「IP[v6] Unnumbered」コマンドを使用した SVTI、DVTI、および IKEv2 FlexVPN での EIGRP の設定例
内容
概要
このドキュメントでは、Cisco IOS® でよく発生するいくつかのシナリオにおける Enhanced Interior Gateway Routing Protocol(EIGRP)の設定方法について説明します。Cisco IOS では、EIGRP ネイバー隣接関係(アジャセンシー)を受け入れるために、同じサブネット内の IP アドレスから EIGRP HELLO パケットを取得する必要があります。この確認は、ip unnumbered コマンドを使用して無効にすることができます。
この記事の最初の部分では、EIGRP で同じサブネット内にないパケットを受信した場合に発生する EIGRP の障害について説明しています。
もう 1 つの例では、この確認を無効にし、EIGRP で異なるサブネットに属しているピア間の隣接関係を形成できるようにする ip unnumbered コマンドの使用方法を示しています。
この記事では、サーバから送信される IP アドレスを使用した、FlexVPN のハブ アンド スポークの導入についても説明しています。このシナリオの場合、サブネットの確認は、ip address negotiated コマンドについてだけでなく ip unnumbered コマンドについても無効になります。ip unnumbered コマンドは、ポイントツーポイント(P2P)タイプのインターフェイスに主に使用します。このコマンドは、P2P アーキテクチャに基づくため、FlexVPN が最適なものになります。
最後に、IPv6 でのシナリオについて、スタティック仮想トンネル インターフェイス(SVTI)とダイナミック仮想トンネル インターフェイス(DVTI)の両方に関する相違とともに説明します。 IPv6 を IPv4 シナリオと比較すると、動作に若干の変更があります。
また、Cisco IOS バージョン 15.1 と 15.3 の間での変更についても説明しています(Cisco Bug ID CSCtx45062)。
DVTI では、ip unnumbered コマンドが必ず必要になります。これは、仮想テンプレート インターフェイスに静的に設定された IP アドレスが、仮想アクセス インターフェイスに複製されることはないためです。また、IP アドレスが設定されていないインターフェイスでは、ダイナミック ルーティング プロトコルの隣接関係を確立できません。ip unnumbered コマンドは SVTI では必要になりませんが、そのサブネットがないと、ダイナミック ルーティング プロトコルの隣接関係が確立される際に確認が実行されます。また、ipv6 unnumbered コマンドも IPv6 シナリオで不要です。これは、EIGRP 隣接関係を作成するためにリンクローカル アドレスが使用されるためです。
前提条件
要件
次の項目に関する基本的な知識が推奨されます。
- Cisco IOS での VPN 設定
- Cisco IOS での FlexVPN 設定
使用するコンポーネント
このドキュメントの情報は、Cisco IOSバージョン15.3Tに基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。
異なるサブネットを持つ 1 つのイーサネット セグメントでの EIGRP
トポロジ:ルータ 1(R1)(e0/0:10.0.0.1/24)-------(e0/1:10.0.1.2/24)ルータ 2(R2)
R1:
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
router eigrp 100
network 10.0.0.1 0.0.0.0
R2:
interface Ethernet0/0
ip address 10.0.1.2 255.255.255.0
router eigrp 100
network 10.0.1.2 0.0.0.0
R1 では、次のように表示します。
*Mar 3 16:39:34.873: EIGRP: Received HELLO on Ethernet0/0 nbr 10.0.1.2
*Mar 3 16:39:34.873: AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:39:34.873: EIGRP-IPv4(100): Neighbor 10.0.1.2 not on common subnet
for Ethernet0/0
Cisco IOS では、想定した隣接関係を形成しません。これに関する詳細は、「EIGRP の "Not On Common Subnet" というメッセージの意味は?」という記事を参照してください。
異なるサブネットを持つ SVTI セグメントでの EIGRP
同じ状況が、仮想トンネル インターフェイス(VTI)(Generic Routing Encapsulation(GRE)トンネル)を使用する場合に発生します。
トポロジ:R1(Tun1:172.16.0.1/24)-------(Tun1:172.17.0.2/24)R2
R1:
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
interface Tunnel1
ip address 172.16.0.1 255.255.255.0
tunnel source Ethernet0/0
tunnel destination 10.0.0.2
router eigrp 100
network 172.16.0.1 0.0.0.0
passive-interface default
no passive-interface Tunnel1
R2:
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
interface Tunnel1
ip address 172.17.0.2 255.255.255.0
tunnel source Ethernet0/0
tunnel destination 10.0.0.1
router eigrp 100
network 172.17.0.2 0.0.0.0
passive-interface default
no passive-interface Tunnel1
R1 では、次のように表示します。
*Mar 3 16:41:52.167: EIGRP: Received HELLO on Tunnel1 nbr 172.17.0.2
*Mar 3 16:41:52.167: AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:41:52.167: EIGRP-IPv4(100): Neighbor 172.17.0.2 not on common subnet
for Tunnel1
これは正常な動作です。
IP アンナンバード コマンド(ip unnumbered)の使用
次の例では、確認を無効にし、異なるサブネットのピア間での EIGRP セッションの確立を可能にする ip unnumbered コマンドの使用方法を示しています。
トポロジは前の例と似ていますが、この場合はトンネルのアドレスが、ループバックを指している ip unnumbered コマンドによって定義されています。
トポロジ:R1(Tun1:172.16.0.1/24)-------(Tun1:172.17.0.2/24)R2
R1:
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
interface Loopback0
ip address 172.16.0.1 255.255.255.0
interface Tunnel1
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel destination 10.0.0.2
router eigrp 100
network 172.16.0.1 0.0.0.0
passive-interface default
no passive-interface Tunnel1
R2:
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
interface Loopback0
ip address 172.17.0.2 255.255.255.0
interface Tunnel1
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel destination 10.0.0.1
router eigrp 100
network 172.17.0.2 0.0.0.0
passive-interface default
no passive-interface Tunnel1
R1 では、次のように表示します。
*Mar 3 16:50:39.046: EIGRP: Received HELLO on Tunnel1 nbr 172.17.0.2
*Mar 3 16:50:39.046: AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:50:39.046: EIGRP: New peer 172.17.0.2
*Mar 3 16:50:39.046: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 172.17.0.2
(Tunnel1) is up: new adjacency
R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 172.17.0.2 Tu1 12 00:00:07 7 1434 0 13
R1#show ip route eigrp
172.17.0.0/24 is subnetted, 1 subnets
D 172.17.0.0 [90/27008000] via 172.17.0.2, 00:00:05, Tunnel1
R1#show ip int brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 10.0.0.1 YES manual up up
Loopback0 172.16.0.1 YES manual up up
Tunnel1 172.16.0.1 YES TFTP up up
R2 でも、これと同様です。
ip unnumbered コマンドを特定の IP アドレス設定に変更すると、EIGRP 隣接関係は形成されません。
異なるサブネットを持つ SVTI から DVTI へのセグメントでの EIGRP
この例でも ip unnumbered コマンドが使用されています。前に説明したルールが DVTI にも適用されます。
トポロジ:R1(Tun1:172.16.0.1/24)-------(仮想テンプレート:172.17.0.2/24)R2
前の例が、ここでは SVTI の代わりに DVTI を使用するために変更されています。また、この例では tunnel protection(トンネル保護)も追加されています。
R1:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto ipsec profile prof
set transform-set TS
!
interface Loopback0
ip address 172.16.0.1 255.255.255.0
!
interface Tunnel1
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.2
tunnel protection ipsec profile prof
!
router eigrp 100
network 172.16.0.1 0.0.0.0
passive-interface default
no passive-interface Tunnel1
R2:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto isakmp profile profLAN
keyring default
match identity address 10.0.0.1 255.255.255.255
virtual-template 1
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto ipsec profile profLAN
set transform-set TS
set isakmp-profile profLAN
interface Loopback0
ip address 172.17.0.2 255.255.255.0
!
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile profLAN
!
!
router eigrp 100
network 172.17.0.2 0.0.0.0
passive-interface default
no passive-interface Virtual-Template1
次に示すように、すべてが想定どおりに機能しています。
R1#show crypto session
Crypto session current status
Interface: Tunnel1
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
IKEv1 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
R1#show crypto ipsec sa
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 10.0.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 89, #pkts encrypt: 89, #pkts digest: 89
#pkts decaps: 91, #pkts decrypt: 91, #pkts verify: 91
R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
0 172.17.0.2 Tu1 13 00:06:31 7 1434 0 19
R1#show ip route eigrp
172.17.0.0/24 is subnetted, 1 subnets
D 172.17.0.0 [90/27008000] via 172.17.0.2, 00:06:35, Tunnel1
R2#show crypto session
Crypto session current status
Interface: Virtual-Access1
Profile: profLAN
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
IKEv1 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
R2#show crypto ipsec sa
interface: Virtual-Access1
Crypto map tag: Virtual-Access1-head-0, local addr 10.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 10.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 107, #pkts encrypt: 107, #pkts digest: 107
#pkts decaps: 105, #pkts decrypt: 105, #pkts verify: 105
R2#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
0 172.16.0.1 Vi1 13 00:07:41 11 200 0 16
R2#show ip route eigrp
172.16.0.0/24 is subnetted, 1 subnets
D 172.16.0.0 [90/1433600] via 172.16.0.1, 00:07:44, Virtual-Access1
前の各例では、トンネル インターフェイスで直接 172.16.0.1 と 172.17.0.2 を設定しようとすると、EIGRP が前のエラーとまったく同じエラーで失敗します。
異なるサブネットを持つ IKEv2 Flex VPN での EIGRP
以下に FlexVPN ハブ アンド スポーク構成の例を示します。サーバでは、コンフィギュレーション モードによって IP アドレスをクライアントに送信します。
トポロジ:R1(e0/0:172.16.0.1/24)-------(e0/1:172.16.0.2/24)R2
ハブ(R1)の設定:
aaa new-model
aaa authorization network LOCALIKEv2 local
crypto ikev2 authorization policy AUTHOR-POLICY
pool POOL
!
crypto ikev2 keyring KEYRING
peer R2
address 172.16.0.2
pre-shared-key CISCO
!
crypto ikev2 profile default
match identity remote key-id FLEX
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
aaa authorization group psk list LOCALIKEv2 AUTHOR-POLICY
virtual-template 1
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface Ethernet0/0
ip address 172.16.0.1 255.255.255.0
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile default
!
!
router eigrp 1
network 1.1.1.1 0.0.0.0
passive-interface default
no passive-interface Virtual-Template1
!
ip local pool POOL 192.168.0.1 192.168.0.10
スポークの設定:
aaa new-model
aaa authorization network FLEX local
crypto ikev2 authorization policy FLEX
route set interface
!
!
!
crypto ikev2 keyring KEYRING
peer R1
address 172.16.0.1
pre-shared-key CISCO
!
!
!
crypto ikev2 profile default
match identity remote address 172.16.0.1 255.255.255.255
identity local key-id FLEX
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
aaa authorization group psk list FLEX FLEX
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/0
ip address 172.16.0.2 255.255.255.0
interface Tunnel0
ip address negotiated
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 172.16.0.1
tunnel protection ipsec profile default
router eigrp 1
network 0.0.0.0
passive-interface default
no passive-interface Tunnel0
スポークでは、すべてのスポークに対して DVTI を使用するハブに接続するために、SVTI が使用されています。EIGRP は Open Shortest Path First(OSPF)ほど柔軟性がなく、またインターフェイス(SVTI または DVTI)で設定できないため、EIGRP が Tun0 インターフェイスで確実に有効になるように、スポークには network 0.0.0.0 が使用されています。隣接関係が Tun0 インターフェイスに対してのみ確実に構成されるように、パッシブ インターフェイスが使用されています。
この導入では、ハブに ip unnumbered を設定することも必要です。仮想テンプレート インターフェイスで IP アドレスを手動で設定すると、そのアドレスは仮想アクセス インターフェイスに複製されません。また、仮想アクセス インターフェイスに IP アドレスが割り当てられず、EIGRP 隣接関係も形成されません。このため、DVTI インターフェイスが EIGRP 隣接関係を形成するために、ip unnumbered コマンドが必ず必要になります。
次の例では、EIGRP 隣接関係が 1.1.1.1 と 192.168.0.9 の間で作成されています。
ハブでのテスト:
R1#show ip int brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.0.1 YES NVRAM up up
Ethernet0/1 unassigned YES NVRAM administratively down down
Ethernet0/2 unassigned YES NVRAM administratively down down
Ethernet0/3 unassigned YES NVRAM administratively down down
Loopback0 1.1.1.1 YES manual up up
Virtual-Access1 1.1.1.1 YES unset up up
Virtual-Template1 1.1.1.1 YES manual up down
R1#show crypto session
Crypto session current status
Interface: Virtual-Access1
Session status: UP-ACTIVE
Peer: 172.16.0.2 port 500
IKEv2 SA: local 172.16.0.1/500 remote 172.16.0.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 192.168.0.9 Vi1 10 01:28:49 12 1494 0 13
R1#show ip route eigrp
....
Gateway of last resort is not set
2.0.0.0/24 is subnetted, 1 subnets
D 2.2.2.0 [90/27008000] via 192.168.0.9, 01:28:52, Virtual-Access1
スポークにとって、ip address negotiated コマンドは ip address unnumbered コマンドと同様に機能し、サブネットの確認は無効になります。
スポークでのテスト:
R2#show ip int brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.0.2 YES NVRAM up up
Ethernet0/1 unassigned YES NVRAM administratively down down
Ethernet0/2 unassigned YES NVRAM administratively down down
Ethernet0/3 unassigned YES NVRAM administratively down down
Loopback0 2.2.2.2 YES NVRAM up up
Tunnel0 192.168.0.9 YES NVRAM up up
R2#show crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 172.16.0.1 port 500
IKEv2 SA: local 172.16.0.2/500 remote 172.16.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
R2#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 1.1.1.1 Tu0 14 01:30:18 15 1434 0 14
R2#show ip route eigrp
....
1.0.0.0/24 is subnetted, 1 subnets
D 1.1.1.0 [90/27008000] via 1.1.1.1, 01:30:21
ルーティングのコンフィギュレーション モード
インターネット キー エクスチェンジ バージョン 2(IKEv2)は、もう 1 つのオプションです。ルートをプッシュするために、コンフィギュレーション モードを使用できます。このシナリオでは、EIGRP と ip unnumbered コマンドは不要です。
前の例は、コンフィギュレーション モードによってそのルートを送信するようにハブを設定するために、次のように変更できます。
crypto ikev2 authorization policy AUTHOR-POLICY
pool POOL
route set access-list SPLIT
ip access-list standard SPLIT
permit 1.1.1.0 0.0.0.255
次に示すように、スポークでは 1.1.1.1 を EIGRP ではなく、スタティックと見なします。
R2#show ip route
....
1.0.0.0/24 is subnetted, 1 subnets
S 1.1.1.0 is directly connected, Tunnel0
同じプロセスが反対方向に機能します。次に示すように、スポークではハブにルートを送信します。
crypto ikev2 authorization policy FLEX
route set access-list SPLIT
ip access-list standard SPLIT
permit 2.2.2.0 0.0.0.255
次に示すように、ハブではそのルートを(EIGRP ではなく)スタティックと見なします。
R1#show ip route
....
2.0.0.0/24 is subnetted, 1 subnets
S 2.2.2.0 is directly connected, Virtual-Access1
このシナリオでは、ダイナミック ルーティング プロトコルと ip unnumbered コマンドは不要です。
異なるサブネットを持つ SVTI セグメントでの IPv6 EIGRP
IPv6 の場合、状況は異なります。これは、IPv6 リンクローカル アドレス(FE80::/10)が EIGRP または OSPF の隣接関係を作成するために使用されるためです。有効なリンクローカル アドレスが常に同じサブネットに属しているため、このアドレスに対して ipv6 unnumbered コマンドを使用する必要はありません。
次の例のトポロジは前の例の場合と同じですが、すべての IPv4 アドレスが IPv6 アドレスに置き換えられています。
R1 の設定:
interface Tunnel1
no ip address
ipv6 address FE80:1::1 link-local
ipv6 address 2001:1::1/64
ipv6 enable
ipv6 eigrp 100
tunnel source Ethernet0/0
tunnel mode gre ipv6
tunnel destination 2001::2
interface Loopback0
description Simulate LAN
no ip address
ipv6 address 2001:100::1/64
ipv6 enable
ipv6 eigrp 100
interface Ethernet0/0
no ip address
ipv6 address 2001::1/64
ipv6 enable
ipv6 router eigrp 100
R2 の設定:
interface Tunnel1
no ip address
ipv6 address FE80:2::2 link-local
ipv6 address 2001:2::2/64
ipv6 enable
ipv6 eigrp 100
tunnel source Ethernet0/0
tunnel mode gre ipv6
tunnel destination 2001::1
interface Loopback0
description Simulate LAN
no ip address
ipv6 address 2001:200::1/64
ipv6 enable
ipv6 eigrp 100
interface Ethernet0/0
no ip address
ipv6 address 2001::2/64
ipv6 enable
ipv6 router eigrp 100
トンネル アドレスは異なるサブネット(2001:1::1/64 および 2001:2::2/64)にありますが、これは重要ではありません。リンクローカル アドレスは、隣接関係を作成するために使用されています。これらのアドレスを使用すれば、隣接関係の形成は常に成功します。
R1 で次のようにコマンドを入力します。
R1#show ipv6 int brief
Ethernet0/0 [up/up]
FE80::A8BB:CCFF:FE00:6400
2001::1
Loopback0 [up/up]
FE80::A8BB:CCFF:FE00:6400
2001:100::1
Tunnel1 [up/up]
FE80:1::1
2001:1::1
R1#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 Link-local address: Tu1 12 00:13:58 821 4926 0 17
FE80:2::2
R1#show ipv6 route eigrp
...
D 2001:2::/64 [90/28160000]
via FE80:2::2, Tunnel1
D 2001:200::/64 [90/27008000]
via FE80:2::2, Tunnel1
R2 で次のようにコマンドを入力します。
R2#show ipv6 int brief
Ethernet0/0 [up/up]
FE80::A8BB:CCFF:FE00:6500
2001::2
Loopback0 [up/up]
FE80::A8BB:CCFF:FE00:6500
2001:200::1
Tunnel1 [up/up]
FE80:2::2
2001:2::2
R2#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 Link-local address: Tu1 14 00:15:31 21 1470 0 18
FE80:1::1
R2#show ipv6 route eigrp
...
D 2001:1::/64 [90/28160000]
via FE80:1::1, Tunnel1
D 2001:100::/64 [90/27008000]
via FE80:1::1, Tunnel1
ピアの IPv6 ネットワークは、EIGRP プロセスによってインストールされます。R1には2001:2::/64ネットワークがインストールされており、そのネットワークは2001:1::/64とは異なるサブネットです。R2でも同様です。たとえば、2001::1/64はピアIPアドレスのサブネットです。この場合、ipv6 unnumbered コマンドは必要ありません。また、EIGRP 隣接関係を確立するためにトンネル インターフェイスで ipv6 address コマンドは必要ありません。これは、リンクローカル アドレスが使用され(および、これらが、ipv6 enable コマンドを使用して IPv6 を有効にした際に自動的に生成され)るためです。
異なるサブネットを持つ IKEv2 Flex VPN での IPv6 EIGRP
IPv6 用の DVTI 設定は、IPv4 の場合の設定とは異なります。静的 IP アドレスを設定することはできなくなりました。
R1(config)#interface Virtual-Template2 type tunnel
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 address ?
autoconfig Obtain address using autoconfiguration
dhcp Obtain a ipv6 address using dhcp
negotiated IPv6 Address negotiated via IKEv2 Modeconfig
R1(config-if)#ipv6 address
これは、静的アドレスが仮想アクセス インターフェイスに複製されないため予想できます。このため、ハブの設定には ipv6 unnumbered コマンドが推奨され、スポークの設定には ipv6 address negotiated コマンドが推奨されます。
トポロジは前の例と同じですが、すべての IPv4 アドレスが IPv6 アドレスに置き換えられています。
ハブ(R1)の設定:
aaa authorization network LOCALIKEv2 local
crypto ikev2 authorization policy AUTHOR-POLICY
ipv6 pool POOL
crypto ikev2 keyring KEYRING
peer R2
address 2001::2/64
pre-shared-key CISCO
crypto ikev2 profile default
match identity remote key-id FLEX
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
aaa authorization group psk list LOCALIKEv2 AUTHOR-POLICY
virtual-template 1
interface Loopback0
no ip address
ipv6 address 2001:100::1/64
ipv6 enable
ipv6 eigrp 100
interface Ethernet0/0
no ip address
ipv6 address 2001::1/64
ipv6 enable
interface Virtual-Template1 type tunnel
no ip address
ipv6 unnumbered Loopback0
ipv6 enable
ipv6 eigrp 100
tunnel source Ethernet0/0
tunnel mode ipsec ipv6
tunnel protection ipsec profile default
ipv6 local pool POOL 2001:10::/64 64
ipv6 router eigrp 100
eigrp router-id 1.1.1.1
スポーク(R2)の設定:
aaa authorization network FLEX local
crypto ikev2 authorization policy FLEX
route set interface
crypto ikev2 keyring KEYRING
peer R1
address 2001::1/64
pre-shared-key CISCO
crypto ikev2 profile default
match identity remote address 2001::1/64
identity local key-id FLEX
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
aaa authorization group psk list FLEX FLEX
interface Tunnel0
no ip address
ipv6 address negotiated
ipv6 enable
ipv6 eigrp 100
tunnel source Ethernet0/0
tunnel mode ipsec ipv6
tunnel destination 2001::1
tunnel protection ipsec profile default
!
interface Ethernet0/0
no ip address
ipv6 address 2001::2/64
ipv6 enable
ipv6 router eigrp 100
eigrp router-id 2.2.2.2
検証:
R2#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 Link-local address: Tu0 11 00:12:32 17 1440 0 12
FE80::A8BB:CCFF:FE00:6500
R2#show ipv6 route eigrp
....
D 2001:100::/64 [90/27008000]
via FE80::A8BB:CCFF:FE00:6500, Tunnel0
R2#show crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
Interface: Tunnel0
Uptime: 00:13:17
Session status: UP-ACTIVE
Peer: 2001::1 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 2001::1
Desc: (none)
IKEv2 SA: local 2001::2/500
remote 2001::1/500 Active
Capabilities:(none) connid:1 lifetime:23:46:43
IPSEC FLOW: permit ipv6 ::/0 ::/0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 190 drop 0 life (KB/Sec) 4271090/2803
Outbound: #pkts enc'ed 194 drop 0 life (KB/Sec) 4271096/2803
R2#ping 2001:100::1 repeat 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 2001:100::1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/4/5 ms
R2#show crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
Interface: Tunnel0
Uptime: 00:13:27
Session status: UP-ACTIVE
Peer: 2001::1 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 2001::1
Desc: (none)
IKEv2 SA: local 2001::2/500
remote 2001::1/500 Active
Capabilities:(none) connid:1 lifetime:23:46:33
IPSEC FLOW: permit ipv6 ::/0 ::/0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 292 drop 0 life (KB/Sec) 4271071/2792
Outbound: #pkts enc'ed 296 drop 0 life (KB/Sec) 4271082/2792
DVTI の場合、IPv6 を手動で設定することはできません。ハブには ipv6 unnumbered コマンドが推奨され、スポークには ipv6 address negotiated コマンドが推奨されます。
このシナリオでは、DVTI 用の ipv6 unnumbered コマンドを示しています。IPv6 の場合、IPv4 とは異なり、仮想テンプレート インターフェイスに対して ipv6 unnumbered コマンドが不要なことに注目することが重要です。この理由は、IPv6 の SVTI シナリオの場合と同じです。つまり、リンクローカル IPv6 アドレスが隣接関係の作成に使用されます。仮想テンプレートから複製された仮想アクセス インターフェイスでは IPv6 リンクローカル アドレスを継承し、そのアドレスがあれば EIGRP 隣接関係を作成できます。
確認
現在、この設定に使用できる確認手順はありません。
トラブルシュート
現在、この設定に関する特定のトラブルシューティング情報はありません。
既知の注意事項
Cisco Bug ID CSCtx45062 FlexVPN:トンネルの IP アドレスが /32 の場合に、EIGRP が共通のサブネットをチェックしません。
このバグおよび修正は、FlexVPN 固有のものではありません。修正(ソフトウェア リリース 15.1)を実装する前に、次のコマンドを入力します。
R2(config-if)#do show run int tun1
Building configuration...
Current configuration : 165 bytes
interface Tunnel1
tunnel source Ethernet0/0
tunnel destination 192.168.0.1
tunnel protection ipsec profile prof1
R2(config-if)#ip address 192.168.200.1 255.255.255.255
Bad mask /32 for address 192.168.200.1
修正(ソフトウェア 15.3)後に、次のコマンドを入力します。
R2(config-if)#do show run int tun1
Building configuration...
Current configuration : 165 bytes
interface Tunnel1
tunnel source Ethernet0/0
tunnel destination 192.168.0.1
tunnel protection ipsec profile prof1
R2(config-if)#ip address 192.168.200.1 255.255.255.255
R2(config-if)#
*Jun 14 18:01:12.395: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor
192.168.100.1 (Tunnel1) is up: new adjacency
実際にはソフトウェア リリース 15.3 には次の 2 つの変更があります。
- Netmask /32 がすべての IP アドレスで受け入れられる。
- /32 アドレスを使用する場合、EIGRP ネイバーのサブネットは確認されない。
要約
EIGRP の動作は、ip unnumbered コマンドによって変更されます。このコマンドでは、EIGRP の隣接関係を確立すると同時に、同じサブネットのチェックを無効にします。
仮想テンプレートに DVTI の静的に設定された IP アドレスを使用する場合、そのアドレスは仮想アクセスに複製されないことに注意することも重要です。このため、ip unnumberedが必要です。
FlexVPN については、クライアントでネゴシエートされたアドレスを使用する場合に、ip unnumbered コマンドを使用する必要はありません。しかし、EIGRP を使用する場合は、ハブでこのコマンドを使用することが重要です。ルーティングにコンフィギュレーション モードを使用する場合は、EIGRP は不要です。
SVTI の場合、IPv6 では隣接関係にリンクローカル アドレスを使用するため、ipv6 unnumbered コマンドを使用する必要はありません。
DVTI の場合、IPv6 を手動で設定することはできません。ハブには ipv6 unnumbered コマンドが推奨され、スポークには ipv6 address negotiated コマンドが推奨されます。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
18-Sep-2013 |
初版 |
フィードバック