In dit document worden de stappen beschreven die nodig zijn om de IPSec VPN-tunnel tussen Cisco Secure Access en Cisco IOS XE te configureren en problemen op te lossen met behulp van BGP en ECMP.
In dit voorbeeld toont dit scenario netwerk 192.168.150.0/24 heeft een LAN-segment achter het Cisco IOS XE-apparaat en 192.168.200.0/24 heeft een IP-pool die wordt gebruikt door RAVPN met gebruikers die verbinding maken met Secure Access-koptelefoon.
Het einddoel is om ECMP te gebruiken in VPN-tunnels tussen het Cisco IOS XE-apparaat en de koptelefoon voor beveiligde toegang. Om de topologie beter te begrijpen, verwijzen we naar het diagram:

Opmerking: Dit is een voorbeeld van een pakketstroom, waarbij u dezelfde principes kunt toepassen op elke andere stroom(en) en op Secure Internet Access van het subnet 192.168.150.0/24 achter de Cisco IOS XE-router.
Het is aan te raden om kennis te hebben van deze onderwerpen:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Netwerktunnels in Secure Access hebben een bandbreedtebeperking van 1 Gbps per enkele tunnel. Als uw upstream/downstream internetbandbreedte groter is dan 1 Gbps en u deze volledig wilt gebruiken, moet u meerdere tunnels configureren met hetzelfde Secure Access Data Center door ze in één ECMP-groep te groeperen.
Wanneer u meerdere tunnels beëindigt met één netwerktunnelgroep (binnen één beveiligde toegangs-DC), vormen deze standaard een ECMP-groep vanuit het perspectief van de kopgroep voor beveiligde toegang. Zodra de koptelefoon van Secure Access verkeer naar het on-premises VPN-apparaat stuurt, wordt de taakverdeling tussen de tunnels verdeeld (ervan uitgaande dat de juiste routes worden ontvangen van BGP-peers).
Om dezelfde functionaliteit met het on-premises VPN-apparaat te bereiken, moet u meerdere VTI-interfaces op één router configureren en ervoor zorgen dat de juiste routeringsconfiguraties worden toegepast. Dit artikel behandelt die scenario's met een uitleg van elke stap.
Er zijn speciale configuraties die moeten worden toegepast op de Secure Access-kant om een ECMP-groep te vormen vanuit meerdere VPN-tunnels met behulp van het BGP-protocol.
De netwerktunnelgroep configureren:



Deze sectie behandelt de CLI-configuratie die moet worden toegepast op de Cisco IOS XE-router. De IKEv2-tunnels, de BGP-buurt en de ECMP-taakverdeling via Virtual Tunnel Interfaces correct configureren.
Elke sectie wordt uitgelegd en de meest voorkomende kanttekeningen worden vermeld.
Configureer het IKEv2-beleid en het IKEv2-voorstel, deze parameters bepalen welke algoritmen worden gebruikt voor IKE SA (fase 1):
crypto ikev2 proposal sse-proposal
encryption aes-gcm-256
prf sha256
group 19 20
crypto ikev2 policy sse-pol
proposal sse-proposal
Opmerking: raadpleeg de voorgestelde en optimale parameters die vetgedrukt zijn aangegeven in de SSE-gids Ondersteunde IPsec-parameters.
Definieer de IKEv2-sleutelhanger die het IP-adres van de koptelefoon en de vooraf gedeelde sleutel die wordt gebruikt voor verificatie met de SSE-koptelefoon uitlegt:
crypto ikev2 keyring sse-keyring
peer sse
address 35.179.86.116
pre-shared-key local <boring_generated_password>
pre-shared-key remote <boring_generated_password>
Dit definieert het type IKE-identiteit dat moet worden gebruikt, dat overeenkomt met de externe peer en welke IKE-identiteit lokale router naar de peer verzendt. De IKE-identiteit van de SSE-kop is van het IP-adrestype en is gelijk aan de Public IP van de SSE-kop.
Waarschuwing: om meerdere tunnels met dezelfde Network Tunnel Group aan de SSE-kant te maken, moeten ze allemaal dezelfde lokale IKE-identiteit gebruiken. Cisco IOS XE ondersteunt dergelijke scenario's niet, omdat het een uniek paar lokale en externe IKE-identiteiten per tunnel vereist. Om deze beperking te overwinnen, werd de SSE-kop verbeterd om de IKE ID te accepteren in de indeling van: <tunneld_id>+<suffix>@<org><hub>.sse.cisco.com
Zoals besproken in het labscenario, werd de tunnel-ID gedefinieerd als: cat8k-dmz. In een normaal scenario zou u de router configureren om de lokale IKE-identiteit te verzenden als: cat8k-dmz@8195165-622405748-sse.cisco.com.
Om echter meerdere tunnels met dezelfde netwerktunnelgroep te maken, moeten de lokale IKE-ID's worden gebruikt: cat8k-dmz+tunnel1@8195165-622405748-sse.cisco.com en cat8k-dmz+tunnel2@8195165-622405748-sse.cisco.com.
Het suffix toegevoegd aan elke string: (tunnel1 en tunnel2).
Opmerking: Zoals eerder vermeld. lokale IKE-identiteiten zijn voorbeelden die in dit labscenario worden gebruikt. U kunt elk achtervoegsel dat u wilt definiëren, maar zorg ervoor dat u aan de vereisten voldoet.
crypto ikev2 profile sse-ikev2-profile-tunnel1
match identity remote address 35.179.86.116 255.255.255.255
identity local email cat8k-dmz+tunnel1@8195165-622405748-sse.cisco.com
authentication remote pre-share
authentication local pre-share
keyring local sse-keyring
dpd 10 2 periodic
crypto ikev2 profile sse-ikev2-profile-tunnel2
match identity remote address 35.179.86.116 255.255.255.255
identity local email cat8k-dmz+tunnel2@8195165-622405748-sse.cisco.com
authentication remote pre-share
authentication local pre-share
keyring local sse-keyring
dpd 10 2 periodic
Configureer de IPSec-transformatieset. Deze instelling definieert algoritmen die worden gebruikt voor de IPsec Security Association (fase 2):
crypto ipsec transform-set sse-transform esp-gcm 256
mode tunnel
IPSec-profielen configureren die IKEv2-profielen koppelen aan Transformatiesets:
crypto ipsec profile sse-ipsec-profile-1
set transform-set sse-transform
set ikev2-profile sse-ikev2-profile-tunnel1
crypto ipsec profile sse-ipsec-profile-2
set transform-set sse-transform
set ikev2-profile sse-ikev2-profile-tunnel2
Dit gedeelte behandelt configuraties van Virtual Tunnel Interfaces en Loopback-interfaces die worden gebruikt als tunnelbronnen. In het eerder besproken labscenario moet u twee VTI-interfaces instellen met één peer met hetzelfde openbare IP-adres. Ook heeft het Cisco IOS XE-apparaat slechts één uitgang-interface GigabitEthernet1. De Cisco IOS XE ondersteunt geen configuraties van meer dan één VTI met dezelfde tunnelbron en tunnelbestemming.
Om deze beperking te overwinnen, kunt u de Loopback-interfaces gebruiken en deze definiëren als een tunnelbron in de respectieve VTI.
Er zijn een paar opties om IP-connectiviteit te bereiken tussen Loopback en een SSE Public IP Address:
In dit scenario wordt in de volgende stappen de tweede optie gedetailleerd besproken.
Configureer twee Loopback-interfaces en voeg de opdracht "ip nat inside" toe onder elke interface.
interface Loopback1
ip address 10.1.1.38 255.255.255.255
ip nat inside
end
interface Loopback2
ip address 10.1.1.70 255.255.255.255
ip nat inside
end
Definieer de dynamische NAT Access-Control List en de NAT overload statement:
ip access-list extended NAT
10 permit ip 10.1.1.0 0.0.0.255 any
ip nat inside source list NAT interface GigabitEthernet1 overload
Configureer de Virtual Tunnel Interfaces:
interface Tunnel1
ip address 169.254.0.10 255.255.255.252
tunnel source Loopback1
tunnel mode ipsec ipv4
tunnel destination 35.179.86.116
tunnel protection ipsec profile sse-ipsec-profile-1
end
!
interface Tunnel2
ip address 169.254.0.14 255.255.255.252
tunnel source Loopback2
tunnel mode ipsec ipv4
tunnel destination 35.179.86.116
tunnel protection ipsec profile sse-ipsec-profile-2
end
Opmerking: Zoals beschreven in het laboratoriumscenario, zijn de IP-adressen die aan VTI's zijn toegewezen afkomstig van niet-overlappende subnetten van 169.254.0.0/24. U kunt andere subnetruimten gebruiken, maar er zijn bepaalde vereisten met betrekking tot BGP, waarvoor adresruimte nodig is.
In dit gedeelte worden de configuratiestappen beschreven die nodig zijn om een BGP-omgeving met SSE-hoofdeinde tot stand te brengen. Het BGP-proces op de SSE-kop luistert naar elk IP-adres van subnet 169.254.0.0/24. Om BGP-peering over beide VTI's te vestigen, zijn er twee buren om "169.254.0.9 (Tunnel1) en 169.254.0.13 (Tunnel2) te definiëren. U moet ook de waarde Remote AS opgeven die wordt weergegeven in het SSE-dashboard.
Vanaf november 2025 moeten alle nieuw gecreëerde Secure Access-organisaties standaard de Public ASN 32644 gebruiken voor BGP-peering in netwerktunnelgroepen. Bestaande organisaties die vóór november 2025 zijn opgericht, kunnen gebruik blijven maken van de Private ASN 64512 die voorheen was gereserveerd voor Secure Access BGP-peers.
router bgp 65000
bgp log-neighbor-changes
neighbor 169.254.0.9 remote-as 32644
neighbor 169.254.0.9 ebgp-multihop 255
neighbor 169.254.0.13 remote-as 32644
neighbor 169.254.0.13 ebgp-multihop 255
!
address-family ipv4
network 192.168.150.0
neighbor 169.254.0.9 activate
neighbor 169.254.0.13 activate
maximum-paths 2
Opmerking: routes die van beide peers worden ontvangen, moeten exact hetzelfde zijn. Standaard installeert de router er slechts één in de routeringstabel. Als u meer dan één dubbele route wilt laten installeren in de routeringstabel (en ECMP wilt inschakelen), moet u "maximum-paden <aantal routes>" configureren.
U moet twee primaire tunnels zien in het SSE-dashboard:

Controleer of beide tunnels vanaf de IOS XE-kant van Cisco in de status READY zijn:
wbrzyszc-cat8k#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.1.1.70/4500 35.179.86.116/4500 none/none READY
Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/255 sec
CE id: 0, Session-id: 6097
Local spi: A15E8ACF919656C5 Remote spi: 644CFD102AAF270A
Tunnel-id Local Remote fvrf/ivrf Status
6 10.1.1.38/4500 35.179.86.116/4500 none/none READY
Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/11203 sec
CE id: 0, Session-id: 6096
Local spi: E18CBEE82674E780 Remote spi: 39239A7D09D5B972
Controleer of de BGP-buurt UP is met beide collega's:
wbrzyszc-cat8k#show ip bgp summary
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
169.254.0.9 4 32644 17281 18846 160 0 0 5d23h 15
169.254.0.13 4 32644 17281 18845 160 0 0 5d23h 15
Controleer of de router de juiste routes van BGP leert (en er zijn ten minste twee volgende hops geïnstalleerd in de routeringstabel):
wbrzyszc-cat8k#show ip route 192.168.200.0
Routing entry for 192.168.200.0/25, 2 known subnets
B 192.168.200.0 [20/0] via 169.254.0.13, 5d23h
[20/0] via 169.254.0.9, 5d23h
B 192.168.200.128 [20/0] via 169.254.0.13, 5d23h
[20/0] via 169.254.0.9, 5d23h
wbrzyszc-cat8k#show ip cef 192.168.200.0
192.168.200.0/25
nexthop 169.254.0.9 Tunnel1
nexthop 169.254.0.13 Tunnel2
Start het verkeer en controleer of beide tunnels worden gebruikt en u ziet encaps en decaps tellers toenemen voor beide:
wbrzyszc-cat8k#show crypto ipsec sa | i peer|caps
current_peer 35.179.86.116 port 4500
#pkts encaps: 1881087, #pkts encrypt: 1881087, #pkts digest: 1881087
#pkts decaps: 1434171, #pkts decrypt: 1434171, #pkts verify: 1434171
current_peer 35.179.86.116 port 4500
#pkts encaps: 53602, #pkts encrypt: 53602, #pkts digest: 53602
#pkts decaps: 208986, #pkts decrypt: 208986, #pkts verify: 208986
Optioneel kunt u pakketopnames verzamelen op beide VTI-interfaces om ervoor te zorgen dat de belasting van het verkeer tussen VTI's wordt verdeeld. Raadpleeg de Ingesloten pakket configureren en vastleggen op de softwaregids voor het configureren van Ingesloten pakketvastleggen op Cisco IOS XE-apparaten. In het voorbeeld stuurde de host achter de CIsco IOS XE-router met de bron van IP: 192.168.150.1 ICMP-verzoeken naar meerdere IP's van 192.168.200.0/24 subnet. Zoals u ziet, zijn de ICMP-verzoeken even evenwichtig verdeeld over de tunnels.
wbrzyszc-cat8k#show monitor capture Tunnel1 buffer brief
----------------------------------------------------------------------------
# size timestamp source destination dscp protocol
----------------------------------------------------------------------------
0 114 0.000000 192.168.150.1 -> 192.168.200.2 0 BE ICMP
1 114 0.000000 192.168.150.1 -> 192.168.200.2 0 BE ICMP
10 114 26.564033 192.168.150.1 -> 192.168.200.5 0 BE ICMP
11 114 26.564033 192.168.150.1 -> 192.168.200.5 0 BE ICMP
wbrzyszc-cat8k#show monitor capture Tunnel2 buffer brief
----------------------------------------------------------------------------
# size timestamp source destination dscp protocol
----------------------------------------------------------------------------
0 114 0.000000 192.168.150.1 -> 192.168.200.1 0 BE ICMP
1 114 2.000000 192.168.150.1 -> 192.168.200.1 0 BE ICMP
10 114 38.191000 192.168.150.1 -> 192.168.200.3 0 BE ICMP
11 114 38.191000 192.168.150.1 -> 192.168.200.3 0 BE ICMP
Opmerking: Er zijn meerdere ECMP-mechanismen voor werklastverdeling op Cisco IOS XE-routers. Standaard is taakverdeling per bestemming ingeschakeld, waardoor het verkeer naar dezelfde bestemming IP altijd hetzelfde pad neemt. U kunt per pakket taakverdeling configureren, waarbij het verkeer willekeurig wordt verdeeld, zelfs voor dezelfde IP-bestemming.
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
3.0 |
10-Jul-2026
|
Bijgewerkte titel, inleiding, spelling, grammatica, zinsstructuur, spatiëring, alt-tekst en CCW-waarschuwingen. |
1.0 |
21-Oct-2024
|
Eerste vrijgave |