セキュリティと VPN : ダイナミック マルチポイント VPN(DMVPN)

DMVPN の ISP 冗長性を話しました VRF ライト機能と設定して下さい

2016 年 6 月 18 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック

概要

この資料にバーチャルルーティングおよびフォワーディング ライト(VRF ライト)機能によって Dynamic Multipoint VPN (DMVPN) スポークのインターネットサービスプロバイダー (ISP) 冗長性を設定する方法を記述されています。

Adesh Gairola、Rudresh V、および Atri Basu によって貢献される、Cisco TAC エンジニア。

前提条件

要件

Cisco はこの資料に説明がある設定を試みる前にこれらのトピックのナレッジがあることを推奨します:

使用するコンポーネント

この文書に記載されている情報は Cisco IOS ® バージョン 15.4(2)T に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

ルーティング テーブルの多数の例がルータで共存し、同時にはたらくようにする VRF は IPネットワーク ルータに含まれているテクノロジーです。 これはネットワーク 経路が多数のデバイスの使用なしでセグメント化されるようにするので機能性を高めます。

冗長性のための二重 ISP の使用は一般的 な 方法になりました。 管理者は 2 つの ISP リンクを使用します; 1 つはプライマリ接続として機能し、他人はバックアップ接続として機能します。

同じ概念は二重 ISP の使用のスポークの DMVPN 冗長性のために設定されます。 この資料の目標はスポークに二重 ISP があるときルーティング テーブルを分離するために VRF ライトがどのように使用することができるか示すことです。 ダイナミック ルーティングは DMVPN トンネルを横断するトラフィックに経路冗長性を提供するために使用されます。 この資料 使用にこの設定スキーマ説明がある設定例:

InterfaceIP アドレスVRF説明
Ethernet0/0

172.16.1.1

ISP1 VRF
プライマリ ISP
Ethernet0/1
172.16.2.1
ISP2 VRF
セカンダリ ISP

VRF ライト機能を使うと、複数の VPNルーティング/転送インスタンスは DMVPN スポークでサポートすることができます。 VRF ライト機能はそれぞれ VRF ルーティング テーブルを使用するために複数のマルチポイント 総称ルーティング カプセル化(mGRE)トンネルインターフェイスからのトラフィックを強制します。 たとえば、ISP1 VRF のプライマリ ISP 終端およびトラフィックは ISP1 VRF ルーティング テーブルを使用するが ISP2 VRF で生成される ISP2 VRF のセカンダリ ISP 終端が、トラフィック ISP1 VRF で生成される ISP2 VRF ルーティング テーブルを使用する場合。

前面扉 VRF (fVRF)の使用が付いている長所は(トンネルインターフェイスがあるかところに)主に グローバル ルーティング テーブルからの別途のルーティング テーブルを開発することです。 内部 VRF (iVRF)の使用の長所は DMVPN およびプライベート ネットワーク 情報を保持するために私用領域を定義することです。 両方のコンフィギュレーションはルーティング情報が分かれるインターネットからのルータの不正侵入からの余分セキュリティを提供します。

これらの VRF コンフィギュレーションは両方の DMVPN ハブ & スポークで使用することができます。 これは ISP の両方がグローバル ルーティング テーブルで終わるシナリオ上の大きい長所を与えます。

ISP の両方がグローバル な VRF で終わる場合、同じルーティング テーブルを共有し、mGRE インターフェイスの両方はグローバル な ルーティング情報に頼ります。 この場合プライマリ ISP が失敗した、プライマリ ISP インターフェイスは失敗ポイントがバックボーン ネットワークに ISP のおよび直接接続されないある場合ダウン状態にならないかもしれません。 これは mGREトンネルインターフェイスの両方がまだ DMVPN 冗長性が失敗します、プライマリ ISP を指すデフォルト ルートを使用するシナリオという結果に終ります。

あるけれども IPサービスを使用するいくつかの回避策は協定(IP SLA)または VRF ライトなしでこの問題に対処するために組み込みイベント マネージャ(EEM)スクリプトを最もよい選択常にではないかもしれません水平にします。

展開方法

このセクションは分割トンネリングおよびスポーク間トンネルの簡潔な概要を提供します。

スプリット トンネリング

特定のサブネットかサマライズされたルートが mGRE インターフェイスによって学習されるとき、それは分割トンネリングと呼ばれます。 デフォルト ルートが mGRE インターフェイスによって学習される場合、トンネルすべてと呼出されます。

この資料で提供される設定例は分割トンネリングに基づいています。

スポーク間トンネル

この資料で提供される設定例はトンネルすべての展開方法のためのよい設計です(デフォルト ルートは mGRE インターフェイスによって学習されます)。

2 つの fVRFs の使用はルーティング テーブルを分離し、後 GRE カプセル化されたパケットがスポーク間 トンネルはアクティブ ISP と起動するようにするのを助けるそれぞれ fVRF に転送されるようにします。

設定

このセクションは VRF ライト機能によって DMVPN スポークの ISP 冗長性を設定する方法を記述します。

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

これはこの資料内の例のために使用するトポロジーです:

 

ハブの設定

ハブの関係のある構成についてのいくつかのメモはここにあります:

  • Tunnel0 をこの設定例のプライマリインターフェイスとして設定 するために、優先 するようになるために Tunnel0 から学習されるルーティングを可能にする遅延パラメータは変更されました。

  • 共用キーワードはトンネル 保護と使用され、それらが同じトンネル ソース <interface> を使用するので固有のトンネル キーは mGRE インターフェイスすべてで追加されます。 さもなければ、受信 一般的ルーティングカプセル化パケットは復号化の後で不正確なトンネルインターフェイスにパントされるかもしれません。

  • 経路集約はスポークすべてが mGRE トンネルでデフォルト ルートを学ぶようにするために実行された(トンネルすべての)。

: 設定の関連セクションだけこの例に含まれています。

version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HUB1
!
crypto isakmp policy 1
 encr aes 256
 hash sha256
 authentication pre-share
 group 24
crypto isakmp key cisco123 address 0.0.0.0
!
crypto ipsec transform-set transform-dmvpn esp-aes 256 esp-sha256-hmac
 mode transport
!
crypto ipsec profile profile-dmvpn
 set transform-set transform-dmvpn
!
interface Loopback0
 description LAN
 ip address 192.168.0.1 255.255.255.0
!
interface Tunnel0
 bandwidth 1000
 ip address 10.0.0.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 no ip split-horizon eigrp 1
 ip nhrp map multicast dynamic
 ip nhrp network-id 100000
 ip nhrp holdtime 600
 ip nhrp redirect
 ip summary-address eigrp 1 0.0.0.0 0.0.0.0
 ip tcp adjust-mss 1360
 delay 1000
 tunnel source Ethernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel protection ipsec profile profile-dmvpn shared
!
interface Tunnel1
 bandwidth 1000
 ip address 10.0.1.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 no ip split-horizon eigrp 1
 ip nhrp map multicast dynamic
 ip nhrp network-id 100001
 ip nhrp holdtime 600
 ip nhrp redirect
 ip summary-address eigrp 1 0.0.0.0 0.0.0.0
 ip tcp adjust-mss 1360
 delay 1500
 tunnel source Ethernet0/0
 tunnel mode gre multipoint
 tunnel key 100001
 tunnel protection ipsec profile profile-dmvpn shared
!
router eigrp 1
 network 10.0.0.0 0.0.0.255
 network 10.0.1.0 0.0.0.255
 network 192.168.0.0 0.0.255.255
!
ip route 0.0.0.0 0.0.0.0 172.16.0.100
!
end

スポークの設定

スポークの関係のある構成についてのいくつかのメモはここにあります:

  • スポーク 冗長性に関しては、Tunnel0 におよび Tunnel1 にトンネル ソース インターフェイスとして Ethernet0/0 および Ethernet0/1 が、それぞれあります。 Ethernet0/0 はプライマリ ISP に接続され、Ethernet0/1 はセカンダリ ISP に接続されます。

  • ISP を分離するために、VRF 機能は使用されます。 プライマリ ISP は ISP1 VRF を使用します。 セカンダリ ISP に関しては、VRF は指名された ISP2 設定されます。

  • トンネル VRF ISP1 およびトンネル VRF ISP2 はインターフェイス Tunnel0 および Tunnel1 で、それぞれ、後 GRE カプセル化されたパケットのためのフォワーディングルックアップが VRF ISP1 か ISP2 で実行されたことを示すために設定されます。

  • Tunnel0 をこの設定例のプライマリインターフェイスとして設定 するために、優先 するようになるために Tunnel0 から学習されるルーティングを可能にする遅延パラメータは変更されました。

: 設定の関連セクションだけこの例に含まれています。

version 15.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SPOKE1
!
vrf definition ISP1
 rd 1:1
 !
 address-family ipv4
 exit-address-family
!
vrf definition ISP2
 rd 2:2
 !
 address-family ipv4
 exit-address-family
!
crypto keyring ISP2 vrf ISP2
  pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
crypto keyring ISP1 vrf ISP1
  pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
!
crypto isakmp policy 1
 encr aes 256
 hash sha256
 authentication pre-share
 group 24
crypto isakmp keepalive 10 periodic
!
crypto ipsec transform-set transform-dmvpn esp-aes 256 esp-sha256-hmac
 mode transport
!
!
crypto ipsec profile profile-dmvpn
 set transform-set transform-dmvpn
!
interface Loopback10
 ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
 description Primary mGRE interface source as Primary ISP
 bandwidth 1000
 ip address 10.0.0.10 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp network-id 100000
 ip nhrp holdtime 600
 ip nhrp nhs 10.0.0.1 nbma 172.16.0.1 multicast
 ip nhrp shortcut
 ip tcp adjust-mss 1360
 delay 1000
 tunnel source Ethernet0/0
 tunnel mode gre multipoint
 tunnel key 100000
 tunnel vrf ISP1
 tunnel protection ipsec profile profile-dmvpn
!
interface Tunnel1
 description Secondary mGRE interface source as Secondary ISP
 bandwidth 1000
 ip address 10.0.1.10 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp network-id 100001
 ip nhrp holdtime 360
 ip nhrp nhs 10.0.1.1 nbma 172.16.0.1 multicast
 ip nhrp shortcut
 ip tcp adjust-mss 1360
 delay 1500
 tunnel source Ethernet0/1
 tunnel mode gre multipoint
 tunnel key 100001
 tunnel vrf ISP2
 tunnel protection ipsec profile profile-dmvpn
!
interface Ethernet0/0
 description Primary ISP
 vrf forwarding ISP1
 ip address 172.16.1.1 255.255.255.0
!
interface Ethernet0/1
 description Seconday ISP
 vrf forwarding ISP2
 ip address 172.16.2.1 255.255.255.0
!
router eigrp 1
 network 10.0.0.0 0.0.0.255
 network 10.0.1.0 0.0.0.255
 network 192.168.0.0 0.0.255.255
!
ip route vrf ISP1 0.0.0.0 0.0.0.0 172.16.1.254
ip route vrf ISP2 0.0.0.0 0.0.0.0 172.16.2.254
!
logging dmvpn
!
end

確認

設定が適切に機能することを検証するためにこの項で説明されている情報を活用してください。

アクティブなプライマリおよびセカンダリ ISP

この確認 シナリオでは、プライマリおよびセカンダリ ISP はアクティブです。 このシナリオについてのいくつかの補足はここにあります:

  • フェーズ 1 および mGRE インターフェイスの両方のためのフェーズ 2 は稼働しています。

  • トンネルの両方はアップしますが、Tunnel0 によるルーティングは(プライマリ ISP によってソースをたどられる)好まれます。

このシナリオの設定を確認するために使用できる関連した show コマンドはここにあります:

SPOKE1#show ip route
<snip>
Gateway of last resort is 10.0.0.1 to network 0.0.0.0

D*    0.0.0.0/0 [90/2944000] via 10.0.0.1, 1w0d, Tunnel0

!--- This is the default route for all of the spoke and hub LAN segments.

      10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C        10.0.0.0/24 is directly connected, Tunnel0
L        10.0.0.10/32 is directly connected, Tunnel0
C        10.0.1.0/24 is directly connected, Tunnel1
L        10.0.1.10/32 is directly connected, Tunnel1
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, Loopback10
L        192.168.1.1/32 is directly connected, Loopback10

SPOKE1#show ip route vrf ISP1

Routing Table: ISP1
<snip>

Gateway of last resort is 172.16.1.254 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 172.16.1.254
      172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.16.1.0/24 is directly connected, Ethernet0/0
L        172.16.1.1/32 is directly connected, Ethernet0/0

SPOKE1#show ip route vrf ISP2

Routing Table: ISP2
<snip>

Gateway of last resort is 172.16.2.254 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 172.16.2.254
      172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.16.2.0/24 is directly connected, Ethernet0/1
L        172.16.2.1/32 is directly connected, Ethernet0/1

SPOKE1#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 172.16.0.1 port 500
  Session ID: 0
  IKEv1 SA: local 172.16.1.1/500 remote 172.16.0.1/500 Active

!--- Tunnel0 is Active and the routes are preferred via Tunnel0.

  IPSEC FLOW: permit 47 host 172.16.1.1 host 172.16.0.1
        Active SAs: 2, origin: crypto map

Interface: Tunnel1
Session status: UP-ACTIVE
Peer: 172.16.0.1 port 500
  Session ID: 0
  IKEv1 SA: local 172.16.2.1/500 remote 172.16.0.1/500 Active

!--- Tunnel0 is Active and the routes are preferred via Tunnel0.

  IPSEC FLOW: permit 47 host 172.16.2.1 host 172.16.0.1
        Active SAs: 2, origin: crypto map

/セカンダリ ISP アクティブ プライマリ ISP

このシナリオでは、EIGRP 保持タイマーは Tunnel0 によって隣接性のために ISP1 リンクがダウン状態になる、ハブへのルーティングおよび他のスポークは Tunnel1 を今指定していますとき切れ(Ethernet0/1 とソースをたどられる)。

このシナリオの設定を確認するために使用できる関連した show コマンドはここにあります:

*Sep  2 14:07:33.374: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 10.0.0.1 (Tunnel0)
is down:
holding time expired

SPOKE1#show ip route
<snip>

Gateway of last resort is 10.0.1.1 to network 0.0.0.0

D*    0.0.0.0/0 [90/3072000] via 10.0.1.1, 00:00:20, Tunnel1

!--- This is the default route for all of the spoke and hub LAN segments.

      10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C        10.0.0.0/24 is directly connected, Tunnel0
L        10.0.0.10/32 is directly connected, Tunnel0
C        10.0.1.0/24 is directly connected, Tunnel1
L        10.0.1.10/32 is directly connected, Tunnel1
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, Loopback10
L        192.168.1.1/32 is directly connected, Loopback10

SPOKE1#show ip route vrf ISP1

Routing Table: ISP1
<snip>

Gateway of last resort is 172.16.1.254 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 172.16.1.254
      172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.16.1.0/24 is directly connected, Ethernet0/0
L        172.16.1.1/32 is directly connected, Ethernet0/0

SPOKE1#show ip route vrf ISP2

Routing Table: ISP2
<snip>

Gateway of last resort is 172.16.2.254 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 172.16.2.254
      172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C        172.16.2.0/24 is directly connected, Ethernet0/1
L        172.16.2.1/32 is directly connected, Ethernet0/1

SPOKE1#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: DOWN
Peer: 172.16.0.1 port 500
  IPSEC FLOW: permit 47 host 172.16.1.1 host 172.16.0.1

!--- Tunnel0 is Inactive and the routes are preferred via Tunnel1.

        Active SAs: 0, origin: crypto map

Interface: Tunnel1
Session status: UP-ACTIVE
Peer: 172.16.0.1 port 500
  Session ID: 0
  IKEv1 SA: local 172.16.2.1/500 remote 172.16.0.1/500 Active

!--- Tunnel0 is Inactive and the routes are preferred via Tunnel1.

  IPSEC FLOW: permit 47 host 172.16.2.1 host 172.16.0.1
        Active SAs: 2, origin: crypto map

Interface: Tunnel0
Session status: DOWN-NEGOTIATING
Peer: 172.16.0.1 port 500
  Session ID: 0
  IKEv1 SA: local 172.16.1.1/500 remote 172.16.0.1/500 Inactive

!--- Tunnel0 is Inactive and the routes are preferred via Tunnel1.

  Session ID: 0
  IKEv1 SA: local 172.16.1.1/500 remote 172.16.0.1/500 Inactive

プライマリ ISP リンク リストア

プライマリ ISP による接続が復元するとき、Tunnel0 暗号 セッションはアクティブになり、Tunnel0 インターフェイスによって学習されるルーティングは好まれます。

次に例を示します。

*Sep  2 14:15:59.128: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 10.0.0.1 (Tunnel0)
is up
: new adjacency

SPOKE1#show ip route
<snip>

Gateway of last resort is 10.0.0.1 to network 0.0.0.0

D*    0.0.0.0/0 [90/2944000] via 10.0.0.1, 00:00:45, Tunnel0

!--- This is the default route for all of the spoke and hub LAN segments.

      10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
C        10.0.0.0/24 is directly connected, Tunnel0
L        10.0.0.10/32 is directly connected, Tunnel0
C        10.0.1.0/24 is directly connected, Tunnel1
L        10.0.1.10/32 is directly connected, Tunnel1
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, Loopback10
L        192.168.1.1/32 is directly connected, Loopback10

SPOKE1#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 172.16.0.1 port 500
  Session ID: 0
  IKEv1 SA: local 172.16.1.1/500 remote 172.16.0.1/500 Active

!--- Tunnel0 is Active and the routes are preferred via Tunnel0.

  IPSEC FLOW: permit 47 host 172.16.1.1 host 172.16.0.1
        Active SAs: 2, origin: crypto map

Interface: Tunnel1
Session status: UP-ACTIVE
Peer: 172.16.0.1 port 500
  Session ID: 0
  IKEv1 SA: local 172.16.2.1/500 remote 172.16.0.1/500 Active

!--- Tunnel0 is Active and the routes are preferred via Tunnel0.

  IPSEC FLOW: permit 47 host 172.16.2.1 host 172.16.0.1
        Active SAs: 2, origin: crypto map

トラブルシューティング

設定をトラブルシューティングするために、debug ip eigrp およびロギング dmvpn を有効に して下さい。

次に例を示します。

################## Tunnel0 Failed and Tunnel1 routes installed ####################

*Sep  2 14:07:33.374: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 10.0.0.1 (Tunnel0)
is down: holding time expired
*Sep  2 14:07:33.374: EIGRP-IPv4(1): table(default): route installed for 0.0.0.0/0
(90/3072000) origin(10.0.1.1)

*Sep  2 14:07:33.391: EIGRP-IPv4(1): table(default): 0.0.0.0/0 - do advertise
out Tunnel1
*Sep  2 14:07:33.399: EIGRP-IPv4(1): table(default): 0.0.0.0/0 - do advertise
out Tunnel1
*Sep  2 14:07:36.686: %DMVPN-5-CRYPTO_SS:  Tunnel0: local address : 172.16.1.1 remote
address : 172.16.0.1 socket is DOWN
*Sep  2 14:07:36.686: %DMVPN-5-NHRP_NHS_DOWN: Tunnel0: Next Hop Server : (Tunnel:
10.0.0.1 NBMA: 172.16.0.1 ) for (Tunnel: 10.0.0.10 NBMA: 172.16.1.1) is DOWN, Reason:
External(NHRP: no error)

################## Tunnel0 came up and routes via Tunnel0 installed #################

*Sep  2 14:15:55.120: %DMVPN-5-CRYPTO_SS:  Tunnel0: local address : 172.16.1.1 remote
address : 172.16.0.1 socket is UP
*Sep  2 14:15:56.109: %DMVPN-5-NHRP_NHS_UP: Tunnel0: Next Hop Server : (Tunnel:
10.0.0.1 NBMA: 172.16.0.1) for (Tunnel: 10.0.0.10 NBMA: 172.16.1.1) is  UP
*Sep  2 14:15:59.128: %DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 10.0.0.1 (Tunnel0)
is up
: new adjacency
*Sep  2 14:16:01.197: EIGRP-IPv4(1): table(default): route installed for 0.0.0.0/0
(90/3072000) origin(10.0.1.1)
*Sep  2 14:16:01.197: EIGRP-IPv4(1): table(default): route installed for 0.0.0.0/0
(90/2944000) origin(10.0.0.1)
*Sep  2 14:16:01.214: EIGRP-IPv4(1): table(default): 0.0.0.0/0 - do advertise
out Tunnel0
*Sep  2 14:16:01.214: EIGRP-IPv4(1): table(default): 0.0.0.0/0 - do advertise
out Tunnel1

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 119022