Konfiguration und Überprüfung des SD-WAN IPsec SIG-Tunnels mit Zscaler

Einleitung

In diesem Dokument werden die Konfigurationsschritte und die Überprüfung von SD-WAN-IPsec-SIG-Tunneln mit Zscaler beschrieben. 

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Security Internet Gateway (SIG)
• Funktionsweise von IPsec-Tunneln, Phase 1 und Phase 2 auf Cisco IOS®
  
  

Zusätzliche Anforderungen

• NAT muss auf der Transportschnittstelle aktiviert sein, die zum Internet weist.

• Auf VPN 0 muss ein DNS-Server erstellt werden, und die Zscaler-Basis-URL muss mit diesem DNS-Server aufgelöst werden. Dies ist wichtig, da API-Aufrufe und Layer-7-Integritätsprüfungen fehlschlagen können, wenn dies nicht behoben wird. Standardmäßig wird dieser DNS-Server verwendet.

• NTP (Network Time Protocol) muss sicherstellen, dass die Uhrzeit des Cisco Edge-Routers korrekt ist und API-Anrufe nicht fehlschlagen können.

• Eine Service-Route, die auf SIG verweist, muss in der Service-VPN-Funktionsvorlage oder CLI konfiguriert werden: ip sdwan route vrf 1 0.0.0.0/0 service sig

Verwendete Komponenten

Dieses Dokument basiert auf den folgenden Software- und Hardwareversionen:

•  Cisco Edge Router Version 17.6.6a
•  vManage Version 20.9.4
  
  

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Konfigurieren

Optionen für das Netzwerkdesign

Bei den verschiedenen Bereitstellungsarten in dieser Liste handelt es sich um eine Aktiv/Standby-Kombinationseinrichtung. Die Tunnelkapselung kann entweder mit GRE oder IPsec bereitgestellt werden.

• Ein Aktiv/Standby-Tunnelpaar
• Ein Aktiv/Aktiv-Tunnelpaar
• Mehrere aktive/Standby-Tunnelpaare
• Mehrere aktive/aktive Tunnelpaare

Anmerkung: Auf Cisco Edge-Routern mit SD-WAN können Sie eine oder mehrere mit dem Internet verbundene Transportschnittstellen verwenden, damit die Einrichtung effektiv funktioniert.

Konfigurationen

Fahren Sie mit der Konfiguration dieser Vorlagen fort:

• SIG-Vorlage (Security Internet Gateway) für Anmeldeinformationen:
  • Sie benötigen einen für alle Cisco Edge-Router. Informationen zum Ausfüllen der erforderlichen Felder der Vorlage müssen im Zscaler-Portal erstellt werden.

• SIG-Funktionsvorlage (Security Internet Gateway):
  • Unter dieser Funktionsvorlage konfigurieren Sie IPsec-Tunnel, stellen eine hohe Verfügbarkeit sicher, entweder im Aktiv/Aktiv- oder im Aktiv/Standby-Modus, und wählen Zscaler Data Center entweder automatisch oder manuell aus.

1. Um eine Vorlage mit Zscaler-Anmeldeinformationen zu erstellen, navigieren Sie zu Konfiguration > Vorlage > Funktionsvorlage > Vorlage hinzufügen.

2. Wählen Sie das Gerätemodell aus, das Sie für diesen Zweck verwenden möchten, und suchen Sie nach SIG. Wenn Sie es zum ersten Mal erstellen, zeigt das System an, dass die Zscaler-Anmeldeinformationen zuerst erstellt werden müssen, wie in diesem Beispiel:

3. Sie müssen Zscaler als SIG-Anbieter auswählen und auf die Vorlage Klicken Sie hier, um zu erstellen - Cisco SIG-Anmeldedaten klicken.

Signaturanmeldevorlage

4. Sie werden zur Vorlage mit den Anmeldeinformationen weitergeleitet. Und Sie müssen die Werte für alle Felder eingeben:

• Vorlagenname
• Beschreibung
• SIG-Anbieter (automatisch aus dem vorherigen Schritt ausgewählt)
• Organisation
• Partner Base-URL
• Benutzername
• Kennwort
• Partner-API-Schlüssel

5. Klicken Sie auf Speichern.

6. Sie werden zur SIG-Vorlage (Secure Internet Gateway) weitergeleitet. Mit dieser Vorlage können Sie Elemente konfigurieren, die für SD-WAN IPsec SIG mit Zscaler erforderlich sind.

Geben Sie im ersten Abschnitt der Vorlage einen Namen und eine Beschreibung ein. Der Standard-Tracker wird automatisch aktiviert und verwendet die API-URL für den Zscaler Layer 7 Health Check.

8. Im Abschnitt "Konfiguration" können Sie die IPsec-Tunnel erstellen, indem Sie auf Tunnel hinzufügen klicken. Wählen Sie im neuen Popup-Fenster eine Auswahl basierend auf Ihren Anforderungen aus.
9. In diesem Beispiel wurde die Schnittstelle IPsec1 mithilfe der WAN-Schnittstelle GigabitEthernet1 als Tunnelquelle erstellt. Es stellt Verbindungen zum primären Rechenzentrum der Zcaler-Klasse her. Es wird empfohlen, die Standardwerte für die erweiterten Optionen beizubehalten. 

IPsec-Schnittstellenkonfiguration   

Hohe Verfügbarkeit

Wählen Sie in diesem Abschnitt aus, ob das Design "Aktiv/Aktiv" oder "Aktiv/Standby" ist, und legen Sie fest, welche IPsec-Schnittstelle aktiv ist.

Dies ist ein Beispiel für ein Aktiv/Aktiv-Design, bei dem alle Schnittstellen unter Aktiv ausgewählt sind, sodass Backup keine hat.

Aktives/aktives Design

In diesem Beispiel wird ein Aktiv/Standby-Design veranschaulicht, bei dem IPsec1 und IPsec11 als aktive Schnittstellen ausgewählt wurden, während IPsec2 und IPsec12 als Standby-Schnittstellen festgelegt wurden.

Aktiv/Standby-Design

Erweiterte Einstellungen

1. In diesem Abschnitt sind die wichtigsten Konfigurationen das primäre und das sekundäre Rechenzentrum. Es wird empfohlen, beide entweder automatisch oder manuell zu konfigurieren. Es wird jedoch nicht empfohlen, sie als gemischt zu konfigurieren. Wenn Sie diese manuell konfigurieren möchten, wählen Sie die richtige URL aus dem Zscaler-Portal aus, basierend auf der Partner Base-URL.

Automatische oder manuelle Rechenzentren

2. Klicken Sie abschließend auf Speichern.

3. Nachdem Sie die Konfiguration der SIG-Vorlagen abgeschlossen haben, müssen Sie sie unter der Gerätevorlage anwenden. Auf diese Weise wird die Konfiguration auf die Cisco Edge-Router übertragen.

4. Navigieren Sie anschließend zu Konfiguration > Vorlagen > Gerätevorlage, und klicken Sie auf Bearbeiten.

5. Fügen Sie unter Transport & Management VPN die Vorlage Secure Internet Gateway hinzu.

6. Wählen Sie auf dem Cisco Secure Internet Gateway die richtige SIG-Funktionsvorlage aus dem Dropdown-Menü aus.

SIG-Vorlage zur Gerätevorlage hinzufügen

7. Wählen Sie unter Zusätzliche Vorlagen in Cisco SIG-Anmeldedaten die richtige Cisco SIG-Anmeldedaten-Vorlage aus dem Dropdown-Menü aus:

SIG-Vorlage für Anmeldeinformationen

8. Klicken Sie auf Aktualisieren (wenn Ihre Gerätevorlage eine aktive Vorlage ist, verwenden Sie die Standardschritte, um Konfigurationen auf eine aktive Vorlage zu übertragen).

Überprüfung

1. Die Überprüfung kann während der Konfigurationsvorschau abgeschlossen werden, während Sie die Änderungen übertragen. Beachten Sie dabei Folgendes:

secure-internet-gateway
     zscaler organization <removed>
     zscaler partner-base-uri <removed>
     zscaler partner-key <removed>
     zscaler username <removed>
     zscaler password <removed>
    !

2. In diesem Beispiel sehen Sie, dass das Design aktiv/Standby ist:

ha-pairs
  interface-pair Tunnel100001 active-interface-weight 1 Tunnel100002 backup-interface-weight 1
  interface-pair Tunnel100011 active-interface-weight 1 Tunnel100012 backup-interface-weight 1  

3. Zusätzliche Konfigurationen werden hinzugefügt, z. B. crypto ikev2-Profile und -Richtlinien, mehrere Schnittstellen beginnen mit Tunnel1xxxxx, VRF-Definition 65530 und ip sdwan route vrf 1 0.0.0.0/0 service sig. Alle diese Änderungen sind Teil der IPsec-SIG-Tunnel mit Zscaler.

Dieses Beispiel zeigt, wie die Konfiguration für die Tunnelschnittstelle aussieht:

interface Tunnel100001
     no shutdown
     ip unnumbered       GigabitEthernet1
     no ip clear-dont-fragment
     ip mtu              1400
     tunnel source GigabitEthernet1
     tunnel destination dynamic
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile if-ipsec1-ipsec-profile
     tunnel vrf multiplexing

4. Nachdem die Konfigurationen erfolgreich auf die Cisco Edge-Router übertragen wurden, können Sie Befehle ausführen, um zu überprüfen, ob die Tunnel verfügbar sind:

Router#show sdwan secure-internet-gateway zscaler tunnels
                                                                                                                                                         HTTP
TUNNEL IF                                             TUNNEL                                            LOCATION                                         RESP  
NAME          TUNNEL NAME                             ID        FQDN           TUNNEL FSM STATE         ID        LOCATION FSM STATE   LAST HTTP REQ     CODE  
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001  site<removed>Tunnel100001             <removed>   <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200   
Tunnel100002  site<removed>Tunnel100002              <removed>  <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200

5. Wenn Sie den http bzw. Code 200 nicht sehen, bedeutet dies, dass Sie ein Problem mit dem Kennwort oder dem Partnerschlüssel haben. 
6. Verwenden Sie den folgenden Befehl, um den Schnittstellenstatus zu überprüfen:

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
GigabitEthernet3       10.2.20.77      YES other  up            up      
GigabitEthernet4       10.2.248.43     YES other  up            up      
Sdwan-system-intf      10.10.10.221    YES unset  up            up      
Loopback65528          192.168.1.1     YES other  up            up      
Loopback65530          192.168.0.2     YES other  up            up   <<< This is the IP that you used on Tracker SIG Feature template      
NVI0                   unassigned      YES unset  up            up      
Tunnel2                10.2.58.221     YES TFTP   up            up      
Tunnel3                10.2.20.77      YES TFTP   up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            up      
Tunnel100002           10.2.58.221     YES TFTP   up            up 

7. Um den Status des Trackers zu überprüfen, führen Sie die Befehle show endpoint-tracker und show endpoint-tracker records aus. So können Sie feststellen, welche URL der Tracker verwendet:

Router#show endpoint-tracker 
Interface              Record Name            Status          RTT in msecs    Probe ID        Next Hop       
Tunnel100001           #SIGL7#AUTO#TRACKER    Up              194             44              None           
Tunnel100002           #SIGL7#AUTO#TRACKER    Up              80              48              None   

Router#show endpoint-tracker records 
Record Name            Endpoint                            EndPoint Type   Threshold(ms)    Multiplier   Interval(s)     Tracker-Type   
#SIGL7#AUTO#TRACKER    http://gateway..net/vpnt API_URL         1000             2            30              interface  

8. Weitere Validierungen, die Sie verwenden können, sind:

• Stellen Sie sicher, dass Routen auf VRF auf IPsec-Tunnel verweisen, und führen Sie folgenden Befehl aus:
  
  show ip route vrf 1 

Gateway der letzten Instanz ist 0.0.0.0 zu Netzwerk 0.0.0.0

S* 0.0.0.0/0 [2/65535], Tunnel100002
                    [2/65535], Tunnel100001
10.0.0.0/8 ist variabel subnettiert, 4 Subnetze, 2 Masken

9. Um die Überprüfung fortzusetzen, können Sie einen Ping an das Internet senden und eine Traceroute ausfüllen, um die Hops im Datenverkehr zu validieren:

Router#ping vrf 1 cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to <removed>, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 406/411/417 ms

Router1#traceroute vrf 1 cisco.com
Type escape sequence to abort.
Tracing the route to redirect-ns.cisco.com (<removed>)
VRF info: (vrf in name/id, vrf out name/id)
1 * * * 
2  195 msec 193 msec 199 msec
3  200 msec
   199 msec * 
.....

10. Sie können die IPsec-Schnittstellen über die vManage-GUI validieren, indem Sie zu Monitor > Device oder Monitor > Network (für Codes 20.6 und frühere Versionen) navigieren.

• Wählen Sie Ihren Router aus, und navigieren Sie zu Applications > Interfaces (Anwendungen> Schnittstellen).
• Wählen Sie Tunnel10001 und Tunnel10002 aus, um den Datenverkehr in Echtzeit anzuzeigen oder ihn je nach erforderlichem Zeitrahmen anzupassen:  

Überwachen von IPsec-Tunneln

Fehlerbehebung

Wenn der SIG-Tunnel nicht ausgeführt wird, gehen Sie zur Fehlerbehebung wie folgt vor:

Schritt 1: Überprüfen Sie die Fehler, indem Sie den Befehl show sdwan secure-internet-gateway zscaler tunnels ausführen. Wenn Sie den HTTP-RESP-Code 401 bemerken, zeigt dies an, dass ein Authentifizierungsproblem vorliegt. Sie können die Werte in der Vorlage für SIG-Anmeldeinformationen überprüfen, um festzustellen, ob das Kennwort oder der Partnerschlüssel richtig sind.

Router#show sdwan secure-internet-gateway zscaler tunnels 
                                                                                                                                    HTTP 
TUNNEL IF                                   TUNNEL                                 LOCATION                                         RESP 
NAME TUNNEL             NAME                ID        FQDN   TUNNEL FSM STATE      ID        LOCATION FSM STATE   LAST HTTP REQ     CODE 
----------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001   site<removed>Tunnel100001   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100002   site<removed>Tunnel100002   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100011   site<removed>Tunnel100011   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100012   site<removed>Tunnel100012   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 

Schritt 2: Aktivieren Sie zum weiteren Debuggen diese Befehle, und suchen Sie nach Protokollmeldungen zu SIG, HTTP oder Tracker:

• debug plattform software sdwan ftm sig
• debug plattform software sdwan sig 
• debug plattform software sdwan tracker
• debug plattform software sdwan ftm rtm-events

Von Cisco IOS® Version IOS-XE 17.11+ wurde <Debug-Plattform> zu <Set-Plattform-Trace> migriert.

set plattform software trace ftmd R0 ftmd-sig [debug | verbose]

set platform software trace ios R0 sdwanrp-sig debug

set platform software trace ios R0 sdwanrp-tracker debuggen

set platform software trace ftmd R0 ftmd-rtm [debug] | verbose]

1. Dies ist ein Beispiel für die Ausgabe der Debug-Befehle:

Router#show logging | inc SIG
Jan 31 19:39:38.666: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:39:38.669: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:59:18.240: SDWAN INFO: Tracker entry Tunnel100001/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.263: SDWAN INFO: Tracker entry Tunnel100002/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.274: SDWAN INFO: Tracker entry Tunnel100011/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.291: SDWAN INFO: Tracker entry Tunnel100012/#SIGL7#AUTO#TRACKER state => DOWN

2. Führen Sie den Befehl show ip interface brief aus, überprüfen Sie das Tunnels Interface Protocol und überprüfen Sie, ob diese angezeigt werden.  

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            down
Tunnel100002           10.2.58.221     YES TFTP   up            down

3. Nachdem Sie sichergestellt haben, dass keine Probleme mit den Zscaler-Anmeldeinformationen auftreten, entfernen Sie die SIG-Schnittstelle aus der Gerätevorlage, und schieben Sie sie auf den Router. Wenden Sie nach Abschluss der Übertragung die SIG-Vorlage an, und schieben Sie sie zurück auf den Router. Bei dieser Methode müssen die Tunnel von Grund auf neu erstellt werden.

Zugehörige Informationen

• Technischer Support und Downloads von Cisco