Configurez l'interface de tunnel Multi-SA virtuelle sur le routeur IOS-XE
Contenu
Introduction
Ce document décrit comment configurer l'interface de tunnel virtuelle d'association de sécurité multi sur le routeur IOS-XE. Le procédé de transfert est également décrit. Multi-SA VTI est un remplacement pour la crypto (stratégie basée) configuration réseau de réseau privé virtuel à base de cartes. Il est vers l'arrière compatible avec cryptos réalisations basées par stratégie à base de cartes et autres. Le soutien de ceci comporte est disponible depuis la release IOS-XE 16.12.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Configuration réseau de réseau privé virtuel d'IPsec sur des Routeurs IOS-XE
Composants utilisés
Les informations dans ce document sont basées sur des Routeurs ISR 4351 exécutant la version de logiciel IOS-XE 16.12.01a.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Avantages des interfaces de tunnel virtuelles au-dessus des crypto map
Le crypto map est une caractéristique de sortie d'interface physique. Des tunnels à différents pairs sont configurés sous le même crypto map. Les entrées de liste d'accès spécifient à quel trafic de pair devrait être envoyé. Ce type de configuration s'appelle également le VPN basé sur la politique.
Si des interfaces de tunnel virtuelles sont utilisées, chaque tunnel VPN est représenté par une interface de tunnel logique distincte. La table de routage décide à quel trafic de pair devrait être envoyé. Ce type de configuration s'appelle également route-based VPN.
Avant la release IOS-XE 16.12, la configuration VTI n'était pas compatible avec la configuration de crypto map. Les deux extrémités du tunnel ont dû être configurées avec le même type de VPN pour interopérer.
Dans IOS-XE 16.12, de nouvelles options de confiugration ont été ajoutées qui permettent à l'interface de tunnel pour agir en tant que VPN basé sur la politique au niveau de protocole, mais ont toutes les propriétés d'interface de tunnel.
Les avantages de VTI au-dessus de crypto map incluent :
- Plus facile de déterminer l'état haut/bas de tunnel
- Plus facile à dépanner
- Capacité d'appliquer des caractéristiques comme QoS, ZBF, NAT, NetFlow sur une base de par-tunnel
- Configuration profilée pour tous les types de tunnels VPN
Configurer
Diagramme du réseau
Configurations
IKEv1
Les deux Routeurs sont préconfigurés avec la crypto solution IKEv1 à base de cartes :
Routeur A :
crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp key cisco123 address 192.0.2.2
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 192.0.2.2
set transform-set TSET
match address CACL
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.1 255.255.255.0
crypto map CMAP
Routeur B :
crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp key cisco123 address 192.0.2.1
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 192.0.2.1
set transform-set TSET
match address CACL
!
ip access-list extended CACL
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.2 255.255.255.0
crypto map CMAP
Afin de migrer le routeur A vers une configuration multi-SA VTI, ce qui suit doit être configuré. Le routeur B peut rester avec le vieux configuraion ou peut être modifié pareillement :
1. Retirez le crypto map de l'interface :
interface GigabitEthernet0/0/0
no crypto map
2. Créez le profil d'ipsec. Le reverse-route est sur option configuré pour avoir les artères statiques pour des réseaux distants automatiquement ajoutés à la table de routage :
crypto ipsec profile PROF
set transform-set TSET
reverse-route
3. Configurez l'interface de tunnel. La crypto liste d'accès est reliée à la configuration de tunnel comme stratégie d'ipsec. L'adresse IP configurée sur l'interface de tunnel est inutile mais elle doit être configurée avec une certaine valeur. L'adresse IP peut être empruntée à l'interface physique utilisant la commande de « ip unnumbered » :
interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
4. Le crypto map peut être retiré complètement après :
no crypto map CMAP 10
Configuration finale du routeur A :
crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp key cisco123 address 192.0.2.2
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto ipsec profile PROF
set transform-set TSET
reverse-route
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.1 255.255.255.0
!
interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
IKEv2
Les deux Routeurs sont préconfigurés avec la crypto solution IKEv2 à base de cartes :
Routeur A :
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto ikev2 profile PROF
match identity remote address 192.0.2.2 255.255.255.255
authentication remote pre-share key cisco123
authentication local pre-share key cisco123
!
crypto map CMAP 10 ipsec-isakmp
set peer 192.0.2.2
set transform-set TSET
set ikev2-profile PROF
match address CACL
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.1 255.255.255.0
crypto map CMAP
Routeur B :
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto ikev2 profile PROF
match identity remote address 192.0.2.1 255.255.255.255
authentication remote pre-share key cisco123
authentication local pre-share key cisco123
!
crypto map CMAP 10 ipsec-isakmp
set peer 192.0.2.1
set transform-set TSET
set ikev2-profile PROF
match address CACL
!
ip access-list extended CACL
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.2 255.255.255.0
crypto map CMAP
Afin de migrer le routeur A vers une configuration multi-SA VTI, ce qui suit doit être configuré. Le routeur B peut rester avec le vieux configuraion ou peut être modifié pareillement :
1. Retirez le crypto map de l'interface :
interface GigabitEthernet0/0/0
no crypto map
2. Créez le profil d'ipsec. Le reverse-route est sur option configuré pour avoir les artères statiques pour des réseaux distants automatiquement ajoutés à la table de routage :
crypto ipsec profile PROF
set transform-set TSET
set ikev2-profile PROF
reverse-route
3. Configurez l'interface de tunnel. La crypto liste d'accès est reliée à la configuration de tunnel comme stratégie d'ipsec. L'adresse IP configurée sur l'interface de tunnel est inutile mais elle doit être configurée avec une certaine valeur. L'adresse IP peut être empruntée à l'interface physique utilisant la commande de « ip unnumbered » :
interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
4. Le crypto map peut être retiré complètement après :
no crypto map CMAP 10
Configuration finale du routeur A :
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto ikev2 profile PROF
match identity remote address 192.0.2.2 255.255.255.255
authentication remote pre-share key cisco123
authentication local pre-share key cisco123
!
crypto ipsec profile PROF
set transform-set TSET
set ikev2-profile PROF
reverse-route
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.1 255.255.255.0
!
interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
Acheminement des considérations
L'administrateur doit s'assurer que le routage pour des réseaux distants se dirige vers l'interface de tunnel. L'option de « reverse-route » sous le profil d'ipsec peut être utilisée pour créer automatiquement les artères statiques pour des réseaux spécifiés dans le crypto ACL. De telles artères peuvent également être ajoutées manuellement. Si là préexistaient plus d'artères spécifiques se dirigeant vers l'interface physique au lieu de l'interface de tunnel, ceux-ci doivent être retirés.
configuration Vrf-avertie
Cet exemple affiche comment migrer la configuration Vrf-avertie de crypto map.
Topologie
Configuration de crypto map :
ip vrf fvrf
ip vrf ivrf
!
crypto keyring KEY vrf fvrf
pre-shared-key address 192.0.2.2 key cisco123
!
crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp profile PROF
vrf ivrf
keyring KEY
match identity address 192.0.2.2 255.255.255.255 fvrf
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 192.0.2.2
set transform-set TSET
set isakmp-profile PROF
match address CACL
!
interface GigabitEthernet0/0/0
ip vrf forwarding fvrf
ip address 192.0.2.1 255.255.255.0
crypto map CMAP
!
interface GigabitEthernet0/0/1
ip vrf forwarding ivrf
ip address 192.168.1.1 255.255.255.0
!
ip route vrf ivrf 172.16.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
ip route vrf ivrf 192.168.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
Afin de migrer vers multi-SA VTI, les étapes suivantes doivent être exécutées :
! vrf configuration under isakmp profile is only for crypto map based configuration
!
crypto isakmp profile PROF
no vrf ivrf
!
interface GigabitEthernet0/0/0
no crypto map
!
no crypto map CMAP 10
!
no ip route vrf ivrf 172.16.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
no ip route vrf ivrf 192.168.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
!
crypto ipsec profile PROF
set transform-set TSET
set isakmp-profile PROF
reverse-route
!
interface tunnel0
ip vrf forwarding ivrf
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel vrf fvrf
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
Configuration vrf-avertie de finale :
ip vrf fvrf
ip vrf ivrf
!
crypto keyring KEY vrf fvrf
pre-shared-key address 192.0.2.2 key cisco123
!
crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp profile PROF
keyring KEY
match identity address 192.0.2.2 255.255.255.255 fvrf
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
interface GigabitEthernet0/0/0
ip vrf forwarding fvrf
ip address 192.0.2.1 255.255.255.0
!
interface GigabitEthernet0/0/1
ip vrf forwarding ivrf
ip address 192.168.1.1 255.255.255.0
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
crypto ipsec profile PROF
set transform-set TSET
set isakmp-profile PROF
reverse-route
!
interface tunnel0
ip vrf forwarding ivrf
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel vrf fvrf
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
Vérifiez
Afin de vérifier si le tunnel a été négocié avec succès, l'état d'interface de tunnel peut être vérifié. Les deux dernières colonnes - des colonnes de « état » et de « protocole » - devraient indiqué « vers le haut » de l'état :
RouterA#show ip interface brief | i Tunnel0
Tunnel0 192.0.2.1 YES TFTP up up
Plus de détails au sujet de crypto état en cours de session peuvent être trouvés dans la sortie de « show crypto session ». Le « état de session » de « UP-ACTIVE » indique que la session d'IKE a été négociée correctement :
RouterA#show crypto session interface tunnel0
Crypto session current status
Interface: Tunnel0
Profile: PROF
Session status: UP-ACTIVE
Peer: 192.0.2.2 port 500
Session ID: 2
IKEv2 SA: local 192.0.2.1/500 remote 192.0.2.2/500 Active
IPSEC FLOW: permit ip 172.16.1.0/255.255.255.0 172.16.2.0/255.255.255.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0
Active SAs: 2, origin: crypto map
Vérifiez que le routage au réseau distant se dirige au-dessus de l'interface de tunnel correcte :
RouterA#show ip route 192.168.2.0
Routing entry for 192.168.2.0/24
Known via "static", distance 1, metric 0 (connected)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 1
RouterA#show ip cef 192.168.2.100
192.168.2.0/24
attached to Tunnel0
Forum aux questions
Q : Est-ce que tunnel été livré d'automatiquement ou le trafic nécessaire pour apporter fait est le tunnel ?
A : À la différence de avec des crypto map, les tunnels multi-SA VTI montent automatiquement indépendamment de si le trafic de données appariant le crypto ACL actuellement est conduit. Les tunnels restent tout le temps même si le trafic cesse de circuler.
Q : Que se produit si le trafic est conduit par le VTI mais la source ou la destination de trafic n'apparie pas le crypto ACL configuré comme stratégie d'ipsec pour ce tunnel ?
A : Un tel trafic sera abandonné. Chaque paquet est vérifié contre la stratégie configurée d'ipsec et doit apparier le crypto ACL. La raison pour une telle baisse est enregistrée en tant que "Ipv4RoutingErr". Des statistiques pour de telles baisses peuvent être trouvées par la commande suivante :
RouterA#show platform hardware qfp active statistics drop
Last clearing of QFP drops statistics : never
-------------------------------------------------------------------------
Global Drop Stats Packets Octets
-------------------------------------------------------------------------
Ipv4RoutingErr 5 500
Q : Est-ce que caractéristiques comme le VRF, NAT, le QoS etc. sont pris en charge sur multi-SA VTI ?
A : Oui, toutes ces caractéristiques sont prises en charge la même manière que sur les tunnels réguliers VTI.
Dépanner
Afin de dépanner la négociation de protocole d'IKE, les débogages suivants peuvent être utilisés :
! For IKEv1-based scenarios:
debug crypto isakmp
debug crypto ipsec
! For IKEv2-based scenarios:
debug crypto ikev2
debug crypto ipsec
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)