IPsec-redundantie configureren met HSRP voor IKEv2-routetunnel op Cisco-routers
Inhoud
Inleiding
In dit document wordt beschreven hoe u IPsec-redundantie kunt configureren met HSRP voor IKEv2-routegebaseerde tunnel op Cisco-routers.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Site-to-site VPN
- Hot Standby Router Protocol [HSRP]
- Basiskennis van IPsec en IKEv2
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cisco CSR1000v router met IOS XE Software, versie 17.03.08a
- Layer 2-switch met Cisco IOS-software, versie 15.2
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Netwerkdiagram
Configuraties primaire/secundaire router
De fysieke interface configureren met HSRP
Configureer de fysieke interfaces van de primaire (met een hogere prioriteit) en de secundaire (met een standaardprioriteit van 100) routers:
Primaire router:
interface GigabitEthernet1
ip address 10.106.60.20 255.255.255.0
standby 1 ip 10.106.60.22
standby 1 priority 105
standby 1 preempt
standby 1 name VPN-HSRPSecundaire router:
interface GigabitEthernet1
ip address 10.106.60.21 255.255.255.0
standby 1 ip 10.106.60.22
standby 1 preempt
standby 1 name VPN-HSRP
Opmerking: Zorg ervoor dat de standaard primaire router is geconfigureerd met een hogere prioriteit om het de actieve peer te maken, zelfs wanneer beide routers zonder problemen actief zijn. In dit voorbeeld is de primaire router geconfigureerd met een prioriteit van 105, terwijl de secundaire router een prioriteit van 100 heeft (wat de standaard is voor HSRP).
IKEv2-voorstel en -beleid configureren
Configureer een IKEv2-voorstel met de codering-, hashing- en DH-groep van uw keuze en koppel deze aan een IKEv2-beleid.
crypto ikev2 proposal prop-1
encryption aes-cbc-256
integrity sha256
group 14
crypto ikev2 policy IKEv2_POL
proposal prop-1
Configureer de sleutelring
Configureer de sleutelhanger om de vooraf gedeelde sleutel op te slaan die wordt gebruikt om de peer te verifiëren.
crypto ikev2 keyring keys
peer 10.106.70.10
address 10.106.70.10
pre-shared-key local C!sco123
pre-shared-key remote C!sco123
Het IKEv2-profiel configureren
Configureer het IKEv2-profiel en bevestig de sleutelhanger. Stel het lokale adres in op het virtuele IP-adres dat wordt gebruikt voor HSRP en het externe adres als het IP-adres van de internetinterface van de router.
crypto ikev2 profile IKEv2_PROF
match identity remote address 10.106.70.10 255.255.255.255
identity local address 10.106.60.22
authentication remote pre-share
authentication local pre-share
keyring local keys
De IPsec-transformatieset configureren
Configureer de fase 2-parameters van codering en hashing met behulp van de IPsec-transformatieset.
crypto ipsec transform-set ipsec-prop esp-aes 256 esp-sha256-hmac
Het IPsec-profiel configureren
Configureer het IPsec-profiel om het IKEv2-profiel en de IPsec-transformatieset toe te wijzen. Het IPsec-profiel wordt toegepast op de tunnelinterface.
crypto ipsec profile IPsec_PROF
set transform-set ipsec-prop
set ikev2-profile IKEv2_PROF
De virtuele tunnelinterface configureren
Configureer de virtuele tunnelinterface om de tunnelbron en -bestemming op te geven. Deze IP's worden gebruikt om het verkeer over de tunnel te coderen. Controleer of het IPsec-profiel ook op deze interface wordt toegepast, zoals hieronder wordt weergegeven.
interface Tunnel0
ip address 10.10.10.10 255.255.255.0
tunnel source 10.106.60.22
tunnel mode ipsec ipv4
tunnel destination 10.106.70.10
tunnel protection ipsec profile IPsec_PROF
Opmerking: U moet het virtuele IP-adres opgeven dat wordt gebruikt voor HSRP als tunnelbron. Het gebruik van de fysieke interface, in dit scenario GigabitEthernet1, zal leiden tot de tunnel onderhandelingen te mislukken.
De dynamische en/of statische routering configureren
U moet de routering configureren met dynamische routeringsprotocollen en / of statische routes, afhankelijk van de vereiste en het netwerkontwerp. In dit voorbeeld wordt een combinatie van EIGRP en een statische route gebruikt om de onderliggende communicatie en de doorstroming van het overlay-dataverkeer over de site-to-site tunnel vast te stellen.
router eigrp 10
network 10.10.10.0 0.0.0.255
network 10.106.60.0 0.0.0.255
ip route 192.168.30.0 255.255.255.0 Tunnel0
Opmerking: Zorg ervoor dat het subnet voor de tunnelinterface, dat in dit scenario 10.10.10.0/24 is, wordt geadverteerd.
Configuraties peer-router
IKEv2-voorstel en -beleid configureren
Configureer een IKEv2-voorstel met de codering-, hashing- en DH-groep van uw keuze en koppel deze aan een IKEv2-beleid.
crypto ikev2 proposal prop-1
encryption aes-cbc-256
integrity sha256
group 14
crypto ikev2 policy IKEv2_POL
proposal prop-1
Configureer de sleutelring
Configureer de sleutelhanger om de vooraf gedeelde sleutel op te slaan die wordt gebruikt om de peer te verifiëren.
crypto ikev2 keyring keys
peer 10.106.60.22
address 10.106.60.22
pre-shared-key local C!sco123
pre-shared-key remote C!sco123
Opmerking: Het peer-IP-adres dat hier wordt gebruikt, is het virtuele IP-adres dat is geconfigureerd in de HSRP-configuratie van de peer. Zorg ervoor dat u de sleutelhanger niet configureert voor de fysieke IP-interface van de primaire/secundaire peer.
Het IKEv2-profiel configureren
Configureer het IKEv2-profiel en bevestig de sleutelhanger. Stel het lokale adres in als het IP-adres van de internetinterface van de router en het externe adres als het virtuele IP-adres dat wordt gebruikt voor HSRP op de primaire/secundaire peer.
crypto ikev2 profile IKEv2_PROF
match identity remote address 10.106.60.22 255.255.255.255
identity local address 10.106.70.10
authentication remote pre-share
authentication local pre-share
keyring local keys
De IPsec-transformatieset configureren
Configureer de fase 2-parameters van codering en hashing met behulp van de IPsec-transformatieset.
crypto ipsec transform-set ipsec-prop esp-aes 256 esp-sha256-hmac
Het IPsec-profiel configureren
Configureer het IPsec-profiel om het IKEv2-profiel en de IPsec-transformatieset toe te wijzen. Het IPsec-profiel wordt toegepast op de tunnelinterface.
crypto ipsec profile IPsec_PROF
set transform-set ipsec-prop
set ikev2-profile IKEv2_PROF
De virtuele tunnelinterface configureren
Configureer de virtuele tunnelinterface om de tunnelbron en -bestemming op te geven. De tunnelbestemming moet worden ingesteld als het virtuele IP dat wordt gebruikt voor HSRP op de primaire/secundaire peer. Controleer of het IPsec-profiel ook op deze interface wordt toegepast, zoals wordt weergegeven.
interface Tunnel0
ip address 10.10.10.11 255.255.255.0
tunnel source GigabitEthernet1
tunnel mode ipsec ipv4
tunnel destination 10.106.60.22
tunnel protection ipsec profile IPsec_PROF
De dynamische en/of statische routering configureren
Configureer de vereiste routes met dynamische routeringsprotocollen of statische routes die vergelijkbaar zijn met de route voor het andere eindpunt.
router eigrp 10
network 10.10.10.0 0.0.0.255
network 10.106.70.0 0.0.0.255
ip route 192.168.10.0 255.255.255.0 Tunnel0
Verifiëren
Om het verwachte gedrag te begrijpen, worden de volgende drie scenario's gepresenteerd.
Scenario 1. Zowel primaire als secundaire routers zijn actief
Omdat de primaire router met een hogere prioriteit is geconfigureerd, wordt de IPsec-tunnel onderhandeld en ingesteld op deze router. Om de status van de twee routers te controleren, kunt u deshow standbyopdracht gebruiken.
pri-router#show standby
GigabitEthernet1 - Group 1
State is Active
7 state changes, last state change 00:00:21
Virtual IP address is 10.106.60.22
Active virtual MAC address is 0000.0c07.ac01 (MAC In Use)
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.864 secs
Preemption enabled
Active router is local
Standby router is 10.106.60.21, priority 100 (expires in 9.872 sec)
Priority 105 (configured 105)
Group name is "VPN-HSRP" (cfgd)
FLAGS: 1/1
sec-router#show standby
GigabitEthernet1 - Group 1
State is Standby
11 state changes, last state change 00:00:49
Virtual IP address is 10.106.60.22
Active virtual MAC address is 0000.0c07.ac01 (MAC Not In Use)
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.888 secs
Preemption enabled
Active router is 10.106.60.20, priority 105 (expires in 8.768 sec)
Standby router is local
Priority 100 (default 100)
Group name is "VPN-HSRP" (cfgd)
FLAGS: 0/1
Om de fase 1 (IKEv2) en fase 2 (IPsec) beveiligingsassociaties voor de tunnel te verifiëren, kunt u deshow crypto ikev2 saenshow crypto ipsec saopdrachten gebruiken.
pri-router#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.106.60.22/500 10.106.70.10/500 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/444 sec
IPv6 Crypto IKEv2 SA
pri-router#show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 10.106.60.22
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 10.106.70.10 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 36357, #pkts encrypt: 36357, #pkts digest: 36357
#pkts decaps: 36354, #pkts decrypt: 36354, #pkts verify: 36354
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.106.60.22, remote crypto endpt.: 10.106.70.10
plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1
current outbound spi: 0x4967630D(1231512333)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0xBA711B5E(3127974750)
transform: esp-256-aes esp-sha256-hmac ,
in use settings ={Tunnel, }
conn id: 2216, flow_id: CSR:216, sibling_flags FFFFFFFF80000048, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4607986/3022)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0x4967630D(1231512333)
transform: esp-256-aes esp-sha256-hmac ,
in use settings ={Tunnel, }
conn id: 2215, flow_id: CSR:215, sibling_flags FFFFFFFF80000048, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4607992/3022)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Scenario 2. De primaire router is inactief en de secundaire router is actief
In een scenario waarin de primaire router een storing ervaart of uitvalt, wordt de secundaire router de actieve router en wordt de site-to-site tunnel onderhandeld met deze router.
De HSRP-status van de secundaire router kan opnieuw worden geverifieerd met behulp van deshow standby opdracht.
sec-router#show standby
GigabitEthernet1 - Group 1
State is Active
12 state changes, last state change 00:00:37
Virtual IP address is 10.106.60.22
Active virtual MAC address is 0000.0c07.ac01 (MAC In Use)
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.208 secs
Preemption enabled
Active router is local
Standby router is unknown
Priority 100 (default 100)
Group name is "VPN-HSRP" (cfgd)
FLAGS: 1/1
Verder zult u ook de volgende logs observeren wanneer deze verstoring optreedt. Deze logs laten ook zien dat de secundaire router nu actief is en de Tunnel is ingesteld.
*Jul 18 10:28:21.881: %HSRP-5-STATECHANGE: GigabitEthernet1 Grp 1 state Standby -> Active
*Jul 18 10:28:44.647: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
Om de veiligheidsassociaties fase 1 en fase 2 te controleren, kunt u opnieuw deshow crypto ikev2 saenshow crypto ipsec sazoals hier getoond.
sec-router#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.106.60.22/500 10.106.70.10/500 none/none READY
Encr: AES-CBC, keysize: 256, PRF: SHA256, Hash: SHA256, DH Grp:14, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/480 sec
IPv6 Crypto IKEv2 SA
sec-router# show crypto ipsec sa
interface: Tunnel0
Crypto map tag: Tunnel0-head-0, local addr 10.106.60.22
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 10.106.70.10 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 112, #pkts encrypt: 112, #pkts digest: 112
#pkts decaps: 112, #pkts decrypt: 112, #pkts verify: 112
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 10.106.60.22, remote crypto endpt.: 10.106.70.10
plaintext mtu 1438, path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet1
current outbound spi: 0xFC4207BF(4232185791)
PFS (Y/N): N, DH group: none
inbound esp sas:
spi: 0x5F6EE796(1601103766)
transform: esp-256-aes esp-sha256-hmac ,
in use settings ={Tunnel, }
conn id: 2170, flow_id: CSR:170, sibling_flags FFFFFFFF80000048, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4607988/3107)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
inbound ah sas:
inbound pcp sas:
outbound esp sas:
spi: 0xFC4207BF(4232185791)
transform: esp-256-aes esp-sha256-hmac ,
in use settings ={Tunnel, }
conn id: 2169, flow_id: CSR:169, sibling_flags FFFFFFFF80000048, crypto map: Tunnel0-head-0
sa timing: remaining key lifetime (k/sec): (4607993/3107)
IV size: 16 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
outbound ah sas:
outbound pcp sas:
Scenario 3. Primaire router komt terug en de secundaire gaat op stand-by
Zodra de primaire router is hersteld en niet langer down is, wordt deze opnieuw de actieve router omdat deze een hogere prioriteit heeft geconfigureerd en de secundaire router naar de standby-modus gaat.
Tijdens dit scenario ziet u deze logs op de primaire en secundaire routers wanneer deze overgang plaatsvindt.
Op de primaire router verschijnen deze logs:
*Jul 18 11:47:46.590: %HSRP-5-STATECHANGE: GigabitEthernet1 Grp 1 state Listen -> Active
*Jul 18 11:48:07.945: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to up
Op de secundaire router ziet u deze logs die laten zien dat de secundaire router opnieuw de standby-router is geworden:
*Jul 18 11:47:46.370: %HSRP-5-STATECHANGE: GigabitEthernet1 Grp 1 state Active -> Speak
*Jul 18 11:47:52.219: %LINEPROTO-5-UPDOWN: Line protocol on Interface Tunnel0, changed state to down
*Jul 18 11:47:57.806: %HSRP-5-STATECHANGE: GigabitEthernet1 Grp 1 state Speak -> Standby
Om de status van de Fase 1- en Fase 2-beveiligingsassociaties te controleren, kunt u deshow crypto ikev2 saen show crypto ipsec saom hetzelfde te controleren.
Opmerking: Als u meerdere tunnels hebt geconfigureerd op de routers die actief zijn, kunt u de show crypto sessie remote X.X.X.X.X gebruiken en crypto ipsec sa peer X.X.X.X.X.X commando's tonen om de fase 1 en fase 2 status van de tunnel te controleren.
Problemen oplossen
Deze sectie bevat informatie die u kunt gebruiken om problemen met de configuratie te troubleshooten.
Deze debugs kunnen worden ingeschakeld om problemen met de IKEv2-tunnel op te lossen.
debug crypto ikev2
debug crypto ikev2 error
debug crypto ikev2 internal
debug crypto ipsec
debug crypto ipsec error
debug crypto ipsec message
Opmerking: Als u slechts één tunnel wilt oplossen (wat het geval moet zijn als het apparaat in productie is), moet u voorwaardelijke foutopsporing inschakelen met de opdracht, debug crypto condition peer ipv4 X.X.X.X.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
25-Jul-2024 |
Eerste vrijgave |
Feedback