Konfigurieren eines VRF-kompatiblen, routenbasierten Site-to-Site-VPN auf einem von FDM verwalteten FTD
Einleitung
In diesem Dokument wird beschrieben, wie Sie ein VRF-fähiges, routenbasiertes Site-to-Site-VPN auf einem durch FDM verwalteten FTD konfigurieren.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Grundlegendes Verständnis von VPN
- Grundlegendes Verständnis von Virtual Routing and Forwarding (VRF)
- Erfahrung mit FDM
Verwendete Komponenten
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
- Cisco FTDv Version 7.4.2
- Cisco FDM Version 7.4.2
- Cisco ASAv Version 9.20.3
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Virtual Routing and Forwarding (VRF) im FirePOWER Device Manager (FDM) ermöglicht Ihnen die Erstellung mehrerer isolierter Routing-Instanzen auf einem einzelnen FirePOWER Threat Defense (FTD)-Gerät. Jede VRF-Instanz fungiert als separater virtueller Router mit eigener Routing-Tabelle, die eine logische Trennung des Netzwerkverkehrs ermöglicht und erweiterte Sicherheits- und Datenverkehrsmanagementfunktionen bietet.
In diesem Dokument wird erläutert, wie VRF-kompatibles IPSec VPN mit VTI konfiguriert wird. VRF Red-Netzwerk und VRF Blue-Netzwerk liegen hinter FTD. Client1 im VRF-Rot-Netzwerk und Client2 in VRF-Blau kommunizieren über den IPSec-VPN-Tunnel mit Client 3 hinter der ASA.
Konfigurieren
Netzwerkdiagramm
Topologie
FTD konfigurieren
Schritt 1: Es muss sichergestellt werden, dass die vorläufige Konfiguration der IP-Interkonnektivität zwischen den Knoten ordnungsgemäß abgeschlossen wurde. Client1 und Client2 haben die FTD Inside IP-Adresse als Gateway. Der Client3 hat die ASA-interne IP-Adresse als Gateway.
Schritt 2: Erstellen Sie eine virtuelle Tunnelschnittstelle. Melden Sie sich bei der FDM-GUI von FTD an. Navigieren Sie zu Gerät > Schnittstellen . Klicken Sie auf Alle Schnittstellen anzeigen .
FTD_View_Interfaces
Schritt 2.1. Klicken Sie auf die Registerkarte "Virtuelle Tunnelschnittstellen". Klicken Sie auf +.
FTD_Erstellen_VTI
Schritt 2.2. Geben Sie die erforderlichen Informationen ein. Klicken Sie auf OK.
- Name: demovti
- Tunnel-ID: 1
- Tunnelquelle: Extern (GigabitEthernet0/0)
- IP-Adresse und Subnetzmaske: 169.254.10.1/24
- Status: Klicken Sie auf den Schieberegler für die Position Aktiviert.
FTD_Create_VTI_Details
Schritt 3: Navigieren Sie zu Gerät > Site-to-Site-VPN . Klicken Sie auf Konfiguration anzeigen.
FTD_Site-to-Site_VPN_View_Konfigurationen
Schritt 3.1. Erstellen Sie ein neues Site-to-Site-VPN. Klicken Sie auf DIE Schaltfläche SITE-TO-SITE-VERBINDUNG ERSTELLEN. Oder klicken Sie auf die Schaltfläche +.
FTD_Create_Site2Site_Connection
Schritt 3.2: Bereitstellen notwendige Informationen. Klicken Sie auf die Schaltfläche WEITER.
- Verbindungsprofilname: Demo S2S
- Typ: Routenbasiert (VTI)
- Lokale VPN-Zugangsoberfläche: demovti (erstellt in Schritt 2)
- Remote-IP-Adresse: 192.168.40.1 (dies ist die Peer-ASA außerhalb der IP-Adresse)
FTD_Site-to-Site_VPN_Endpunkte
Schritt 3.3: Navigieren Sie zur IKE-Richtlinie. Klicken Sie auf die Schaltfläche BEARBEITEN.
FTD_Bearbeiten_IKE_Richtlinie
Schritt 3.4: Für die IKE-Richtlinie können Sie eine vordefinierte Richtlinie verwenden oder eine neue erstellen, indem Sie auf Neue IKE-Richtlinie erstellen .
In diesem Beispiel wird ein vorhandener IKE-Richtlinienname AES-SHA-SHA umgeschaltet. Klicken Sie auf OK, um zu speichern.
FTD_Aktivieren_IKE_Richtlinie
Schritt 3.5. Navigieren Sie zu IPSec-Angebot. Klicken Sie auf die Schaltfläche BEARBEITEN.
FTD_Bearbeiten_IPSec_Angebot
Schritt 3.6. Für ein IPSec-Angebot können Sie das vordefinierte verwenden oder ein neues erstellen, indem Sie auf Neues IPSec-Angebot erstellen klicken.
In diesem Beispiel ein- und ausschalten eines vorhandenen IPSec-Angebotsnamens AES-SHA . Klicken Sie auf OK zu speichern.
FTD_Enable_IPSec_Proposal
Schritt 3.7: Blättern Sie auf der Seite nach unten, und konfigurieren Sie den vorinstallierten Schlüssel. Klicken Sie auf die Schaltfläche WEITER.
Notieren Sie sich diesen vorinstallierten Schlüssel, und konfigurieren Sie ihn später auf der ASA.
FTD_Konfiguration_Pre_Shared_Key
Schritt 3.8: Überprüfen der VPN-Konfiguration Wenn Sie Änderungen vornehmen möchten, klicken Sie auf die Schaltfläche Zurück. Wenn alles in Ordnung ist, klicken Sie auf die Schaltfläche FERTIG stellen.
FTD_Überprüfung_VPN_Konfiguration
Schritt 3.9: Erstellen Sie eine Zugriffskontrollregel, um den Datenverkehr durch das FTD passieren zu lassen. In diesem Beispiel alle für Demozwecke zulassen. Ändern Sie Ihre Richtlinie entsprechend Ihren tatsächlichen Anforderungen.
FTD_ACP_Beispiel
Schritt 3.10: (Optional) Konfigurieren Sie die NAT-Ausschlussregel für den Client-Datenverkehr auf FTD, wenn eine dynamische NAT für den Client für den Zugriff auf das Internet konfiguriert ist. In diesem Beispiel muss keine NAT-Ausschlussregel konfiguriert werden, da für FTD keine dynamische NAT konfiguriert ist.
Schritt 3.11: Bereitstellen der Konfigurationsänderungen
FTD_Deployment_Changes
Schritt 4: Konfigurieren virtueller Router
Schritt 4.1. Erstellen Sie Netzwerkobjekte für die statische Route. Navigieren Sie zu Objekte > Netzwerke, und klicken Sie auf +.
FTD_NetObjects erstellen
Schritt 4.2: Bereitstellen der erforderlichen Informationen zu jedem Netzwerkobjekt Klicken Sie auf OK.
- Name: local_blue_192.168.20.0
- Typ: Netzwerk
- Netzwerk: 192.168.20.0/24
FTD_VRF_Blau_Netzwerk
- Name: local_red_192,168.10,0
- Typ: Netzwerk
- Netzwerk: 192.168.10.0/24
FTD_VRF_Rot_Netzwerk
- Name: remote_192,168,50,0
- Typ: Netzwerk
- Netzwerk: 192.168.50.0/24
FTD_Remote_Netzwerk
Schritt 4.3: Erstellen des ersten virtuellen Routers Navigieren Sie zu Gerät > Routing . Klicken Sie auf Konfiguration anzeigen .
FTD_Ansicht_Routing_Konfiguration
Schritt 4.4: Klicken Sie auf Mehrere virtuelle Router hinzufügen .
Anmerkung: Eine statische Route über eine externe Schnittstelle wurde bereits während der FDM-Initialisierung konfiguriert. Falls Sie es nicht haben, konfigurieren Sie es bitte manuell.
FTD_Hinzufügen_Erster_Virtueller_Router1
Schritt 4.5. Klicken Sie auf ERSTEN BENUTZERDEFINIERTEN VIRTUELLEN ROUTER ERSTELLEN .
FTD_Hinzufügen_Erster_Virtueller_Router2
Schritt 4.6: Bereitstellen der erforderlichen Informationen für den ersten virtuellen Router Klicken Sie auf OK. Nach der Erstellung des ersten virtuellen Routers wird automatisch ein VRF-Name Global angezeigt.
- Name: VRF_Rot
- Schnittstellen: inside_red (GigabitEthernet0/1)
FTD_Hinzufügen_Erster_Virtueller_Router3
Schritt 4.7: Erstellen Sie einen zweiten virtuellen Router. Navigieren Sie zu Gerät > Routing . Klicken Sie auf Konfiguration anzeigen . Klicken Sie auf +.
FTD_Add_Second_Virtueller_Router
Schritt 4.8: Bereitstellen der erforderlichen Informationen für den zweiten virtuellen Router Klicken Sie auf die Schaltfläche OK
- Name: VRF_Blau
- Schnittstellen: inside_blue (GigabitEthernet0/2)
FTD_Add_Second_Virtueller_Router2
Schritt 5: Erstellen Sie einen Route Leak von vrf_blue zu Global. Diese Route ermöglicht Endpunkten im Netzwerk 192.168.20.0/24, Verbindungen zu initiieren, die den Site-to-Site-VPN-Tunnel passieren würden. In diesem Beispiel schützt der Remote-Endpunkt das Netzwerk 192.168.50.0/24.
Navigieren Sie zu Gerät > Routing . Klicken Sie auf Konfiguration anzeigen. klicken Sie auf das Symbol Anzeigen. in der Zelle Action für den virtuellen Router vrf_blue ein.
FTD_Ansicht_VRF_Blau
Schritt 5.1. Klicken Sie auf die Registerkarte "Static Routing". Klicken Sie auf +.
FTD_Create_Static_Route_VRF_Blau
Schritt 5.2: Geben Sie die erforderlichen Informationen ein. Klicken Sie auf OK.
- Name: Blau_zu_ASA
- Schnittstelle: demovti (Tunnel1)
- Netzwerke: remote_192,168,50,0
- Gateway: Lassen Sie dieses Feld leer.
FTD_Create_Static_Route_VRF_Blue_Details
Schritt 6: Erstellen Sie einen Route Leak von vrf_red zu Global. Diese Route ermöglicht Endpunkten im Netzwerk 192.168.10.0/24, Verbindungen zu initiieren, die den Site-to-Site-VPN-Tunnel passieren würden. In diesem Beispiel schützt der Remote-Endpunkt das Netzwerk 192.168.50.0/24.
Navigieren Sie zu Gerät > Routing . Klicken Sie auf Konfiguration anzeigen. klicken Sie auf das Symbol Anzeigen. in der Zelle Action für den virtuellen Router vrf_red ein.
FTD_Ansicht_VRF_Rot
Schritt 6.1. Klicken Sie auf die Registerkarte "Static Routing". Klicken Sie auf +.
FTD_Erstellen_Statische_Route_VRF_Rot
Schritt 6.2: Geben Sie die erforderlichen Informationen ein. Klicken Sie auf OK.
- Name: Rot_zu_ASA
- Schnittstelle: demovti (Tunnel1)
- Netzwerke: remote_192,168,50,0
- Gateway: Lassen Sie dieses Feld leer.
FTD_Create_Static_Route_VRF_Red_Details
Schritt 7: Route Leak von Global- zu virtuellen Routern erstellen. Die Routen ermöglichen Endpunkten, die durch das Remote-Ende des Site-to-Site-VPN geschützt sind, den Zugriff auf das Netzwerk 192.168.10.0/24 im virtuellen Router vrf_red und auf das Netzwerk 192.168.20.0/24 im virtuellen Router vrf_blue.
Navigieren Sie zu Gerät > Routing . Klicken Sie auf Konfiguration anzeigen . Klicken Sie auf das Symbol Anzeigen in der Zelle Aktion für den globalen virtuellen Router.
FTD_Ansicht_VRF_Global
Schritt 7.1. Klicken Sie auf die Registerkarte "Static Routing". Klicken Sie auf +.
FTD_Create_Static_Route_VRF_Global
Schritt 7.2: Geben Sie die erforderlichen Informationen ein. Klicken Sie auf OK.
- Name: S2S_undicht_blau
- Schnittstelle: inside_blue (GigabitEthernet0/2)
- Netzwerke: local_blue_192.168.20.0
- Gateway: Lassen Sie dieses Feld leer.
FTD_Create_Static_Route_VRF_Global_To_Blue
- Name: S2S_undicht_rot
- Schnittstelle: inside_red (GigabitEthernet0/1)
- Netzwerke: local_red_192,168.10,0
- Gateway: Lassen Sie dieses Feld leer.
FTD_Create_Static_Route_VRF_Global_To_Red
Schritt 8: Bereitstellen der Konfigurationsänderungen
FTD_Deployment_Changes
Konfigurieren der ASA
Schritt 9: Erstellen Sie die IKEv2-Richtlinie, die dieselben Parameter definiert, die auch für den FTD konfiguriert wurden.
crypto ikev2 policy 20
encryption aes-256 aes-192 aes
integrity sha512 sha384 sha256 sha
group 21 20 16 15 14
prf sha512 sha384 sha256 sha
lifetime seconds 86400
Schritt 10: Erstellen Sie einen IKEv2 ipsec-Vorschlag, der die gleichen Parameter definiert, die auch für den FTD konfiguriert wurden.
crypto ipsec ikev2 ipsec-proposal AES-SHA
protocol esp encryption aes-256 aes-192 aes
protocol esp integrity sha-512 sha-384 sha-256 sha-1
Schritt 11: Erstellen eines IPSec-Profil, referenzieren ipsec-Proposal wurde in Schritt 10 erstellt.
crypto ipsec profile demo_ipsec_profile
set ikev2 ipsec-proposal AES-SHA
set security-association lifetime kilobytes 4608000
set security-association lifetime seconds 28800
Schritt 12: Erstellen einer Gruppenrichtlinie, die das IKEv2-Protokoll zulässt
group-policy demo_gp_192.168.30.1 internal
group-policy demo_gp_192.168.30.1 attributes
vpn-tunnel-protocol ikev2
Schritt 13: Erstellen Sie eine Tunnelgruppe für den Peer-FTD außerhalb der IP-Adresse. Verwenden Sie dabei die in Schritt 12 erstellte Gruppenrichtlinie, und Konfigurieren desselben Pre-Shared Keys mit FTD(erstellt in Schritt 3.7).
tunnel-group 192.168.30.1 type ipsec-l2l
tunnel-group 192.168.30.1 general-attributes
default-group-policy demo_gp_192.168.30.1
tunnel-group 192.168.30.1 ipsec-attributes
ikev2 remote-authentication pre-shared-key *****
ikev2 local-authentication pre-shared-key *****
Schritt 14: Aktivieren Sie IKEv2 auf der externen Schnittstelle.
crypto ikev2 enable outside
Schritt 15: Erstellen eines virtuellen Tunnels
interface Tunnel1
nameif demovti_asa
ip address 169.254.10.2 255.255.255.0
tunnel source interface outside
tunnel destination 192.168.30.1
tunnel mode ipsec ipv4
tunnel protection ipsec profile demo_ipsec_profile
Schritt 16: Erstellen Sie eine statische Route.
route demovti_asa 192.168.10.0 255.255.255.0 169.254.10.1 1
route demovti_asa 192.168.20.0 255.255.255.0 169.254.10.1 1
route outside 0.0.0.0 0.0.0.0 192.168.40.3 1
Überprüfung
Verwenden Sie diesen Abschnitt, um zu überprüfen, ob Ihre Konfiguration ordnungsgemäß funktioniert.
Schritt 1: Navigieren Sie zur CLI von FTD und ASA über die Konsole oder SSH, um den VPN-Status von Phase 1 und Phase 2 zu überprüfen. Verwenden Sie hierzu die Befehle show crypto ikev2 sa und show crypto ipsec sa.
FTD:
> system support diagnostic-cli
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ftdv742#
ftdv742# show crypto ikev2 sa
IKEv2 SAs:
Session-id:4, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status Role
32157565 192.168.30.1/500 192.168.40.1/500 Global/Global READY RESPONDER
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:21, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/67986 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 0.0.0.0/0 - 255.255.255.255/65535
ESP spi in/out: 0x4cf55637/0xa493cc83
ftdv742# show crypto ipsec sa
interface: demovti
Crypto map tag: __vti-crypto-map-Tunnel1-0-1, seq num: 65280, local addr: 192.168.30.1
Protected vrf (ivrf): Global
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer: 192.168.40.1
#pkts encaps: 30, #pkts encrypt: 30, #pkts digest: 30
#pkts decaps: 30, #pkts decrypt: 30, #pkts verify: 30
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 30, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 192.168.30.1/500, remote crypto endpt.: 192.168.40.1/500
path mtu 1500, ipsec overhead 94(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: A493CC83
current inbound spi : 4CF55637
inbound esp sas:
spi: 0x4CF55637 (1291146807)
SA State: active
transform: esp-aes-256 esp-sha-512-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, VTI, }
slot: 0, conn_id: 13, crypto-map: __vti-crypto-map-Tunnel1-0-1
sa timing: remaining key lifetime (kB/sec): (4055040/16867)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0xA493CC83 (2761149571)
SA State: active
transform: esp-aes-256 esp-sha-512-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, VTI, }
slot: 0, conn_id: 13, crypto-map: __vti-crypto-map-Tunnel1-0-1
sa timing: remaining key lifetime (kB/sec): (4285440/16867)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001ASA:
ASA9203# show crypto ikev2 sa
IKEv2 SAs:
Session-id:4, Status:UP-ACTIVE, IKE count:1, CHILD count:1
Tunnel-id Local Remote fvrf/ivrf Status Role
26025779 192.168.40.1/500 192.168.30.1/500 Global/Global READY INITIATOR
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:21, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/68112 sec
Child sa: local selector 0.0.0.0/0 - 255.255.255.255/65535
remote selector 0.0.0.0/0 - 255.255.255.255/65535
ESP spi in/out: 0xa493cc83/0x4cf55637
ASA9203#
ASA9203# show cry
ASA9203# show crypto ipsec sa
interface: demovti_asa
Crypto map tag: __vti-crypto-map-Tunnel1-0-1, seq num: 65280, local addr: 192.168.40.1
Protected vrf (ivrf): Global
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer: 192.168.30.1
#pkts encaps: 30, #pkts encrypt: 30, #pkts digest: 30
#pkts decaps: 30, #pkts decrypt: 30, #pkts verify: 30
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 30, #pkts comp failed: 0, #pkts decomp failed: 0
#pre-frag successes: 0, #pre-frag failures: 0, #fragments created: 0
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
#TFC rcvd: 0, #TFC sent: 0
#Valid ICMP Errors rcvd: 0, #Invalid ICMP Errors rcvd: 0
#send errors: 0, #recv errors: 0
local crypto endpt.: 192.168.40.1/500, remote crypto endpt.: 192.168.30.1/500
path mtu 1500, ipsec overhead 94(44), media mtu 1500
PMTU time remaining (sec): 0, DF policy: copy-df
ICMP error validation: disabled, TFC packets: disabled
current outbound spi: 4CF55637
current inbound spi : A493CC83
inbound esp sas:
spi: 0xA493CC83 (2761149571)
SA State: active
transform: esp-aes-256 esp-sha-512-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, VTI, }
slot: 0, conn_id: 4, crypto-map: __vti-crypto-map-Tunnel1-0-1
sa timing: remaining key lifetime (kB/sec): (4101120/16804)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001
outbound esp sas:
spi: 0x4CF55637 (1291146807)
SA State: active
transform: esp-aes-256 esp-sha-512-hmac no compression
in use settings ={L2L, Tunnel, IKEv2, VTI, }
slot: 0, conn_id: 4, crypto-map: __vti-crypto-map-Tunnel1-0-1
sa timing: remaining key lifetime (kB/sec): (4055040/16804)
IV size: 16 bytes
replay detection support: Y
Anti replay bitmap:
0x00000000 0x00000001Schritt 2: Überprüfen der Route von VRF und Global auf FTD
ftdv742# show route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is 192.168.30.3 to network 0.0.0.0
S* 0.0.0.0 0.0.0.0 [1/0] via 192.168.30.3, outside
C 169.254.10.0 255.255.255.0 is directly connected, demovti
L 169.254.10.1 255.255.255.255 is directly connected, demovti
SI 192.168.10.0 255.255.255.0 [1/0] is directly connected, inside_red
SI 192.168.20.0 255.255.255.0 [1/0] is directly connected, inside_blue
C 192.168.30.0 255.255.255.0 is directly connected, outside
L 192.168.30.1 255.255.255.255 is directly connected, outside
ftdv742# show route vrf vrf_blue
Routing Table: vrf_blue
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
C 192.168.20.0 255.255.255.0 is directly connected, inside_blue
L 192.168.20.1 255.255.255.255 is directly connected, inside_blue
SI 192.168.50.0 255.255.255.0 [1/0] is directly connected, demovti
ftdv742# show route vrf vrf_red
Routing Table: vrf_red
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, V - VPN
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, + - replicated route
SI - Static InterVRF, BI - BGP InterVRF
Gateway of last resort is not set
C 192.168.10.0 255.255.255.0 is directly connected, inside_red
L 192.168.10.1 255.255.255.255 is directly connected, inside_red
SI 192.168.50.0 255.255.255.0 [1/0] is directly connected, demovtiSchritt 3: Überprüfen des Ping-Tests
Vor dem Ping überprüfen Sie die Zähler von show crypto ipsec sa | inc interface:|encap|decap on FTD.
In diesem Beispiel zeigt Tunnel1 30 Pakete für Kapselung und Entkapselung.
ftdv742# show crypto ipsec sa | inc interface:|encap|decap
interface: demovti
#pkts encaps: 30, #pkts encrypt: 30, #pkts digest: 30
#pkts decaps: 30, #pkts decrypt: 30, #pkts verify: 30
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0
ftdv742#Client1 hat Client3 erfolgreich gepingt.
Client1#ping 192.168.50.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.50.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 5/299/620 msClient2 hat Client3 erfolgreich gepingt.
Client2#ping 192.168.50.10
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.50.10, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 11/297/576 msÜberprüfen Sie die Zähler von show crypto ipsec sa | inklusive Schnittstelle:|encap|decap auf FTD, nachdem ein Ping erfolgreich durchgeführt wurde.
In diesem Beispiel zeigt Tunnel1 40 Pakete für Kapselung und Entkapselung nach einem erfolgreichen Ping. Außerdem erhöhten sich beide Zähler um 10 Pakete, die den 10 Ping-Echo-Anforderungen entsprechen. Dies zeigt an, dass der Ping-Verkehr erfolgreich durch den IPSec-Tunnel geleitet wurde.
ftdv742# show crypto ipsec sa | inc interface:|encap|decap
interface: demovti
#pkts encaps: 40, #pkts encrypt: 40, #pkts digest: 40
#pkts decaps: 40, #pkts decrypt: 40, #pkts verify: 40
#PMTUs sent: 0, #PMTUs rcvd: 0, #decapsulated frgs needing reassembly: 0Fehlerbehebung
In diesem Abschnitt erhalten Sie Informationen zur Behebung von Fehlern in Ihrer Konfiguration.
Sie können diese Befehle zum Debuggen verwenden, um Probleme im VPN-Abschnitt zu beheben.
debug crypto ikev2 platform 255
debug crypto ikev2 protocol 255
debug crypto ipsec 255
debug vti 255
Sie können diese Debug-Befehle verwenden, um Fehler im Routenabschnitt zu beheben.
debug ip routing
Referenz
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
19-Dec-2024 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)