Configurazione e verifica del tunnel SIG IPsec SD-WAN con Zscaler

Introduzione

In questo documento vengono descritti i passaggi di configurazione e la verifica dei tunnel SIG IPsec SD-WAN con Zscaler. 

Prerequisiti

Requisiti

Cisco raccomanda la conoscenza dei seguenti argomenti:

• Security Internet Gateway (SIG).
• Funzionamento dei tunnel IPsec, fase 1 e fase 2, su Cisco IOS®.
  
  

Requisiti aggiuntivi

• NAT deve essere abilitato sull'interfaccia di trasporto con connessione Internet.

• È necessario creare un server DNS sulla VPN 0 e risolvere l'URL di base Zscaler con questo server DNS. Questa operazione è importante perché, se non viene risolta, le chiamate API e i controlli di integrità di livello 7 potrebbero non riuscire. Per impostazione predefinita, utilizzare questo server DNS

• Il protocollo NTP (Network Time Protocol) deve garantire che l'ora del Cisco Edge Router sia precisa e che le chiamate API non possano avere esito negativo.

• È necessario configurare una route del servizio che punta a SIG nel modello della funzionalità Service-VPN o nella CLI: ip sdwan route vrf 1.0.0.0.0/0 service sig

Componenti usati

Questo documento si basa sulle seguenti versioni software e hardware:

•  Cisco Edge Router versione 17.6.6a
•  vManage versione 20.9.4
  
  

Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

Configurazione

Opzioni di progettazione della rete

I vari tipi di distribuzioni in questo elenco sono una configurazione combinata attiva/standby. L'incapsulamento del tunnel può essere distribuito con GRE o IPsec.

• Una coppia di tunnel attivo/standby
• Una coppia di tunnel attivo/attivo
• Più coppie di tunnel attivo/standby
• Più coppie di tunnel attive/attive

Nota: Sui router perimetrali Cisco SD-WAN, è possibile utilizzare una o più interfacce di trasporto connesse a Internet per il funzionamento efficace delle impostazioni.

Configurazioni

Procedere con la configurazione dei seguenti modelli:

• Modello funzionalità credenziali Security Internet Gateway (SIG):
  • Ne è necessario uno per tutti i router Cisco Edge. Le informazioni per compilare i campi necessari del modello devono essere create sul portale Zscaler.

• Modello di funzionalità Security Internet Gateway (SIG):
  • In questo modello di funzionalità è possibile configurare i tunnel IPSec, garantire l'elevata disponibilità (HA, Deployment High Availability) in modalità attiva/attiva o attiva/standby e selezionare Zscaler Data-Center Enter automaticamente o manualmente.

1. Per creare un modello di credenziali Zscaler, passare a Configurazione > Modello > Modello funzione > Aggiungi modello.

2. Selezionare il modello di dispositivo che si intende utilizzare per questo scopo e cercare SIG. Quando la create per la prima volta, il sistema visualizza per prime le credenziali Zscaler da creare, come nell'esempio seguente:

3. Selezionare Zscaler come provider SIG e fare clic sul modello Click here to create - Cisco SIG Credentials.

Firma modello di credenziali

4. L'utente viene reindirizzato al modello di credenziali. È inoltre necessario immettere i valori per tutti i campi:

• Nome modello
• Descrizione
• Provider SIG (selezionato automaticamente dal passaggio precedente)
• Organizzazione
• URL di base partner
• Username
• Password
• Chiave API partner

5. Fare clic su Salva.

6. L'utente viene reindirizzato al modello Secure Internet Gateway (SIG). Questo modello consente di configurare gli elementi necessari per SD-WAN IPsec SIG con Zscaler.

Nella prima sezione del modello specificare un nome e una descrizione. Il tracciatore predefinito viene abilitato automaticamente e utilizza l'URL API per il controllo dello stato di Zscaler Layer 7.

8. Nella sezione Configurazione, è possibile creare i tunnel IPsec facendo clic su Aggiungi tunnel. Nella nuova finestra popup, effettuare le selezioni in base alle proprie esigenze.
9. Nell'esempio, l'interfaccia IPsec1 è stata creata usando l'interfaccia WAN Gigabit Ethernet1 come origine del tunnel. Forma la connettività con il data center Zcaler primario. È consigliabile mantenere i valori delle opzioni avanzate come predefiniti. 

Configurazione interfaccia IPsec   

Alta disponibilità

In questa sezione scegliere se la struttura è Attivo/Attivo o Attivo/Standby e determinare l'interfaccia IPSec attiva.

Questo è un esempio di progetto Attivo/Attivo e tutte le interfacce sono selezionate in Attivo, lasciando Backup senza.

Progettazione attiva

Nell'esempio viene mostrato come attivare/standby e IPsec1 e IPsec11 sono selezionati come interfacce attive, mentre IPsec2 e IPsec12 sono designati come interfacce in standby.

Progettazione attiva/standby

Impostazioni avanzate

1. In questa sezione le configurazioni più importanti sono il centro dati principale e il centro dati secondario. Si consiglia di configurare entrambi come automatici o manuali, ma non come combinati. Se si sceglie di configurarli manualmente, selezionare l'URL corretto dal portale Zscaler in base all'URL di base del partner.

Centri dati automatici o manuali

2. Fare clic su Save (Salva) al termine dell'operazione.

3. Una volta completata la configurazione dei modelli SIG, è necessario applicarli nel modello del dispositivo. In questo modo, la configurazione viene trasferita sui router perimetrali Cisco.

4. Passare alla procedura seguente: Configuration > Templates > Device Template (Configurazione > Modelli > Modello dispositivo). Nei tre punti fare clic su Edit (Modifica).

5. In VPN di trasporto e gestione, aggiungere il modello Secure Internet Gateway.

6. Sul gateway Cisco Secure Internet, selezionare il modello di funzionalità SIG corretto dal menu a discesa.

Aggiungi modello SIG su modello dispositivo

7. In Additional Templates (Modelli aggiuntivi) in Cisco SIG Credentials, selezionare il modello Cisco SIG Credentials corretto dal menu a discesa:

Modello SIG credenziali

8. Fare clic su Aggiorna (se il modello di dispositivo è attivo, utilizzare i passaggi standard per eseguire il push delle configurazioni su un modello attivo).

Verifica

1. La verifica può essere completata durante l'anteprima della configurazione durante il push delle modifiche. È necessario notare quanto segue:

secure-internet-gateway
     zscaler organization <removed>
     zscaler partner-base-uri <removed>
     zscaler partner-key <removed>
     zscaler username <removed>
     zscaler password <removed>
    !

2. Da questo esempio si può vedere che il progetto è attivo/in standby:

ha-pairs
  interface-pair Tunnel100001 active-interface-weight 1 Tunnel100002 backup-interface-weight 1
  interface-pair Tunnel100011 active-interface-weight 1 Tunnel100012 backup-interface-weight 1  

3. Sono state aggiunte altre configurazioni, ad esempio i profili e le policy crypto ikev2, più interfacce iniziano con Tunnel1xxxxx, vrf definizione 65530 e ip sdwan route vrf 1.0.0.0.0/0 service sig. Tutte queste modifiche fanno parte dei tunnel IPsec SIG con Zscaler.

Nell'esempio viene mostrato come appare la configurazione dell'interfaccia del tunnel:

interface Tunnel100001
     no shutdown
     ip unnumbered       GigabitEthernet1
     no ip clear-dont-fragment
     ip mtu              1400
     tunnel source GigabitEthernet1
     tunnel destination dynamic
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile if-ipsec1-ipsec-profile
     tunnel vrf multiplexing

4. Dopo aver eseguito correttamente il push delle configurazioni sui router perimetrali Cisco, è possibile eseguire i comandi per verificare se i tunnel sono disponibili:

Router#show sdwan secure-internet-gateway zscaler tunnels
                                                                                                                                                         HTTP
TUNNEL IF                                             TUNNEL                                            LOCATION                                         RESP  
NAME          TUNNEL NAME                             ID        FQDN           TUNNEL FSM STATE         ID        LOCATION FSM STATE   LAST HTTP REQ     CODE  
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001  site<removed>Tunnel100001             <removed>   <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200   
Tunnel100002  site<removed>Tunnel100002              <removed>  <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200

5. Se il codice RESP http 200 non è visibile, significa che si è verificato un problema con la password o la chiave del partner. 
6. Per verificare lo stato dell'interfaccia, usare questo comando:

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
GigabitEthernet3       10.2.20.77      YES other  up            up      
GigabitEthernet4       10.2.248.43     YES other  up            up      
Sdwan-system-intf      10.10.10.221    YES unset  up            up      
Loopback65528          192.168.1.1     YES other  up            up      
Loopback65530          192.168.0.2     YES other  up            up   <<< This is the IP that you used on Tracker SIG Feature template      
NVI0                   unassigned      YES unset  up            up      
Tunnel2                10.2.58.221     YES TFTP   up            up      
Tunnel3                10.2.20.77      YES TFTP   up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            up      
Tunnel100002           10.2.58.221     YES TFTP   up            up 

7. Per verificare lo stato del tracker, eseguire i comandi show endpoint-tracker e show endpoint-tracker records. Ciò consente di confermare l'URL utilizzato dal tracker:

Router#show endpoint-tracker 
Interface              Record Name            Status          RTT in msecs    Probe ID        Next Hop       
Tunnel100001           #SIGL7#AUTO#TRACKER    Up              194             44              None           
Tunnel100002           #SIGL7#AUTO#TRACKER    Up              80              48              None   

Router#show endpoint-tracker records 
Record Name            Endpoint                            EndPoint Type   Threshold(ms)    Multiplier   Interval(s)     Tracker-Type   
#SIGL7#AUTO#TRACKER    http://gateway..net/vpnt API_URL         1000             2            30              interface  

8. Altre convalide utilizzabili sono:

• Verificare che le route sul VRF puntino ai tunnel IPsec ed eseguire questo comando:
  
  show ip route vrf 1 

Il gateway di ultima istanza è 0.0.0.0 alla rete 0.0.0.0

S* 0.0.0.0/0 [2/65535], Tunnel100002
                    [2/65535], Tunnel100001
10.0.0.0/8 è subnet in modo variabile, 4 subnet, 2 maschere

9. Per procedere alla convalida, è possibile eseguire il ping verso Internet e completare una traccia del percorso per convalidare gli hop sul traffico:

Router#ping vrf 1 cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to <removed>, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 406/411/417 ms

Router1#traceroute vrf 1 cisco.com
Type escape sequence to abort.
Tracing the route to redirect-ns.cisco.com (<removed>)
VRF info: (vrf in name/id, vrf out name/id)
1 * * * 
2  195 msec 193 msec 199 msec
3  200 msec
   199 msec * 
.....

10. È possibile convalidare le interfacce IPsec dall'interfaccia utente di vManage passando a Monitor > Device (Monitor) o Monitor> Network (per i codici 20.6 e precedenti).

• Selezionare il router e passare a Applicazioni > Interfacce.
• Selezionare Tunnel100001 e Tunnel100002 per visualizzare il traffico in tempo reale o personalizzarlo in base all'intervallo di tempo richiesto:  

Monitoraggio dei tunnel IPsec

Risoluzione dei problemi

Se il tunnel SIG non è in esecuzione, rivedere la procedura seguente per la risoluzione dei problemi:

Passaggio 1: Controllare gli errori eseguendo il comando show sdwan secure-internet-gateway zscaler tunnel. Dall'output, se si nota il codice RESP HTTP 401, si è verificato un problema di autenticazione. È possibile verificare i valori nel modello di credenziali SIG per verificare se la password o la chiave del partner sono corrette.

Router#show sdwan secure-internet-gateway zscaler tunnels 
                                                                                                                                    HTTP 
TUNNEL IF                                   TUNNEL                                 LOCATION                                         RESP 
NAME TUNNEL             NAME                ID        FQDN   TUNNEL FSM STATE      ID        LOCATION FSM STATE   LAST HTTP REQ     CODE 
----------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001   site<removed>Tunnel100001   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100002   site<removed>Tunnel100002   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100011   site<removed>Tunnel100011   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100012   site<removed>Tunnel100012   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 

Passaggio 2. Per ulteriori operazioni di debug, abilitare questi comandi e cercare i messaggi di log relativi a SIG, HTTP o tracker:

• debug platform software sdwan ftm sig
• debug platform software sdwan sig 
• debug platform software sdwan tracker
• debug platform software sdwan ftm rtm-events

Da Cisco IOS® versione IOS-XE 17.11+, è stata eseguita la migrazione di <debug platform> a <set platform trace>

set platform software trace ftmd R0 ftmd-sig [debug] | dettagliata]

set platform software trace ios R0 sdwanrp-sig debug

set platform software trace ios R0 sdwanrp-tracker debug

set platform software trace ftmd R0 ftmd-rtm [debug] | dettagliata]

1. Questo è un esempio dell'output dei comandi di debug:

Router#show logging | inc SIG
Jan 31 19:39:38.666: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:39:38.669: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:59:18.240: SDWAN INFO: Tracker entry Tunnel100001/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.263: SDWAN INFO: Tracker entry Tunnel100002/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.274: SDWAN INFO: Tracker entry Tunnel100011/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.291: SDWAN INFO: Tracker entry Tunnel100012/#SIGL7#AUTO#TRACKER state => DOWN

2. Eseguire il comando show ip interface brief, controllare il protocollo dell'interfaccia dei tunnel e verificare se sono visualizzati o meno.  

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            down
Tunnel100002           10.2.58.221     YES TFTP   up            down

3. Dopo aver verificato che non vi sono problemi con le credenziali Zscaler, rimuovere l'interfaccia SIG dal modello del dispositivo e spingerla sul router. Una volta completato il push, applicare il modello SIG e spostarlo nuovamente sul router. Questo metodo forza la ricreazione da zero dei tunnel.

Informazioni correlate

• Supporto tecnico Cisco e download