SD-WAN IPsec SIG Tunnel configureren en verifiëren met Zscaler

Inleiding

Dit document beschrijft de configuratiestappen en verificatie van SD-WAN IPsec SIG-tunnels met Zscaler. 

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Security Internet Gateway (SIG).
• Hoe IPsec-tunnels werken, fase 1 en fase 2 op Cisco IOS®.
  
  

Aanvullende eisen

• NAT moet zijn ingeschakeld op de transportinterface die tegenover het internet staat.

• Een DNS-server moet worden gemaakt op VPN 0 en de Zscaler-basis-URL moet worden opgelost met deze DNS-server. Dit is belangrijk omdat als dit niet wordt opgelost, API-aanroepen en Layer 7-gezondheidscontroles kunnen mislukken. En gebruik standaard deze DNS-server

• NTP (Network Time Protocol) moet ervoor zorgen dat de tijd van de Cisco Edge Router nauwkeurig is en dat API-aanroepen niet kunnen mislukken.

• Een serviceroute die naar SIG verwijst, moet worden geconfigureerd in de Service-VPN Feature Template of CLI: ip sdwan route vrf 1 0.0.0.0/0 service sig

Gebruikte componenten

Dit document is gebaseerd op deze software- en hardwareversies:

•  Cisco Edge Router versie 17.6.6a
•  vManage versie 20.9.4
  
  

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

Opties voor netwerkontwerp

De verschillende typen implementaties in deze lijst zijn een actieve/stand-bycombinatie. Tunnel-inkapseling kan worden geïmplementeerd met GRE of IPsec.

• Eén actief/stand-bytunnelpaar
• Eén actief/actief tunnelpaar
• Meerdere actieve/standby-tunnelparen
• Meerdere actieve/actieve tunnelparen

Opmerking: op SD-WAN Cisco Edge Routers kunt u een of meer transportinterfaces gebruiken die zijn verbonden met internet om de instellingen effectief te laten functioneren.

Configuraties

Ga verder met het configureren van deze sjablonen:

• Functiesjabloon Security Internet Gateway (SIG) Credential:
  • U hebt er één nodig voor alle Cisco Edge-routers. Informatie om de benodigde velden van de sjabloon in te vullen, moet worden gemaakt op het Zscaler-portaal.

• Functiesjabloon Security Internet Gateway (SIG):
  • Onder deze functiesjabloon configureert u IPsec-tunnels, zorgt u voor hoge beschikbaarheid van implementatie (HA) in de actieve / actieve of actieve / standby-modus en selecteert u Zscaler Data-Center Center automatisch of handmatig.

1. Als u een sjabloon voor Zscaler-referenties wilt maken, bladert u naar Configuratie > Sjabloon > Functiesjabloon > Sjabloon toevoegen.

2. Selecteer het apparaatmodel dat u voor dit doel gaat gebruiken en zoek naar SIG. Wanneer u het voor de eerste keer maakt, toont het systeem dat de Zscaler-referenties eerst moeten worden gemaakt, zoals in dit voorbeeld:

3. U moet Zscaler als SIG Provider selecteren en op de sjabloon Klik hier om te maken - Cisco SIG Credentials klikken.

Referentiesjabloon ondertekenen

4. U wordt doorverwezen naar de inloggegevens template. U moet de waarden voor alle velden invoeren:

• Naam template
• Beschrijving
• SIG Provider (automatisch geselecteerd uit de vorige stap)
• Organisatie
• Partner Base-URL
• Username
• wachtwoord
• Partner API-sleutel

5. Klik op Opslaan.

6. U wordt doorgestuurd naar de Secure Internet Gateway (SIG)-sjabloon. Met deze sjabloon kunt u items configureren die nodig zijn voor SD-WAN IPsec SIG met Zscaler.

Geef in het eerste deel van de template een naam en beschrijving op. De standaardtracker wordt automatisch ingeschakeld en gebruikt de API-URL voor de Zscaler Layer 7 Health Check.

8. In het gedeelte Configuratie kunt u de IPsec-tunnels maken door op Tunnel toevoegen te klikken. Maak in het nieuwe pop-upvenster selecties op basis van uw vereisten.
9. In dit voorbeeld is de interface IPsec1 gemaakt met behulp van de WAN-interface GigabitEthernet1 als tunnelbron. Het vormt connectiviteit met het Primary Scaler Data-Center. Het wordt aanbevolen om de waarden voor Geavanceerde opties standaard te houden. 

IPsec-interfaceconfig   

Hoge beschikbaarheid

Kies in deze sectie of het ontwerp Actief/Actief of Actief/Standby is en bepaal welke IPsec-interface actief is.

Dit is een voorbeeld van een Active/Active-ontwerp en alle interfaces worden geselecteerd onder Active, zodat Back-up geen keuze heeft.

Actief/actief ontwerp

In dit voorbeeld wordt een Active/Standby-ontwerp weergegeven en worden IPsec1 en IPsec11 geselecteerd als actieve interfaces, terwijl IPsec2 en IPsec12 worden aangewezen als stand-by-interfaces.

Active/Standby-ontwerp

Geavanceerde instellingen

1. In dit gedeelte zijn de belangrijkste configuraties het primaire datacenter en het secundaire datacenter. Het wordt aanbevolen om beide te configureren als automatisch of handmatig, maar het wordt niet aanbevolen om ze als gemengd te configureren. Als u ervoor kiest om ze handmatig te configureren, selecteert u de juiste URL in het Zscaler-portaal op basis van uw Partner Base-URL.

Automatische of handmatige datacenters

2. Klik op Opslaan als u klaar bent.

3. Zodra u klaar bent met de configuratie van SIG-sjablonen, moet u deze toepassen onder de apparaatsjabloon. Op deze manier wordt de configuratie op de Cisco Edge Routers geduwd.

4. Navigeer naar Configuratie > Sjablonen > Apparaatsjabloon, klik op de drie puntjes op Bewerken.

5. Voeg onder Transport & Management VPN de sjabloon Secure Internet Gateway toe.

6. Selecteer in de Cisco Secure Internet Gateway de juiste SIG-functiesjabloon in het vervolgkeuzemenu.

SIG-sjabloon toevoegen aan apparaatsjabloon

7. Selecteer onder Extra sjablonen in Cisco SIG-referenties de juiste Cisco SIG-referentiesjabloon in het vervolgkeuzemenu:

Referentiesjabloon voor SIG

8. Klik op Bijwerken (als uw apparaatsjabloon een actieve sjabloon is, gebruikt u de standaardstappen om configuraties op een actieve sjabloon te pushen).

Verifiëren

1. Verificatie kan worden voltooid tijdens de voorvertoning van de configuratie terwijl u de wijzigingen doordrukt, wat u moet opmerken zijn:

secure-internet-gateway
     zscaler organization <removed>
     zscaler partner-base-uri <removed>
     zscaler partner-key <removed>
     zscaler username <removed>
     zscaler password <removed>
    !

2. In dit voorbeeld ziet u dat het ontwerp actief/standby is:

ha-pairs
  interface-pair Tunnel100001 active-interface-weight 1 Tunnel100002 backup-interface-weight 1
  interface-pair Tunnel100011 active-interface-weight 1 Tunnel100012 backup-interface-weight 1  

3. Extra configuraties worden toegevoegd, zoals crypto ikev2-profielen en -beleid, meerdere interfaces beginnen met Tunnel1xxxxx, vrf-definitie 65530 en ip sdwan-route vrf 1 0.0.0.0/0 service sig. Al deze veranderingen maken deel uit van de IPsec SIG-tunnels met Zscaler.

Dit voorbeeld laat zien hoe de configuratie voor de tunnelinterface eruit ziet:

interface Tunnel100001
     no shutdown
     ip unnumbered       GigabitEthernet1
     no ip clear-dont-fragment
     ip mtu              1400
     tunnel source GigabitEthernet1
     tunnel destination dynamic
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile if-ipsec1-ipsec-profile
     tunnel vrf multiplexing

4. Nadat configuraties met succes op de Cisco Edge Routers zijn gepusht, kunt u opdrachten uitvoeren om te controleren of de tunnels beschikbaar zijn:

Router#show sdwan secure-internet-gateway zscaler tunnels
                                                                                                                                                         HTTP
TUNNEL IF                                             TUNNEL                                            LOCATION                                         RESP  
NAME          TUNNEL NAME                             ID        FQDN           TUNNEL FSM STATE         ID        LOCATION FSM STATE   LAST HTTP REQ     CODE  
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001  site<removed>Tunnel100001             <removed>   <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200   
Tunnel100002  site<removed>Tunnel100002              <removed>  <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200

5. Als u de http-resp-code 200 niet ziet, betekent dit dat u te maken hebt met een probleem met het wachtwoord of de partnersleutel. 
6. Gebruik deze opdracht om de status van de interface te controleren:

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
GigabitEthernet3       10.2.20.77      YES other  up            up      
GigabitEthernet4       10.2.248.43     YES other  up            up      
Sdwan-system-intf      10.10.10.221    YES unset  up            up      
Loopback65528          192.168.1.1     YES other  up            up      
Loopback65530          192.168.0.2     YES other  up            up   <<< This is the IP that you used on Tracker SIG Feature template      
NVI0                   unassigned      YES unset  up            up      
Tunnel2                10.2.58.221     YES TFTP   up            up      
Tunnel3                10.2.20.77      YES TFTP   up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            up      
Tunnel100002           10.2.58.221     YES TFTP   up            up 

7. Om de status van de tracker te verifiëren, voert u de opdrachten endpoint-tracker tonen en endpoint-tracker records tonen. Dit helpt u te bevestigen welke URL de tracker gebruikt:

Router#show endpoint-tracker 
Interface              Record Name            Status          RTT in msecs    Probe ID        Next Hop       
Tunnel100001           #SIGL7#AUTO#TRACKER    Up              194             44              None           
Tunnel100002           #SIGL7#AUTO#TRACKER    Up              80              48              None   

Router#show endpoint-tracker records 
Record Name            Endpoint                            EndPoint Type   Threshold(ms)    Multiplier   Interval(s)     Tracker-Type   
#SIGL7#AUTO#TRACKER    http://gateway..net/vpnt API_URL         1000             2            30              interface  

8. Andere validaties die u kunt gebruiken zijn:

• Controleer of de routes op de VRF naar IPsec-tunnels wijzen en voer deze opdracht uit:
  
  IP-route VRF 1 weergeven 

Gateway of last resort is 0.0.0.0 naar netwerk 0.0.0.0

S* 0.0.0.0/0 [2/65535], Tunnel100002
                    [2/65535], tunnel 100001
10.0.0.0/8 is onderverdeeld in vier subnetten, twee maskers

9. Om verder te valideren, kunt u pingen naar het internet en een traceroute voltooien om de hops en het verkeer te valideren:

Router#ping vrf 1 cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to <removed>, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 406/411/417 ms

Router1#traceroute vrf 1 cisco.com
Type escape sequence to abort.
Tracing the route to redirect-ns.cisco.com (<removed>)
VRF info: (vrf in name/id, vrf out name/id)
1 * * * 
2  195 msec 193 msec 199 msec
3  200 msec
   199 msec * 
.....

10. U kunt de IPsec-interfaces valideren vanuit de vManage GUI door te navigeren naar Monitor > Apparaat of Monitor > Netwerk (voor codes 20.6 en vroege).

• Selecteer uw router en navigeer naar Toepassingen > Interfaces.
• Selecteer Tunnel100001 en Tunnel100002 om realtime verkeer te bekijken of aan te passen volgens het vereiste tijdsbestek:  

Bewaking van IPsec-tunnels

Problemen oplossen

Als de SIG-tunnel niet actief is, controleert u deze stappen om het probleem op te lossen:

Stap 1: Controleer de fouten door het uitvoeren van de opdracht show sdwan secure-internet-gateway zscaler tunnels. Als u vanaf de uitvoer HTTP RESP Code 401 opmerkt, geeft dit aan dat er een probleem is met verificatie. U kunt de waarden in de sjabloon voor SIG-referenties controleren om te zien of het wachtwoord of de partnersleutel juist is.

Router#show sdwan secure-internet-gateway zscaler tunnels 
                                                                                                                                    HTTP 
TUNNEL IF                                   TUNNEL                                 LOCATION                                         RESP 
NAME TUNNEL             NAME                ID        FQDN   TUNNEL FSM STATE      ID        LOCATION FSM STATE   LAST HTTP REQ     CODE 
----------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001   site<removed>Tunnel100001   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100002   site<removed>Tunnel100002   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100011   site<removed>Tunnel100011   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100012   site<removed>Tunnel100012   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 

Stap 2. Schakel deze opdrachten in en zoek naar logboekberichten met betrekking tot SIG, HTTP of tracker voor verdere foutopsporing:

• Foutopsporingsplatformsoftware SDWAN FTM SIG
• Debug Platform Software SDWAN SIG 
• Debug Platform Software SDWAN Tracker
• Foutopsporingsplatformsoftware SDWAN RTM-events

Vanaf Cisco IOS® versie IOS-XE 10 .11+ is <debug platform> gemigreerd naar <set platform trace>

set platform software trace ftmd R0 ftmd-sig [debug | verbose]

set platform software trace ios R0 sdwanrp-sig debug

set platform software trace ios R0 sdwanrp-tracker debug

set platform software trace ftmd R0 ftmd-rtm [debug | verbose]

1. Dit is een voorbeeld van de uitvoer van de foutopsporingsopdrachten:

Router#show logging | inc SIG
Jan 31 19:39:38.666: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:39:38.669: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:59:18.240: SDWAN INFO: Tracker entry Tunnel100001/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.263: SDWAN INFO: Tracker entry Tunnel100002/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.274: SDWAN INFO: Tracker entry Tunnel100011/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.291: SDWAN INFO: Tracker entry Tunnel100012/#SIGL7#AUTO#TRACKER state => DOWN

2. Voer de opdracht ip interface brief tonen en controleer de tunnels interface protocol en controleer of deze worden weergegeven omhoog of omlaag.  

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            down
Tunnel100002           10.2.58.221     YES TFTP   up            down

3. Nadat u hebt bevestigd dat er geen problemen zijn met de Zscaler-referenties, verwijdert u de SIG-interface uit de apparaatsjabloon en drukt u deze naar de router. Zodra de push is voltooid, past u de SIG-sjabloon toe en duwt u deze terug naar de router. Deze methode dwingt de tunnels om opnieuw te worden gemaakt vanaf nul.

Gerelateerde informatie

• Cisco Technical Support en downloads