소개
이 문서에서는 Cisco IOS XE® SD-WAN 라우터의 동일한 터널 인터페이스에 대해 IPsec 및 GRE 캡슐화를 활성화하는 컨피그레이션에 대해 설명합니다.
사전 요구 사항
요구 사항
Cisco에서는 다음 항목에 대한 지식을 권장합니다.
- Cisco SD-WAN
- 기본 Cisco IOS-XE 명령줄 인터페이스(CLI)
사용되는 구성 요소
이 문서는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
Cisco IOS-XE SD-WAN 라우터에는 각 터널 인터페이스에 IPsec(Internet Protocol Security) 또는 GRE(Generic Routing Encapsulation)를 비롯한 하나 이상의 캡슐화가 필요합니다.
두 가지 캡슐화가 모두 필요한 경우 사용 사례가 있습니다.
활용 사례
시나리오 1
이 시나리오에서는 동일한 터널 인터페이스에 대해 하나의 전송 및 두 캡슐화가 모두 포함된 허브가 있습니다.
이렇게 하면 두 개의 TLOC가 생성되고 IPSec만 사용하는 원격 에지 장치와 GRE만 사용하는 원격 에지 장치로 터널을 형성할 수 있습니다.
시나리오 2
이 시나리오에서는 하나의 전송으로 두 개의 에지 디바이스가 있습니다. 이 전송은 두 엔드포인트에서 두 캡슐화를 모두 사용하여 구성됩니다.
이는 GRE를 통해 전송해야 하는 트래픽 및 IPsec을 통해 전송해야 하는 트래픽이 있는 경우 유용합니다.
설정
이 컨피그레이션은 라우터 CLI 또는 vManage 기능 템플릿을 통해 수행할 수 있습니다.
vManage 기능 템플릿 사용
VPN 0용 Cisco VPN Interface Ethernet 기능 템플릿에서 Tunnel(터널) > Advanced Options(고급 옵션) > Encapsulation(캡슐화)으로 이동하여 GRE 및 IPsec을 켭니다.
CLI를 통해
두 cEdge 디바이스에서 두 캡슐화를 모두 사용하여 터널 인터페이스를 구성합니다.
sdwan
interface <WAN Interface>
tunnel-interface
encapsulation gre
encapsulation ipsec
확인
verification 명령을 사용하여 제어 연결의 상태를 확인합니다.
show sdwan omp tlocs table | i <system-ip>
show sdwan bfd sessions
시나리오 2의 예:
TLOC가 OMP에 재배포되었는지 확인합니다.
Edge_A#show sdwan omp tlocs table | i 10.2.2.2
ipv4 10.2.2.2 mpls gre 0.0.0.0 C,Red,R 1 172.16.1.30 0 172.16.1.30 0 :: 0 :: 0 up
10.2.2.2 mpls ipsec 0.0.0.0 C,Red,R 1 172.16.1.30 12346 172.16.1.30 12346 :: 0 :: 0 up
두 TLOC에서 Edge_B에 대한 BFD 세션을 확인합니다.
Edge_A#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.4.4.4 4 up mpls mpls 172.16.1.30 172.16.1.32 0 gre 7 1000 11 11:11:36:55 1
10.4.4.4 4 up mpls mpls 172.16.1.30 172.16.1.32 12366 ipsec 7 1000 11 11:11:36:51 0
두 터널로 향하는 경로를 확인합니다. show sdwan policy service path vpn <vpn-number> interface <interface> source-ip <source-ip> dest-ip <dest-ip> protocol <protocol> all 명령을 사용합니다.
Edge_A#show sdwan policy service-path vpn 10 interface Loopback 20 source-ip 10.40.40.40 dest-ip 10.50.50.50 protocol 1 all
Number of possible next hops: 2
Next Hop: GRE
Source: 172.16.1.30 Destination: 172.16.1.32 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
Next Hop: IPsec
Source: 172.16.1.30 12346 Destination: 172.16.1.32 12366 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
관련 정보