Introduction
Ce document décrit comment configurer l'interface de tunnel virtuel d'association de sécurité multiple sur le routeur IOS-XE. Le processus de migration est également décrit. Multi-SA VTI remplace la configuration de réseau privé virtuel basé sur une carte de chiffrement (basée sur des politiques). Il est rétrocompatible avec les mises en oeuvre basées sur des cartes de chiffrement et d'autres stratégies. La prise en charge de ces fonctionnalités est disponible depuis la version 16.12 de IOS-XE.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Configuration de réseau privé virtuel IPsec sur les routeurs IOS-XE
Components Used
Les informations de ce document sont basées sur les routeurs ISR 4351 exécutant la version logicielle IOS-XE 16.12.01a.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Avantages des interfaces de tunnel virtuel par rapport aux cartes de chiffrement
Crypto map est une fonction de sortie de l'interface physique. Les tunnels vers différents homologues sont configurés sous la même carte de chiffrement. Les entrées de liste d'accès spécifient à quel trafic homologue doit être envoyé. Ce type de configuration est également appelé VPN basé sur des stratégies.
Si des interfaces de tunnel virtuel sont utilisées, chaque tunnel VPN est représenté par une interface de tunnel logique distincte. La table de routage décide à quel trafic homologue doit être envoyé. Ce type de configuration est également appelé VPN basé sur la route.
Avant la version 16.12 d'IOS-XE, la configuration VTI n'était pas compatible avec la configuration de crypto-carte. Les deux extrémités du tunnel devaient être configurées avec le même type de VPN pour interagir.
Dans IOS-XE 16.12, de nouvelles options de configuration ont été ajoutées qui permettent à l'interface de tunnel d'agir comme VPN basé sur des politiques au niveau du protocole, mais ont toutes les propriétés de l'interface de tunnel.
Les avantages de VTI par rapport à la crypto-carte sont les suivants :
- Plus facile à déterminer l'état de fonctionnement/désactivation du tunnel
- Dépannage plus facile
- Possibilité d'appliquer des fonctionnalités telles que QoS, ZBF, NAT, Netflow par tunnel
- Configuration rationalisée pour tous les types de tunnels VPN
Configuration
Diagramme du réseau

Configurations
IKEv1
Les deux routeurs sont préconfigurés avec une solution IKEv1 basée sur une carte de chiffrement :
Routeur A :
crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp key cisco123 address 192.0.2.2
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 192.0.2.2
set transform-set TSET
match address CACL
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.1 255.255.255.0
crypto map CMAP
Routeur B :
crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp key cisco123 address 192.0.2.1
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 192.0.2.1
set transform-set TSET
match address CACL
!
ip access-list extended CACL
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.2 255.255.255.0
crypto map CMAP
Pour migrer le routeur A vers une configuration VTI multi-SA, vous devez configurer les éléments suivants. Le routeur B peut rester avec une ancienne configuration ou être reconfiguré de la même manière :
1. Supprimez la carte de chiffrement de l'interface :
interface GigabitEthernet0/0/0
no crypto map
2. Créez un profil ipsec. Reverse-route est éventuellement configuré pour que les routes statiques des réseaux distants soient automatiquement ajoutées à la table de routage :
crypto ipsec profile PROF
set transform-set TSET
reverse-route
3. Configurez l'interface de tunnel. Crypto access-list est attaché à la configuration du tunnel en tant que stratégie ipsec. L'adresse IP configurée sur l'interface de tunnel n'est pas pertinente, mais elle doit être configurée avec une valeur. L'adresse IP peut être empruntée à l'interface physique à l'aide de la commande ip unnumbered :
interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
4. La carte de chiffrement peut être supprimée complètement après :
no crypto map CMAP 10
Configuration finale du routeur A :
crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp key cisco123 address 192.0.2.2
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto ipsec profile PROF
set transform-set TSET
reverse-route
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.1 255.255.255.0
!
interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
IKEv2
Les deux routeurs sont préconfigurés avec une solution IKEv2 basée sur une carte de chiffrement :
Routeur A :
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto ikev2 profile PROF
match identity remote address 192.0.2.2 255.255.255.255
authentication remote pre-share key cisco123
authentication local pre-share key cisco123
!
crypto map CMAP 10 ipsec-isakmp
set peer 192.0.2.2
set transform-set TSET
set ikev2-profile PROF
match address CACL
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.1 255.255.255.0
crypto map CMAP
Routeur B :
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto ikev2 profile PROF
match identity remote address 192.0.2.1 255.255.255.255
authentication remote pre-share key cisco123
authentication local pre-share key cisco123
!
crypto map CMAP 10 ipsec-isakmp
set peer 192.0.2.1
set transform-set TSET
set ikev2-profile PROF
match address CACL
!
ip access-list extended CACL
permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.2 255.255.255.0
crypto map CMAP
Pour migrer le routeur A vers une configuration VTI multi-SA, vous devez configurer les éléments suivants. Le routeur B peut rester avec une ancienne configuration ou être reconfiguré de la même manière :
1. Supprimez la carte de chiffrement de l'interface :
interface GigabitEthernet0/0/0
no crypto map
2. Créez un profil ipsec. Reverse-route est éventuellement configuré pour que les routes statiques des réseaux distants soient automatiquement ajoutées à la table de routage :
crypto ipsec profile PROF
set transform-set TSET
set ikev2-profile PROF
reverse-route
3. Configurez l'interface de tunnel. Crypto access-list est attaché à la configuration du tunnel en tant que stratégie ipsec. L'adresse IP configurée sur l'interface de tunnel n'est pas pertinente, mais elle doit être configurée avec une valeur. L'adresse IP peut être empruntée à l'interface physique à l'aide de la commande ip unnumbered :
interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
4. La carte de chiffrement peut être supprimée complètement après :
no crypto map CMAP 10
Configuration finale du routeur A :
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto ikev2 profile PROF
match identity remote address 192.0.2.2 255.255.255.255
authentication remote pre-share key cisco123
authentication local pre-share key cisco123
!
crypto ipsec profile PROF
set transform-set TSET
set ikev2-profile PROF
reverse-route
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
ip address 192.0.2.1 255.255.255.0
!
interface Tunnel0
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
Considérations de routage
L'administrateur doit s'assurer que le routage des réseaux distants pointe vers l'interface du tunnel. L'option « Reverse-route » sous le profil ipsec peut être utilisée pour créer automatiquement des routes statiques pour les réseaux spécifiés dans la liste de contrôle d'accès de chiffrement. De telles routes peuvent également être ajoutées manuellement. Si des routes plus spécifiques préexistantes pointaient vers l'interface physique au lieu de l'interface de tunnel, elles doivent être supprimées.
Configuration compatible VRF
Cet exemple montre comment migrer la configuration de crypto-carte compatible VRF.
Topologie

Configuration de la carte de chiffrement :
ip vrf fvrf
ip vrf ivrf
!
crypto keyring KEY vrf fvrf
pre-shared-key address 192.0.2.2 key cisco123
!
crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp profile PROF
vrf ivrf
keyring KEY
match identity address 192.0.2.2 255.255.255.255 fvrf
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto map CMAP 10 ipsec-isakmp
set peer 192.0.2.2
set transform-set TSET
set isakmp-profile PROF
match address CACL
!
interface GigabitEthernet0/0/0
ip vrf forwarding fvrf
ip address 192.0.2.1 255.255.255.0
crypto map CMAP
!
interface GigabitEthernet0/0/1
ip vrf forwarding ivrf
ip address 192.168.1.1 255.255.255.0
!
ip route vrf ivrf 172.16.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
ip route vrf ivrf 192.168.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
Pour migrer vers VTI multi-SA, procédez comme suit :
! vrf configuration under isakmp profile is only for crypto map based configuration
!
crypto isakmp profile PROF
no vrf ivrf
!
interface GigabitEthernet0/0/0
no crypto map
!
no crypto map CMAP 10
!
no ip route vrf ivrf 172.16.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
no ip route vrf ivrf 192.168.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
!
crypto ipsec profile PROF
set transform-set TSET
set isakmp-profile PROF
reverse-route
!
interface tunnel0
ip vrf forwarding ivrf
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel vrf fvrf
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
Configuration finale compatible VRF :
ip vrf fvrf
ip vrf ivrf
!
crypto keyring KEY vrf fvrf
pre-shared-key address 192.0.2.2 key cisco123
!
crypto isakmp policy 10
encryption aes
hash sha256
authentication pre-share
group 14
!
crypto isakmp profile PROF
keyring KEY
match identity address 192.0.2.2 255.255.255.255 fvrf
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
interface GigabitEthernet0/0/0
ip vrf forwarding fvrf
ip address 192.0.2.1 255.255.255.0
!
interface GigabitEthernet0/0/1
ip vrf forwarding ivrf
ip address 192.168.1.1 255.255.255.0
!
ip access-list extended CACL
permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
crypto ipsec profile PROF
set transform-set TSET
set isakmp-profile PROF
reverse-route
!
interface tunnel0
ip vrf forwarding ivrf
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode ipsec ipv4
tunnel destination 192.0.2.2
tunnel vrf fvrf
tunnel protection ipsec policy ipv4 CACL
tunnel protection ipsec profile PROF
Vérification
Afin de vérifier si le tunnel a été négocié avec succès, l'état de l'interface du tunnel peut être vérifié. Les deux dernières colonnes - « status » et « protocol » - devraient indiquer « up » status :
RouterA#show ip interface brief | i Tunnel0
Tunnel0 192.0.2.1 YES TFTP up up
Vous trouverez plus de détails sur l'état actuel de la session de chiffrement dans la sortie « show crypto session ». L'« état de session » de « UP-ACTIVE » indique que la session IKE a été négociée correctement :
RouterA#show crypto session interface tunnel0
Crypto session current status
Interface: Tunnel0
Profile: PROF
Session status: UP-ACTIVE
Peer: 192.0.2.2 port 500
Session ID: 2
IKEv2 SA: local 192.0.2.1/500 remote 192.0.2.2/500 Active
IPSEC FLOW: permit ip 172.16.1.0/255.255.255.0 172.16.2.0/255.255.255.0
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0
Active SAs: 2, origin: crypto map
Vérifiez que le routage vers le réseau distant pointe sur l’interface de tunnel correcte :
RouterA#show ip route 192.168.2.0
Routing entry for 192.168.2.0/24
Known via "static", distance 1, metric 0 (connected)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 1
RouterA#show ip cef 192.168.2.100
192.168.2.0/24
attached to Tunnel0
Forum aux questions
Q : Est-ce que le tunnel provient automatiquement ou est-ce le trafic nécessaire pour faire monter le tunnel ?
A : Contrairement aux crypto-cartes, les tunnels VTI multi-SA s'activent automatiquement, que le trafic de données correspondant à la liste de contrôle d'accès cryptographique soit routé ou non. Les tunnels restent en service tout le temps même si le trafic s'arrête.
Q : Que se passe-t-il si le trafic est acheminé via le VTI mais que la source ou la destination du trafic ne correspond pas à la liste de contrôle d’accès de chiffrement configurée comme stratégie ipsec pour ce tunnel ?
A : Ce trafic sera abandonné. Chaque paquet est vérifié par rapport à la stratégie ipsec configurée et doit correspondre à la liste de contrôle d’accès de chiffrement. La raison de cette suppression est enregistrée sous le nom « Ipv4RoutingErr ». Les statistiques de ces pertes sont disponibles à l'aide de la commande suivante :
RouterA#show platform hardware qfp active statistics drop
Last clearing of QFP drops statistics : never
-------------------------------------------------------------------------
Global Drop Stats Packets Octets
-------------------------------------------------------------------------
Ipv4RoutingErr 5 500
Q : Les fonctionnalités telles que VRF, NAT, QoS, etc. sont-elles prises en charge sur les VTI multi-SA ?
A : Oui, toutes ces fonctionnalités sont prises en charge de la même manière que sur les tunnels VTI standard.
Dépannage
Afin de dépanner la négociation de protocole IKE, les débogages suivants peuvent être utilisés :
! For IKEv1-based scenarios:
debug crypto isakmp
debug crypto ipsec
! For IKEv2-based scenarios:
debug crypto ikev2
debug crypto ipsec