XE SD-WANの同じトンネルインターフェイスでのIPsecおよびGREの設定

概要

このドキュメントでは、Cisco IOS XE® SD-WANルータの同じトンネルインターフェイスでIPsecおよびGREカプセル化を有効にする設定について説明します。

前提条件

要件

次の項目に関する知識があることが推奨されます。

• Cisco SD-WAN
• 基本的なCisco IOS XEコマンドラインインターフェイス(CLI)

使用するコンポーネント

このドキュメントは、次のソフトウェアとハードウェアのバージョンに基づいています。

• C8000Vバージョン17.6.2

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

背景説明

Cisco IOS XE SD-WANルータには、トンネルインターフェイスごとに少なくとも1つのカプセル化、つまりInternet Protocol Security(IPsec)またはGeneric Routing Encapsulation(GRE)が必要です。

両方のカプセル化が必要になる場合があります。

使用例

シナリオ 1

このシナリオでは、同じトンネルインターフェイスに、1つのトランスポートと両方のカプセル化を持つハブがあります。

これにより、2つのTLOCが作成され、IPSecのみを使用するリモートエッジデバイスとGREのみを使用するリモートエッジデバイスとのトンネルの形成が許可されます。

シナリオ 2

このシナリオでは、1つのトランスポートを持つ2つのエッジデバイスがあります。このトランスポートは、両方のエンドポイントで両方のカプセル化を使用して設定されます。

これは、GRE経由で送信する必要があるトラフィックとIPsec経由で送信するトラフィックがある場合に便利です。

コンフィギュレーション

この設定は、ルータのCLIまたはvManage機能テンプレートを使用して実行できます。

vManage機能テンプレートを使用

VPN 0のCisco VPN Interface Ethernet機能テンプレートで、Tunnel > Advanced Options > Encapsulationの順に移動し、On GREとIPsecをオンにします。

CLI の場合

両方のcEdgeデバイスで両方のカプセル化を使用してトンネルインターフェイスを設定します。

sdwan
 interface <WAN Interface>
  tunnel-interface
   encapsulation gre
   encapsulation ipsec

検証

検証コマンドを使用して、制御接続の状態を確認します。

show sdwan omp tlocs table | i <system-ip>
show sdwan bfd sessions

シナリオ2の例：

TLOCがOMPに再配布されていることを確認します。

Edge_A#show sdwan omp tlocs table | i 10.2.2.2
ipv4   10.2.2.2  mpls  gre    0.0.0.0  C,Red,R  1  172.16.1.30  0      172.16.1.30  0      ::  0  ::  0  up 
       10.2.2.2  mpls  ipsec  0.0.0.0  C,Red,R  1  172.16.1.30  12346  172.16.1.30  12346  ::  0  ::  0  up 

両方のTLOCでEdge_BへのBFDセッションを確認します。

Edge_A#show sdwan bfd sessions
                             SOURCE TLOC  REMOTE TLOC              DST PUBLIC   DST PUBLIC         DETECT      TX 
SYSTEM IP    SITE ID  STATE  COLOR        COLOR       SOURCE IP    IP           PORT        ENCAP  MULTIPLIER  INTERVAL(msec    UPTIME          TRANSITIONS 
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.4.4.4     4        up     mpls         mpls        172.16.1.30  172.16.1.32  0           gre    7           1000             11 11:11:36:55  1 
10.4.4.4     4        up     mpls         mpls        172.16.1.30  172.16.1.32  12366       ipsec  7           1000             11 11:11:36:51  0 

両方のトンネルへのパスを確認します。show sdwan policy service path vpn <vpn-number> interface <interface> source-ip <source-ip> dest-ip <dest-ip> protocol <protocol> allコマンドを使用します。

Edge_A#show sdwan policy service-path vpn 10 interface Loopback 20 source-ip 10.40.40.40 dest-ip 10.50.50.50 protocol 1 all 
Number of possible next hops: 2
Next Hop: GRE
Source: 172.16.1.30 Destination: 172.16.1.32 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
Next Hop: IPsec
Source: 172.16.1.30 12346 Destination: 172.16.1.32 12366 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4

関連情報

• Cisco SD-WANシステムおよびインターフェイス設定ガイド、Cisco IOS XEリリース17.x
• Cisco SD-WANコマンドリファレンス