Zscalerを使用したSD-WAN IPsec SIGトンネルの設定と確認
はじめに
このドキュメントでは、Zscalerを使用したSD-WAN IPsec SIGトンネルの設定手順と検証について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- セキュリティインターネットゲートウェイ(SIG)。
- IPSecトンネルの動作の仕組み(Cisco IOS®でのフェーズ1、フェーズ2)
追加要件
-
NATは、インターネットに面するトランスポートインターフェイスで有効にする必要があります。
-
VPN 0にDNSサーバを作成し、ZscalerベースURLをこのDNSサーバで解決する必要があります。これが解決されない場合、APIコールおよびレイヤ7ヘルスチェックが失敗する可能性があるため、これは重要です。デフォルトではこのDNSサーバを使用します。
-
NTP(Network Time Protocol)により、Ciscoエッジルータの時刻が正確であり、APIコールが失敗しないことを確認する必要があります。
-
SIGを指すサービスルートをService-VPN Feature TemplateまたはCLIで設定する必要があります:ip sdwan route vrf 1 0.0.0.0/0 service sig
使用するコンポーネント
このドキュメントは、次のソフトウェアとハードウェアのバージョンに基づいています。
- Ciscoエッジルータバージョン17.6.6a
- vManageバージョン20.9.4
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
ネットワーク設計オプション
このリストにあるさまざまなタイプの導入は、アクティブ/スタンバイの組み合わせの設定です。トンネルカプセル化は、GREまたはIPsecを使用して導入できます。
- アクティブ/スタンバイトンネルペアX 1
- 1つのアクティブ/アクティブトンネルペア
- 複数のアクティブ/スタンバイトンネルペア
- 複数のアクティブ/アクティブトンネルペア
注:SD-WANシスコエッジルータでは、セットアップを効果的に機能させるために、インターネットに接続された1つ以上のトランスポートインターフェイスを利用できます。
コンフィギュレーション
次のテンプレートの設定に進みます。
- セキュリティインターネットゲートウェイ(SIG)クレデンシャル機能テンプレート:
- すべてのCiscoエッジルータに1つ必要です。テンプレートの必要なフィールドに入力する情報は、Zscalerポータルで作成する必要があります。
- セキュリティインターネットゲートウェイ(SIG)機能テンプレート:
- この機能テンプレートでは、IPsecトンネルを設定し、アクティブ/アクティブまたはアクティブ/スタンバイモードで導入のハイアベイラビリティ(HA)を確保し、Zscaler Data-Center enterを自動または手動で選択します。
1. Zscalerクレデンシャルテンプレートを作成するには、Configuration > Template > Feature Template > Add Templateの順に選択します。
2. この目的で使用するデバイスモデルを選択し、SIGを検索します。このファイルを初めて作成すると、次の例のように、Zscalerクレデンシャルを最初に作成する必要があることが表示されます。
3.SIGプロバイダーとしてZscalerを選択し、Click here to create - Cisco SIG Credentials templateをクリックする必要があります。
Sig Credentilaテンプレート
4. 資格情報テンプレートにリダイレクトされます。すべてのフィールドに値を入力する必要があります。
- テンプレート名
- 説明
- SIGプロバイダー(前の手順で自動的に選択)
- 組織
- パートナーベースURL
- ユーザ名
- [パスワード(Password)]
- パートナーAPIキー
5. Saveをクリックします。
6. セキュアインターネットゲートウェイ(SIG)テンプレートにリダイレクトされます。このテンプレートでは、Zscalerを使用してSD-WAN IPSec SIGに必要な項目を設定できます。
テンプレートの最初のセクションで、名前と説明を入力します。デフォルトのトラッカーは自動的に有効になり、Zscaler Layer 7 Health CheckのAPI URLを使用します。
7. Cisco IOS XEでは、トラッカーのIPアドレスを設定する必要があります。/32の範囲内の任意のプライベートIPを使用できます。設定したIPアドレスは、Zscalerのヘルスインスペクションを実行するために自動的に作成されるLoopback 65530インターフェイスで使用できます。
8. Configurationセクションの下で、Add Tunnelをクリックすると、IPsecトンネルを作成できます。新しいポップアップウィンドウで、必要に応じて選択します。
9. この例では、インターフェイスIPsec1は、トンネルソースとしてWANインターフェイスGigabitEthernet1を使用して作成されています。プライマリZcalerデータセンターとの接続を確立します。Advanced Optionsの値はデフォルトのままにしておくことをお勧めします。
IPsecインターフェイスの設定
ハイ アベイラビリティ
このセクションでは、設計がアクティブ/アクティブまたはアクティブ/スタンバイのどちらであるかを選択し、どのIPSecインターフェイスがアクティブであるかを決定します。
これはアクティブ/アクティブ設計の例であり、すべてのインターフェイスがアクティブの下で選択されているため、バックアップには何も表示されません。
アクティブ/アクティブ設計
この例では、アクティブ/スタンバイ設計で、IPsec1とIPsec11がアクティブインターフェイスとして選択され、IPsec2とIPsec12がスタンバイインターフェイスとして指定されている場合を示します。
アクティブ/スタンバイ設計
詳細設定
1. このセクションでは、プライマリデータセンターとセカンダリデータセンターが最も重要な設定です。 両方を自動または手動で設定することをお勧めしますが、両方を混在として設定することはお勧めしません。手動で設定する場合は、パートナーベースURLに基づいて、Zscalerポータルから正しいURLを選択します。
自動または手動によるデータセンター
2. 終了したら、Saveをクリックします。
3. SIGテンプレートの設定が完了したら、それらをデバイステンプレートの下に適用する必要があります。このようにして、設定はCiscoエッジルータにプッシュされます。
4. 次の手順では、Configuration > Templates > Device Templateの順に移動し、3つのドットでEditをクリックします。
5. Transport & Management VPNで、Secure Internet Gatewayテンプレートを追加します。
6. Cisco Secure Internet Gatewayで、ドロップダウンメニューから正しいSIG機能テンプレートを選択します。
デバイステンプレートへのSIGテンプレートの追加
7. Cisco SIG CredentialsのAdditional Templatesで、ドロップダウンメニューから正しいCisco SIG Credentialsテンプレートを選択します。
クレデンシャルSIGテンプレート
8. Updateをクリックします(デバイステンプレートがアクティブなテンプレートの場合は、標準的な手順を使用してアクティブなテンプレートに設定をプッシュします)。
確認
1. 変更をプッシュしている間、設定のプレビュー中に検証を完了できます。次の点に注意してください。
secure-internet-gateway
zscaler organization <removed>
zscaler partner-base-uri <removed>
zscaler partner-key <removed>
zscaler username <removed>
zscaler password <removed>
!
2. この例から、設計がアクティブ/スタンバイであることがわかります。
ha-pairs
interface-pair Tunnel100001 active-interface-weight 1 Tunnel100002 backup-interface-weight 1
interface-pair Tunnel100011 active-interface-weight 1 Tunnel100012 backup-interface-weight 1
3. 暗号ikev2プロファイルとポリシー、Tunnel1xxxxxで始まる複数のインターフェイス、vrf defination 65530、ip sdwan route vrf 1 0.0.0.0/0 service sigなどの設定が追加されています。これらの変更はすべて、Zscalerを使用したIPSec SIGトンネルの一部です。
次の例では、トンネルインターフェイスの設定がどのように表示されるかを示します。
interface Tunnel100001
no shutdown
ip unnumbered GigabitEthernet1
no ip clear-dont-fragment
ip mtu 1400
tunnel source GigabitEthernet1
tunnel destination dynamic
tunnel mode ipsec ipv4
tunnel protection ipsec profile if-ipsec1-ipsec-profile
tunnel vrf multiplexing
4. 設定がCiscoエッジルータに正常にプッシュされたら、トンネルが使用可能かどうかを確認するコマンドを実行できます。
Router#show sdwan secure-internet-gateway zscaler tunnels
HTTP
TUNNEL IF TUNNEL LOCATION RESP
NAME TUNNEL NAME ID FQDN TUNNEL FSM STATE ID LOCATION FSM STATE LAST HTTP REQ CODE
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001 site<removed>Tunnel100001 <removed> <removed> add-vpn-credential-info <removed> location-init-state get-data-centers 200
Tunnel100002 site<removed>Tunnel100002 <removed> <removed> add-vpn-credential-info <removed> location-init-state get-data-centers 200
5. http応答コード200が表示されない場合は、パスワードまたはパートナーキーの問題に直面していることを意味します。
6. インターフェイスのステータスを確認するには、次のコマンドを使用します。
Router#show ip interface brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet1 10.2.234.146 YES DHCP up up
GigabitEthernet2 10.2.58.221 YES other up up
GigabitEthernet3 10.2.20.77 YES other up up
GigabitEthernet4 10.2.248.43 YES other up up
Sdwan-system-intf 10.10.10.221 YES unset up up
Loopback65528 192.168.1.1 YES other up up
Loopback65530 192.168.0.2 YES other up up <<< This is the IP that you used on Tracker SIG Feature template
NVI0 unassigned YES unset up up
Tunnel2 10.2.58.221 YES TFTP up up
Tunnel3 10.2.20.77 YES TFTP up up
Tunnel100001 10.2.58.221 YES TFTP up up
Tunnel100002 10.2.58.221 YES TFTP up up
7. トラッカーのステータスを確認するには、show endpoint-trackerコマンドおよびshow endpoint-tracker recordsコマンドを実行します。これは、トラッカーが使用しているURLを確認するのに役立ちます。
Router#show endpoint-tracker
Interface Record Name Status RTT in msecs Probe ID Next Hop
Tunnel100001 #SIGL7#AUTO#TRACKER Up 194 44 None
Tunnel100002 #SIGL7#AUTO#TRACKER Up 80 48 None
Router#show endpoint-tracker records
Record Name Endpoint EndPoint Type Threshold(ms) Multiplier Interval(s) Tracker-Type
#SIGL7#AUTO#TRACKER http://gateway..net/vpnt API_URL 1000 2 30 interface
8. 使用可能なその他の検証は、次のとおりです。
- VRF上のルートがIPSecトンネルを指していることを確認し、次のコマンドを実行します。
show ip route vrf 1
Gateway of last resort is 0.0.0.0 to network 0.0.0.0
S* 0.0.0.0/0 [2/65535]、Tunnel100002
[2/65535]、Tunnel100001
10.0.0.0/8 is variably subnetted, 4 subnets, 2 masks
9. さらに検証するには、インターネットに向けてpingを実行し、トレースルートを完了してトラフィックのホップを検証します。
Router#ping vrf 1 cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to <removed>, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 406/411/417 ms
Router1#traceroute vrf 1 cisco.com
Type escape sequence to abort.
Tracing the route to redirect-ns.cisco.com (<removed>)
VRF info: (vrf in name/id, vrf out name/id)
1 * * *
2195 msec 193 msec 199 msec
3200 msec
199 msec *
.....
10. vManage GUIのMonitor > DeviceまたはMonitor > Network(コード20.6以前)に移動して、IPsecインターフェイスを検証できます。
- ルータを選択し、Applications > Interfacesの順に選択します。
- Tunnel100001およびTunnel100002を選択して、リアルタイムトラフィックを表示するか、必要な時間枠に基づいてカスタマイズします。
IPSecトンネルのモニタリング
トラブルシュート
SIGトンネルが稼働していない場合は、次の手順を確認してトラブルシューティングを行います。
ステップ1:show sdwan secure-internet-gateway zscaler tunnelsコマンドを実行してエラーを確認します。出力から、HTTP RESP Code 401に気付いた場合、認証に問題があることを示しています。SIG Credentials Templateの値を確認して、パスワードまたはパートナーキーが正しいかどうかを確認できます。
Router#show sdwan secure-internet-gateway zscaler tunnels
HTTP
TUNNEL IF TUNNEL LOCATION RESP
NAME TUNNEL NAME ID FQDN TUNNEL FSM STATE ID LOCATION FSM STATE LAST HTTP REQ CODE
----------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001 site<removed>Tunnel100001 0 tunnel-st-invalid <removed> location-init-state req-auth-session 401
Tunnel100002 site<removed>Tunnel100002 0 tunnel-st-invalid <removed> location-init-state req-auth-session 401
Tunnel100011 site<removed>Tunnel100011 0 tunnel-st-invalid <removed> location-init-state req-auth-session 401
Tunnel100012 site<removed>Tunnel100012 0 tunnel-st-invalid <removed> location-init-state req-auth-session 401
ステップ 2 さらにデバッグを行うには、次のコマンドを有効にし、SIG、HTTP、またはトラッカーに関連するログメッセージを検索します。
- debug platform software sdwan ftm sig
- debug platform software sdwan sig
- debug platform software sdwan tracker(登録ユーザ専用)
- debug platform software sdwan ftm rtm-events
Cisco IOS®バージョンIOS-XE 17.11+以降では、<debug platform>は<set platform trace>に移行されています。
set platform software trace ftmd R0 ftmd-sig [debug | verbose]
set platform software trace ios R0 sdwanrp-sig debug
set platform software trace ios R0 sdwanrp-tracker debug
set platform software trace ftmd R0 ftmd-rtm [debug | verbose]
1. debugコマンドの出力例を次に示します。
Router#show logging | inc SIG
Jan 31 19:39:38.666: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:39:38.669: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:59:18.240: SDWAN INFO: Tracker entry Tunnel100001/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.263: SDWAN INFO: Tracker entry Tunnel100002/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.274: SDWAN INFO: Tracker entry Tunnel100011/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.291: SDWAN INFO: Tracker entry Tunnel100012/#SIGL7#AUTO#TRACKER state => DOWN
2. コマンドshow ip interface briefを実行して、トンネルインターフェイスProtocolを確認し、これらがアップ状態かダウン状態かを確認します。
Router#show ip interface brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet1 10.2.234.146 YES DHCP up up
GigabitEthernet2 10.2.58.221 YES other up up
Tunnel100001 10.2.58.221 YES TFTP up down
Tunnel100002 10.2.58.221 YES TFTP up down
3. Zscalerクレデンシャルに問題がないことを確認した後、デバイステンプレートからSIGインターフェイスを削除し、ルータにプッシュします。プッシュが完了したら、SIGテンプレートを適用し、ルータにプッシュします。この方法では、トンネルを最初から強制的に再作成します。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
11-Jun-2026
|
スペル、文法、文の構造、スペース、代替テキスト、見出し、およびURLが更新されました。 |
1.0 |
08-Feb-2024
|
初版 |
フィードバック