テレワーカー

Cisco Virtual Office - IP セキュリティ ハイアベイラビリティの展開

ホワイトペーパー





Cisco Virtual Office - IP セキュリティ ハイアベイラビリティの展開



このホワイト ペーパーでは、Cisco® Virtual Office と IP Security(IPsec)ハイアベイラビリティ(HA)を展開するための設計および実装に関する詳細情報を示します。Cisco Virtual Office のソリューション、アーキテクチャ、およびすべてのコンポーネントの詳細については、Cisco Virtual Office の概要(http://www.cisco.com/jp/go/cvo/)を参照してください。

イントロダクション

IPSec HA は、VPN ゲートウェイ(Cisco IOS® ソフトウェア ベースのルータなど)の透過的なアベイラビリティを実現することを目的にした技術であり、信頼性と安全性の高いネットワークを構築するインフラストラクチャを提供します。この機能は、IPSec をベースとするすべてのネットワークで使用できます。Cisco Virtual Office ソリューションでは、ゲートウェイのステートフル フェールオーバーやロールバックなどの冗長性が IPsec HA を使用することによって確保され、スポークへの中断のない管理接続が実現されます。Cisco Virtual Office の展開の詳細については、参照資料のセクションにあるリンクを参照してください。

トポロジ

Cisco Virtual Office の展開では、IPsec HA を管理ゲートウェイに統合できます。展開トポロジについては、Cisco Virtual Office の概要(http://www.cisco.com/jp/go/cvo/)を参照してください。

IPsec HA を使用して、冗長な管理ゲートウェイを展開できます(図 1)。

図 1 IPsec HA を使用して冗長な管理ゲートウェイを展開するトポロジ

図 1 IPsec HA を使用して冗長な管理ゲートウェイを展開するトポロジ

注:アクティブ ゲートウェイ ルータとスタンバイ ゲートウェイ ルータの両方が、同じプラットフォーム タイプで同じ暗号化カードを使用している必要があります。

管理ゲートウェイ間では、HSRP(Hot Standby Router Protocol)を使用して冗長性が確保されます。スポークは、HSRP の仮想 IP アドレスを管理ゲートウェイの IP アドレスとして認識します。この設定により、管理ゲートウェイでのすべてのフェールオーバーはスポークに対して透過的に行われます。アクティブなルータ(管理ゲートウェイ)との間で IPsec セッションが確立されると、対応するセッションの IKE(Internet Key Exchange)セキュリティ アソシエーション(SA)および IPsec SA がプロセス間通信(IPC)によってスタンバイ ルータに送信され、アクティブ ルータとスタンバイ ルータの両方にスポークのセッション情報が保持されます。アクティブな管理ゲートウェイが停止すると、スタンバイ ゲートウェイがアクティブ ゲートウェイとして後を引き継ぎ、透過的に IPsec セッションを処理します。このため、セッションを再確立する必要がありません。

構成

図 2 に、IP アドレッシングとこの後のセクションの構成例を対応させたトポロジの概要を示します。

図 2 構成例のトポロジ

図 2 構成例のトポロジ

ここに示す構成例では公開鍵インフラストラクチャ(PKI)を使用しています。PKI を使用して接続されたスポークは、自動的にフェールオーバーします。

同じ展開シナリオを事前共有キーにも使用できます。

管理ゲートウェイ 1 の構成

! Configures redundancy and enters inter-device configuration mode.
redundancy inter-device
scheme standby ha-in
!
!
! The commands below configure interprocess communication (IPC) between the two gateways.
! "IPC zone default" initiates communication link between active and standby routers.
! The subcommand "association" sets up association between active and standby routers and
! uses the Stream Control Transmission Protocol (SCTP) as the transport protocol. The next few
! lines define the local and remote SCTP port and IP address. Note, though, that local port
! defined on this router should match the remote port configured on peer router. The local and
! remote IP address should NOT be virtual IP address. The path-retransmit defines number of
! SCTP retries before failing an association, and retransmit-timeot defines maximum amount of
! time SCTP waits before retransmitting data
ipc zone default
association 1
no shutdown
protocol sctp
local-ip 10.2.1.1
retransmit-timeout 300 10000
path-retransmit 10
assoc-retransmit 20
remote-port 5000
remote-ip 10.2.1.2
!
!
! Define trustpoint
crypto pki trustpoint cvo-ios-ca-server
enrollment mode ra
enrollment url http://enrollment_url
serial-number
subject-name cn=sname
revocation-check none
auto-enroll 70
!
!
! Specify isakmp policy
crypto isakmp policy 1
encr aes 256
!
!
! Specify the transform set
crypto ipsec transform-set t2 esp-aes 256 esp-sha-hmac
!
!
! This command allows the user to modify the interval in which an IP redundancy-enabled crypto
! map sends anti-replay updates from the active router to the standby router
crypto map ha_dynamic redundancy replay-interval inbound 10 outbound 1000
!
!
! This interface redundancy is configured using HSRP. This interface is used for inter-device
! communication using SCTP protocol between active and standby gateways
interface GigabitEthernet0/3
ip address 10.2.1.1 255.255.255.0
standby delay minimum 30 reload 60
standby 2 ip 10.2.1.254
standby 2 timers 1 10
standby 2 preempt
standby 2 name ha-in
standby 2 track Ethernet1/1
!
!
! This interface is configured for redundancy using HSRP. The spoke communicates with the
! active management gateway using the virtual IP address of this interface
interface Ethernet1/1
ip address 10.1.11.1 255.255.0.0
standby delay minimum 30 reload 60
standby 1 ip 10.1.11.254
standby 1 timers 1 10
standby 1 preempt
standby 1 name ha-out
standby 1 track GigabitEthernet0/3
crypto map ha_dynamic redundancy ha-out stateful

管理ゲートウェイ 2 の構成

! Configures redundancy and enters inter-device configuration mode. Currently only "standby"
! scheme is supported. Note that the name of the standby "ha-in" must match with the standby
! group name defined under the interface
redundancy inter-device
scheme standby ha-in
!
!
! Define trustpoint
crypto pki trustpoint cvo-ios-ca-server
enrollment mode ra
enrollment url http://enrollment_url
serial-number
subject-name cn=s_name
revocation-check none
auto-enroll 70
!
! Specify isakmp policy
crypto isakmp policy 1
encr aes 256
!
!
! Specify the transform set
crypto ipsec transform-set t2 esp-aes 256 esp-sha-hmac
!
!
! Configures inter-device communication and uses SCTP transport protocol to communicate
! between active and standby association
ipc zone default
association 1
no shutdown
protocol sctp
local-ip 10.2.1.2
retransmit-timeout 300 10000
path-retransmit 10
assoc-retransmit 20
remote-port 5000
remote-ip 10.2.1.1
!
!
! This command allows the user to modify the interval at which an IP redundancy-enabled crypto
! map sends anti-replay updates from the active router to the standby router
crypto map ha_dynamic redundancy replay-interval inbound 10 outbound 1000
!
!
! This interface redundancy is configured using HSRP. This interface is used for inter-device
! communication using SCTP protocol between active and standby gateways
interface GigabitEthernet0/3
ip address 10.2.1.2 255.255.255.0
no ip route-cache cef
no ip route-cache
duplex auto
speed 10
media-type rj45
no negotiation auto
standby delay minimum 30 reload 60
standby 2 ip 10.2.1.254
standby 2 timers 1 10
standby 2 preempt
standby 2 name ha-in
!
!
! This interface is configured for redundancy using HSRP. The spoke communicates with the
! active management gateway using the virtual IP address of this interface
interface Ethernet1/1
ip address 10.1.11.2 255.255.0.0
standby delay minimum 30 reload 60
standby 1 ip 10.1.11.254
standby 1 timers 1 10
standby 1 preempt
standby 1 name ha-out
standby 1 track GigabitEthernet0/3
crypto map ha_dynamic redundancy ha-out stateful

スポークの構成

! Specify trustpoint
crypto pki trustpoint cvo-ios-ca-server
enrollment mode ra
enrollment url http://enrollment_url
serial-number
ip-address none
revocation-check none
source interface BVI1
auto-enroll 75
!
!
! Specify isakmp policy
crypto isakmp policy 1
encr aes 256
!
!
! Specify the transform set
crypto ipsec transform-set t2 esp-aes 256 esp-sha-hmac
!
!
! Specify the crypto map
crypto map test_1 1 ipsec-isakmp
set peer 10.1.11.254
set transform-set t2
match address test_1
!
!
! Apply crypto map to interface
interface FastEthernet4
ip address 110.1.11.11 255.255.0.0
duplex auto
crypto map test_1
!
!
! Define ACL for traffic to encrypt
ip access-list extended test_1
permit ip host 10.1.11.11 host 10.2.1.254
...

トラブルシューティングと show コマンド

HSRP に関連する可能性がある構成の問題をトラブルシューティングする場合は、次の HSRP 関連デバッグ コマンドがトラブルシューティングに役立ちます。

debug standby errors Debug HSRP errors
debug standby events Debug HSRP events
debug standby packets [terse] Display all HSRP packets except hellos and advertisements

複数デバイス間にまたがる可能性がある構成の問題をトラブルシューティングする場合は、次のコマンドを実行してください。

debug redundancy Debug Redundancy Facility options

IPSec HA に関連する可能性がある問題をトラブルシューティングするには、次のいずれかのコマンドを実行してください。

debug crypto ha Debug Crypto High Availability
(generic) debug
debug crypto ipsec ha detail Debug IPsec High Availability detailed
debug crypto ipsec ha update Debug IPsec High Availability updates
debug crypto isakmp ha Debug ISAKMP High Availability

次の show および clear コマンドは、デバイスの状態と暗号セッションの状態を表示します。

show redundancy [states | inter-device] Show Redundancy Facility
states or interdevice
information, respectively
show standby Show HSRP information
show crypto isakmp sa [active | standby] Show HA-enabled ISAKMP SAs
in the active or standby
state, respectively
show crypto ipsec sa [active | standby] Show HA-enabled IPSec SAs
in the active or standby
state, respectively
show crypto session [active | standby] Show HA-enabled crypto
sessions in the active or
standby state,
respectively
show crypto ha Show Crypto High
Availability information
clear crypto isakmp [active | standby] Clear all HA-enabled IKE
SAs in active or standby
state, respectively
clear crypto sa [active | standby] Clear all HA-enabled IPSec
SAs in active or standby
state, respectively
clear crypto session [active | standby] Clear HA-enabled crypto
sessions in the active or
standby state,
respectively

展開の際の考慮事項

  • IPsec HA は、一部のプラットフォームでのみサポートされています。サポート対象のプラットフォームには、Cisco 7206 および 7301 ルータ、Cisco 3800 サービス統合型ルータ、および Cisco 6500 Catalyst Switch が含まれます。
  • ルータに初めてデバイス間の冗長性を設定した場合、設定を有効にするにはルータを再ロードする必要があります。
  • アクティブ ルータのいずれかのインターフェイスが停止すると、スタンバイ ルータがアクティブ ルータとして後を引き継ぎ、すべての操作を処理します。一方、それまでアクティブだったルータは再ロードされ、やがてスタンバイ ルータの位置に置かれます(そのルータの優先順位が現在のアクティブ ルータと同じかそれより下位である場合)。
  • ルータは相互にハブまたはスイッチを介して接続されている必要があります。ルータがバックツーバック接続されている場合は、アクティブ ルータが再ロードされるとスタンバイ ルータも再ロードされます。これは IPsec HA の本来の目的に反します。

参考資料