Configuración y verificación del túnel SIG IPsec SD-WAN con Zscaler

Introducción

Este documento describe los pasos de configuración y verificación de los túneles SIG IPsec SD-WAN con Zscaler. 

Prerequisites

Requirements

Cisco recomienda que tenga conocimiento sobre estos temas:

• Gateway de Internet de seguridad (SIG).
• Cómo funcionan los túneles IPsec, Phase1 y Phase2 en Cisco IOS®.
  
  

Requisitos adicionales

• NAT debe estar habilitado en la interfaz de transporte que está frente a Internet.

• Se debe crear un servidor DNS en VPN 0 y la URL base de Zscaler se debe resolver con este servidor DNS. Esto es importante porque, si no se resuelve, las llamadas API y las comprobaciones de estado de capa 7 pueden fallar. Y, de forma predeterminada, utilice este servidor DNS

• El NTP (protocolo de tiempo de red) debe garantizar que la hora del router de borde de Cisco sea precisa y que las llamadas de API no puedan fallar.

• Una ruta de servicio que apunta a SIG debe configurarse en la plantilla de la función Service-VPN o CLI: ip sdwan route vrf 1 0.0.0.0/0 service sig

Componentes Utilizados

Este documento se basa en las siguientes versiones de software y hardware:

•  Router de extremo de Cisco versión 17.6.6a
•  vManage versión 20.9.4
  
  

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Configurar

Opciones de diseño de red

Los distintos tipos de implementaciones de esta lista son una configuración de combinación activo/en espera. La encapsulación de túnel se puede implementar con GRE o IPSec.

• Un par de túneles activo/en espera
• Un Par de Túnel Activo/Activo
• Par de túnel activo/en espera múltiple
• Par de túnel activo/activo múltiple

Nota: En los routers periféricos de Cisco SD-WAN, puede utilizar una o más interfaces de transporte conectadas a Internet para que las configuraciones funcionen de forma eficaz.

Configuraciones

Continúe con la configuración de estas plantillas:

• Plantilla de la función de credenciales de gateway de Internet de seguridad (SIG):
  • Necesita uno para todos los routers periféricos de Cisco. La información para rellenar los campos necesarios de la plantilla se debe crear en el portal de Zscaler.

• Plantilla de la función Security Internet Gateway (SIG):
  • En esta plantilla de función, se configuran los túneles IPsec, se garantiza la alta disponibilidad de implementación (HA) en modo activo/activo o activo/en espera y se selecciona Zscaler Data Center enter automática o manualmente.

1. Para crear una plantilla de credenciales Zscaler, navegue hasta Configuración > Plantilla > Plantilla de Función > Agregar Plantilla.

2. Seleccione el modelo de dispositivo que va a utilizar para este fin y busque SIG. Cuando se crea por primera vez, el sistema muestra que las credenciales de Zscaler se deben crear primero, como este ejemplo:

3. Debe seleccionar Zscaler como proveedor SIG y hacer clic en la plantilla Click here to create - Cisco SIG Credentials.

Plantilla de credenciales de firma

4. Se le redirigirá a la plantilla de credenciales. Además, debe introducir los valores de todos los campos:

• Nombre de plantilla
• Descripción
• Proveedor SIG (seleccionado automáticamente del paso anterior)
• Organización
• URL base del partner
• Nombre de usuario
• Contraseña
• Clave de API del partner

5. Haga clic en Guardar.

6. Se le redirigirá a la plantilla Secure Internet Gateway (SIG). Esta plantilla le permite configurar los elementos necesarios para SD-WAN IPsec SIG con Zscaler.

En la primera sección de la plantilla, proporcione un nombre y una descripción. El rastreador predeterminado se habilita automáticamente y utiliza la URL de la API para la verificación de estado de Zscaler Layer 7.

8. En la sección Configuración, puede crear los túneles IPsec haciendo clic en Agregar Túnel. En la nueva ventana emergente, seleccione las opciones que desee en función de sus requisitos.
9. En este ejemplo, la interfaz IPsec1 se ha creado utilizando la interfaz WAN GigabitEthernet1 como origen del túnel. Forma la conectividad con el Data Center Zcaler principal. Se recomienda mantener los valores de Opciones avanzadas como valores predeterminados. 

Configuración de interfaz IPsec   

Alta disponibilidad

En esta sección, elija si el diseño es Activo/Activo o Activo/En espera, y determine qué interfaz IPSec está activa.

Este es un ejemplo de un diseño Activo/Activo y todas las interfaces se seleccionan en Activo, dejando Copia de seguridad sin ninguna.

Diseño activo/activo

Este ejemplo muestra un diseño Activo/En espera y se seleccionan IPsec1 e IPsec11 como interfaces activas, mientras que IPsec2 e IPsec12 se designan como interfaces en espera.

Diseño activo/en espera

Configuración avanzada

1. En esta sección, las configuraciones más importantes son Primary Data Center y Secondary Data Center. Se recomienda configurar ambas como automáticas o manuales, sin embargo, no se recomienda configurarlas como mixtas. Si decide configurarlos manualmente, seleccione la URL correcta del portal Zscaler en función de la URL de su base de partners.

Data Centers automáticos o manuales

2. Haga clic en Guardar cuando haya terminado.

3. Una vez que haya terminado con la configuración de plantillas SIG, debe aplicarlas bajo la plantilla de dispositivo. De esta manera, la configuración se envía a los routers periféricos de Cisco.

4. Siguientes pasos, navegue hasta Configuración > Plantillas > Plantilla de dispositivo, en los tres puntos haga clic Editar.

5. En Transport & Management VPN, agregue la plantilla Secure Internet Gateway.

6. En Cisco Secure Internet Gateway, seleccione la plantilla de función SIG correcta en el menú desplegable.

Agregar plantilla SIG en plantilla de dispositivo

7. En Plantillas Adicionales en Cisco SIG Credentials, seleccione la plantilla correcta de Cisco SIG Credentials del menú desplegable:

Plantilla SIG de credenciales

8. Haga clic en Actualizar (si la plantilla de dispositivo es una plantilla activa, utilice los pasos estándar para enviar configuraciones a una plantilla activa).

Verificación

1. La verificación se puede completar durante la previsualización de la configuración mientras usted está empujando los cambios, lo que debe notar son:

secure-internet-gateway
     zscaler organization <removed>
     zscaler partner-base-uri <removed>
     zscaler partner-key <removed>
     zscaler username <removed>
     zscaler password <removed>
    !

2. En este ejemplo puede ver que el diseño está activo/en espera:

ha-pairs
  interface-pair Tunnel100001 active-interface-weight 1 Tunnel100002 backup-interface-weight 1
  interface-pair Tunnel100011 active-interface-weight 1 Tunnel100012 backup-interface-weight 1  

3. Se agregan configuraciones adicionales como perfiles y políticas crypto ikev2, interfaces múltiples que comienzan con Tunnel1xxxxx, definición vrf 65530 e ip sdwan route vrf 1 0.0.0.0/0 service sig. Todos estos cambios son parte de los túneles IPsec SIG con Zscaler.

Este ejemplo muestra el aspecto de la configuración de la interfaz de túnel:

interface Tunnel100001
     no shutdown
     ip unnumbered       GigabitEthernet1
     no ip clear-dont-fragment
     ip mtu              1400
     tunnel source GigabitEthernet1
     tunnel destination dynamic
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile if-ipsec1-ipsec-profile
     tunnel vrf multiplexing

4. Una vez que las configuraciones se introducen correctamente en los routers periféricos de Cisco, puede ejecutar comandos para verificar si los túneles están disponibles:

Router#show sdwan secure-internet-gateway zscaler tunnels
                                                                                                                                                         HTTP
TUNNEL IF                                             TUNNEL                                            LOCATION                                         RESP  
NAME          TUNNEL NAME                             ID        FQDN           TUNNEL FSM STATE         ID        LOCATION FSM STATE   LAST HTTP REQ     CODE  
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001  site<removed>Tunnel100001             <removed>   <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200   
Tunnel100002  site<removed>Tunnel100002              <removed>  <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200

5. Si no ve el http resp code 200, significa que se enfrenta a un problema con la contraseña o la clave de partner. 
6. Para verificar el estado de la interfaz, utilice este comando:

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
GigabitEthernet3       10.2.20.77      YES other  up            up      
GigabitEthernet4       10.2.248.43     YES other  up            up      
Sdwan-system-intf      10.10.10.221    YES unset  up            up      
Loopback65528          192.168.1.1     YES other  up            up      
Loopback65530          192.168.0.2     YES other  up            up   <<< This is the IP that you used on Tracker SIG Feature template      
NVI0                   unassigned      YES unset  up            up      
Tunnel2                10.2.58.221     YES TFTP   up            up      
Tunnel3                10.2.20.77      YES TFTP   up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            up      
Tunnel100002           10.2.58.221     YES TFTP   up            up 

7. Para verificar el estado del rastreador, ejecute los comandos show endpoint-tracker y show endpoint-tracker records. Esto le ayuda a confirmar qué URL está utilizando el rastreador:

Router#show endpoint-tracker 
Interface              Record Name            Status          RTT in msecs    Probe ID        Next Hop       
Tunnel100001           #SIGL7#AUTO#TRACKER    Up              194             44              None           
Tunnel100002           #SIGL7#AUTO#TRACKER    Up              80              48              None   

Router#show endpoint-tracker records 
Record Name            Endpoint                            EndPoint Type   Threshold(ms)    Multiplier   Interval(s)     Tracker-Type   
#SIGL7#AUTO#TRACKER    http://gateway..net/vpnt API_URL         1000             2            30              interface  

8. Otras validaciones que puede utilizar son:

• Asegúrese de que las rutas en VRF apunten a los túneles IPsec y ejecute este comando:
  
  show ip route vrf 1 

El gateway de último recurso es 0.0.0.0 para la red 0.0.0.0

S* 0.0.0.0/0 [2/65535], Túnel100002
                    [2/65535], túnel100001
10.0.0.0/8 está dividido en subredes de forma variable, 4 subredes, 2 máscaras

9. Para realizar más validaciones, puede hacer ping a Internet y completar una ruta de rastreo para validar los saltos del tráfico:

Router#ping vrf 1 cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to <removed>, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 406/411/417 ms

Router1#traceroute vrf 1 cisco.com
Type escape sequence to abort.
Tracing the route to redirect-ns.cisco.com (<removed>)
VRF info: (vrf in name/id, vrf out name/id)
1 * * * 
2  195 msec 193 msec 199 msec
3  200 msec
   199 msec * 
.....

10. Puede validar las interfaces IPsec desde la GUI de vManage navegando hasta Monitor > Device o Monitor > Network (para los códigos 20.6 y anteriores).

• Seleccione su router y navegue hasta Aplicaciones > Interfaces.
• Seleccione Tunnel10001 y Tunnel100002 para ver el tráfico en tiempo real o personalizarlo según el intervalo de tiempo requerido:  

Supervisión de túneles IPsec

Troubleshoot

Si el túnel SIG no se está ejecutando, revise estos pasos para resolver problemas:

Paso 1: Verifique los errores ejecutando el comando show sdwan secure-internet-gateway zscaler tunnels. En el resultado, si observa HTTP RESP Code 401, indica que hay un problema con la autenticación. Puede verificar los valores de la plantilla de credenciales de SIG para ver si la contraseña o la clave de partner es correcta.

Router#show sdwan secure-internet-gateway zscaler tunnels 
                                                                                                                                    HTTP 
TUNNEL IF                                   TUNNEL                                 LOCATION                                         RESP 
NAME TUNNEL             NAME                ID        FQDN   TUNNEL FSM STATE      ID        LOCATION FSM STATE   LAST HTTP REQ     CODE 
----------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001   site<removed>Tunnel100001   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100002   site<removed>Tunnel100002   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100011   site<removed>Tunnel100011   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100012   site<removed>Tunnel100012   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 

Paso 2. Para una depuración adicional, habilite estos comandos y busque mensajes de registro relacionados con SIG, HTTP o tracker:

• debug platform software sdwan ftm sig
• debug platform software sdwan sig 
• debug platform software sdwan tracker
• debug platform software sdwan ftm rtm-events

Desde la versión Cisco IOS® IOS-XE 17.11+, <debug platform> se ha migrado a <set platform trace>

set platform software trace ftmd R0 ftmd-sig [debug | verbose]

set platform software trace ios R0 sdwanrp-sig debug

set platform software trace ios R0 sdwanrp-tracker debug

set platform software trace ftmd R0 ftmd-rtm [debug | verbose]

1. Este es un ejemplo del resultado de los comandos debug:

Router#show logging | inc SIG
Jan 31 19:39:38.666: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:39:38.669: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:59:18.240: SDWAN INFO: Tracker entry Tunnel100001/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.263: SDWAN INFO: Tracker entry Tunnel100002/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.274: SDWAN INFO: Tracker entry Tunnel100011/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.291: SDWAN INFO: Tracker entry Tunnel100012/#SIGL7#AUTO#TRACKER state => DOWN

2. Ejecute el comando show ip interface brief y verifique los túneles interface Protocol y verifique si éstos se muestran hacia arriba o hacia abajo.  

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            down
Tunnel100002           10.2.58.221     YES TFTP   up            down

3. Después de confirmar que no hay problemas con las credenciales de Zscaler, quite la interfaz SIG de la plantilla del dispositivo y envíela al router. Una vez completada la inserción, aplique la plantilla SIG y vuelva a insertarla en el router. Este método obliga a que los túneles se vuelvan a crear desde el principio.

Información Relacionada

• Soporte técnico y descargas de Cisco