Configuración de túneles Umbrella SIG para escenarios Activo/Copia de seguridad o Activo/Activo

Introducción

Este documento describe cómo configurar dos escenarios de túneles de Cisco Umbrella Secure Internet Gateway (SIG) con IPsec en el router de extremo WAN:

• Dos túneles IPsec en un escenario activo/de respaldo.

• Dos túneles IPsec en un escenario Activo/Activo.

Prerequisites

Requirements

Cisco recomienda conocer estos temas:

• Cisco Umbrella
• Negociación IPsec

• Red de área extensa definida por software de Cisco (SD-WAN)

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Cisco vManage versión 20.4.2
• Cisco WAN Edge Router C117-4PW* versión 17.4.2

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Descripción general de Cisco Umbrella SIG

Cisco Umbrella es un servicio de seguridad proporcionado a través de la nube que aúna funciones esenciales.

Umbrella unifica el gateway web seguro, la seguridad DNS, el firewall proporcionado en la nube, la funcionalidad de agente de seguridad de acceso a la nube y la inteligencia de amenazas.

La inspección y el control exhaustivos garantizan el cumplimiento de las políticas web de uso aceptable y protegen frente a las amenazas de Internet.

Los routers SD-WAN se pueden integrar con gateways de Internet seguros (SIG), que realizan la mayor parte del procesamiento para proteger el tráfico empresarial.

Cuando se configura el SIG, todo el tráfico del cliente, basado en rutas o políticas, se reenvía al SIG.

Umbrella SIG Tunnel Bandwidth Limitation

Cada túnel IKEv2 IPsec al Umbrella headend está limitado a aproximadamente 250 Mbps, por lo que si se crean varios túneles y se equilibra la carga del tráfico, se superan estas limitaciones en caso de que se requiera un ancho de banda mayor.

Se pueden crear hasta cuatro pares de túneles de alta disponibilidad.

Obtenga información sobre Cisco Umbrella Portal

Para continuar con la integración de SIG, se necesita una cuenta Umbrella con el paquete SIG Essentials.

Obtenga la clave y la clave secreta

La clave y la clave secreta se pueden generar en el momento en que obtenga la Umbrella Management API KEY. Si no recuerda o no guardó la clave secreta, haga clic en refresh.

Precaución: si se hace clic en el botón de actualización, se necesita una actualización para estas teclas en todos los dispositivos, no se recomienda la actualización si hay dispositivos en uso.

Consiga su ID de organización

El ID de la organización se puede obtener fácilmente al iniciar sesión en Umbrella. 

https://dashboard.umbrella.com/o//#/admin/apikeys

Creación de túneles Umbrella SIG con escenario activo/de respaldo

Nota: IPsec/GRE Tunnel Routing and Load-Balancing Using ECMP: Esta función está disponible en vManage 20.4.1 y versiones posteriores, le permite utilizar la plantilla SIG para dirigir el tráfico de aplicaciones a Cisco Umbrella o a un proveedor SIG de terceros

Nota: Compatibilidad con el aprovisionamiento automático de Zscaler: esta función está disponible en vManage 20.5.1 y versiones posteriores, y automatiza el aprovisionamiento de túneles desde routers SD-WAN de Cisco hasta Zscaler, con el uso de credenciales de API de partners de Zscaler.

Para configurar los túneles automáticos SIG, es necesario crear/actualizar algunas plantillas:

• Cree una plantilla de función de credenciales SIG.
• Cree dos interfaces de loopback para vincular los túneles SIG (solo aplicable con más de un túnel activo al mismo tiempo - escenario activo/activo).
• Cree una plantilla de función SIG.
• Edite service-side VPN Template para insertar una ruta de servicio.

Nota: Asegúrese de que se permiten los puertos UDP 4500 y 500 desde cualquier dispositivo ascendente.

Las configuraciones de plantilla cambian con los escenarios Activo/Copia de seguridad y Activo/Activo para los que ambos escenarios se explican y exponen por separado.

Paso 1. Cree una plantilla de función de credenciales SIG.

Vaya a la plantilla de función y haga clic en Editar.

En la sección de Plantillas adicionales, haga clic en Credenciales de Cisco SIG. La opción se muestra en la imagen.

 Dé un nombre y una descripción a la plantilla.

Paso 2. Cree una plantilla de función SIG.

Navegue hasta la plantilla de función y, en la sección Transporte y administración de VPN, seleccione la plantilla de función Cisco Secure Internet Gateway.

Dé un nombre y una descripción a la plantilla.

Paso 3. Seleccione su proveedor SIG para el túnel principal.

Haga clic en Add Tunnel.

Configure los detalles básicos y mantenga Data-Center como principal, a continuación, haga clic en Agregar.

Paso 4.  Agregue el túnel secundario.

Agregue una segunda configuración de túnel, utilice Data-Center como Secondary esta vez y el nombre de la interfaz como ipsec2.

La configuración de vManage aparece como se muestra a continuación:

Paso 5. Cree Un Par De Alta Disponibilidad.

En la sección Alta disponibilidad, seleccione ipsec1 como Active y el túnel ipsec2 como Backup.

Nota: se pueden crear hasta 4 pares de túneles de alta disponibilidad y un máximo de 4 túneles activos al mismo tiempo.

Paso 6. Edite la plantilla de VPN del lado de servicio para insertar una ruta de servicio.

Navegue hasta la sección Service VPN y, dentro de la plantilla de servicio VPN, navegue hasta la sección Service Route y agregue una ruta de servicio 0.0.0.0 con SIG. Para este documento, se utiliza el VRF/VPN 10.

La ruta 0.0.0.0 SIG se muestra como se muestra aquí.

Nota: Para que el tráfico del servicio se apague realmente, NAT debe configurarse en la interfaz WAN.

    

  Adjunte esta plantilla al dispositivo e inserte la configuración:

Configuración del router de extremo de la WAN para el escenario activo/de copia de seguridad

system
   host-name             <HOSTNAME>
   system-ip             <SYSTEM-IP>
   overlay-id            1
   site-id               <SITE-ID>
   sp-organization-name  <ORG-NAME>
   organization-name     <SP-ORG-NAME>
   vbond <VBOND-IP> port 12346
  !
  secure-internet-gateway
   umbrella org-id <UMBRELLA-ORG-ID>
   umbrella api-key <UMBRELLA-API-KEY-INFO>
   umbrella api-secret <UMBRELLA-SECRET-INFO>
  !
  sdwan
   service sig vrf global
    ha-pairs
     interface-pair Tunnel100001 active-interface-weight 1 Tunnel100002 backup-interface-weight 1
    !
   !
   interface GigabitEthernet0/0/0
    tunnel-interface
     encapsulation ipsec weight 1
     no border
     color biz-internet
     no last-resort-circuit
     no low-bandwidth-link
     no vbond-as-stun-server
     vmanage-connection-preference 5
     port-hop
     carrier                       default
     nat-refresh-interval          5
     hello-interval                1000
     hello-tolerance               12
     allow-service all
     no allow-service bgp
     allow-service dhcp
     allow-service dns
     allow-service icmp
     no allow-service sshd
     no allow-service netconf
     no allow-service ntp
     no allow-service ospf
     no allow-service stun
     allow-service https
     no allow-service snmp
     no allow-service bfd
    exit
   exit
   interface Tunnel100001
    tunnel-options tunnel-set secure-internet-gateway-umbrella tunnel-dc-preference primary-dc source-interface GigabitEthernet0/0/0
   exit
   interface Tunnel100002
    tunnel-options tunnel-set secure-internet-gateway-umbrella tunnel-dc-preference secondary-dc source-interface GigabitEthernet0/0/0
   exit
   appqoe
    no tcpopt enable
   !
  security
   ipsec
    rekey               86400
    replay-window       512
    authentication-type sha1-hmac ah-sha1-hmac
   !
  !
  service tcp-keepalives-in
  service tcp-keepalives-out
  no service tcp-small-servers
  no service udp-small-servers
  hostname <DEVICE-HOSTNAME>
  username admin privilege 15 secret 9 <SECRET-PASSWORD>
  vrf definition 10
   rd 1:10
   address-family ipv4
    route-target export 1:10
    route-target import 1:10
    exit-address-family
   !
   address-family ipv6
    exit-address-family
   !
  !
  vrf definition Mgmt-intf
   description Transport VPN
   rd          1:512
   address-family ipv4
    route-target export 1:512
    route-target import 1:512
    exit-address-family
   !
   address-family ipv6
    exit-address-family
   !
  !
  ip sdwan route vrf 10 0.0.0.0/0 service sig
  no ip http server
  no ip http secure-server
  no ip http ctc authentication
  ip nat settings central-policy
  vlan 10
  exit
  interface GigabitEthernet0/0/0
   no shutdown
   arp timeout 1200
   ip address dhcp client-id GigabitEthernet0/0/0
   no ip redirects
   ip dhcp client default-router distance 1
   ip mtu    1500
   load-interval 30
   mtu           1500
  exit
  interface GigabitEthernet0/1/0
   switchport access vlan 10
   switchport mode access
   no shutdown
  exit
  interface GigabitEthernet0/1/1
   switchport mode access
   no shutdown
  exit
  interface Vlan10
   no shutdown
   arp timeout 1200
   vrf forwarding 10
   ip address <VLAN-IP-ADDRESS> <MASK>
   ip mtu 1500
   ip nbar protocol-discovery
  exit
  interface Tunnel0
   no shutdown
   ip unnumbered GigabitEthernet0/0/0
   no ip redirects
   ipv6 unnumbered GigabitEthernet0/0/0
   no ipv6 redirects
   tunnel source GigabitEthernet0/0/0
   tunnel mode sdwan
  exit
  interface Tunnel100001
   no shutdown
   ip unnumbered GigabitEthernet0/0/0
   ip mtu     1400
   tunnel source GigabitEthernet0/0/0
   tunnel destination dynamic
   tunnel mode ipsec ipv4
   tunnel protection ipsec profile if-ipsec1-ipsec-profile
   tunnel vrf multiplexing
  exit
  interface Tunnel100002
   no shutdown
   ip unnumbered GigabitEthernet0/0/0
   ip mtu     1400
   tunnel source GigabitEthernet0/0/0
   tunnel destination dynamic
   tunnel mode ipsec ipv4
   tunnel protection ipsec profile if-ipsec2-ipsec-profile
   tunnel vrf multiplexing
  exit
  clock timezone UTC 0 0
  logging persistent size 104857600 filesize 10485760
  logging buffered 512000
  logging console
  no logging rate-limit
  aaa authentication log in default local
  aaa authorization exec default local
  aaa session-id common
  mac address-table aging-time 300
  no crypto ikev2 diagnose error
  crypto ikev2 policy policy1-global
   proposal p1-global
  !
  crypto ikev2 profile if-ipsec1-ikev2-profile
   no config-exchange request
   dpd 10 3 on-demand
   dynamic
   lifetime 86400
  !
  crypto ikev2 profile if-ipsec2-ikev2-profile
   no config-exchange request
   dpd 10 3 on-demand
   dynamic
   lifetime 86400
  !
  crypto ikev2 proposal p1-global
   encryption aes-cbc-128 aes-cbc-256
   group 14 15 16
   integrity sha1 sha256 sha384 sha512
  !
  crypto ipsec transform-set if-ipsec1-ikev2-transform esp-gcm 256
   mode tunnel
  !
  crypto ipsec transform-set if-ipsec2-ikev2-transform esp-gcm 256
   mode tunnel
  !
  crypto ipsec profile if-ipsec1-ipsec-profile
   set ikev2-profile if-ipsec1-ikev2-profile
   set transform-set if-ipsec1-ikev2-transform
   set security-association lifetime kilobytes disable
   set security-association lifetime seconds 3600
   set security-association replay window-size 512
  !
  crypto ipsec profile if-ipsec2-ipsec-profile
   set ikev2-profile if-ipsec2-ikev2-profile
   set transform-set if-ipsec2-ikev2-transform
   set security-association lifetime kilobytes disable
   set security-association lifetime seconds 3600
   set security-association replay window-size 512
  !
  no crypto isakmp diagnose error
  no network-clock revertive

Creación de túneles Umbrella SIG con escenario activo/activo

Paso 1. Cree una plantilla de función de credenciales SIG.

Desplácese hasta la plantilla de función y haga clic en Editar.

En la sección de Plantillas adicionales, seleccione Credenciales de Cisco SIG. La opción se muestra en la imagen.

 Dé un nombre y una descripción a la plantilla.

Paso 2. Cree dos interfaces de loopback para vincular los túneles SIG.

Nota: Cree una interfaz de loopback para cada túnel SIG configurado en modo activo; esto es necesario porque cada túnel necesita un ID IKE único.

Nota: Este escenario es Activo/Activo, por lo tanto se crean dos loopbacks.

 Configure el nombre de la interfaz y la dirección IPv4 para el bucle invertido.

Nota: La dirección IP configurada para el loopback es una dirección ficticia.

 

Cree la segunda plantilla de bucle invertido y conéctela a la plantilla de dispositivo. La plantilla de dispositivo debe tener dos plantillas de bucle invertido conectadas:

Paso 3. Cree una plantilla de función SIG.

Navegue hasta la plantilla de la función SIG y, en la sección Transporte y administración de VPN, seleccione Cisco Secure Internet Gateway feature template.

Paso 4. Seleccione el proveedor SIG para el túnel principal.

Haga clic en Add Tunnel.

Configure los detalles básicos y mantenga Data Center como principal.

Nota: El parámetro Tunnel Source Interface es el Loopback (para este documento Loopback1) y como Tunnel Route-via Interface la interfaz física (para este documento GigabitEthernet0/0/0)

Paso 5.  Agregue el túnel secundario.

Agregue una segunda configuración de túnel, utilice Data-Center como Primary y el nombre de la interfaz como ipsec2.

La configuración de vManage aparece como se muestra a continuación:

Paso 6. Cree Dos Pares De Alta Disponibilidad.

En la sección Alta Disponibilidad, cree dos pares de alta disponibilidad.

• En el primer par HA, seleccione el ipsec1 como Activo y seleccione Ninguno para la copia de seguridad.
• En el segundo par HA, seleccione el ipsec2 como Activo, seleccione Ninguno y para la copia de seguridad.

La configuración de vManage para alta disponibilidad aparece como se muestra:

La plantilla de dispositivo tiene las dos plantillas de bucle invertido y la plantilla de función SIG conectadas también.

Paso 7. Edite la plantilla de VPN del lado de servicio para insertar una ruta de servicio.

Navegue hasta la sección VPN de servicio y dentro de la plantilla de VPN de servicio, navegue hasta la sección Ruta de servicio y agregue una ruta de servicio 0.0.0.0 con SIG.

La ruta SIG 0.0.0.0 aparece como se muestra aquí.

Nota: Para que el tráfico del servicio se apague realmente, NAT debe configurarse en la interfaz WAN.

Adjunte esta plantilla al dispositivo e inserte la configuración.

Configuración del router de extremo de la WAN para el escenario activo/activo

system
 host-name <HOSTNAME>
 system-ip <SYSTEM-IP>
 overlay-id 1
 site-id <SITE-ID>
 sp-organization-name <ORG-NAME>
 organization-name <SP-ORG-NAME>
 vbond <VBOND-IP> port 12346
!
secure-internet-gateway
 umbrella org-id <UMBRELLA-ORG-ID>
 umbrella api-key <UMBRELLA-API-KEY-INFO>
 umbrella api-secret <UMBRELLA-SECRET-INFO>
!
sdwan
 service sig vrf global
  ha-pairs
  interface-pair Tunnel100001 active-interface-weight 1 None backup-interface-weight 1
  interface-pair Tunnel100002 active-interface-weight 1 None backup-interface-weight 1
!
interface GigabitEthernet0/0/0
 tunnel-interface
  encapsulation ipsec weight 1
  no border
  color biz-internet
  no last-resort-circuit
  no low-bandwidth-link
  no vbond-as-stun-server
  vmanage-connection-preference 5
  port-hop
  carrier default
  nat-refresh-interval 5
  hello-interval 1000
  hello-tolerance 12
  allow-service all
  no allow-service bgp
  allow-service dhcp
  allow-service dns
  allow-service icmp
  no allow-service sshd
  no allow-service netconf
  no allow-service ntp
  no allow-service ospf
  no allow-service stun
  allow-service https
  no allow-service snmp
  no allow-service bfd
 exit
exit
interface Tunnel100001
 tunnel-options tunnel-set secure-internet-gateway-umbrella tunnel-dc-preference primary-dc source-interface Loopback1
exit
interface Tunnel100002
 tunnel-options tunnel-set secure-internet-gateway-umbrella tunnel-dc-preference primary-dc source-interface Loopback2
exit
appqoe
no tcpopt enable
!
security
ipsec
rekey 86400
replay-window 512
authentication-type sha1-hmac ah-sha1-hmac
!
!
service tcp-keepalives-in
service tcp-keepalives-out
no service tcp-small-servers
no service udp-small-servers
hostname <DEVICE HOSTNAME>
username admin privilege 15 secret 9 <secret-password>
vrf definition 10
 rd 1:10
 address-family ipv4
 route-target export 1:10
 route-target import 1:10
 exit-address-family
!
 address-family ipv6
 exit-address-family
!
!
vrf definition Mgmt-intf
 description Transport VPN
 rd 1:512
 address-family ipv4
 route-target export 1:512
 route-target import 1:512
 exit-address-family
!
 address-family ipv6
 exit-address-family
!
no ip source-route
ip sdwan route vrf 10 0.0.0.0/0 service sig
ip nat inside source list nat-dia-vpn-hop-access-list interface GigabitEthernet0/0/0 overload
ip nat translation tcp-timeout 3600
ip nat translation udp-timeout 60
ip nat settings central-policy
vlan 10
exit
interface GigabitEthernet0/0/0
 no shutdown
 arp timeout 1200
 ip address dhcp client-id GigabitEthernet0/0/0
 no ip redirects
 ip dhcp client default-router distance 1
 ip mtu 1500
 ip nat outside
 load-interval 30
 mtu 1500
exit
interface GigabitEthernet0/1/0
 switchport access vlan 10
 switchport mode access
 no shutdown
 exit
interface Loopback1
 no shutdown
 arp timeout 1200
 ip address 10.20.20.1 255.255.255.255
 ip mtu 1500
 exit
interface Loopback2
 no shutdown
 arp timeout 1200
 ip address 10.10.10.1 255.255.255.255
 ip mtu 1500
 exit
interface Vlan10
 no shutdown
 arp timeout 1200
 vrf forwarding 10
 ip address 10.1.1.1 255.255.255.252
 ip mtu 1500
 ip nbar protocol-discovery
exit
interface Tunnel0
 no shutdown
 ip unnumbered GigabitEthernet0/0/0
 no ip redirects
 ipv6 unnumbered GigabitEthernet0/0/0
 no ipv6 redirects
 tunnel source GigabitEthernet0/0/0
 tunnel mode sdwan
exit
interface Tunnel100001
 no shutdown
 ip unnumbered Loopback1
 ip mtu 1400
 tunnel source Loopback1
 tunnel destination dynamic
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile if-ipsec1-ipsec-profile
 tunnel vrf multiplexing
 tunnel route-via GigabitEthernet0/0/0 mandatory
exit
interface Tunnel100002
 no shutdown
 ip unnumbered Loopback2
 ip mtu 1400
 tunnel source Loopback2
 tunnel destination dynamic
 tunnel mode ipsec ipv4
 tunnel protection ipsec profile if-ipsec2-ipsec-profile
 tunnel vrf multiplexing
 tunnel route-via GigabitEthernet0/0/0 mandatory
exit
clock timezone UTC 0 0
logging persistent size 104857600 filesize 10485760
logging buffered 512000
logging console
no logging rate-limit
aaa authentication log in default local
aaa authorization exec default local
aaa session-id common
mac address-table aging-time 300
no crypto ikev2 diagnose error
crypto ikev2 policy policy1-global
proposal p1-global
!
crypto ikev2 profile if-ipsec1-ikev2-profile
 no config-exchange request
 dpd 10 3 on-demand
 dynamic
 lifetime 86400
!
crypto ikev2 profile if-ipsec2-ikev2-profile
 no config-exchange request
 dpd 10 3 on-demand
 dynamic
 lifetime 86400
!
crypto ikev2 proposal p1-global
 encryption aes-cbc-128 aes-cbc-256
 group 14 15 16
 integrity sha1 sha256 sha384 sha512
!
crypto ipsec transform-set if-ipsec1-ikev2-transform esp-gcm 256
 mode tunnel
!
crypto ipsec transform-set if-ipsec2-ikev2-transform esp-gcm 256
 mode tunnel
!
crypto ipsec profile if-ipsec1-ipsec-profile
 set ikev2-profile if-ipsec1-ikev2-profile
 set transform-set if-ipsec1-ikev2-transform
 set security-association lifetime kilobytes disable
 set security-association lifetime seconds 3600
 set security-association replay window-size 512
!
crypto ipsec profile if-ipsec2-ipsec-profile
 set ikev2-profile if-ipsec2-ikev2-profile
 set transform-set if-ipsec2-ikev2-transform
 set security-association lifetime kilobytes disable
 set security-association lifetime seconds 3600
 set security-association replay window-size 512
!

Nota: aunque este documento se centra en Umbrella, las mismas situaciones se aplican a los túneles SIG de Azure y de terceros.

Verificación

Verificar escenario activo/de respaldo

En vManage, es posible supervisar el estado de los túneles IPSec de SIG. Vaya a Monitor > Network y seleccione el dispositivo de extremo WAN que desee.

Haga clic en la pestaña Interfaces en el lado izquierdo; se muestra una lista de todas las interfaces en el dispositivo. Esto incluye las interfaces ipsec1 e ipsec2.

La imagen muestra que el túnel ipsec1 reenvía todo el tráfico y el ipsec2 no pasa el tráfico.

También es posible verificar los túneles en el portal Cisco Umbrella como se muestra en la imagen.

Utilice el comando show sdwan secure-internet-gateway tunnels en la CLI para mostrar la información de los túneles.

C1117-4PWE-FGL21499499#show sdwan secure-internet-gateway tunnels
                                                                                  API   LAST                   
TUNNEL IF                                                                         HTTP  SUCCESSFUL     TUNNEL 
NAME          TUNNEL ID  TUNNEL NAME                         FSM STATE            CODE  REQ            STATE   
---------------------------------------------------------------------------------------------------------------
Tunnel100001  540798313  SITE10SYS10x10x10x10IFTunnel100001  st-tun-create-notif  200   create-tunnel  -       
Tunnel100002  540798314  SITE10SYS10x10x10x10IFTunnel100002  st-tun-create-notif  200   create-tunnel  -   

Verificar escenario activo/activo

En vManage es posible supervisar el estado de los túneles IPSec de SIG. Vaya a Monitor > Network y seleccione el dispositivo de extremo WAN que desee.

Haga clic en la pestaña Interfaces en el lado izquierdo y se mostrará una lista de todas las interfaces del dispositivo. Esto incluye las interfaces ipsec1 e ipsec2.

La imagen muestra que los túneles ipsec1 e ipsec2 reenvían el tráfico.

Utilice el comando show sdwan secure-internet-gateway tunnels en la CLI para mostrar la información de los túneles.

C1117-4PWE-FGL21499499#show sdwan secure-internet-gateway tunnels
                                                                                 API   LAST                   
TUNNEL IF                                                                         HTTP  SUCCESSFUL     TUNNEL  
NAME          TUNNEL ID  TUNNEL NAME                         FSM STATE            CODE  REQ            STATE   
---------------------------------------------------------------------------------------------------------------
Tunnel100001  540798313  SITE10SYS10x10x10x10IFTunnel100001  st-tun-create-notif  200   create-tunnel  -       
Tunnel100002  540798314  SITE10SYS10x10x10x10IFTunnel100002  st-tun-create-notif  200   create-tunnel  -       

Información Relacionada

• Integre sus dispositivos con gateways de Internet seguros: Cisco IOS® XE versión 17.x
• http://Network Configuración del túnel - Umbrella SIG
• Introducción a Umbrella
• Soporte Técnico y Documentación - Cisco Systems