Introduzione
Questo documento descrive la configurazione per abilitare l'incapsulamento IPsec e GRE per la stessa interfaccia tunnel su un router Cisco IOS XE® SD-WAN.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Cisco SD-WAN
- Interfaccia CLI (Command Line Interface) Cisco IOS-XE di base
Componenti usati
Questo documento si basa sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Premesse
I router Cisco IOS-XE SD-WAN hanno bisogno di almeno un incapsulamento; Internet Protocol Security (IPsec) o Generic Routing Encapsulation (GRE) per ciascuna interfaccia del tunnel.
In alcuni casi, è necessario usare entrambi gli incapsulamenti.
Scenari d'uso
Scenario 1
In questo scenario, è presente un hub con un trasporto ed entrambi gli incapsulamenti per la stessa interfaccia del tunnel.
In questo modo vengono creati due TLOC e viene consentito di formare tunnel con dispositivi periferici remoti che utilizzano solo IPSec e dispositivi periferici remoti che utilizzano solo GRE.
Scenario 2
In questo scenario, sono presenti due dispositivi periferici con un solo trasporto. Il trasporto è configurato con entrambi gli incapsulamenti su entrambi gli endpoint.
Questa opzione è utile se il traffico deve essere inviato tramite GRE e il traffico deve essere inviato tramite IPsec.
Configurazione
Questa configurazione può essere eseguita tramite la CLI del router o tramite un modello di funzionalità vManage.
Tramite il modello Funzionalità vManage
Sul modello della funzionalità Cisco VPN Interface Ethernet per VPN 0, selezionare Tunnel > Opzioni avanzate > Incapsulamento e attivare GRE e IPsec:
Tramite CLI
Configurare l'interfaccia del tunnel con entrambi gli incapsulamenti su entrambi i dispositivi cEdge:
sdwan
interface <WAN Interface>
tunnel-interface
encapsulation gre
encapsulation ipsec
Verifica
Verificare lo stato delle connessioni di controllo con i comandi di verifica.
show sdwan omp tlocs table | i <system-ip>
show sdwan bfd sessions
Esempio per lo scenario 2:
Verificare che i TLOC vengano ridistribuiti in OMP:
Edge_A#show sdwan omp tlocs table | i 10.2.2.2
ipv4 10.2.2.2 mpls gre 0.0.0.0 C,Red,R 1 172.16.1.30 0 172.16.1.30 0 :: 0 :: 0 up
10.2.2.2 mpls ipsec 0.0.0.0 C,Red,R 1 172.16.1.30 12346 172.16.1.30 12346 :: 0 :: 0 up
Verificare le sessioni BFD su Edge_B su entrambi i TLOC:
Edge_A#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.4.4.4 4 up mpls mpls 172.16.1.30 172.16.1.32 0 gre 7 1000 11 11:11:36:55 1
10.4.4.4 4 up mpls mpls 172.16.1.30 172.16.1.32 12366 ipsec 7 1000 11 11:11:36:51 0
Verificare il percorso verso entrambi i tunnel. Usare il comando show sdwan policy service path vpn <numero-vpn> interface <interfaccia> source-ip <ip-origine> dest-ip <ip-destinazione> protocol> all.
Edge_A#show sdwan policy service-path vpn 10 interface Loopback 20 source-ip 10.40.40.40 dest-ip 10.50.50.50 protocol 1 all
Number of possible next hops: 2
Next Hop: GRE
Source: 172.16.1.30 Destination: 172.16.1.32 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
Next Hop: IPsec
Source: 172.16.1.30 12346 Destination: 172.16.1.32 12366 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
Informazioni correlate