XE SD-WAN의 동일한 터널 인터페이스에서 IPsec 및 GRE 구성

소개

이 문서에서는 Cisco IOS XE® SD-WAN 라우터의 동일한 터널 인터페이스에 대해 IPsec 및 GRE 캡슐화를 활성화하는 컨피그레이션에 대해 설명합니다.

사전 요구 사항

요구 사항

Cisco에서는 다음 항목에 대한 지식을 권장합니다.

• Cisco SD-WAN
• 기본 Cisco IOS-XE 명령줄 인터페이스(CLI)

사용되는 구성 요소

이 문서는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

• C8000V 버전 17.6.2

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

Cisco IOS-XE SD-WAN 라우터에는 각 터널 인터페이스에 IPsec(Internet Protocol Security) 또는 GRE(Generic Routing Encapsulation)를 비롯한 하나 이상의 캡슐화가 필요합니다.

두 가지 캡슐화가 모두 필요한 경우 사용 사례가 있습니다.

활용 사례 

시나리오 1

이 시나리오에서는 동일한 터널 인터페이스에 대해 하나의 전송 및 두 캡슐화가 모두 포함된 허브가 있습니다.

이렇게 하면 두 개의 TLOC가 생성되고 IPSec만 사용하는 원격 에지 장치와 GRE만 사용하는 원격 에지 장치로 터널을 형성할 수 있습니다.

시나리오 2

이 시나리오에서는 하나의 전송으로 두 개의 에지 디바이스가 있습니다. 이 전송은 두 엔드포인트에서 두 캡슐화를 모두 사용하여 구성됩니다.

이는 GRE를 통해 전송해야 하는 트래픽 및 IPsec을 통해 전송해야 하는 트래픽이 있는 경우 유용합니다.

설정

이 컨피그레이션은 라우터 CLI 또는 vManage 기능 템플릿을 통해 수행할 수 있습니다.

vManage 기능 템플릿 사용

VPN 0용 Cisco VPN Interface Ethernet 기능 템플릿에서 Tunnel(터널) > Advanced Options(고급 옵션) > Encapsulation(캡슐화)으로 이동하여 GRE 및 IPsec을 켭니다.

CLI를 통해

두 cEdge 디바이스에서 두 캡슐화를 모두 사용하여 터널 인터페이스를 구성합니다.

sdwan
 interface <WAN Interface>
  tunnel-interface
   encapsulation gre
   encapsulation ipsec

확인

verification 명령을 사용하여 제어 연결의 상태를 확인합니다.

show sdwan omp tlocs table | i <system-ip>
show sdwan bfd sessions

시나리오 2의 예:

TLOC가 OMP에 재배포되었는지 확인합니다.

Edge_A#show sdwan omp tlocs table | i 10.2.2.2
ipv4   10.2.2.2  mpls  gre    0.0.0.0  C,Red,R  1  172.16.1.30  0      172.16.1.30  0      ::  0  ::  0  up 
       10.2.2.2  mpls  ipsec  0.0.0.0  C,Red,R  1  172.16.1.30  12346  172.16.1.30  12346  ::  0  ::  0  up 

두 TLOC에서 Edge_B에 대한 BFD 세션을 확인합니다.

Edge_A#show sdwan bfd sessions
                             SOURCE TLOC  REMOTE TLOC              DST PUBLIC   DST PUBLIC         DETECT      TX 
SYSTEM IP    SITE ID  STATE  COLOR        COLOR       SOURCE IP    IP           PORT        ENCAP  MULTIPLIER  INTERVAL(msec    UPTIME          TRANSITIONS 
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.4.4.4     4        up     mpls         mpls        172.16.1.30  172.16.1.32  0           gre    7           1000             11 11:11:36:55  1 
10.4.4.4     4        up     mpls         mpls        172.16.1.30  172.16.1.32  12366       ipsec  7           1000             11 11:11:36:51  0 

두 터널로 향하는 경로를 확인합니다. show sdwan policy service path vpn <vpn-number> interface <interface> source-ip <source-ip> dest-ip <dest-ip> protocol <protocol> all 명령을 사용합니다.

Edge_A#show sdwan policy service-path vpn 10 interface Loopback 20 source-ip 10.40.40.40 dest-ip 10.50.50.50 protocol 1 all 
Number of possible next hops: 2
Next Hop: GRE
Source: 172.16.1.30 Destination: 172.16.1.32 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
Next Hop: IPsec
Source: 172.16.1.30 12346 Destination: 172.16.1.32 12366 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4

관련 정보

• Cisco SD-WAN Systems and Interfaces 컨피그레이션 가이드, Cisco IOS XE 릴리스 17.x
• Cisco SD-WAN 명령 참조