Безопасность : Cisco FlexVPN

Пример конфигурации FlexVPN HA двойного концентратора

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как настроить дизайн полного резервирования для Удаленных офисов, которые соединяются с ЦОД через основанную на IPSec VPN по среде ненадежной сети, такой как Интернет.

Внесенный Петром Куписиевичем, Вэнь Чжаном, и Фредериком Детинном, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на этих компонентах технологии:

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Общие сведения

При разработке решений для удаленного доступа для ЦОД Высокая доступность (HA) часто является ключевым требованием для критически важных пользовательских приложений.

Решение, которое представлено в этом документе, позволяет быстрое обнаружение и восстановление после сценариев отказов, в которых из завершающих VPN концентраторов выключается из-за повторной загрузки, обновления или проблем электропитания. Все Удаленные маршрутизаторы офисов (лучи) тогда используют другой в рабочем состоянии концентратор непосредственно после обнаружения такого сбоя.

Вот преимущества этого дизайна:

  • Быстрое сетевое восстановление после VPN концентрирует вниз сценарий

  • Никакие сложные синхронизации с отслеживанием состояния (такие как Сопоставления безопасности IPSec (SA), SA Протокола ISAKMP и Крипто-маршрутизация) между концентраторами VPN

  • Никакая причина проблемы антивоспроизведения к задержкам синхронизации порядкового номера Безопасного закрытия полезной нагрузки (ESP) с IPSec HA С отслеживанием состояния

  • Концентраторы VPN могут использовать другую Cisco IOS,/IOS-XE базировал аппаратные средства или программное обеспечение

  • Гибкие выборы реализации распределения нагрузки с BGP как протокол маршрутизации, который выполняется в наложении VPN

  • Очиститесь и читаемая маршрутизация на всех устройствах без скрытых механизмов, которые работают в фоновом режиме

  • Прямое подключение конечного маршрутизатор - конечного маршрутизатора

  • Все преимущества FlexVPN, для включения интеграции Аутентификации, авторизации и учета (AAA) и Качества обслуживания (QoS) на туннель

Настройка

Этот раздел предоставляет примеры сценария и описывает, как настроить дизайн полного резервирования для Удаленных офисов, которые соединяются с ЦОД через основанную на IPSec VPN по среде ненадежной сети.

Примечание: Чтобы получить подробные сведения о командах в данном документе, используйте Средство поиска команд (только для зарегистрированных клиентов).  

Схема сети

Это - топология сети, которая используется в этом документе:

 

Примечание: Все маршрутизаторы, которые используются в этой топологии выполненная версия Cisco IOS 15.2 (4) M1 и интернет-Облако, используют схему адресации 172.16.0.0/24.

Обычный в рабочем состоянии сценарий

В обычном в рабочем состоянии сценарии, когда все маршрутизаторы произошли и в рабочем состоянии, все маршрутизаторы на конце луча направляют весь трафик через концентратор по умолчанию (R1-HUB1). Это предпочтение маршрутизации достигнуто , когда локальный параметр BGP по умолчанию установлен в 200 (обратитесь к разделам, которые придерживаются для подробных данных). Это может быть отрегулировано на основе требований развертываний, таких как распределение нагрузки трафика.

Конечный маршрутизатор - конечный маршрутизатор (Ярлык)

Если Spoke1 R3 инициирует соединение с R4-Spoke2, динамический туннель конечного маршрутизатор - конечного маршрутизатора создан с конфигурацией коммутации ярлыка. 

Совет: Для получения дополнительной информации обратитесь к Настройке, которую FlexVPN Говорил с руководством Конфигурации оконечного устройства.

Если Spoke1 R3 связан только с R1-HUB1, и R4-Spoke2 связан только с R2-HUB2, прямое соединение конечного маршрутизатор - конечного маршрутизатора может все еще быть достигнуто с Туннелем GRE "точка-точка", который выполняется между концентраторами. В этом случае начальный путь трафика между Spoke1 R3 и R4-Spoke2 кажется подобным этому:

Так как R1-Hub1 получает пакет на интерфейсе виртуального доступа, который имеет тот же идентификатор сети Протокола NHRP, как это на Туннеле GRE, Индикация Трафика передается к Spoke1 R3. Это вызывает создание динамического туннеля конечного маршрутизатор - конечного маршрутизатора:

Таблицы маршрутизации и выходные данные для обычного в рабочем состоянии сценария

Вот таблица маршрутизации R1-HUB1 в обычном в рабочем состоянии сценарии:

R1-HUB1# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
      a - application route
      + - replicated route, % - next hop override

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 11 subnets, 3 masks
S       10.0.0.0/8 is directly connected, Null0
C       10.0.0.0/24 is directly connected, Tunnel0
L       10.0.0.1/32 is directly connected, Tunnel0
C       10.0.1.1/32 is directly connected, Loopback0
S       10.0.1.2/32 is directly connected, Virtual-Access1
S       10.0.1.3/32 is directly connected, Virtual-Access2
B       10.0.2.1/32 [200/0] via 10.0.0.2, 00:05:40
B       10.0.2.3/32 [200/0] via 10.0.0.2, 00:05:40
B       10.0.2.4/32 [200/0] via 10.0.0.2, 00:05:40
B       10.0.5.1/32 [200/0] via 192.168.0.5, 00:05:40
B       10.0.6.1/32 [200/0] via 192.168.0.6, 00:05:40
     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C       172.16.0.0/24 is directly connected, Ethernet0/0
L       172.16.0.1/32 is directly connected, Ethernet0/0
S    192.168.0.0/16 is directly connected, Null0
     192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.0.0/24 is directly connected, Ethernet0/2
L       192.168.0.1/32 is directly connected, Ethernet0/2
B    192.168.1.0/24 [200/0] via 192.168.0.5, 00:05:40
B    192.168.3.0/24 [200/0] via 10.0.1.4, 00:05:24
B    192.168.4.0/24 [200/0] via 10.0.1.5, 00:05:33

Вот таблица маршрутизации SPOKE1 R3 в обычном в рабочем состоянии сценарии после того, как будет создан туннель конечного маршрутизатор - конечного маршрутизатора с R4-SPOKE2:

R3-SPOKE1# show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
      D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
      N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
      E1 - OSPF external type 1, E2 - OSPF external type 2
      i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
      ia - IS-IS inter area, * - candidate default, U - per-user static route
      o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
      a - application route
      + - replicated route, % - next hop override

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 8 subnets, 2 masks
B       10.0.0.0/8 [200/0] via 10.0.1.1, 00:06:27
H       10.0.0.1/32 is directly connected, 00:06:38, Tunnel1
S  %   10.0.1.1/32 is directly connected, Tunnel0
C       10.0.1.3/32 is directly connected, Tunnel0
H       10.0.1.4/32 is directly connected, 00:01:30, Virtual-Access1
S       10.0.2.1/32 is directly connected, Tunnel1
C       10.0.2.3/32 is directly connected, Tunnel1
H       10.0.2.4/32 [250/1] via 10.0.2.3, 00:01:30, Virtual-Access1
     172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C       172.16.0.0/24 is directly connected, Ethernet0/0
L       172.16.0.3/32 is directly connected, Ethernet0/0
B    192.168.0.0/16 [200/0] via 10.0.1.1, 00:06:27
     192.168.3.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.3.0/24 is directly connected, Ethernet0/1
L       192.168.3.3/32 is directly connected, Ethernet0/1
     192.168.4.0/32 is subnetted, 1 subnets
H       192.168.4.4 [250/1] via 10.0.1.3, 00:01:30, Virtual-Access1

На Spoke1 R3 таблица BGP имеет две записи для 192.168.0.0/16 сети с другими local-preference (R1-Hub1 предпочтен):

R3-SPOKE1#show ip bgp 192.168.0.0/16
BGP routing table entry for 192.168.0.0/16, version 8
Paths: (2 available, best #2, table default)
 Not advertised to any peer
 Refresh Epoch 1
 Local
   10.0.2.1 from 10.0.2.1 (10.0.2.1)
     Origin incomplete, metric 0, localpref 100, valid, internal
     rx pathid: 0, tx pathid: 0
 Refresh Epoch 1
 Local
   10.0.1.1 from 10.0.1.1 (10.0.1.1)
     Origin incomplete, metric 0, localpref 200, valid, internal, best
     rx pathid: 0, tx pathid: 0x0

Вот таблица маршрутизации R5-AGGR1 в обычном в рабочем состоянии сценарии:

R5-LAN1#show ip route
     10.0.0.0/8 is variably subnetted, 10 subnets, 3 masks
B       10.0.0.0/8 [200/0] via 192.168.0.1, 00:07:22
B       10.0.0.0/24 [200/0] via 192.168.0.1, 00:07:22
B       10.0.1.1/32 [200/0] via 192.168.0.1, 00:07:22
B       10.0.1.3/32 [200/0] via 192.168.0.1, 00:07:17
B       10.0.1.4/32 [200/0] via 192.168.0.1, 00:07:16
B       10.0.2.1/32 [200/0] via 192.168.0.2, 15:44:13
B       10.0.2.3/32 [200/0] via 192.168.0.2, 15:44:13
B       10.0.2.4/32 [200/0] via 192.168.0.2, 15:44:13
C       10.0.5.1/32 is directly connected, Loopback0
B       10.0.6.1/32 [200/0] via 192.168.0.6, 00:07:22
     172.16.0.0/24 is subnetted, 1 subnets
B       172.16.0.0 [200/0] via 192.168.0.1, 00:07:22
B    192.168.0.0/16 [200/0] via 192.168.0.1, 00:07:22
     192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.0.0/24 is directly connected, Ethernet0/0
L       192.168.0.5/32 is directly connected, Ethernet0/0
     192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.1.0/24 is directly connected, Ethernet0/1
L       192.168.1.5/32 is directly connected, Ethernet0/1
B    192.168.3.0/24 [200/0] via 10.0.1.3, 00:07:06
B    192.168.4.0/24 [200/0] via 10.0.1.4, 00:07:15

Вот таблица маршрутизации R7-ХОСТА в обычном в рабочем состоянии сценарии:

R7-HOST#show ip route
S*   0.0.0.0/0 [1/0] via 192.168.1.254
     192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.1.0/24 is directly connected, Ethernet0/0
L       192.168.1.7/32 is directly connected, Ethernet0/0

Сценарий отказов HUB1

Вот является R1-HUB1 вниз сценарием (из-за действий, таких как перебои в питании или обновление):

В этом сценарии происходит эта последовательность событий:

  1. BFD на R2-HUB2 и на маршрутизаторах R5-AGGR1 и R6-AGGR2 агрегата LAN обнаруживает статус выключено R1-HUB1. В результате смежное соединение BGP сразу выключается.

  2. Обнаружение отслеживаемого объекта для R2-HUB2, который обнаруживает присутствие loopback R1-HUB1, выключается (Отследите 1 в примере конфигурации).

  3. Этот неработающий отслеживаемый объект вызывает другую дорожку для восстановления работоспособности (Логический НЕ). В данном примере восстанавливает работоспособность Дорожка 2 каждый раз, когда выключается Дорожка 1.

  4. Это вызывает запись статической маршрутизации IP, которая будет добавлена к таблице маршрутизации из-за значения, которое ниже, чем административное расстояние по умолчанию. Вот соответствующая конфигурация:
    ! Routes added when second HUB is down
    ip route 10.0.0.0 255.0.0.0 Null0 tag 500 track 2

    ip route 192.168.0.0 255.255.0.0 Null0 tag 500 track 2

    ! Default static routes are with Tag 200 and admin distance of 150
    ip route 10.0.0.0 255.0.0.0 Null0 150 tag 200
    ip route 192.168.0.0 255.255.0.0 Null0 150 tag 200
  5. R2-HUB2 перераспределяет эти статические маршруты с local-preference BGP, который больше, чем значение, которое установлено для R1-HUB1. В данном примере local-preference 500 используется в сценарии отказов вместо 200, который установлен R1-HUB1:
    route-map LOCALPREF permit 5
     match tag 500
     set local-preference 500
    !
    route-map LOCALPREF permit 10
     match tag 200
     set local-preference 200
    !
    На Spoke1 R3 вы видите это в выходных данных BGP. Обратите внимание на то, что запись в R1 все еще существует, но это не используется:
    R3-SPOKE1#show ip bgp 192.168.0.0/16
    BGP routing table entry for 192.168.0.0/16, version 10
    Paths: (2 available, best #1, table default)
     Not advertised to any peer
     Refresh Epoch 1
     Local
       10.0.2.1 from 10.0.2.1 (10.0.2.1)
         Origin incomplete, metric 0, localpref 500, valid, internal, best
         rx pathid: 0, tx pathid: 0x0
     Refresh Epoch 1
     Local
       10.0.1.1 from 10.0.1.1 (10.0.1.1)
         Origin incomplete, metric 0, localpref 200, valid, internal
         rx pathid: 0, tx pathid: 0
  6. На этом этапе оба луча (Spoke1 R3 и R4-Spoke2) начинают передавать трафик к R2-HUB2. Все эти шаги должны произойти в одной секунде. Вот таблица маршрутизации на Луче 3:
    R3-SPOKE1#show ip route
         10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
    B       10.0.0.0/8 [200/0] via 10.0.2.1, 00:00:01
    S       10.0.1.1/32 is directly connected, Tunnel0
    C       10.0.1.3/32 is directly connected, Tunnel0
    S       10.0.2.1/32 is directly connected, Tunnel1
    C       10.0.2.3/32 is directly connected, Tunnel1
         172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
    C       172.16.0.0/24 is directly connected, Ethernet0/0
    L       172.16.0.3/32 is directly connected, Ethernet0/0
    B    192.168.0.0/16 [200/0] via 10.0.2.1, 00:00:01
         192.168.3.0/24 is variably subnetted, 2 subnets, 2 masks
    C       192.168.3.0/24 is directly connected, Ethernet0/1
    L       192.168.3.3/32 is directly connected, Ethernet0/1
  7. Выключаются более поздние сеансы BGP между лучами и R1-HUB1, и Dead Peer Detection (DPD) сносит Туннели IPSec, которые завершены на R1-HUB1. Однако это не влияет на перенаправление трафика, так как R2-HUB2 уже используется в качестве основного туннельного конечного шлюза:
    R3-SPOKE1#show ip bgp 192.168.0.0/16
    BGP routing table entry for 192.168.0.0/16, version 10
    Paths: (1 available, best #1, table default)
     Not advertised to any peer
     Refresh Epoch 1
     Local
       10.0.2.1 from 10.0.2.1 (10.0.2.1)
         Origin incomplete, metric 0, localpref 500, valid, internal, best
         rx pathid: 0, tx pathid: 0x0

Конфигурации

Этот раздел предоставляет примеры конфигурации для концентраторов и лучей, которые используются в этой топологии.

R1-КОНФИГУРАЦИЯ-КОНЦЕНТРАТОРА

version 15.4
!
hostname R1-HUB1
!
aaa new-model
!
aaa authorization network default local
!
aaa session-id common
!
! setting track timers to the lowest possible (the lower this value is
! the faster router will react
track timer ip route msec 500
!
! Monitoring of HUB2's loopback present in routing table
! If it is present it will mean that HUB2 is alive
track 1 ip route 10.0.2.1 255.255.255.255 reachability
!
! Monitoring of loopback of R5-AGGR-1
track 3 ip route 10.0.5.1 255.255.255.255 reachability
!
! Monitoring of loopback of R6-AGGR-2
track 4 ip route 10.0.6.1 255.255.255.255 reachability
!
! Track 2 should be UP only when HUB2 is not available and both AGGRE routers are up
!
track 2 list boolean and
 object 1 not
 object 3
 object 4
!        

! IKEv2 Config Exchange configuration (IP addresses for spokes are assigned from pool)
crypto ikev2 authorization policy default
 pool SPOKES
 route set interface
 route accept any tag 20
!
!
! IKEv2 profile for Spokes - Smart Defaults used
crypto ikev2 profile default
 match identity remote any
 authentication remote pre-share key cisco
 authentication local pre-share key cisco
 aaa authorization group psk list default default
 virtual-template 1  
!
interface Loopback0
 ip address 10.0.1.1 255.255.255.255
!
! GRE Tunnel configured to second HUB. It is required for spoke-to-spoke connectivity
! to work in all possible circumstances
! no BFD echo configuration is required to avoid Traffic Indication sent by remote HUB
! (BFD echo is having the same source and destination IP address)
!
interface Tunnel0
 ip address 10.0.0.1 255.255.255.0
 ip nhrp network-id 1
 ip nhrp redirect
 bfd interval 50 min_rx 50 multiplier 3
 no bfd echo
 tunnel source Ethernet0/2
 tunnel destination 192.168.0.2
!
interface Ethernet0/0
 ip address 172.16.0.1 255.255.255.0
!
interface Ethernet0/2
 ip address 192.168.0.1 255.255.255.0
 bfd interval 50 min_rx 50 multiplier 5
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 ip nhrp network-id 1
 ip nhrp redirect
 tunnel protection ipsec profile default
!
! BGP Configuration
router bgp 1
 bgp log-neighbor-changes
! dynamic peer-groups are used for AGGR routers and SPOKES
 bgp listen range 192.168.0.0/24 peer-group DC
 bgp listen range 10.0.1.0/24 peer-group SPOKES
! BGP timers configured
 timers bgp 15 30
 neighbor SPOKES peer-group
 neighbor SPOKES remote-as 1
 neighbor DC peer-group
 neighbor DC remote-as 1
! Within DC BFD is used to determine neighbour status
 neighbor DC fall-over bfd
 neighbor 10.0.0.2 remote-as 1
! BFD is used to detect HUB2 status
 neighbor 10.0.0.2 fall-over bfd
 !
 address-family ipv4
 redistribute connected
! route-map which determines what should be the local-pref
 redistribute static route-map LOCALPREF
 neighbor SPOKES activate
! to spokes only Aggregate/Summary routes are sent
 neighbor SPOKES route-map AGGR out
 neighbor DC activate
 neighbor DC route-reflector-client
 neighbor 10.0.0.2 activate
 neighbor 10.0.0.2 route-reflector-client
 exit-address-family
!
ip local pool SPOKES 10.0.1.2 10.0.1.254
!
! When HUB2 goes down Static Routes with Tag 500 are added and admin distance of 1
ip route 10.0.0.0 255.0.0.0 Null0 tag 500 track 2
ip route 192.168.0.0 255.255.0.0 Null0 tag 500 track 2
! Default static routes are with Tag 200 and admin distance of 150
ip route 10.0.0.0 255.0.0.0 Null0 150 tag 200
ip route 192.168.0.0 255.255.0.0 Null0 150 tag 200
!
!
ip prefix-list AGGR seq 5 permit 192.168.0.0/16
ip prefix-list AGGR seq 10 permit 10.0.0.0/8
!
route-map AGGR permit 10
 match ip address prefix-list AGGR
!
route-map LOCALPREF permit 5
 match tag 500
 set local-preference 500
!
route-map LOCALPREF permit 10
 match tag 200
 set local-preference 200
!
route-map LOCALPREF permit 15
 match tag 20

Конфигурация R2-HUB2

hostname R2-HUB2
!
aaa new-model
!
aaa authorization network default local
!
track timer ip route msec 500
!
track 1 ip route 10.0.1.1 255.255.255.255 reachability
!
track 2 list boolean and
 object 1 not
 object 3
 object 4
!
track 3 ip route 10.0.5.1 255.255.255.255 reachability
!
track 4 ip route 10.0.6.1 255.255.255.255 reachability
!
!
crypto ikev2 authorization policy default
 pool SPOKES
 route set interface
 route accept any tag 20
!
!
crypto ikev2 profile default
 match identity remote any
 authentication remote pre-share key cisco
 authentication local pre-share key cisco
 aaa authorization group psk list default default
 virtual-template 1
!
!
interface Loopback0
 ip address 10.0.2.1 255.255.255.255
!
interface Tunnel0
 ip address 10.0.0.2 255.255.255.0
 ip nhrp network-id 1
 ip nhrp redirect
 bfd interval 50 min_rx 50 multiplier 3
 no bfd echo
 tunnel source Ethernet0/2
 tunnel destination 192.168.0.1
!
interface Ethernet0/0
 ip address 172.16.0.2 255.255.255.0
!        
interface Ethernet0/2
 ip address 192.168.0.2 255.255.255.0
 bfd interval 50 min_rx 50 multiplier 5
!
interface Virtual-Template1 type tunnel
 ip unnumbered Loopback0
 ip nhrp network-id 1
 ip nhrp redirect
 tunnel protection ipsec profile default
!
router bgp 1
 bgp log-neighbor-changes
 bgp listen range 192.168.0.0/24 peer-group DC
 bgp listen range 10.0.2.0/24 peer-group SPOKES
 timers bgp 15 30
 neighbor SPOKES peer-group
 neighbor SPOKES remote-as 1
 neighbor DC peer-group
 neighbor DC remote-as 1
 neighbor DC fall-over bfd
 neighbor 10.0.0.1 remote-as 1
 neighbor 10.0.0.1 fall-over bfd
 !
 address-family ipv4
 redistribute connected
 redistribute static route-map LOCALPREF
 neighbor SPOKES activate
 neighbor SPOKES route-map AGGR out
 neighbor DC activate
 neighbor DC route-reflector-client
 neighbor 10.0.0.1 activate
 neighbor 10.0.0.1 route-reflector-client
 exit-address-family
!
ip local pool SPOKES 10.0.2.2 10.0.2.254
ip forward-protocol nd
!
!
ip route 192.168.0.0 255.255.0.0 Null0 tag 500 track 2
ip route 10.0.0.0 255.0.0.0 Null0 tag 500 track 2
ip route 10.0.0.0 255.0.0.0 Null0 150 tag 200
ip route 192.168.0.0 255.255.0.0 Null0 150 tag 200
!
!
ip prefix-list AGGR seq 5 permit 192.168.0.0/16
ip prefix-list AGGR seq 10 permit 10.0.0.0/8
!
route-map AGGR permit 10
 match ip address prefix-list AGGR
!
route-map LOCALPREF permit 5
 match tag 500
 set local-preference 500
!
route-map LOCALPREF permit 10
 match tag 200
 set local-preference 100
!
route-map LOCALPREF permit 15
 match tag 20

Конфигурация Spoke1 R3

hostname R3-SPOKE1
!
aaa new-model
!
aaa authorization network default local
!
!
crypto ikev2 authorization policy default
 route set interface
!
!
crypto ikev2 profile default
 match identity remote any
 authentication remote pre-share key cisco
 authentication local pre-share key cisco
 dpd 10 2 on-demand
 aaa authorization group psk list default default
!
! Tunnel to the HUB1
!
interface Tunnel0
 ip address negotiated
 ip nhrp network-id 1
 ip nhrp shortcut virtual-template 2
 tunnel source Ethernet0/0
 tunnel destination 172.16.0.1
 tunnel protection ipsec profile default
!
! Tunnel to the HUB2
!
interface Tunnel1
 ip address negotiated
 ip nhrp network-id 1
 ip nhrp shortcut virtual-template 2
 tunnel source Ethernet0/0
 tunnel destination 172.16.0.2
 tunnel protection ipsec profile default
!
interface Ethernet0/0
description INTERNET-CLOUD
 ip address 172.16.0.3 255.255.255.0
!
interface Ethernet0/1
description LAN
 ip address 192.168.3.3 255.255.255.0
!
interface Virtual-Template2 type tunnel
 ip unnumbered Ethernet0/1
 ip nhrp network-id 1
 ip nhrp shortcut virtual-template 2
 tunnel protection ipsec profile default
!
router bgp 1
 bgp log-neighbor-changes
 timers bgp 15 30
 neighbor 10.0.1.1 remote-as 1
 neighbor 10.0.2.1 remote-as 1
 !
 address-family ipv4
 network 192.168.3.0
 neighbor 10.0.1.1 activate
 neighbor 10.0.2.1 activate
 exit-address-family

Конфигурация R4-SPOKE2

hostname R4-SPOKE2
!
aaa new-model
!
aaa authorization network default local
!
!
crypto ikev2 authorization policy default
 route set interface
!        
crypto ikev2 profile default
 match identity remote any
 authentication remote pre-share key cisco
 authentication local pre-share key cisco
 dpd 10 2 on-demand
 aaa authorization group psk list default default
!
interface Tunnel0
 ip address negotiated
 ip nhrp network-id 1
 ip nhrp shortcut virtual-template 2
 tunnel source Ethernet0/0
 tunnel destination 172.16.0.1
 tunnel protection ipsec profile default
!
interface Tunnel1
 ip address negotiated
 ip nhrp network-id 1
 ip nhrp shortcut virtual-template 2
 tunnel source Ethernet0/0
 tunnel destination 172.16.0.2
 tunnel protection ipsec profile default
!
interface Ethernet0/0
 ip address 172.16.0.4 255.255.255.0
!
interface Ethernet0/1
 ip address 192.168.4.4 255.255.255.0
!
interface Virtual-Template2 type tunnel
 ip unnumbered Ethernet0/1
 ip nhrp network-id 1
 ip nhrp shortcut virtual-template 2
 tunnel protection ipsec profile default
!
router bgp 1
 bgp log-neighbor-changes
 timers bgp 15 30
 neighbor 10.0.1.1 remote-as 1
 neighbor 10.0.2.1 remote-as 1
 !
 address-family ipv4
 network 192.168.4.0
 neighbor 10.0.1.1 activate
 neighbor 10.0.2.1 activate
 exit-address-family
!

Конфигурация R5-AGGR1

hostname R5-LAN1
!
no aaa new-model
!
!
interface Loopback0
 ip address 10.0.5.1 255.255.255.255
!
interface Ethernet0/0
 ip address 192.168.0.5 255.255.255.0
 bfd interval 50 min_rx 50 multiplier 5
!
! HSRP configuration on the LAN side
!
interface Ethernet0/1
 ip address 192.168.1.5 255.255.255.0
 standby 1 ip 192.168.1.254
!
router bgp 1
 bgp log-neighbor-changes
 neighbor 192.168.0.1 remote-as 1
 neighbor 192.168.0.1 fall-over bfd
 neighbor 192.168.0.2 remote-as 1
 neighbor 192.168.0.2 fall-over bfd
 !
 address-family ipv4
 redistribute connected
 redistribute static
 neighbor 192.168.0.1 activate
 neighbor 192.168.0.2 activate
 exit-address-family

Конфигурация R6-AGGR2

hostname R6-LAN2
!
interface Loopback0
 ip address 10.0.6.1 255.255.255.255
!
interface Ethernet0/0
 ip address 192.168.0.6 255.255.255.0
 bfd interval 50 min_rx 50 multiplier 5
!
interface Ethernet0/1
 ip address 192.168.1.6 255.255.255.0
 standby 1 ip 192.168.1.254
 standby 1 priority 200
!
router bgp 1
 bgp log-neighbor-changes
 neighbor 192.168.0.1 remote-as 1
 neighbor 192.168.0.1 fall-over bfd
 neighbor 192.168.0.2 remote-as 1
 neighbor 192.168.0.2 fall-over bfd
 !
 address-family ipv4
 redistribute connected
 redistribute static
 neighbor 192.168.0.1 activate
 neighbor 192.168.0.2 activate
 exit-address-family
!

Конфигурация R7-ХОСТА (моделирование ХОСТА в той сети)

hostname R7-HOST
!
no aaa new-model
!
interface Ethernet0/0
 ip address 192.168.1.7 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.1.254

Важные примечания к конфигурации

Вот некоторые важные замечания о конфигурациях, которые описаны в предыдущих разделах:

  • Туннель GRE "точка-точка" между двумя концентраторами требуется для подключения конечного маршрутизатор - конечного маршрутизатора работать во всех сценариях, в частности включать те сценарии, в которых некоторые лучи связаны только с одним из концентраторов и других к другому концентратору.

  • Никакая конфигурация bfd echo в Туннельном интерфейсе GRE между двумя концентраторами не требуется во избежание Индикации Трафика, которая передается из другого концентратора. BFD Echo имеет тот же IP - адрес источника и получателя, который равен IP-адресу маршрутизатора, который передает BFD Echo. Так как эти пакеты маршрутизируются назад маршрутизатором, который отвечает, Индикации Трафика NHRP генерируются.

  • В BGP - конфигурации не требуется route-map, фильтрующий, который объявляет сети к лучам, но это делает конфигурации более оптимальными, так как только объявлен агрегат/объединенные маршруты:
    neighbor SPOKES route-map AGGR out
  • На концентраторах route-map конфигурация LOCALPREF  требуется для устанавливания надлежащего локального параметра BGP, и это фильтрует перераспределенные статические маршруты к только сводке и маршрутам режима конфигурации IKEv2.

  • Этот дизайн не обращается к резервированию в Удаленных Местоположениях офиса (луч). Если канал WAN на луче выключается, VPN также не работает. Добавьте вторую ссылку к маршрутизатору на конце луча или добавьте второй маршрутизатор на конце луча в том же местоположении для решения этой проблемы.

Таким образом, дизайн резервирования, который представлен в этом документе, может быть обработан как современная альтернатива Переключению с синхронизацией состояния (SSO) / функция С отслеживанием состояния. Это очень гибко и может быть подстроено для соответствия определенным требованиям развертываний.

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.