Безопасность : Cisco FlexVPN

EIGRP на SVTI, DVTI и IKEv2 FlexVPN с "IP[v6] ненумерованный" пример настройки команды

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как настроить Протокол EIGRP во многих обычно встреченных сценариях на Cisco IOS®. Для принятия смежности Соседнего eigrp Cisco IOS должна получить ПАКЕТ ПРИВЕТСТВИЯ EIGRP из IP-адреса в той же подсети. Возможно отключить ту проверку с командой ip unnumbered.

Первая часть статьи представляет сбой EIGRP, когда это получает пакет, который не находится в той же подсети.

Другой пример демонстрирует использование команды ip unnumbered, которая отключает ту проверку и позволяет EIGRP формировать смежность между узлами, которые принадлежат другим подсетям.

Эта статья также предоставляет Концентратору FlexVPN и Лучевым развертываниям с IP-адресом, передаваемым от сервера. Для этого сценария проверка подсетей отключена для команды ip address negotiated и также для команды ip unnumbered. Команда ip unnumbered прежде всего используется для точка-точка (P2P) интерфейсы типа, и это делает FlexVPN совершенной адаптацией, так как это основывается на архитектуре P2P.

Наконец, сценарий IPv6 представлен вместе с различиями и для Статических интерфейсов виртуальных туннелей (SVTI) и для Динамических интерфейсов виртуальных туннелей (DVTI). Существуют небольшие изменения в поведении при сравнении IPv6 со сценариями IPv4.

Кроме того, изменения между версиями Cisco IOS 15.1 и 15.3 представлены (идентификатор ошибки Cisco CSCtx45062).

Команда ip unnumbered всегда необходима для DVTI. Это вызвано тем, что статически-настроенные-IP-адреса на виртуальном интерфейсе никогда не клонируются к интерфейсу виртуального доступа. Кроме того, интерфейс без настроенного IP-адреса не в состоянии установить любую смежность протокола динамической маршрутизации. Команда ip unnumbered не необходима для SVTI, но без той подсети, проверка выполнена, когда установлена смежность протокола динамической маршрутизации. Также команда ipv6 unnumbered не необходима для сценариев IPV6 из-за локальных для канала адресов, которые используются для построения смежностей EIGRP.

Внесенный Михалом Гаркарзом и Оливье Пелереном, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует иметь базовые знания об этих темах:

  • Конфигурация VPN на Cisco IOS
  • Конфигурация FlexVPN на Cisco IOS

Используемые компоненты

Сведения в этом документе основываются на версии Cisco IOS 15.3T.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

EIGRP на одном сегменте Ethernet с другими подсетями

Топология: Маршрутизатор 1 (R1) (e0/0: 10.0.0.1/24)-------(e0/1: 10.0.1.2/24) Маршрутизатор 2 (R2)

R1:
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0

router eigrp 100
network 10.0.0.1 0.0.0.0

R2:
interface Ethernet0/0
ip address 10.0.1.2 255.255.255.0

router eigrp 100
network 10.0.1.2 0.0.0.0

R1 показывает:

*Mar 3 16:39:34.873: EIGRP: Received HELLO on Ethernet0/0 nbr 10.0.1.2
*Mar 3 16:39:34.873:  AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:39:34.873: EIGRP-IPv4(100): Neighbor 10.0.1.2 not on common subnet
for Ethernet0/0

Cisco IOS не формирует смежность, которая ожидается. Для получения дополнительной информации об этом, обратитесь к, Что EIGRP "Означают Сообщения "не находится в общей подсети"? статья.

EIGRP на сегменте SVTI с другими подсетями

Та же ситуация происходит при использовании Виртуальных туннельных интерфейсов (VTI) (Туннель универсальной инкапсуляции маршрутизации (GRE)).

Топология: R1 (Tun1: 172.16.0.1/24)-------(Tun1: 172.17.0.2/24) R2

R1:
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0
 
interface Tunnel1
 ip address 172.16.0.1 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.2

router eigrp 100
 network 172.16.0.1 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R2:
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
 
interface Tunnel1
 ip address 172.17.0.2 255.255.255.0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.1

router eigrp 100
 network 172.17.0.2 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R1 показывает:

*Mar 3 16:41:52.167: EIGRP: Received HELLO on Tunnel1 nbr 172.17.0.2
*Mar 3 16:41:52.167:  AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:41:52.167: EIGRP-IPv4(100): Neighbor 172.17.0.2 not on common subnet
for Tunnel1

Это ожидаемое состояние.

Используйте команду ip unnumbered

Данный пример показывает, как использовать команду ip unnumbered, которая отключает проверку и обеспечивает установление сеанса EIGRP между узлами в других подсетях.

Топология подобна предыдущему примеру, но адреса туннелей теперь определены через команду ip unnumbered, которая указывает к loopback:

Топология: R1 (Tun1: 172.16.0.1/24)-------(Tun1: 172.17.0.2/24) R2

R1:
interface Ethernet0/0
 ip address 10.0.0.1 255.255.255.0
 
interface Loopback0
 ip address 172.16.0.1 255.255.255.0

interface Tunnel1
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.2

router eigrp 100
 network 172.16.0.1 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R2:
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0

interface Loopback0
 ip address 172.17.0.2 255.255.255.0

interface Tunnel1
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel destination 10.0.0.1

router eigrp 100
 network 172.17.0.2 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R1 показывает:

*Mar 3 16:50:39.046: EIGRP: Received HELLO on Tunnel1 nbr 172.17.0.2
*Mar 3 16:50:39.046:  AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:50:39.046: EIGRP: New peer 172.17.0.2
*Mar 3 16:50:39.046: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 172.17.0.2
(Tunnel1) is up: new adjacency


R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H  Address                Interface      Hold Uptime  SRTT  RTO Q Seq
                                           (sec)        (ms)      Cnt Num
0  172.17.0.2             Tu1              12 00:00:07   7 1434 0 13

R1#show ip route eigrp
     172.17.0.0/24 is subnetted, 1 subnets
D       172.17.0.0 [90/27008000] via 172.17.0.2, 00:00:05, Tunnel1

R1#show ip int brief
Interface                 IP-Address     OK? Method Status               Protocol
Ethernet0/0               10.0.0.1       YES manual up                   up     
Loopback0               172.16.0.1     YES manual up                   up     
Tunnel1                   172.16.0.1     YES TFTP up                   up 

R2 подобен этому.

После изменения команды ip unnumbered в определенную Настройку IP-адреса смежность EIGRP не формируется.

EIGRP на SVTI к сегменту DVTI с другими подсетями 

Данный пример также использует команду ip unnumbered. Правила, упомянутые ранее, применяются к DVTI также.

Топология: R1 (Tun1: 172.16.0.1/24)-------(Virtual-template: 172.17.0.2/24) R2

Предыдущий пример модифицируется здесь для использования DVTI вместо SVTI. Кроме того, tunnel protection добавлен в данном примере.

R1:
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto ipsec profile prof
 set transform-set TS
!
interface Loopback0
 ip address 172.16.0.1 255.255.255.0
!
interface Tunnel1
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 10.0.0.2
 tunnel protection ipsec profile prof
!
router eigrp 100
 network 172.16.0.1 0.0.0.0
 passive-interface default
 no passive-interface Tunnel1

R2:
crypto isakmp policy 1
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto isakmp profile profLAN
  keyring default
  match identity address 10.0.0.1 255.255.255.255
  virtual-template 1
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto ipsec profile profLAN
 set transform-set TS
 set isakmp-profile profLAN
 
interface Loopback0
 ip address 172.17.0.2 255.255.255.0
!
interface Ethernet0/0
 ip address 10.0.0.2 255.255.255.0
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile profLAN
!
!
router eigrp 100
 network 172.17.0.2 0.0.0.0
 passive-interface default
 no passive-interface Virtual-Template1

Все работает как ожидалось:

R1#show crypto session 
Crypto session current status
Interface: Tunnel1
Session status: UP-ACTIVE    
Peer: 10.0.0.2 port 500
 IKEv1 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
 IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
       Active SAs: 2, origin: crypto map


R1#show crypto ipsec sa
interface: Tunnel1
   Crypto map tag: Tunnel1-head-0, local addr 10.0.0.1
  protected vrf: (none)
  local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
  remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
  current_peer 10.0.0.2 port 500
    PERMIT, flags={origin_is_acl,}
   #pkts encaps: 89, #pkts encrypt: 89, #pkts digest: 89
   #pkts decaps: 91, #pkts decrypt: 91, #pkts verify: 91

  
R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H  Address                Interface      Hold Uptime  SRTT  RTO Q Seq
0  172.17.0.2             Tu1              13 00:06:31   7 1434 0 19

R1#show ip route eigrp
     172.17.0.0/24 is subnetted, 1 subnets
D       172.17.0.0 [90/27008000] via 172.17.0.2, 00:06:35, Tunnel1




R2#show crypto session
Crypto session current status
Interface: Virtual-Access1
Profile: profLAN
Session status: UP-ACTIVE    
Peer: 10.0.0.1 port 500
 IKEv1 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
 IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
       Active SAs: 2, origin: crypto map


R2#show crypto ipsec sa
interface: Virtual-Access1
   Crypto map tag: Virtual-Access1-head-0, local addr 10.0.0.2
  protected vrf: (none)
  local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
  remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
  current_peer 10.0.0.1 port 500
    PERMIT, flags={origin_is_acl,}
   #pkts encaps: 107, #pkts encrypt: 107, #pkts digest: 107
   #pkts decaps: 105, #pkts decrypt: 105, #pkts verify: 105
 
 
R2#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H  Address                Interface      Hold Uptime  SRTT  RTO Q Seq
0  172.16.0.1             Vi1              13 00:07:41  11  200 0 16


R2#show ip route eigrp
     172.16.0.0/24 is subnetted, 1 subnets
D       172.16.0.0 [90/1433600] via 172.16.0.1, 00:07:44, Virtual-Access1

Что касается предыдущих примеров, когда вы пытаетесь настроить 172.16.0.1 и 172.17.0.2 непосредственно под туннельными интерфейсами, сбоями EIGRP с точно той же ошибкой как прежде.

EIGRP на IKEv2 Flex VPN с другими подсетями

Вот пример для Концентратора FlexVPN и Конфигурации оконечного устройства. Сервер передает IP-адрес через режим конфигурации для клиента.

Топология: R1 (e0/0: 172.16.0.1/24)-------(e0/1: 172.16.0.2/24) R2

Концентратор (R1) конфигурация:

aaa new-model
aaa authorization network LOCALIKEv2 local

crypto ikev2 authorization policy AUTHOR-POLICY
 pool POOL
!
crypto ikev2 keyring KEYRING
 peer R2
 address 172.16.0.2
 pre-shared-key CISCO
 !       

crypto ikev2 profile default
 match identity remote key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list LOCALIKEv2 AUTHOR-POLICY
 virtual-template 1

interface Loopback0
 ip address 1.1.1.1 255.255.255.0
!
interface Ethernet0/0
 ip address 172.16.0.1 255.255.255.0

interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile default
!        
!
router eigrp 1
 network 1.1.1.1 0.0.0.0
 passive-interface default
 no passive-interface Virtual-Template1
!
ip local pool POOL 192.168.0.1 192.168.0.10

Конфигурация оконечного устройства:

aaa new-model
aaa authorization network FLEX local

crypto ikev2 authorization policy FLEX
 route set interface
!
!
!
crypto ikev2 keyring KEYRING
 peer R1
 address 172.16.0.1
 pre-shared-key CISCO
 !       
!
!
crypto ikev2 profile default
 match identity remote address 172.16.0.1 255.255.255.255
 identity local key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list FLEX FLEX

interface Loopback0
 ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/0
 ip address 172.16.0.2 255.255.255.0

interface Tunnel0
 ip address negotiated
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv4
 tunnel destination 172.16.0.1
 tunnel protection ipsec profile default

router eigrp 1
 network 0.0.0.0
 passive-interface default
 no passive-interface Tunnel0

Луч использует SVTI для соединения с Концентратором, который использует DVTI для всех лучей. Поскольку EIGRP не так гибок как Протокол OSPF, и не возможно настроить его под интерфейсом (SVTI или DVTI), сеть 0.0.0.0 используется на Луче, чтобы гарантировать, что EIGRP включен на интерфейсе Tun0. Пассивный интерфейс используется, чтобы гарантировать, что смежность сформирована только на интерфейсе Tun0.

Для этих развертываний также необходимо настроить ip, ненумерованный на Концентраторе. При ручной настройке IP-адреса под виртуальным интерфейсом это не клонировано к интерфейсу виртуального доступа. Затем интерфейсу виртуального доступа не назначали IP-адрес, и смежность EIGRP не формируется. Это - то, почему команда ip unnumbered всегда требуется для интерфейсов DVTI для формирования смежности EIGRP.

В данном примере смежность EIGRP создана между 1.1.1.1 и 192.168.0.9.

Тестирование на концентраторе:

R1#show ip int brief 
Interface             IP-Address     OK? Method Status               Protocol
Ethernet0/0           172.16.0.1     YES NVRAM up                   up     
Ethernet0/1           unassigned     YES NVRAM administratively down down   
Ethernet0/2           unassigned     YES NVRAM administratively down down   
Ethernet0/3           unassigned     YES NVRAM administratively down down   
Loopback0             1.1.1.1        YES manual up                   up       
Virtual-Access1        1.1.1.1        YES unset up                   up     
Virtual-Template1     1.1.1.1        YES manual up                   down

R1#show crypto session
Crypto session current status

Interface: Virtual-Access1
Session status: UP-ACTIVE    
Peer: 172.16.0.2 port 500
 IKEv2 SA: local 172.16.0.1/500 remote 172.16.0.2/500 Active
 IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
       Active SAs: 2, origin: crypto map

R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H  Address            Interface             Hold Uptime  SRTT  RTO Q Seq
                                              (sec)        (ms)      Cnt Num
0  192.168.0.9         Vi1                     10 01:28:49  12 1494 0 13

R1#show ip route eigrp
....
Gateway of last resort is not set

     2.0.0.0/24 is subnetted, 1 subnets
D       2.2.2.0 [90/27008000] via 192.168.0.9, 01:28:52, Virtual-Access1



С Лучевой точки зрения команда ip address negotiated работает то же как IP-адрес ненумерованная команда, и проверка подсети отключена. 

Тестирование на луче:

R2#show ip int brief 
Interface             IP-Address     OK? Method Status               Protocol
Ethernet0/0           172.16.0.2     YES NVRAM up                   up     
Ethernet0/1           unassigned     YES NVRAM administratively down down   
Ethernet0/2           unassigned     YES NVRAM administratively down down   
Ethernet0/3           unassigned     YES NVRAM administratively down down   
Loopback0              2.2.2.2        YES NVRAM up                   up     
Tunnel0                192.168.0.9    YES NVRAM up                   up

R2#show crypto session
Crypto session current status

Interface: Tunnel0
Session status: UP-ACTIVE    
Peer: 172.16.0.1 port 500
 IKEv2 SA: local 172.16.0.2/500 remote 172.16.0.1/500 Active
 IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
       Active SAs: 2, origin: crypto map

R2#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H  Address            Interface             Hold Uptime  SRTT  RTO Q Seq
                                              (sec)        (ms)      Cnt Num
0  1.1.1.1            Tu0                    14 01:30:18  15 1434 0 14

R2#show ip route eigrp
....
     1.0.0.0/24 is subnetted, 1 subnets
D       1.1.1.0 [90/27008000] via 1.1.1.1, 01:30:21



Режим конфигурации для маршрутизации

Вторая версия протокола Internet Key Exchange (IKEv2) является другой опцией. Возможно использовать режим конфигурации для подталкивания маршрутов. В этом сценарии не необходимы EIGRP и команда ip unnumbered.

Можно модифицировать предыдущий пример для настройки Концентратора для передачи, которые направляют через режим конфигурации:

crypto ikev2 authorization policy AUTHOR-POLICY 
 pool POOL
 route set access-list SPLIT

ip access-list standard SPLIT
 permit 1.1.1.0 0.0.0.255

Луч видит 1.1.1.1 как статичный, не EIGRP:

R2#show ip route
....
     1.0.0.0/24 is subnetted, 1 subnets
S       1.1.1.0 is directly connected, Tunnel0


Те же процессуальные работы в противоположном направлении. Луч передает маршрут к Концентратору:

crypto ikev2 authorization policy FLEX 
 route set access-list SPLIT

ip access-list standard SPLIT
 permit 2.2.2.0 0.0.0.255

Концентратор рассматривает его как статичный (не EIGRP):

R1#show ip route 
....
     2.0.0.0/24 is subnetted, 1 subnets
S       2.2.2.0 is directly connected, Virtual-Access1

Для этого сценария не необходимы протокол динамической маршрутизации и команда ip unnumbered.

IPV6 EIGRP на сегменте SVTI с другими подсетями

Для IPv6 ситуация является другой. Это вызвано тем, что локальные для канала адреса IPv6 (FE80::/10) используются для построения EIGRP или соседства OSPF. Допустимые локальные для канала адреса всегда принадлежат той же подсети, так не требуется для использования команды ipv6 unnumbered для этого.

Топология здесь совпадает с для предыдущего примера, за исключением того, что весь Ipv4 address заменен Ipv6 address.

Конфигурация R1:

interface Tunnel1
 no ip address
 ipv6 address FE80:1::1 link-local
 ipv6 address 2001:1::1/64
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode gre ipv6
 tunnel destination 2001::2

interface Loopback0
 description Simulate LAN
 no ip address
 ipv6 address 2001:100::1/64
 ipv6 enable
 ipv6 eigrp 100

interface Ethernet0/0
 no ip address
 ipv6 address 2001::1/64
 ipv6 enable

ipv6 router eigrp 100

Конфигурация R2:

interface Tunnel1
 no ip address
 ipv6 address FE80:2::2 link-local
 ipv6 address 2001:2::2/64
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode gre ipv6
 tunnel destination 2001::1

interface Loopback0
 description Simulate LAN
 no ip address
 ipv6 address 2001:200::1/64
 ipv6 enable
 ipv6 eigrp 100

interface Ethernet0/0
 no ip address
 ipv6 address 2001::2/64
 ipv6 enable

ipv6 router eigrp 100

Туннельные адреса находятся в других подсетях (2001:1:: 1/64 и 2001:2:: 2/64), но это не важно. Локальные для канала адреса используются для построения смежности. С этими адресами это всегда успешно выполняется.

На R1:

R1#show ipv6 int brief 
Ethernet0/0           [up/up]
   FE80::A8BB:CCFF:FE00:6400
   2001::1
Loopback0             [up/up]
   FE80::A8BB:CCFF:FE00:6400
   2001:100::1
Tunnel1               [up/up]
   FE80:1::1
   2001:1::1

R1#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H  Address            Interface             Hold Uptime  SRTT  RTO Q Seq
                                              (sec)        (ms)      Cnt Num
0  Link-local address: Tu1                     12 00:13:58 821 4926 0 17
   FE80:2::2

R1#show ipv6 route eigrp
...
D  2001:2::/64 [90/28160000]
    via FE80:2::2, Tunnel1
D  2001:200::/64 [90/27008000]
    via FE80:2::2, Tunnel1

На R2:

R2#show ipv6 int brief 
Ethernet0/0           [up/up]
   FE80::A8BB:CCFF:FE00:6500
   2001::2
Loopback0             [up/up]
   FE80::A8BB:CCFF:FE00:6500
   2001:200::1
Tunnel1               [up/up]
   FE80:2::2
   2001:2::2

R2#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H  Address            Interface             Hold Uptime  SRTT  RTO Q Seq
                                              (sec)        (ms)      Cnt Num
0  Link-local address: Tu1                     14 00:15:31  21 1470 0 18
   FE80:1::1

R2#show ipv6 route eigrp
...
D  2001:1::/64 [90/28160000]
    via FE80:1::1, Tunnel1
D  2001:100::/64 [90/27008000]
    via FE80:1::1, Tunnel1

Одноранговая сеть IPv6 установлена процессом EIGRP. На R1, 2001:2::/64 сеть установлен, и что сеть является другой подсетью, чем 2001:1::/64. То же истинно на R2. Например, 2001:: 1/64 установлен, который является подсетью для ее IP - адреса адресуемого точки. Не требуется для команды ipv6 unnumbered здесь. Кроме того, команда ipv6 address не необходима на туннельном интерфейсе для установления смежности EIGRP, потому что локальные для канала адреса используются (и те генерируются автоматически при включении IPv6 с командой ipv6 enable).

IPV6 EIGRP на IKEv2 Flex VPN с другими подсетями

Конфигурация DVTI для IPv6 является другой, чем для IPv4: не возможно настроить статический IP - адрес больше.

R1(config)#interface Virtual-Template2 type tunnel
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 address ?
 autoconfig Obtain address using autoconfiguration
 dhcp       Obtain a ipv6 address using dhcp
 negotiated IPv6 Address negotiated via IKEv2 Modeconfig

R1(config-if)#ipv6 address

Это ожидается, так как статический адрес никогда не клонируется к интерфейсу виртуального доступа. Это - то, почему команда ipv6 unnumbered рекомендуется для Конфигурации концентратора и ipv6 address, которого договорная команда рекомендуется для Конфигурации оконечного устройства.

Топология совпадает с предыдущим примером, за исключением того, что весь Ipv4 address заменен Ipv6 address.

Концентратор (R1) конфигурация:

aaa authorization network LOCALIKEv2 local 

crypto ikev2 authorization policy AUTHOR-POLICY
 ipv6 pool POOL

crypto ikev2 keyring KEYRING
 peer R2
 address 2001::2/64
 pre-shared-key CISCO
 
crypto ikev2 profile default
 match identity remote key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list LOCALIKEv2 AUTHOR-POLICY
 virtual-template 1

interface Loopback0
 no ip address
 ipv6 address 2001:100::1/64
 ipv6 enable
 ipv6 eigrp 100

interface Ethernet0/0
 no ip address
 ipv6 address 2001::1/64
 ipv6 enable

interface Virtual-Template1 type tunnel
 no ip address
 ipv6 unnumbered Loopback0
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv6
 tunnel protection ipsec profile default

ipv6 local pool POOL 2001:10::/64 64
ipv6 router eigrp 100
 eigrp router-id 1.1.1.1

Луч (R2) конфигурация:

aaa authorization network FLEX local

crypto ikev2 authorization policy FLEX
 route set interface

crypto ikev2 keyring KEYRING
 peer R1
 address 2001::1/64
 pre-shared-key CISCO

crypto ikev2 profile default
 match identity remote address 2001::1/64
 identity local key-id FLEX
 authentication remote pre-share
 authentication local pre-share
 keyring local KEYRING
 aaa authorization group psk list FLEX FLEX

interface Tunnel0
 no ip address
 ipv6 address negotiated
 ipv6 enable
 ipv6 eigrp 100
 tunnel source Ethernet0/0
 tunnel mode ipsec ipv6
 tunnel destination 2001::1
 tunnel protection ipsec profile default
!
interface Ethernet0/0
 no ip address
 ipv6 address 2001::2/64
 ipv6 enable

ipv6 router eigrp 100
 eigrp router-id 2.2.2.2

Проверка:

R2#show ipv6 eigrp neighbors 
EIGRP-IPv6 Neighbors for AS(100)
H  Address            Interface             Hold Uptime  SRTT  RTO Q Seq
                                              (sec)        (ms)      Cnt Num
0  Link-local address: Tu0                     11 00:12:32  17 1440 0 12
   FE80::A8BB:CCFF:FE00:6500

R2#show ipv6 route eigrp
....
D  2001:100::/64 [90/27008000]
    via FE80::A8BB:CCFF:FE00:6500, Tunnel0

R2#show crypto session detail
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection    
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation    
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Tunnel0
Uptime: 00:13:17
Session status: UP-ACTIVE    
Peer: 2001::1 port 500 fvrf: (none) ivrf: (none)
     Phase1_id: 2001::1
     Desc: (none)
 IKEv2 SA: local 2001::2/500
         remote 2001::1/500 Active
         Capabilities:(none) connid:1 lifetime:23:46:43
 IPSEC FLOW: permit ipv6 ::/0 ::/0
       Active SAs: 2, origin: crypto map
       Inbound: #pkts dec'ed 190 drop 0 life (KB/Sec) 4271090/2803
       Outbound: #pkts enc'ed 194 drop 0 life (KB/Sec) 4271096/2803
 
R2#ping 2001:100::1 repeat 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 2001:100::1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/4/5 ms

R2#show crypto session detail  
Crypto session current status

Code: C - IKE Configuration mode, D - Dead Peer Detection    
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation    
X - IKE Extended Authentication, F - IKE Fragmentation

Interface: Tunnel0
Uptime: 00:13:27
Session status: UP-ACTIVE    
Peer: 2001::1 port 500 fvrf: (none) ivrf: (none)
     Phase1_id: 2001::1
     Desc: (none)
 IKEv2 SA: local 2001::2/500
         remote 2001::1/500 Active
         Capabilities:(none) connid:1 lifetime:23:46:33
 IPSEC FLOW: permit ipv6 ::/0 ::/0
       Active SAs: 2, origin: crypto map
       Inbound: #pkts dec'ed 292 drop 0 life (KB/Sec) 4271071/2792
       Outbound: #pkts enc'ed 296 drop 0 life (KB/Sec) 4271082/2792

Для DVTI IPv6 не может быть настроен вручную. Команда ipv6 unnumbered рекомендуется для Концентратора и ipv6 address, которого договорная команда рекомендуется на Луче.

Этот сценарий представляет команду ipv6 unnumbered для DVTI. Важно заметить, что для IPv6 в противоположность IPv4 не необходима команда ipv6 unnumbered на виртуальном интерфейсе. Причина для этого совпадает с для IPv6 сценарием SVTI: локальный для канала ipv6 address используется для построения смежности. Интерфейс виртуального доступа, который клонирован от virtual-template, наследовал IPv6 локальный для канала адрес, и это достаточно для построения смежности EIGRP.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Известные предупреждения

Идентификатор ошибки Cisco CSCtx45062 FlexVPN: Если туннельный ip является/32, Eigrp не должен проверять общие подсети.

Этот дефект и исправление не FlexVPN-специфичны. Введите эту команду перед осуществлением исправления (Выпуск ПО 15.1):

R2(config-if)#do show run int tun1
Building configuration...

Current configuration : 165 bytes

interface Tunnel1
 tunnel source Ethernet0/0
 tunnel destination 192.168.0.1
 tunnel protection ipsec profile prof1

R2(config-if)#ip address 192.168.200.1 255.255.255.255
Bad mask /32 for address 192.168.200.1

Введите эту команду после исправления (программное обеспечение 15.3):

R2(config-if)#do show run int tun1
Building configuration...

Current configuration : 165 bytes

interface Tunnel1
 tunnel source Ethernet0/0
 tunnel destination 192.168.0.1
 tunnel protection ipsec profile prof1

R2(config-if)#ip address 192.168.200.1 255.255.255.255
R2(config-if)#
*Jun 14 18:01:12.395: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor
192.168.100.1 (Tunnel1) is up: new adjacency

Существует фактически два изменения в Выпуске ПО 15.3:

  • Маска подсети/32 принята для всех IP-адресов.
  • Нет никакой проверки подсети для Соседнего eigrp при использовании адреса/32.

Сводка

Поведение EIGRP изменено командой ip unnumbered. Это отключает проверки для той же подсети, в то время как это устанавливает смежность EIGRP.

Также важно помнить, что при использовании DVTIs статически настроенный IP - адрес на virtual-template это не клонировано к виртуальному доступу. Это - то, почему необходима команда ip unnumbered.

Для FlexVPN, не требуется для использования команды ip unnumbered, когда вы используете согласованный адрес у клиента. Но, важно использовать его на Концентраторе при использовании EIGRP. При использовании режима конфигурации для маршрутизации EIGRP не необходим.

Для SVTI IPv6 использует локальные для канала адреса для смежности, и не требуется использовать команду ipv6 unnumbered.

Для DVTI IPv6 не может быть настроен вручную. Команда ipv6 unnumbered рекомендуется для Концентратора и ipv6 address, которого договорная команда рекомендуется на Луче.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.