Explorer Cisco
Comment acheter

Avez-vous un compte?

  •   Contenu personnalisé
  •   Vos produits et votre soutien technique

Vous voulez un compte?

Créer un compte

Configuration de l'interface de tunnel virtuel Multi-SA sur le routeur IOS-XE

Options de téléchargement

  • PDF     (261.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (256.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (173.5 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:9 août 2019
ID du document:214728

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit comment configurer l'interface de tunnel virtuel d'association de sécurité multiple sur le routeur IOS-XE. Le processus de migration est également décrit. Multi-SA VTI remplace la configuration de réseau privé virtuel basé sur une carte de chiffrement (basée sur des politiques). Il est rétrocompatible avec les mises en oeuvre basées sur des cartes de chiffrement et d'autres stratégies. La prise en charge de ces fonctionnalités est disponible depuis la version 16.12 de IOS-XE.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Configuration de réseau privé virtuel IPsec sur les routeurs IOS-XE

Components Used

Les informations de ce document sont basées sur les routeurs ISR 4351 exécutant la version logicielle IOS-XE 16.12.01a.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Avantages des interfaces de tunnel virtuel par rapport aux cartes de chiffrement

Crypto map est une fonction de sortie de l'interface physique. Les tunnels vers différents homologues sont configurés sous la même carte de chiffrement. Les entrées de liste d'accès spécifient à quel trafic homologue doit être envoyé. Ce type de configuration est également appelé VPN basé sur des stratégies.

Si des interfaces de tunnel virtuel sont utilisées, chaque tunnel VPN est représenté par une interface de tunnel logique distincte. La table de routage décide à quel trafic homologue doit être envoyé. Ce type de configuration est également appelé VPN basé sur la route.

Avant la version 16.12 d'IOS-XE, la configuration VTI n'était pas compatible avec la configuration de crypto-carte. Les deux extrémités du tunnel devaient être configurées avec le même type de VPN pour interagir.

Dans IOS-XE 16.12, de nouvelles options de configuration ont été ajoutées qui permettent à l'interface de tunnel d'agir comme VPN basé sur des politiques au niveau du protocole, mais ont toutes les propriétés de l'interface de tunnel.

Les avantages de VTI par rapport à la crypto-carte sont les suivants :

  • Plus facile à déterminer l'état de fonctionnement/désactivation du tunnel
  • Dépannage plus facile
  • Possibilité d'appliquer des fonctionnalités telles que QoS, ZBF, NAT, Netflow par tunnel
  • Configuration rationalisée pour tous les types de tunnels VPN

Configuration

Diagramme du réseau

Configurations

IKEv1

Les deux routeurs sont préconfigurés avec une solution IKEv1 basée sur une carte de chiffrement :

Routeur A :

crypto isakmp policy 10
 encryption aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp key cisco123 address 192.0.2.2
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
! 
crypto map CMAP 10 ipsec-isakmp 
 set peer 192.0.2.2
 set transform-set TSET 
 match address CACL
!
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.1 255.255.255.0
 crypto map CMAP

Routeur B :

crypto isakmp policy 10
 encryption aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp key cisco123 address 192.0.2.1
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac 
!
crypto map CMAP 10 ipsec-isakmp 
 set peer 192.0.2.1
 set transform-set TSET 
 match address CACL
!
ip access-list extended CACL
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.2 255.255.255.0
 crypto map CMAP

Pour migrer le routeur A vers une configuration VTI multi-SA, vous devez configurer les éléments suivants. Le routeur B peut rester avec une ancienne configuration ou être reconfiguré de la même manière :

1. Supprimez la carte de chiffrement de l'interface :

interface GigabitEthernet0/0/0
 no crypto map

2. Créez un profil ipsec. Reverse-route est éventuellement configuré pour que les routes statiques des réseaux distants soient automatiquement ajoutées à la table de routage :

crypto ipsec profile PROF
 set transform-set TSET
 reverse-route

3. Configurez l'interface de tunnel. Crypto access-list est attaché à la configuration du tunnel en tant que stratégie ipsec. L'adresse IP configurée sur l'interface de tunnel n'est pas pertinente, mais elle doit être configurée avec une valeur. L'adresse IP peut être empruntée à l'interface physique à l'aide de la commande ip unnumbered :

interface Tunnel0
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

4. La carte de chiffrement peut être supprimée complètement après :

no crypto map CMAP 10

Configuration finale du routeur A :

crypto isakmp policy 10
 encryption aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp key cisco123 address 192.0.2.2
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto ipsec profile PROF
 set transform-set TSET
 reverse-route 
! 
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.1 255.255.255.0
!
interface Tunnel0
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

IKEv2

Les deux routeurs sont préconfigurés avec une solution IKEv2 basée sur une carte de chiffrement :

Routeur A :

crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
! 
crypto ikev2 profile PROF
 match identity remote address 192.0.2.2 255.255.255.255 
 authentication remote pre-share key cisco123
 authentication local pre-share key cisco123
!
crypto map CMAP 10 ipsec-isakmp 
 set peer 192.0.2.2
 set transform-set TSET 
 set ikev2-profile PROF
 match address CACL
!
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.1 255.255.255.0
 crypto map CMAP

Routeur B :

crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
! 
crypto ikev2 profile PROF
 match identity remote address 192.0.2.1 255.255.255.255 
 authentication remote pre-share key cisco123
 authentication local pre-share key cisco123
!
crypto map CMAP 10 ipsec-isakmp 
 set peer 192.0.2.1
 set transform-set TSET 
 set ikev2-profile PROF
 match address CACL
!
ip access-list extended CACL
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.2 255.255.255.0
 crypto map CMAP

Pour migrer le routeur A vers une configuration VTI multi-SA, vous devez configurer les éléments suivants. Le routeur B peut rester avec une ancienne configuration ou être reconfiguré de la même manière :

1. Supprimez la carte de chiffrement de l'interface :

interface GigabitEthernet0/0/0
 no crypto map

2. Créez un profil ipsec. Reverse-route est éventuellement configuré pour que les routes statiques des réseaux distants soient automatiquement ajoutées à la table de routage :

crypto ipsec profile PROF
 set transform-set TSET 
 set ikev2-profile PROF
 reverse-route

3. Configurez l'interface de tunnel. Crypto access-list est attaché à la configuration du tunnel en tant que stratégie ipsec. L'adresse IP configurée sur l'interface de tunnel n'est pas pertinente, mais elle doit être configurée avec une valeur. L'adresse IP peut être empruntée à l'interface physique à l'aide de la commande ip unnumbered :

interface Tunnel0
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

4. La carte de chiffrement peut être supprimée complètement après :

no crypto map CMAP 10

Configuration finale du routeur A :

crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
! 
crypto ikev2 profile PROF
 match identity remote address 192.0.2.2 255.255.255.255 
 authentication remote pre-share key cisco123
 authentication local pre-share key cisco123
!
crypto ipsec profile PROF
 set transform-set TSET 
 set ikev2-profile PROF
 reverse-route
!
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.1 255.255.255.0
!
interface Tunnel0
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

Considérations de routage

L'administrateur doit s'assurer que le routage des réseaux distants pointe vers l'interface du tunnel. L'option « Reverse-route » sous le profil ipsec peut être utilisée pour créer automatiquement des routes statiques pour les réseaux spécifiés dans la liste de contrôle d'accès de chiffrement. De telles routes peuvent également être ajoutées manuellement. Si des routes plus spécifiques préexistantes pointaient vers l'interface physique au lieu de l'interface de tunnel, elles doivent être supprimées.

Configuration compatible VRF

Cet exemple montre comment migrer la configuration de crypto-carte compatible VRF.

Topologie

Configuration de la carte de chiffrement :

ip vrf fvrf
ip vrf ivrf
!
crypto keyring KEY vrf fvrf 
 pre-shared-key address 192.0.2.2 key cisco123
!
crypto isakmp policy 10
 encryption aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp profile PROF
 vrf ivrf
 keyring KEY
 match identity address 192.0.2.2 255.255.255.255 fvrf
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto map CMAP 10 ipsec-isakmp
 set peer 192.0.2.2
 set transform-set TSET
 set isakmp-profile PROF
 match address CACL
!
interface GigabitEthernet0/0/0
 ip vrf forwarding fvrf
 ip address 192.0.2.1 255.255.255.0
 crypto map CMAP
!
interface GigabitEthernet0/0/1
 ip vrf forwarding ivrf
 ip address 192.168.1.1 255.255.255.0
!
ip route vrf ivrf 172.16.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
ip route vrf ivrf 192.168.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
!
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

Pour migrer vers VTI multi-SA, procédez comme suit :

! vrf configuration under isakmp profile is only for crypto map based configuration
!
crypto isakmp profile PROF
 no vrf ivrf
!
interface GigabitEthernet0/0/0
 no crypto map
!
no crypto map CMAP 10
!
no ip route vrf ivrf 172.16.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
no ip route vrf ivrf 192.168.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
!
crypto ipsec profile PROF
 set transform-set TSET 
 set isakmp-profile PROF
 reverse-route
!
interface tunnel0
 ip vrf forwarding ivrf
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel vrf fvrf
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

Configuration finale compatible VRF :

ip vrf fvrf
ip vrf ivrf
!
crypto keyring KEY vrf fvrf 
 pre-shared-key address 192.0.2.2 key cisco123
!
crypto isakmp policy 10
 encryption aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp profile PROF
 keyring KEY
 match identity address 192.0.2.2 255.255.255.255 fvrf
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
interface GigabitEthernet0/0/0
 ip vrf forwarding fvrf
 ip address 192.0.2.1 255.255.255.0
!
interface GigabitEthernet0/0/1
 ip vrf forwarding ivrf
 ip address 192.168.1.1 255.255.255.0
!
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
crypto ipsec profile PROF
 set transform-set TSET 
 set isakmp-profile PROF
 reverse-route
!
interface tunnel0
 ip vrf forwarding ivrf
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel vrf fvrf
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

Vérification

Afin de vérifier si le tunnel a été négocié avec succès, l'état de l'interface du tunnel peut être vérifié. Les deux dernières colonnes - « status » et « protocol » - devraient indiquer « up » status :

RouterA#show ip interface brief | i Tunnel0
Tunnel0 192.0.2.1 YES TFTP up up

Vous trouverez plus de détails sur l'état actuel de la session de chiffrement dans la sortie « show crypto session ». L'« état de session » de « UP-ACTIVE » indique que la session IKE a été négociée correctement :

RouterA#show crypto session interface tunnel0
Crypto session current status

Interface: Tunnel0
Profile: PROF
Session status: UP-ACTIVE 
Peer: 192.0.2.2 port 500 
Session ID: 2 
IKEv2 SA: local 192.0.2.1/500 remote 192.0.2.2/500 Active 
IPSEC FLOW: permit ip 172.16.1.0/255.255.255.0 172.16.2.0/255.255.255.0 
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0 
Active SAs: 2, origin: crypto map

Vérifiez que le routage vers le réseau distant pointe sur l’interface de tunnel correcte :

RouterA#show ip route 192.168.2.0
Routing entry for 192.168.2.0/24
Known via "static", distance 1, metric 0 (connected)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 1

RouterA#show ip cef 192.168.2.100
192.168.2.0/24
attached to Tunnel0

Forum aux questions

Q : Est-ce que le tunnel provient automatiquement ou est-ce le trafic nécessaire pour faire monter le tunnel ?

A : Contrairement aux crypto-cartes, les tunnels VTI multi-SA s'activent automatiquement, que le trafic de données correspondant à la liste de contrôle d'accès cryptographique soit routé ou non. Les tunnels restent en service tout le temps même si le trafic s'arrête.

Q : Que se passe-t-il si le trafic est acheminé via le VTI mais que la source ou la destination du trafic ne correspond pas à la liste de contrôle d’accès de chiffrement configurée comme stratégie ipsec pour ce tunnel ?

A : Ce trafic sera abandonné. Chaque paquet est vérifié par rapport à la stratégie ipsec configurée et doit correspondre à la liste de contrôle d’accès de chiffrement. La raison de cette suppression est enregistrée sous le nom « Ipv4RoutingErr ». Les statistiques de ces pertes sont disponibles à l'aide de la commande suivante :

RouterA#show platform hardware qfp active statistics drop 
Last clearing of QFP drops statistics : never

-------------------------------------------------------------------------
Global Drop Stats Packets Octets 
-------------------------------------------------------------------------
Ipv4RoutingErr    5       500

Q : Les fonctionnalités telles que VRF, NAT, QoS, etc. sont-elles prises en charge sur les VTI multi-SA ?

A : Oui, toutes ces fonctionnalités sont prises en charge de la même manière que sur les tunnels VTI standard.

Dépannage

Afin de dépanner la négociation de protocole IKE, les débogages suivants peuvent être utilisés :

! For IKEv1-based scenarios:
debug crypto isakmp
debug crypto ipsec

! For IKEv2-based scenarios:
debug crypto ikev2
debug crypto ipsec
TAC Authored

Contribution d’experts de Cisco

  • Jan Krupa
    Cisco TAC Engineer

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits