status
    203.0.113.1     198.51.100.1    QM_IDLE           1024    0 ACTIVE

    IPv6 Crypto ISAKMP SA
  • show crypto ipsec sa -構築されるおよび送信 される トラフィック量を示します毎フェーズを 2 SA。
    ASA# show crypto ipsec sa
    interface: outside
       
        Crypto map tag: outside_map, seq num: 1, local addr: 203.0.113.1
          local ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/0/0)
          remote ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/0/0)
          current_peer: 198.51.100.1

          #pkts encaps: 168, #pkts encrypt: 168, #pkts digest: 168
          #pkts decaps: 172, #pkts decrypt: 172, #pkts verify: 172
          #pkts compressed: 0, #pkts decompressed: 0
          #pkts not compressed: 168, #pkts comp failed: 0, #pkts decomp failed: 0
          #pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
          #PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
          #TFC rcvd: 0, #TFC sent: 0
          #Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
          #send errors: 0, #recv errors: 0

          local crypto endpt.: 203.0.113.1/0, remote crypto endpt.: 198.51.100.1/0
          path mtu 1500, ipsec overhead 58(36), media mtu 1500
          PMTU time remaining (sec): 0, DF policy: copy-df
          ICMP error validation: disabled, TFC packets: disabled
          current outbound spi: 8827DADE
          current inbound spi : 338E6488

        inbound esp sas:
          spi: 0x338E6488 (864969864)
             transform: esp-3des esp-sha-hmac no compression
             in use settings ={L2L, Tunnel, IKEv1, }
             slot: 0, conn_id: 65536, crypto-map: outside_map
             sa timing: remaining key lifetime (kB/sec): (4374000/1988)
             IV size: 8 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x00000001
        outbound esp sas:
          spi: 0x8827DADE (2284313310)
             transform: esp-3des esp-sha-hmac no compression
             in use settings ={L2L, Tunnel, IKEv1, }
             slot: 0, conn_id: 65536, crypto-map: outside_map
             sa timing: remaining key lifetime (kB/sec): (4373989/1988)
             IV size: 8 bytes
             replay detection support: Y
             Anti replay bitmap:
              0x00000000 0x00000001
    Router# show crypto ipsec sa

    interface: FastEthernet0/0
        Crypto map tag: CMAP, local addr 198.51.100.1

       protected vrf: (none)
       local  ident (addr/mask/prot/port): (198.51.100.1/255.255.255.255/0/0)
       remote ident (addr/mask/prot/port): (203.0.113.1/255.255.255.255/0/0)
       current_peer 203.0.113.1 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 181, #pkts encrypt: 181, #pkts digest: 181
        #pkts decaps: 167, #pkts decrypt: 167, #pkts verify: 167
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0

         local crypto endpt.: 198.51.100.1, remote crypto endpt.: 203.0.113.1
         path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0/0
         current outbound spi: 0x338E6488(864969864)

         inbound esp sas:
          spi: 0x8827DADE(2284313310)
            transform: esp-3des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 3007, flow_id: NETGX:1007, crypto map: CMAP
            sa timing: remaining key lifetime (k/sec): (4406240/1952)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE

         inbound ah sas:

         inbound pcp sas:

         outbound esp sas:
          spi: 0x338E6488(864969864)
            transform: esp-3des esp-sha-hmac ,
            in use settings ={Tunnel, }
            conn id: 3008, flow_id: NETGX:1008, crypto map: CMAP
            sa timing: remaining key lifetime (k/sec): (4406261/1952)
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE
  • 示して下さい BGP 隣接- BGP 隣接関係ステータスを表示します。

    ASA# show bgp neighbors

    BGP neighbor is 198.51.100.1,  context single_vf,  remote AS 100, external link
     Description: Remote Router
      BGP version 4, remote router ID 172.16.30.1
      BGP state = Established, up for 00:00:12
      Last read 00:00:12, last write 00:00:11, hold time is 180, keepalive interval
    is 60 seconds
      Neighbor sessions:
        1 active, is not multisession capable (disabled)
      Neighbor capabilities:
        Route refresh: advertised and received(new)
        Four-octets ASN Capability: advertised
        Address family IPv4 Unicast: advertised and received
        Multisession Capability:
      Message statistics:
        InQ depth is 0
        OutQ depth is 0

                       Sent       Rcvd
        Opens:         1          1
        Notifications: 0          0
        Updates:       2          1
        Keepalives:    2          3
        Route Refresh: 0          0
        Total:         5          5
      Default minimum time between advertisement runs is 30 seconds

     For address family: IPv4 Unicast
      Session: 198.51.100.1
      BGP table version 3, neighbor version 3/0
      Output queue size : 0
      Index 1
      1 update-group member
                               Sent       Rcvd
      Prefix activity:         ----       ----
        Prefixes Current:      1          1          (Consumes 80 bytes)
        Prefixes Total:        1          1
        Implicit Withdraw:     0          0
        Explicit Withdraw:     0          0
        Used as bestpath:      n/a        1
        Used as multipath:     n/a        0

                                    Outbound    Inbound
      Local Policy Denied Prefixes: --------    -------
        Bestpath from this peer:     1          n/a
        Total:                       1          0
      Number of NLRIs in the update sent: max 1, min 0

      Address tracking is enabled, the RIB does have a route to 198.51.100.1
      Connections established 1; dropped 0
      Last reset never
      External BGP neighbor may be up to 255 hops away.
      Transport(tcp) path-mtu-discovery is enabled
      Graceful-Restart is disabled
    Router# show ip bgp neighbors
    BGP neighbor is 203.0.113.1,  remote AS 200, external link
      BGP version 4, remote router ID 203.0.113.1
      BGP state = Established, up for 00:01:16
      Last read 00:00:10, last write 00:00:16, hold time is 180, keepalive interval
    is 60 seconds
      Neighbor capabilities:
        Route refresh: advertised and received(old & new)
        Address family IPv4 Unicast: advertised and received
      Message statistics:
        InQ depth is 0
        OutQ depth is 0
                             Sent       Rcvd
        Opens:                  6          6
        Notifications:          4          0
        Updates:               11         12
        Keepalives:          4248       3817
        Route Refresh:          0          0
        Total:               4269       3835
      Default minimum time between advertisement runs is 30 seconds

     For address family: IPv4 Unicast
      BGP table version 26, neighbor version 26/0
      Output queue size: 0
      Index 1, Offset 0, Mask 0x2
      1 update-group member
                                     Sent       Rcvd
      Prefix activity:               ----       ----
        Prefixes Current:               1          1 (Consumes 52 bytes)
        Prefixes Total:                 1          1
        Implicit Withdraw:              0          0
        Explicit Withdraw:              0          0
        Used as bestpath:             n/a          1
        Used as multipath:            n/a          0

                                       Outbound    Inbound
      Local Policy Denied Prefixes:    --------    -------
        Bestpath from this peer:              1        n/a
        Total:                                1          0
      Number of NLRIs in the update sent: max 3, min 0

      Connections established 6; dropped 5
      Last reset 5d22h, due to Peer closed the session
      External BGP neighbor may be up to 255 hops away.
    Connection state is ESTAB, I/O status: 1, unread input bytes: 0
    Connection is ECN Disabled, Mininum incoming TTL 0, Outgoing TTL 255
    Local host: 198.51.100.1, Local port: 179
    Foreign host: 203.0.113.1, Foreign port: 62727
    Connection tableid (VRF): 0

    Enqueued packets for retransmit: 0, input: 0  mis-ordered: 0 (0 bytes)

    Event Timers (current time is 0x300AAA8C):
    Timer          Starts    Wakeups            Next
    Retrans             7          0             0x0
    TimeWait            0          0             0x0
    AckHold             4          1             0x0
    SendWnd             0          0             0x0
    KeepAlive           0          0             0x0
    GiveUp              0          0             0x0
    PmtuAger            0          0             0x0
    DeadWait            0          0             0x0
    Linger              0          0             0x0
    ProcessQ            0          0             0x0

    iss: 4087014083  snduna: 4087014257  sndnxt: 4087014257     sndwnd:  32768
    irs: 1434855898  rcvnxt: 1434856084  rcvwnd:      16199  delrcvwnd:    185

    SRTT: 182 ms, RTTO: 1073 ms, RTV: 891 ms, KRTT: 0 ms
    minRTT: 0 ms, maxRTT: 300 ms, ACK hold: 200 ms
    Status Flags: passive open, gen tcbs
    Option Flags: nagle
    IP Precedence value : 6

    Datagrams (max data segment is 536 bytes):
    Rcvd: 14 (out of order: 0), with data: 5, total data bytes: 185
    Sent: 9 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 0),
    with data: 6, total data bytes: 173
     Packets received in fast path: 0, fast processed: 0, slow path: 0
     Packets send in fast path: 0
     fast lock acquisition failures: 0, slow path: 0

LAN-to-LAN接続がルーティングトラフィックを通過させることを確認するためにルータをチェックして下さい。

show ip route - Displays the IP routing table entries.
ASA# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is not set

C        172.16.20.0 255.255.255.0 is directly connected, inside
L        172.16.20.1 255.255.255.255 is directly connected, inside
B        172.16.30.0 255.255.255.0 [20/0] via 198.51.100.1, 01:43:14
S     198.51.100.0 255.255.255.0 [1/0] via 203.0.113.2, outside
C        203.0.113.0 255.255.255.0 is directly connected, outside
L        203.0.113.1 255.255.255.255 is directly connected, outside

 

Router# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 198.51.100.2 to network 0.0.0.0

     172.16.0.0/24 is subnetted, 2 subnets
C       172.16.30.0 is directly connected, Loopback0
B       172.16.20.0 [20/0] via 203.0.113.1, 01:44:02
C    198.51.100.0/24 is directly connected, FastEthernet0/0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.106.45.0 is directly connected, FastEthernet0/1
S*   0.0.0.0/0 [1/0] via 198.51.100.2

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118835