使用Zscaler配置和驗證SD-WAN IPsec SIG隧道

簡介

本檔案介紹使用Zscaler設定SD-WAN IPsec SIG通道的步驟和驗證。 

必要條件

需求

思科建議您瞭解以下主題：

• 安全網際網路閘道(SIG)。
• Cisco IOS®上的IPsec隧道的工作方式、第1階段和第2階段。
  
  

其他要求

• 必須在面向網際網路的傳輸介面上啟用NAT。

• 必須在VPN 0上建立DNS伺服器，並且必須使用此DNS伺服器解析Zscaler基本URL。這一點非常重要，因為如果不解決此問題，API呼叫和第7層運行狀況檢查可能會失敗。預設情況下，使用此DNS伺服器

• NTP（網路時間協定）必須確保Cisco Edge路由器時間準確，並且API呼叫不能失敗。

• 必須在Service-VPN功能模板或CLI中配置指向SIG的服務路由：ip sdwan route vrf 1 0.0.0.0/0服務簽名

採用元件

本檔案是根據以下軟體和硬體版本所編制：

•  思科邊緣路由器版本17.6.6a
•  vManage版本20.9.4
  
  

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

網路設計選項

此清單中的各種部署型別是活動/備用組合設定。通道封裝可以與GRE或IPsec一起部署。

• 一個主用/備用通道對
• 一個主用/主用通道對
• 多個主用/備用通道對
• 多個作用中/作用中通道對

附註：在SD-WAN思科邊緣路由器上，您可以使用一個或多個連線到網際網路的傳輸介面使設定有效運行。

組態

繼續配置以下模板：

• 安全Internet網關(SIG)憑證功能模板：
  • 所有思科邊緣路由器都需要一台。必須在Zscaler門戶上建立用於填充模板必要欄位的資訊。

• 安全Internet網關(SIG)功能模板：
  • 在此功能模板下，您可以配置IPsec隧道，確保在主用/主用或主用/備用模式下部署高可用性(HA)，然後選擇Zscaler Data-Center（Zscaler資料中心）自動或手動輸入。

1.要建立Zscaler憑證模板，請導航至Configuration > Template > Feature Template > Add Template。

2.選擇要用於此目的的裝置型號，並搜尋SIG。首次建立時，系統會顯示必須首先建立Zscaler憑據，如以下示例：

3.您必須選擇Zscaler作為SIG Provider，然後按一下按一下此處建立 — Cisco SIG Credentials模板。

簽名憑證模板

4.系統會將您重定向到憑證模板。而且您必須為所有欄位輸入值：

• 模板名稱
• 說明
• SIG提供程式（自動從上一步中選擇）
• 組織
• 合作夥伴基礎URL
• 使用者名稱
• 密碼
• 合作夥伴API金鑰

5.按一下Save。

6.系統會將您重新導向至Secure Internet Gateway(SIG)模板。此模板允許您使用Zscaler配置SD-WAN IPsec SIG所需的專案。

在模板的第一部分中，提供名稱和說明。預設跟蹤程式將自動啟用，並使用Zscaler Layer 7 Health Check的API URL。

8.在Configuration部分下，您可以通過按一下Add Tunnel來建立IPsec隧道。在新彈出視窗中，根據需求進行選擇。
9.在本示例中，已使用WAN介面GigabitEthernet1作為隧道源建立了介面IPsec1。它與主Zcaler資料中心形成連線。建議將「高級選項」值保留為預設值。 

IPsec介面組態   

高可用性

在本節中，選擇設計是主用/主用還是主用/備用，並確定哪個IPsec介面是主用。

這是一個活動/活動設計的示例，所有介面都在活動下選擇，並使Backup沒有任何介面。

主動/主動設計

此示例顯示主用/備用設計，並將IPsec1和IPsec11選擇為主用介面，而將IPsec2和IPsec12指定為備用介面。

主用/備用設計

高級設置

1.在本節中，最重要的配置是主資料中心和輔助資料中心。建議同時配置為自動或手動，但不建議將其配置為混合。如果您選擇手動配置它們，請根據您的合作夥伴基礎URL從Zscaler門戶中選擇正確的URL。

自動或手動資料中心

2.完成後，按一下Save。

3.完成SIG模板配置後，必須在裝置模板下應用它們。如此一來，組態就會推送到思科邊緣路由器上。

4.下一步導航至配置>模板>裝置模板，在三個點上按一下編輯。

5.在Transport & Management VPN下，新增Secure Internet Gateway模板。

6.在Cisco Secure Internet Gateway上，從下拉選單中選擇正確的SIG功能模板。

在裝置模板上新增SIG模板

7.在思科SIG憑證中的其他模板下，從下拉選單中選擇正確的思科SIG憑證模板：

憑據SIG模板

8.按一下更新（如果您的裝置模板是活動模板，請使用標準步驟在活動模板上推送配置）。

驗證

1.在推送更改時，可以在配置預覽期間完成驗證，您必須注意以下事項：

secure-internet-gateway
     zscaler organization <removed>
     zscaler partner-base-uri <removed>
     zscaler partner-key <removed>
     zscaler username <removed>
     zscaler password <removed>
    !

2.在此範例中，您可以看到設計為活動/待機：

ha-pairs
  interface-pair Tunnel100001 active-interface-weight 1 Tunnel100002 backup-interface-weight 1
  interface-pair Tunnel100011 active-interface-weight 1 Tunnel100012 backup-interface-weight 1  

3.新增其他配置，例如加密ikev2配置檔案和策略，多個介面以Tunnel1xxxxx、vrf定義65530和ip sdwan route vrf 1 0.0.0.0/0服務標誌開始。所有這些更改都是具有Zscaler的IPsec SIG隧道的一部分。

此範例顯示通道介面的組態的外觀：

interface Tunnel100001
     no shutdown
     ip unnumbered       GigabitEthernet1
     no ip clear-dont-fragment
     ip mtu              1400
     tunnel source GigabitEthernet1
     tunnel destination dynamic
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile if-ipsec1-ipsec-profile
     tunnel vrf multiplexing

4.將配置成功推送到思科邊緣路由器後，您可以運行命令來驗證隧道是否可用：

Router#show sdwan secure-internet-gateway zscaler tunnels
                                                                                                                                                         HTTP
TUNNEL IF                                             TUNNEL                                            LOCATION                                         RESP  
NAME          TUNNEL NAME                             ID        FQDN           TUNNEL FSM STATE         ID        LOCATION FSM STATE   LAST HTTP REQ     CODE  
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001  site<removed>Tunnel100001             <removed>   <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200   
Tunnel100002  site<removed>Tunnel100002              <removed>  <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200

5.如果未看到http resp代碼200，則表示您的密碼或合作夥伴金鑰有問題。 
6.要驗證介面狀態，請使用以下命令：

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
GigabitEthernet3       10.2.20.77      YES other  up            up      
GigabitEthernet4       10.2.248.43     YES other  up            up      
Sdwan-system-intf      10.10.10.221    YES unset  up            up      
Loopback65528          192.168.1.1     YES other  up            up      
Loopback65530          192.168.0.2     YES other  up            up   <<< This is the IP that you used on Tracker SIG Feature template      
NVI0                   unassigned      YES unset  up            up      
Tunnel2                10.2.58.221     YES TFTP   up            up      
Tunnel3                10.2.20.77      YES TFTP   up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            up      
Tunnel100002           10.2.58.221     YES TFTP   up            up 

7.要驗證跟蹤器的狀態，請運行show endpoint-tracker和show endpoint-tracker records命令。這有助於確認跟蹤器正在使用哪個URL:

Router#show endpoint-tracker 
Interface              Record Name            Status          RTT in msecs    Probe ID        Next Hop       
Tunnel100001           #SIGL7#AUTO#TRACKER    Up              194             44              None           
Tunnel100002           #SIGL7#AUTO#TRACKER    Up              80              48              None   

Router#show endpoint-tracker records 
Record Name            Endpoint                            EndPoint Type   Threshold(ms)    Multiplier   Interval(s)     Tracker-Type   
#SIGL7#AUTO#TRACKER    http://gateway..net/vpnt API_URL         1000             2            30              interface  

8.您可以利用的其他驗證包括：

• 確保VRF上的路由指向IPsec隧道並運行以下命令：
  
  show ip route vrf 1 

最後選用網關是0.0.0.0到網路0.0.0.0

S* 0.0.0.0/0 [2/65535]，隧道100002
                    [2/65535]，通道100001
10.0.0.0/8進行了可變子網劃分，4個子網，2個掩碼

9.要進一步驗證，您可以向Internet執行ping操作並完成跟蹤路由以驗證流量的跳數：

Router#ping vrf 1 cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to <removed>, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 406/411/417 ms

Router1#traceroute vrf 1 cisco.com
Type escape sequence to abort.
Tracing the route to redirect-ns.cisco.com (<removed>)
VRF info: (vrf in name/id, vrf out name/id)
1 * * * 
2  195 msec 193 msec 199 msec
3  200 msec
   199 msec * 
.....

10.通過導航到Monitor > Device或Monitor > Network（適用於代碼20.6及早期版本），可以從vManage GUI驗證IPsec介面。

• 選擇路由器並導航到Applications > Interfaces。
• 選擇Tunnel10001和Tunnel10002以檢視即時流量或根據所需時間範圍自定義流量：  

監控IPsec隧道

疑難排解

如果SIG隧道未運行，請檢視以下步驟進行故障排除：

步驟 1:通過運行show sdwan secure-internet-gateway zscaler tunnels命令檢查錯誤。從輸出中，如果您注意到HTTP RESP代碼401，則表示驗證有問題。您可以驗證SIG憑證模板中的值，以檢視密碼或合作夥伴金鑰是否正確。

Router#show sdwan secure-internet-gateway zscaler tunnels 
                                                                                                                                    HTTP 
TUNNEL IF                                   TUNNEL                                 LOCATION                                         RESP 
NAME TUNNEL             NAME                ID        FQDN   TUNNEL FSM STATE      ID        LOCATION FSM STATE   LAST HTTP REQ     CODE 
----------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001   site<removed>Tunnel100001   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100002   site<removed>Tunnel100002   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100011   site<removed>Tunnel100011   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100012   site<removed>Tunnel100012   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 

步驟2.要進一步調試，請啟用這些命令並搜尋與SIG、HTTP或跟蹤器相關的日誌消息：

• debug platform software sdwan ftm sig
• debug platform software sdwan sig 
• debug platform software sdwan tracker
• debug platform software sdwan ftm rtm-events

從Cisco IOS®版本IOS-XE 17.11+,<debug platform>已遷移到<set platform trace>

set platform software trace ftmd R0 ftmd-sig [debug | verbose]

set platform software trace ios R0 sdwanrp-sig debug

set platform software trace ios R0 sdwanrp-tracker debug

set platform software trace ftmd R0 ftmd-rtm [debug | verbose]

1.以下是debug命令的輸出示例：

Router#show logging | inc SIG
Jan 31 19:39:38.666: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:39:38.669: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:59:18.240: SDWAN INFO: Tracker entry Tunnel100001/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.263: SDWAN INFO: Tracker entry Tunnel100002/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.274: SDWAN INFO: Tracker entry Tunnel100011/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.291: SDWAN INFO: Tracker entry Tunnel100012/#SIGL7#AUTO#TRACKER state => DOWN

2.運行命令show ip interface brief，檢查隧道介面Protocol，並檢查這些隧道是否顯示或關閉。  

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            down
Tunnel100002           10.2.58.221     YES TFTP   up            down

3.確認Zscaler憑證不存在問題後，從裝置模板中刪除SIG介面並將其推送到路由器。推送完成後，應用SIG模板並將其推迴路由器。此方法強制從零開始重新建立隧道。

相關資訊

• 思科技術支援與下載