Explore a Cisco
Como comprar

Já tem uma conta?

  •   Conteúdo personalizado
  •   Produtos e suporte

Ainda não tem uma conta?

Criar conta

Configurar a Interface de Túnel Virtual Multi-SA no roteador IOS-XE

Opções de download

  • PDF     (261.8 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (255.2 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (171.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:9 de Agosto de 2019
ID do documento:214728

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve como configurar a interface de túnel virtual de associação de multisegurança no roteador IOS-XE. O processo de migração também é descrito. O VTI multi-SA é um substituto para a configuração de rede privada virtual baseada em mapa de criptografia (baseado em políticas). Ele é compatível com o mapa de criptografia baseado em e outras implementações baseadas em políticas. O suporte para esses recursos está disponível desde a versão IOS-XE 16.12.

Prerequisites

Requirements

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Configuração de Rede Virtual Privada IPsec em roteadores IOS-XE

Componentes Utilizados

As informações neste documento são baseadas nos roteadores ISR 4351 executando a versão do software IOS-XE 16.12.01a.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Vantagens das interfaces de túnel virtual sobre mapas de criptografia

O mapa de criptografia é um recurso de saída da interface física. Os túneis para diferentes pares são configurados no mesmo mapa de criptografia. As entradas da lista de acesso especificam para que tráfego de peer deve ser enviado. Esse tipo de configuração também é chamado de VPN baseada em políticas.

Se as interfaces de túnel virtual forem utilizadas, cada túnel VPN será representado por uma interface de túnel lógico separada. A tabela de roteamento decide para qual tráfego de peer deve ser enviado. Esse tipo de configuração também é chamado de VPN baseada em rota.

Antes da versão IOS-XE 16.12, a configuração do VTI não era compatível com a configuração do mapa de criptografia. As duas extremidades do túnel tinham que ser configuradas com o mesmo tipo de VPN para interoperar.

No IOS-XE 16.12, novas opções de configuração foram adicionadas que permitem que a interface do túnel atue como uma VPN baseada em políticas no nível do protocolo, mas que tenha todas as propriedades da interface do túnel.

As vantagens do VTI sobre o mapa de criptografia incluem:

  • Mais fácil de determinar o status do túnel para cima/para baixo
  • Mais fácil de solucionar problemas
  • Capacidade de aplicar recursos como QoS, ZBF, NAT, Netflow por túnel
  • Configuração otimizada para todos os tipos de túneis VPN

Configurar

Diagrama de Rede

Configurações

IKEv1

Ambos os roteadores são pré-configurados com a solução baseada em mapa de criptografia IKEv1:

Router A:

crypto isakmp policy 10
 encryption aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp key cisco123 address 192.0.2.2
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
! 
crypto map CMAP 10 ipsec-isakmp 
 set peer 192.0.2.2
 set transform-set TSET 
 match address CACL
!
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.1 255.255.255.0
 crypto map CMAP

Router B:

crypto isakmp policy 10
 encryption aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp key cisco123 address 192.0.2.1
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac 
!
crypto map CMAP 10 ipsec-isakmp 
 set peer 192.0.2.1
 set transform-set TSET 
 match address CACL
!
ip access-list extended CACL
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.2 255.255.255.0
 crypto map CMAP

Para migrar o Roteador A para uma configuração VTI multi-SA, é necessário configurar o seguinte. O roteador B pode permanecer com a configuração antiga ou pode ser reconfigurado da mesma forma:

1. Remova o mapa de criptografia da interface:

interface GigabitEthernet0/0/0
 no crypto map

2. Criar perfil ipsec. A rota reversa é opcionalmente configurada para que as rotas estáticas para redes remotas sejam adicionadas automaticamente à tabela de roteamento:

crypto ipsec profile PROF
 set transform-set TSET
 reverse-route

3. Configure a interface do túnel. A lista de acesso de criptografia é anexada à configuração do túnel como política de IPSec. O endereço IP configurado na interface de túnel é irrelevante, mas deve ser configurado com algum valor. O endereço IP pode ser emprestado da interface física usando o comando "ip unnumbered":

interface Tunnel0
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

4. O mapa de criptografia pode ser removido completamente depois:

no crypto map CMAP 10

Configuração final do roteador A:

crypto isakmp policy 10
 encryption aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp key cisco123 address 192.0.2.2
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto ipsec profile PROF
 set transform-set TSET
 reverse-route 
! 
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.1 255.255.255.0
!
interface Tunnel0
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

IKEv2

Ambos os roteadores são pré-configurados com a solução baseada em mapa de criptografia IKEv2:

Router A:

crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
! 
crypto ikev2 profile PROF
 match identity remote address 192.0.2.2 255.255.255.255 
 authentication remote pre-share key cisco123
 authentication local pre-share key cisco123
!
crypto map CMAP 10 ipsec-isakmp 
 set peer 192.0.2.2
 set transform-set TSET 
 set ikev2-profile PROF
 match address CACL
!
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.1 255.255.255.0
 crypto map CMAP

Router B:

crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
! 
crypto ikev2 profile PROF
 match identity remote address 192.0.2.1 255.255.255.255 
 authentication remote pre-share key cisco123
 authentication local pre-share key cisco123
!
crypto map CMAP 10 ipsec-isakmp 
 set peer 192.0.2.1
 set transform-set TSET 
 set ikev2-profile PROF
 match address CACL
!
ip access-list extended CACL
 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.2 255.255.255.0
 crypto map CMAP

Para migrar o Roteador A para uma configuração VTI multi-SA, é necessário configurar o seguinte. O roteador B pode permanecer com a configuração antiga ou pode ser reconfigurado da mesma forma:

1. Remova o mapa de criptografia da interface:

interface GigabitEthernet0/0/0
 no crypto map

2. Criar perfil ipsec. A rota reversa é opcionalmente configurada para que as rotas estáticas para redes remotas sejam adicionadas automaticamente à tabela de roteamento:

crypto ipsec profile PROF
 set transform-set TSET 
 set ikev2-profile PROF
 reverse-route

3. Configure a interface do túnel. A lista de acesso de criptografia é anexada à configuração do túnel como política de IPSec. O endereço IP configurado na interface de túnel é irrelevante, mas deve ser configurado com algum valor. O endereço IP pode ser emprestado da interface física usando o comando "ip unnumbered":

interface Tunnel0
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

4. O mapa de criptografia pode ser removido completamente depois:

no crypto map CMAP 10

Configuração final do roteador A:

crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
! 
crypto ikev2 profile PROF
 match identity remote address 192.0.2.2 255.255.255.255 
 authentication remote pre-share key cisco123
 authentication local pre-share key cisco123
!
crypto ipsec profile PROF
 set transform-set TSET 
 set ikev2-profile PROF
 reverse-route
!
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
interface GigabitEthernet0/0/0
 ip address 192.0.2.1 255.255.255.0
!
interface Tunnel0
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

Considerações de roteamento

O administrador deve garantir que o roteamento para redes remotas esteja apontando para a interface do túnel. A opção "Rota reversa" no perfil ipsec pode ser usada para criar automaticamente rotas estáticas para redes especificadas na ACL de criptografia. Essas rotas também podem ser adicionadas manualmente. Se houvesse rotas preexistentes mais específicas apontando para a interface física em vez da interface de túnel, elas devem ser removidas.

configuração com reconhecimento de VRF

Este exemplo mostra como migrar a configuração do mapa de criptografia com reconhecimento de VRF.

Topologia

Configuração do mapa de criptografia:

ip vrf fvrf
ip vrf ivrf
!
crypto keyring KEY vrf fvrf 
 pre-shared-key address 192.0.2.2 key cisco123
!
crypto isakmp policy 10
 encryption aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp profile PROF
 vrf ivrf
 keyring KEY
 match identity address 192.0.2.2 255.255.255.255 fvrf
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
crypto map CMAP 10 ipsec-isakmp
 set peer 192.0.2.2
 set transform-set TSET
 set isakmp-profile PROF
 match address CACL
!
interface GigabitEthernet0/0/0
 ip vrf forwarding fvrf
 ip address 192.0.2.1 255.255.255.0
 crypto map CMAP
!
interface GigabitEthernet0/0/1
 ip vrf forwarding ivrf
 ip address 192.168.1.1 255.255.255.0
!
ip route vrf ivrf 172.16.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
ip route vrf ivrf 192.168.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
!
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255

Para migrar para VTI multi-SA, é necessário executar as seguintes etapas:

! vrf configuration under isakmp profile is only for crypto map based configuration
!
crypto isakmp profile PROF
 no vrf ivrf
!
interface GigabitEthernet0/0/0
 no crypto map
!
no crypto map CMAP 10
!
no ip route vrf ivrf 172.16.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
no ip route vrf ivrf 192.168.2.0 255.255.255.0 GigabitEthernet0/0/0 192.0.2.2
!
crypto ipsec profile PROF
 set transform-set TSET 
 set isakmp-profile PROF
 reverse-route
!
interface tunnel0
 ip vrf forwarding ivrf
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel vrf fvrf
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

Configuração com reconhecimento de vrf final:

ip vrf fvrf
ip vrf ivrf
!
crypto keyring KEY vrf fvrf 
 pre-shared-key address 192.0.2.2 key cisco123
!
crypto isakmp policy 10
 encryption aes
 hash sha256
 authentication pre-share
 group 14
!
crypto isakmp profile PROF
 keyring KEY
 match identity address 192.0.2.2 255.255.255.255 fvrf
!
crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
!
interface GigabitEthernet0/0/0
 ip vrf forwarding fvrf
 ip address 192.0.2.1 255.255.255.0
!
interface GigabitEthernet0/0/1
 ip vrf forwarding ivrf
 ip address 192.168.1.1 255.255.255.0
!
ip access-list extended CACL
 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
 permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
!
crypto ipsec profile PROF
 set transform-set TSET 
 set isakmp-profile PROF
 reverse-route
!
interface tunnel0
 ip vrf forwarding ivrf
 ip unnumbered GigabitEthernet0/0/0
 tunnel source GigabitEthernet0/0/0
 tunnel mode ipsec ipv4
 tunnel destination 192.0.2.2
 tunnel vrf fvrf
 tunnel protection ipsec policy ipv4 CACL
 tunnel protection ipsec profile PROF

Verificar

Para verificar se o túnel foi negociado com êxito, o status da interface do túnel pode ser verificado. As duas últimas colunas - colunas "status" e "protocolo" - devem indicar o status "up":

RouterA#show ip interface brief | i Tunnel0
Tunnel0 192.0.2.1 YES TFTP up up

Mais detalhes sobre o status atual da sessão de criptografia podem ser encontrados na saída "show crypto session". O "Status da sessão" de "UP-ATIVE" indica que a sessão IKE foi negociada corretamente:

RouterA#show crypto session interface tunnel0
Crypto session current status

Interface: Tunnel0
Profile: PROF
Session status: UP-ACTIVE 
Peer: 192.0.2.2 port 500 
Session ID: 2 
IKEv2 SA: local 192.0.2.1/500 remote 192.0.2.2/500 Active 
IPSEC FLOW: permit ip 172.16.1.0/255.255.255.0 172.16.2.0/255.255.255.0 
Active SAs: 2, origin: crypto map
IPSEC FLOW: permit ip 192.168.1.0/255.255.255.0 192.168.2.0/255.255.255.0 
Active SAs: 2, origin: crypto map

Verifique se o roteamento para a rede remota aponta para a interface de túnel correta:

RouterA#show ip route 192.168.2.0
Routing entry for 192.168.2.0/24
Known via "static", distance 1, metric 0 (connected)
Routing Descriptor Blocks:
* directly connected, via Tunnel0
Route metric is 0, traffic share count is 1

RouterA#show ip cef 192.168.2.100
192.168.2.0/24
attached to Tunnel0

Perguntas mais freqüentes

P: O túnel vem automaticamente ou o tráfego é necessário para ativar o túnel?

R: Ao contrário dos mapas de criptografia, os túneis VTI multi-SA surgem automaticamente, independentemente de o tráfego de dados correspondente à ACL de criptografia estar sendo roteado no momento. Os túneis permanecem ativos o tempo todo, mesmo que o tráfego pare de fluir.

P: O que acontece se o tráfego for roteado através do VTI, mas a origem ou o destino do tráfego não corresponder à ACL de criptografia configurada como política de ipsec para esse túnel?

R: Esse tráfego será descartado. Cada pacote é verificado em relação à política de IPSec configurada e deve corresponder à ACL de criptografia. O motivo dessa queda está registrado como "Ipv4RoutingErr". As estatísticas de tais quedas podem ser encontradas através do seguinte comando:

RouterA#show platform hardware qfp active statistics drop 
Last clearing of QFP drops statistics : never

-------------------------------------------------------------------------
Global Drop Stats Packets Octets 
-------------------------------------------------------------------------
Ipv4RoutingErr    5       500

P: Recursos como VRF, NAT, QoS etc. são suportados em VTI multi-SA?

R: Sim, todos esses recursos são suportados da mesma forma que em túneis VTI regulares.

Troubleshoot

Para solucionar problemas de negociação do protocolo IKE, as seguintes depurações podem ser usadas:

! For IKEv1-based scenarios:
debug crypto isakmp
debug crypto ipsec

! For IKEv2-based scenarios:
debug crypto ikev2
debug crypto ipsec
TAC Authored

Colaborado por engenheiros da Cisco

  • Jan Krupa
    Cisco TAC Engineer

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos