このドキュメントでは、BGPとECMPを使用したCisco Secure AccessとCisco IOS XEの間のIPSec VPNトンネルの設定およびトラブルシューティングに必要な手順について説明します。
このラボの例では、ネットワーク192.168.150.0/24 のLANセグメントがCisco IOS XEデバイスの背後にあり、192.168.200.0/24 のIPプールがRAVPNで使用され、ユーザがセキュアアクセスヘッドエンドに接続していることを示します。
最終的な目標は、Cisco IOS XEデバイスとセキュアアクセスヘッドエンドの間のVPNトンネルでECMPを使用することです。トポロジを詳しく理解するには、次の図を参照してください。

注:これはパケットフローの例であり、他のフローや、Cisco IOS XEルータの背後にある192.168.150.0/24サブネットからのセキュアインターネットアクセスにも同じ原則を適用できます。
次の項目に関する知識があることが推奨されます。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
セキュアアクセスのネットワークトンネルには、1つのトンネルにつき1 Gbpsの帯域幅制限があります。アップストリーム/ダウンストリームのインターネット帯域幅が1 Gbpsよりも大きく、これを完全に利用したい場合は、1つのECMPグループにグループ化することによって、同じセキュアアクセスデータセンターを使用して複数のトンネルを設定する必要があります。
1つのSecure Access DC内の1つのネットワークトンネルグループで複数のトンネルを終端すると、デフォルトでセキュアアクセスヘッドエンドの観点からECMPグループを形成します。セキュアアクセスヘッドエンドがオンプレミスVPNデバイスに向けてトラフィックを送信すると、トンネル間のロードバランシングが行われます(BGPピアから正しいルートが受信されることを前提とします)。
オンプレミスVPNデバイスで同じ機能を実現するには、単一のルータで複数のVTIインターフェイスを設定し、適切なルーティング設定が適用されていることを確認する必要があります。この記事では、これらのシナリオと各ステップの説明について説明します。
BGPプロトコルを使用して複数のVPNトンネルからECMPグループを形成するには、セキュアアクセス側に適用する必要がある特別な設定があります。
ネットワークトンネルグループを設定します。



このセクションでは、Cisco IOS XEルータに適用する必要があるCLI設定について説明します。仮想トンネルインターフェイス間でのIKEv2トンネル、BGPネイバーシップ、およびECMPロードバランシングを適切に設定する。
各セクションについて説明し、最も一般的な注意事項を記載します。
IKEv2ポリシーとIKEv2プロポーザルを設定します。これらのパラメータは、IKE SA(フェーズ1)に使用されるアルゴリズムを定義します。
crypto ikev2 proposal sse-proposal
encryption aes-gcm-256
prf sha256
group 19 20
crypto ikev2 policy sse-pol
proposal sse-proposal
注:『Supported IPSec Parameters SSE Guide』で太字で示されている推奨および最適なパラメータを参照してください。
ヘッドエンドIPアドレスと、SSEヘッドエンドでの認証に使用される事前共有キーを説明するIKEv2キーリングを定義します。
crypto ikev2 keyring sse-keyring
peer sse
address 35.179.86.116
pre-shared-key local <boring_generated_password>
pre-shared-key remote <boring_generated_password>
これにより、使用するIKE IDのタイプが定義されます。これは、リモートピアに一致し、どのIKE IDローカルルータがピアに送信するかを指定します。SSEヘッドエンドのIKE IDはIPアドレスタイプであり、SSEヘッドエンドのパブリックIPと同じです。
警告:SSE側で同じネットワークトンネルグループを使用して複数のトンネルを確立するには、それらがすべて同じローカルIKE IDを使用する必要があります。Cisco IOS XEは、トンネルごとにローカルおよびリモートIKE IDの一意のペアを必要とするため、このようなシナリオをサポートしません。この制限を克服するために、SSEヘッドエンドは次の形式のIKE IDを受け入れるように拡張されました。 <tunneld_id>+<suffix>@<org><hub>.sse.cisco.com
ラボシナリオで説明したように、トンネルIDはcat8k-dmzとして定義されました。通常のシナリオでは、ローカルIKE IDを送信するようにルータを設定します(cat8k-dmz@8195165-622405748-sse.cisco.com)。
ただし、同じネットワークトンネルグループで複数のトンネルを確立するには、ローカルIKE ID cat8k-dmz+tunnel1@8195165-622405748-sse.cisco.comおよびcat8k-dmz+tunnel2@8195165-622405748-sse.cisco.comを使用します。
各文字列に追加されるサフィックス:(tunnel1およびtunnel2)。
注:前述のとおり、ローカルIKE IDはこのラボのシナリオで使用される例です。任意のサフィックスを定義できます。要件を満たすようにしてください。
crypto ikev2 profile sse-ikev2-profile-tunnel1
match identity remote address 35.179.86.116 255.255.255.255
identity local email cat8k-dmz+tunnel1@8195165-622405748-sse.cisco.com
authentication remote pre-share
authentication local pre-share
keyring local sse-keyring
dpd 10 2 periodic
crypto ikev2 profile sse-ikev2-profile-tunnel2
match identity remote address 35.179.86.116 255.255.255.255
identity local email cat8k-dmz+tunnel2@8195165-622405748-sse.cisco.com
authentication remote pre-share
authentication local pre-share
keyring local sse-keyring
dpd 10 2 periodic
IPSecトランスフォームセットを設定します。この設定は、IPSecセキュリティアソシエーション(SA)(フェーズ2)に使用されるアルゴリズムを定義します。
crypto ipsec transform-set sse-transform esp-gcm 256
mode tunnel
IKEv2プロファイルとトランスフォームセットをリンクするIPSecプロファイルを設定します。
crypto ipsec profile sse-ipsec-profile-1
set transform-set sse-transform
set ikev2-profile sse-ikev2-profile-tunnel1
crypto ipsec profile sse-ipsec-profile-2
set transform-set sse-transform
set ikev2-profile sse-ikev2-profile-tunnel2
このセクションでは、トンネル送信元として使用される仮想トンネルインターフェイスおよびループバックインターフェイスの設定について説明します。前に説明したラボシナリオでは、同じパブリックIPアドレスを使用する単一のピアで2つのVTIインターフェイスを確立する必要があります。また、Cisco IOS XEデバイスには、出力インターフェイスGigabitEthernet1が1つだけあります。Cisco IOS XEは、同じトンネル送信元とトンネル宛先を持つ複数のVTIの設定をサポートしていません。
この制限を克服するために、ループバックインターフェイスを使用して、それぞれのVTIでトンネルソースとして定義できます。
ループバックとSSEパブリックIPアドレスの間でIP接続を実現するには、いくつかのオプションがあります。
このシナリオでは、次の手順で2番目のオプションについて詳しく説明します。
2つのループバックインターフェイスを設定し、それぞれに「ip nat inside」コマンドを追加する
interface Loopback1
ip address 10.1.1.38 255.255.255.255
ip nat inside
end
interface Loopback2
ip address 10.1.1.70 255.255.255.255
ip nat inside
end
ダイナミックNATアクセスコントロールリスト(ACL)とNAT overloadステートメントを定義します。
ip access-list extended NAT
10 permit ip 10.1.1.0 0.0.0.255 any
ip nat inside source list NAT interface GigabitEthernet1 overload
仮想トンネルインターフェイスを設定します。
interface Tunnel1
ip address 169.254.0.10 255.255.255.252
tunnel source Loopback1
tunnel mode ipsec ipv4
tunnel destination 35.179.86.116
tunnel protection ipsec profile sse-ipsec-profile-1
end
!
interface Tunnel2
ip address 169.254.0.14 255.255.255.252
tunnel source Loopback2
tunnel mode ipsec ipv4
tunnel destination 35.179.86.116
tunnel protection ipsec profile sse-ipsec-profile-2
end
注:ラボシナリオで説明されているように、VTIに割り当てられたIPアドレスは、169.254.0.0/24の重複しないサブネットからのものです。他のサブネットスペースを使用できますが、BGPに関連する特定の要件があり、これにはアドレススペースが必要です。
このセクションでは、SSEヘッドエンドとのBGPネイバーシップを確立するために必要な設定手順について説明します。SSEヘッドエンド上のBGPプロセスは、サブネット169.254.0.0/24からの任意のIPをリッスンします。 両方のVTIでBGPピアリングを確立するには、「169.254.0.9(Tunnel1)」と「169.254.0.13(Tunnel2)」を定義する2つのネイバーがあります。 また、SSEダッシュボードに表示されるRemote AS値を指定する必要もあります。
2025年11月以降、新しく作成されたすべてのセキュアアクセス組織は、デフォルトでネットワークトンネルグループ内のBGPピアリングにパブリックASN 32644を使用する必要があります。2025年11月より前に設立された既存の組織では、以前はSecure Access BGPピア用に予約されていたプライベートASN 64512を引き続き使用できます。
router bgp 65000
bgp log-neighbor-changes
neighbor 169.254.0.9 remote-as 32644
neighbor 169.254.0.9 ebgp-multihop 255
neighbor 169.254.0.13 remote-as 32644
neighbor 169.254.0.13 ebgp-multihop 255
!
address-family ipv4
network 192.168.150.0
neighbor 169.254.0.9 activate
neighbor 169.254.0.13 activate
maximum-paths 2
注:両方のピアから受信するルートは、完全に同じである必要があります。デフォルトでは、ルータはルーティングテーブルに1つだけをインストールします。ルーティングテーブルに複数の重複ルートを設定できるようにするには(さらにECMPを有効にするには)、「maximum-paths <number of routes>」を設定する必要があります。
SSEダッシュボードに2つのプライマリトンネルが表示されている必要があります。

Cisco IOS XE側から両方のトンネルがREADY状態であることを確認します。
wbrzyszc-cat8k#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.1.1.70/4500 35.179.86.116/4500 none/none READY
Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/255 sec
CE id: 0, Session-id: 6097
Local spi: A15E8ACF919656C5 Remote spi: 644CFD102AAF270A
Tunnel-id Local Remote fvrf/ivrf Status
6 10.1.1.38/4500 35.179.86.116/4500 none/none READY
Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/11203 sec
CE id: 0, Session-id: 6096
Local spi: E18CBEE82674E780 Remote spi: 39239A7D09D5B972
両方のピアでBGPネイバーシップがUPであることを確認します。
wbrzyszc-cat8k#show ip bgp summary
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
169.254.0.9 4 32644 17281 18846 160 0 0 5d23h 15
169.254.0.13 4 32644 17281 18845 160 0 0 5d23h 15
ルータがBGPから適切なルートを学習していることを確認します(ルーティングテーブルに少なくとも2つのネクストホップがインストールされている)。
wbrzyszc-cat8k#show ip route 192.168.200.0
Routing entry for 192.168.200.0/25, 2 known subnets
B 192.168.200.0 [20/0] via 169.254.0.13, 5d23h
[20/0] via 169.254.0.9, 5d23h
B 192.168.200.128 [20/0] via 169.254.0.13, 5d23h
[20/0] via 169.254.0.9, 5d23h
wbrzyszc-cat8k#show ip cef 192.168.200.0
192.168.200.0/25
nexthop 169.254.0.9 Tunnel1
nexthop 169.254.0.13 Tunnel2
トラフィックを開始し、両方のトンネルが使用されていること、および両方のencapsとdecapsのカウンタが増加していることを確認します。
wbrzyszc-cat8k#show crypto ipsec sa | i peer|caps
current_peer 35.179.86.116 port 4500
#pkts encaps: 1881087, #pkts encrypt: 1881087, #pkts digest: 1881087
#pkts decaps: 1434171, #pkts decrypt: 1434171, #pkts verify: 1434171
current_peer 35.179.86.116 port 4500
#pkts encaps: 53602, #pkts encrypt: 53602, #pkts digest: 53602
#pkts decaps: 208986, #pkts decrypt: 208986, #pkts verify: 208986
オプションで、両方のVTIインターフェイスでパケットキャプチャを収集して、トラフィックがVTI間でロードバランシングされるようにすることができます。Cisco IOS XEデバイスで組み込みパケットキャプチャを設定するには、『ソフトウェアでの組み込みパケットの設定とキャプチャ』ガイドを参照してください。この例では、送信元IPが192.168.150.1であるCISCO IOS XEルータの背後のホストが192.168.200.0/24サブネットから複数のIPにICMP要求を送信しています。ICMP要求は、トンネル間で均等にロードバランシングされます。
wbrzyszc-cat8k#show monitor capture Tunnel1 buffer brief
----------------------------------------------------------------------------
# size timestamp source destination dscp protocol
----------------------------------------------------------------------------
0 114 0.000000 192.168.150.1 -> 192.168.200.2 0 BE ICMP
1 114 0.000000 192.168.150.1 -> 192.168.200.2 0 BE ICMP
10 114 26.564033 192.168.150.1 -> 192.168.200.5 0 BE ICMP
11 114 26.564033 192.168.150.1 -> 192.168.200.5 0 BE ICMP
wbrzyszc-cat8k#show monitor capture Tunnel2 buffer brief
----------------------------------------------------------------------------
# size timestamp source destination dscp protocol
----------------------------------------------------------------------------
0 114 0.000000 192.168.150.1 -> 192.168.200.1 0 BE ICMP
1 114 2.000000 192.168.150.1 -> 192.168.200.1 0 BE ICMP
10 114 38.191000 192.168.150.1 -> 192.168.200.3 0 BE ICMP
11 114 38.191000 192.168.150.1 -> 192.168.200.3 0 BE ICMP
注:Cisco IOS XEルータには、複数の組からなるECMPロードバランシングメカニズムがあります。デフォルトでは、宛先単位のロードバランシングが有効になっています。これにより、同じ宛先IPへのトラフィックが常に同じパスを使用するようになります。パケット単位のロードバランシングを設定すると、同じ宛先IPに対してもランダムにトラフィックのロードバランシングが行われます。
| 改定 | 発行日 | コメント |
|---|---|---|
3.0 |
10-Jul-2026
|
タイトル、概要、スペル、文法、文の構造、スペース、代替テキスト、およびCCWアラートを更新。 |
1.0 |
21-Oct-2024
|
初版 |