사이트 간 IPSec VPN에 대한 고가용성 기능 구성

다운로드 옵션

  • PDF     (234.2 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (106.2 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (126.5 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2004년 9월 8일
문서 ID:17826

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 사이트 간 IPSec VPN 네트워크를 위한 새로운 고가용성 기능에 대해 설명합니다. HSRP(Hot Standby Router Protocol)는 라우터 간 장애 조치를 달성하기 위해 라우터의 인터페이스 상태를 추적하는 데 자주 사용됩니다. 그러나 IPSec과 HSRP 간에 내부 상관관계가 없으므로 HSRP는 IPSec SA(Security Associations)의 상태를 추적하지 않으며 IPSec에서 HSRP 장애 조치와 동기화하려면 체계가 필요합니다. 다음은 IPSec과 HSRP 간의 긴밀한 연계를 제공하는 데 사용되는 몇 가지 주요 구성입니다.

  • IKE(Internet Key Exchange) keepalive는 IPSec이 HSRP 장애 조치를 적시에 탐지할 수 있도록 하는 데 사용됩니다.

  • 특정 라우터 인터페이스에 적용된 암호화 맵은 IPSec에서 HSRP 설정을 인식할 수 있도록 해당 인터페이스에 이미 구성된 HSRP 그룹과 연결됩니다. 또한 IPSec에서 HSRP 가상 IP 주소를 HSRP 라우터의 ISAKMP(Internet Security Association and Key Management Protocol) ID로 사용할 수 있습니다.

  • RRI(Reverse Route Injection) 기능은 HSRP 및 IPSec 장애 조치 중에 동적 라우팅 정보 업데이트를 허용하는 데 사용됩니다.

참고: 이 문서에서는 VPN에서 HSRP(Hot Standby Router Protocol)를 사용하는 방법에 대해 설명합니다. HSRP는 실패한 ISP 링크를 추적하는 데에도 사용됩니다. 라우터에서 이중화 ISP 링크를 구성하려면 ICMP 에코 작업을 사용하여 IP 서비스 수준 분석을 참조하십시오. 소스 디바이스는 라우터이고 대상 디바이스는 ISP 디바이스입니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Cisco 7200 Series 라우터

  • Cisco IOS® 소프트웨어 릴리스 12.3(7)T1, c7200-a3jk9s-mz.123-7.T1

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 라이브 네트워크에서 작업하는 경우, 사용하기 전에 모든 명령의 잠재적인 영향을 이해해야 합니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

구성

이 섹션에는 이 문서에서 설명하는 기능을 구성하기 위한 정보가 표시됩니다.

참고: 명령 조회 도구(등록된 고객만 해당)를 사용하여 이 섹션에 사용된 명령에 대한 자세한 내용을 확인하십시오.

네트워크 다이어그램

이 문서에서는 다음 네트워크 설정을 사용합니다.

ipsec_feat1.gif

구성

이 문서에서는 다음 구성을 사용합니다.

Cisco VPN 7200 구성 
vpn7200#show run 
Building configuration...

Current configuration : 1854 bytes
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname vpn7200
!
!
ip subnet-zero
ip cef

!--- Defines ISAKMP policy and IKE pre-shared key for !--- IKE authentication. Note that 172.16.172.53 is the !--- HSRP virtual IP address of the remote HSRP routers.
 
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 172.16.172.53

!--- IKE keepalive to detect the IPSec liveness of the remote !--- VPN router. When HSRP failover happens, IKE keepalive !--- will detect the HSRP router switchover.

crypto isakmp keepalive 10
! 
!
crypto ipsec transform-set myset esp-des esp-md5-hmac 

!--- Defines crypto map. Note that the peer address is the !--- HSRP virtual IP address of the remote HSRP routers.
 
crypto map vpn 10 ipsec-isakmp 
set peer 172.16.172.53
set transform-set myset 
match address 101
!
interface Loopback0
ip address 20.1.1.1 255.255.255.255
! 
interface FastEthernet0/0
ip address 10.48.66.66 255.255.254.0
duplex full
speed 100
!
interface FastEthernet0/1
ip address 172.16.172.69 255.255.255.240
duplex full
speed 100
crypto map vpn
!
ip classless
ip route 10.1.1.0 255.255.255.0 172.16.172.65
ip route 99.99.99.99 255.255.255.255 172.16.172.65
ip route 172.16.172.48 255.255.255.240 172.16.172.65
no ip http server
!
access-list 101 permit ip 20.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255
access-list 101 permit ip 20.1.1.0 0.0.0.255 host 99.99.99.99
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end

Cisco 7204VXR-1 컨피그레이션 
7204VXR-1#show run 
Building configuration...

Current configuration : 1754 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 7204VXR-1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
!
!
ip cef!

!--- Defines ISAKMP policy.

crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 172.16.172.69
crypto isakmp keepalive 10
!
! 
crypto ipsec transform-set myset esp-des esp-md5-hmac 

!--- Defines crypto map. Note that "reverse-route" !--- turns on the RRI feature.

crypto map vpn 10 ipsec-isakmp 
set peer 172.16.172.69
set transform-set myset 
match address 101
reverse-route
!
!

!--- Define HSRP under the interface. HSRP will track the !--- internal interface as well. HSRP group name must be !--- defined here and will be used for IPSec configuration. !--- The "redundancy" keyword in the crypto map command !--- specifies the HSRP group to which IPSec will couple. !--- In normal circumstances, this router will be the HSRP !--- primary router since it has higher priority than the !--- other HSRP router.

interface FastEthernet0/0
ip address 172.16.172.52 255.255.255.240
duplex full
speed 100
standby 1 ip 172.16.172.53
standby 1 priority 200
standby 1 preempt
standby 1 name VPNHA
standby 1 track FastEthernet0/1 150
crypto map vpn redundancy VPNHA
!
interface FastEthernet0/1
ip address 10.1.1.1 255.255.255.0
duplex full
speed 100
!
interface ATM1/0
no ip address
shutdown
no atm ilmi-keepalive
!
interface FastEthernet3/0
no ip address
shutdown
duplex half
!
interface ATM6/0
no ip address
shutdown
no atm ilmi-keepalive

!--- Define dynamic routing protocol and re-distribute static !--- route. This enables dynamic routing information update !--- during the HSRP/IPSec failover. All the "VPN routes" !--- that are injected in the routing table by RRI as static !--- routes will be redistributed to internal networks.

!
router ospf 1
log-adjacency-changes
redistribute static subnets
network 10.1.1.0 0.0.0.255 area 0
!
ip classless
ip route 172.16.172.64 255.255.255.240 172.16.172.49
no ip http server
no ip http secure-server
!
!

!--- Defines VPN traffic. The destination IP subnet will be !--- injected into the routing table as static routes by RRI.

access-list 101 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255
access-list 101 permit ip host 99.99.99.99 20.1.1.0 0.0.0.255
!
line con 0
exec-timeout 0 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
!
!
end

Cisco 7204VXR-2 컨피그레이션 
7204VXR-2#show run 
Building configuration...

Current configuration : 2493 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 7204VXR-2
!
boot-start-marker
boot system flash disk1:c7200-a3jk9s-mz.123-7.T1
boot-end-marker
!
no aaa new-model
ip subnet-zero
!
!
no ip domain lookup
ip host rund 10.48.92.61
!
! 
ip cef
!
crypto isakmp policy 1
hash md5
authentication pre-share
crypto isakmp key cisco123 address 172.16.172.69
crypto isakmp keepalive 10
!
!
crypto ipsec transform-set myset esp-des esp-md5-hmac 
!
crypto map vpn 10 ipsec-isakmp 
set peer 172.16.172.69
set transform-set myset 
match address 101
reverse-route
!

!--- During normal operational conditions this router !--- will be the standby router.

interface FastEthernet0/0
ip address 172.16.172.54 255.255.255.240
ip directed-broadcast
duplex full
standby 1 ip 172.16.172.53
standby 1 preempt
standby 1 name VPNHA
standby 1 track FastEthernet1/0
crypto map vpn redundancy VPNHA
!
interface FastEthernet1/0
ip address 10.1.1.2 255.255.255.0
ip directed-broadcast
duplex full
!
interface FastEthernet3/0
ip address 10.48.67.182 255.255.254.0
ip directed-broadcast
shutdown
duplex full
!
router ospf 1
log-adjacency-changes
redistribute static subnets
network 10.1.1.0 0.0.0.255 area 0
!
ip classless

ip route 172.16.172.64 255.255.255.240 172.16.172.49
no ip http server
no ip http secure-server
!
! 
!
access-list 101 permit ip 10.1.1.0 0.0.0.255 20.1.1.0 0.0.0.255
access-list 101 permit ip host 99.99.99.99 20.1.1.0 0.0.0.255
!
line con 0
exec-timeout 0 0
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
stopbits 1
line vty 0 4
login
transport preferred all
transport input all
transport output all
!
!
!
end

Cisco 7206-1 구성 
7206-1#show run 
Building configuration...

Current configuration : 1551 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
no service password-encryption
!
hostname 7206-1
!
ip subnet-zero
no ip source-route
ip cef
!
interface Loopback0
ip address 99.99.99.99 255.255.255.255
!
interface FastEthernet0/0
shutdown
duplex full
speed 100
!

!--- Define dynamic routing protocol. All the "VPN routes" !--- will be learned and updated dynamically from upstream HSRP !--- routers using the dynamic routing protocols.
 
interface FastEthernet0/1
ip address 10.1.1.3 255.255.255.0
duplex full
speed 100
!
router ospf 1
log-adjacency-changes
passive-interface Loopback0
network 10.1.1.0 0.0.0.255 area 0
network 99.99.99.99 0.0.0.0 area 0
!
ip classless
no ip http server
!
!
!
line con 0
exec-timeout 0 0
line aux 0
line vty 0 4
login
!
end

어떻게 진행됩니까?

이 예에서는 위의 설정 및 컨피그레이션을 사용하여 HSRP 및 IPSec 장애 조치가 함께 작동하는 방법을 보여 줍니다. 이 사례 연구에서는 다음과 같은 세 가지 측면을 설명합니다.

  • 인터페이스 오류로 인한 HSRP 장애 조치.

  • HSRP 장애 조치 후 IPSec 장애 조치가 발생하는 방법. 보시다시피 IPSec 페일오버는 "스테이트리스(stateless)" 페일오버가 됩니다.

  • 페일오버로 인해 변경된 라우팅 정보가 동적으로 업데이트되고 내부 네트워크로 전파되는 방법입니다.

참고: 여기서 테스트 트래픽은 Cisco 7206-1(99.99.99.99)의 루프백 IP 주소와 Cisco VPN 7200(20.1.1.1)의 루프백 IP 주소 간의 ICMP(Internet Control Message Protocol) 패킷이며 두 사이트 간의 VPN 트래픽을 시뮬레이션합니다.

정상적인 상황(장애 조치 전)

장애 조치 전에 Cisco 7204VXR-1은 기본 HSRP 라우터이고 Cisco VPN 7200은 Cisco 7204VXR-1과 함께 IPSec SA를 가지고 있습니다.

인터페이스에 암호화 맵이 구성된 경우 RRI 기능은 구성된 IPSec ACL(Access Control List) 및 암호화 맵의 set peer 명령 문과 일치하도록 VPN 경로를 삽입합니다. 이 경로는 기본 HSRP 라우터 7204VXR-1의 라우팅 테이블에 추가됩니다.

debug crypto ipsec 명령의 출력은 RIB(Routing Information Base)에 VPN 경로 20.1.1/24이 추가되었음을 나타냅니다.

IPSEC(rte_mgr): VPN Route Added 20.1.1.0 255.255.255.0 
via 172.16.172.69 in IP DEFAULT TABLE

기본 HSRP 라우터의 라우팅 테이블에서 20.1.1/24에 대한 고정 경로를 생성합니다. 이 경로는 OSPF(Open Shortest Path First)에서 보조 HSRP 라우터, 7204VXR-2 및 내부 라우터, 7206-1로 재배포됩니다.

라우터 7204VXR-1의 RIB에 고정 경로로 삽입된 VPN 경로 20.1.1/24의 다음 홉은 원격 암호화 피어의 IP 주소입니다. 이 경우 VPN 경로 20.1.1/24의 다음 홉은 172.16.172.69입니다. VPN 경로의 다음 홉의 IP 주소는 다음 Cisco Express Forwarding 테이블에 표시된 재귀 경로 조회를 통해 확인됩니다. 

7204VXR-1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, 
        IA - OSPF inter area, N1 - OSPF NSSA external type 1, 
        N2 - OSPF NSSA external type 2, E1 - OSPF external type 1, 
        E2 - OSPF external type 2, i - IS-IS, su - IS-IS summary, 
        L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area, 
        * - candidate default, U - per-user static route
        o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

    99.0.0.0/32 is subnetted, 1 subnets
O     99.99.99.99 [110/2] via 10.1.1.3, 00:11:21, FastEthernet0/1
    20.0.0.0/24 is subnetted, 1 subnets
S     20.1.1.0 [1/0] via 172.16.172.69
    172.16.0.0/28 is subnetted, 2 subnets
C     172.16.172.48 is directly connected, FastEthernet0/0
S      172.16.172.64 [1/0] via 172.16.172.49
    10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C     10.1.1.0/24 is directly connected, FastEthernet0/1
S      10.48.66.0/23 [1/0] via 10.1.1.2
 

7204VXR-1#show ip cef 20.1.1.0 detail 
20.1.1.0/24, version 66, epoch 0, cached adjacency 172.16.172.49
0 packets, 0 bytes
via 172.16.172.69, 0 dependencies, recursive
next hop 172.16.172.49, FastEthernet0/0 via 172.16.172.64/28
valid cached adjacency

보조 HSRP 라우터와 내부 라우터 7206-1은 OSPF/를 통해 이 VPN 경로를 학습합니다. 네트워크 관리자는 고정 경로를 수동으로 입력할 필요가 없습니다. 무엇보다도 장애 조치로 인해 발생하는 라우팅 변경 사항이 동적으로 업데이트됩니다. 

7204VXR-2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, 
        IA - OSPF inter area, N1 - OSPF NSSA external type 1, 
        N2 - OSPF NSSA external type 2, E1 - OSPF external type 1, 
        E2 - OSPF external type 2, i - IS-IS, su - IS-IS summary, 
        L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area, 
        * - candidate default, U - per-user static route
        o - ODR, P - periodic downloaded static route

Gateway of last resort is 10.48.66.1 to network 0.0.0.0

    99.0.0.0/32 is subnetted, 1 subnets
O     99.99.99.99 [110/2] via 10.1.1.3, 00:29:31, FastEthernet1/0
    20.0.0.0/24 is subnetted, 1 subnets
O E2     20.1.1.0 [110/20] via 10.1.1.1, 00:11:06, FastEthernet1/0
    172.16.0.0/28 is subnetted, 2 subnets
C     172.16.172.48 is directly connected, FastEthernet0/0
S      172.16.172.64 [1/0] via 172.16.172.49
    10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C      10.1.1.0/24 is directly connected, FastEthernet1/0
C      10.48.66.0/23 is directly connected, FastEthernet3/0
S*     0.0.0.0/0 [1/0] via 10.48.66.1


7206-1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, 
        IA - OSPF inter area, N1 - OSPF NSSA external type 1, 
        N2 - OSPF NSSA external type 2, E1 - OSPF external type 1, 
        E2 - OSPF external type 2, i - IS-IS, su - IS-IS summary, 
        L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area, 
        * - candidate default, U - per-user static route
        o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

    99.0.0.0/32 is subnetted, 1 subnets
C     99.99.99.99 is directly connected, Loopback0
    20.0.0.0/24 is subnetted, 1 subnets
O E2     20.1.1.0 [110/20] via 10.1.1.1, 00:14:01, FastEthernet0/1
    172.16.0.0/28 is subnetted, 1 subnets
O E2     172.16.172.64 [110/20] via 10.1.1.1, 00:32:21, FastEthernet0/1
                                     [110/20] via 10.1.1.2, 00:32:21, FastEthernet0/1
    10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C     10.1.1.0/24 is directly connected, FastEthernet0/1
O E2     10.48.66.0/23 [110/20] via 10.1.1.2, 00:32:22, FastEthernet0/1

라우터 7204VXR-1은 내부 인터페이스 Fa0/1을 추적하는 기본 HSRP 라우터입니다.

7204VXR-1#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 03:21:20
Virtual IP address is 172.16.172.53
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.172 secs
Preemption enabled
Active router is local
Standby router is 172.16.172.54, 
   priority 100 (expires in 7.220 sec)
Priority 200 (configured 200)
Track interface FastEthernet0/1 state Up decrement 150
IP redundancy name is "VPNHA" (cfgd)

show track 명령을 사용하여 HSRP에서 추적한 모든 객체의 목록을 볼 수 있습니다.

7204VXR-1#show track
Track 1 (via HSRP)
Interface FastEthernet0/1 line-protocol
Line protocol is Up
1 change, last change 03:18:22
Tracked by:
HSRP FastEthernet0/0 1

라우터 7204VXR-2는 대기 HSRP 라우터입니다. 정상적인 작동 조건에서 이 디바이스는 내부 인터페이스 Fa1/0을 추적합니다.

7204VXR-2#show standby
FastEthernet0/0 - Group 1
State is Standby
1 state change, last state change 02:22:30
Virtual IP address is 172.16.172.53
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.096 secs
Preemption enabled
Active router is 172.16.172.52, 
   priority 200 (expires in 7.040 sec)
Standby router is local
Priority 100 (default 100)
Track interface FastEthernet1/0 state Up decrement 10
IP redundancy name is "VPNHA" (cfgd)

이러한 IPSec 관련 show 명령은 Cisco VPN 7200과 기본 HSRP 라우터, Cisco 7204VXR-1 간의 ISAKMP 및 IPSec SA를 보여 주는 Cisco VPN 7200 라우터에서 출력을 생성합니다.

7204VXR-1#show crypto isakmp sa detail 
Codes: C - IKE configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal
X - IKE Extended Authentication
psk - Preshared key, rsig - RSA signature
renc - RSA encryption

C-id       Local       Remote     I-VRF  Encr  Hash  Auth  DH  Lifetime  Cap.
1    172.16.172.53  172.16.172.69         des   md5   psk   1  23:49:52   K 
Connection-id:Engine-id = 1:1(software)
 

7204VXR-1#show crypto ipsec sa 
interface: FastEthernet0/0
Crypto map tag: vpn, local addr. 172.16.172.53

protected vrf: 
local ident (addr/mask/prot/port): (99.99.99.99/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (20.1.1.0/255.255.255.0/0/0)
current_peer: 172.16.172.69:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 5, #pkts encrypt: 5, #pkts digest: 5
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 5
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.16.172.53, remote crypto endpt.: 172.16.172.69
path mtu 1500, media mtu 1500
current outbound spi: 44E0B22B

inbound esp sas:
spi: 0x5B23F22E(1529082414)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn
crypto engine type: Software, engine_id: 1
sa timing: remaining key lifetime (k/sec): (4504144/2949)
ike_cookies: B57A9DC9 FA2D627B F70FEDF6 FAAF9E34
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x44E0B22B(1155576363)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn
crypto engine type: Software, engine_id: 1
sa timing: remaining key lifetime (k/sec): (4504145/2949)
ike_cookies: B57A9DC9 FA2D627B F70FEDF6 FAAF9E34
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound pcp sas:


vpn7200#show crypto isakmp sa 
dst            src             state     conn-id    slot
172.16.172.53  172.16.172.69   QM_IDLE   1          0


7204VXR-2#show crypto ipsec sa 
interface: FastEthernet0/1
Crypto map tag: vpn, local addr. 172.16.172.69

local ident (addr/mask/prot/port): (20.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (99.99.99.99/255.255.255.255/0/0)
current_peer: 172.16.172.53
PERMIT, flags={origin_is_acl,}
#pkts encaps: 10, #pkts encrypt: 10, #pkts digest 10
#pkts decaps: 10, #pkts decrypt: 10, #pkts verify 10
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 5, #recv errors 0

local crypto endpt.: 172.16.172.69, remote crypto endpt.: 172.16.172.53
path mtu 1500, ip mtu 1500
current outbound spi: 5B23F22E

inbound esp sas:
spi: 0x44E0B22B(1155576363)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2029, flow_id: 1, crypto map: vpn
sa timing: remaining key lifetime (k/sec): (4607997/2824)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x5B23F22E(1529082414)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2030, flow_id: 2, crypto map: vpn
sa timing: remaining key lifetime (k/sec): (4607998/2824)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound pcp sas:

HSRP 및 IPSec 장애 조치 후

Cisco 7204VXR-1에서 Fa0/0을 종료하여 장애 조치가 트리거되었습니다. HSRP가 이 인터페이스의 상태를 추적하므로 다른 인터페이스인 Fa0/1이 중지된 경우에도 유사한 동작이 표시됩니다.

Cisco VPN 7200이 기본 HSRP 라우터로 전송되는 IKE keepalive 패킷에 대한 응답을 받지 못하면 라우터는 IPSec SA를 해제합니다.

debug crypto isakmp 명령 출력은 IKE keepalive가 기본 라우터의 중단을 탐지하는 방법을 보여줍니다.

ISAKMP (0:1): received packet from 172.16.172.53 (I) QM_IDLE 
ISAKMP (0:1): processing HASH payload. message ID = 1585108592
ISAKMP (0:1): processing NOTIFY ITS_ALIVE protocol 1
spi 0, message ID = 1585108592, sa = 61C3E754
ISAKMP (0:1): sending packet to 172.16.172.53 (I) QM_IDLE 
ISAKMP (0:1): purging node -1484552386
ISAKMP (0:1): deleting node 1585108592 error FALSE 
   reason "informational (in) state 1"
ISAKMP (0:1): purging node 642343711
ISAKMP (0:1): sending packet to 172.16.172.53 (I) QM_IDLE 
ISAKMP (0:1): purging node -523181212
ISAKMP (0:1): purging node -2089541867
ISAKMP (0:1): incrementing error counter on sa: PEERS_ALIVE_TIMER
ISAKMP (0:1): sending packet to 172.16.172.53 (I) QM_IDLE 
ISAKMP (0:1): purging node 1671177686
ISAKMP (0:1): incrementing error counter on sa: PEERS_ALIVE_TIMER
ISAKMP (0:1): sending packet to 172.16.172.53 (I) QM_IDLE 
ISAKMP (0:1): purging node 1706520344
ISAKMP (0:1): incrementing error counter on sa: PEERS_ALIVE_TIMER
ISAKMP (0:1): sending packet to 172.16.172.53 (I) QM_IDLE 
ISAKMP (0:1): purging node 503375209
ISAKMP (0:1): incrementing error counter on sa: PEERS_ALIVE_TIMER
ISAKMP (0:1): sending packet to 172.16.172.53 (I) QM_IDLE 
ISAKMP (0:1): purging node 1272270610
ISAKMP (0:1): incrementing error counter on sa: PEERS_ALIVE_TIMER
ISAKMP (0:1): peer not responding!
ISAKMP (0:1): peer does paranoid keepalives.

ISAKMP (0:1): phase 1 going away; let's be paranoid.
ISAKMP (0:1): Bring down phase 2's
ISAKMP (0:1): That phase 1 was the last one of its kind. 
   Taking phase 2's with us.
ISAKMP (0:1): peer does paranoid keepalives.

ISAKMP (0:1): deleting SA reason "P1 errcounter exceeded 
   (PEERS_ALIVE_TIMER)" state (I) 
   QM_IDLE (peer 172.16.172.53) input queue 0
IPSEC(key_engine): got a queue event...
IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
IPSEC(key_engine_delete_sas): delete all SAs shared with 172.16.172.53 
IPSEC(delete_sa): deleting SA,
(sa) sa_dest= 172.16.172.69, sa_prot= 50, 
sa_spi= 0x44E0B22B(1155576363), 
sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2029
IPSEC(delete_sa): deleting SA,
(sa) sa_dest= 172.16.172.53, sa_prot= 50, 
sa_spi= 0x5B23F22E(1529082414), 
sa_trans= esp-des esp-md5-hmac , sa_conn_id= 2030
ISAKMP (0:1): sending packet to 172.16.172.53 (I) MM_NO_STATE
ISAKMP (0:1): purging node -248155233
ISAKMP (0:1): peer does paranoid keepalives.

IPSEC(key_engine): got a queue event...
IPSEC(key_engine_delete_sas): rec'd delete notify from ISAKMP
IPSEC(key_engine_delete_sas): delete all SAs shared with 172.16.172.53 
ISAKMP (0:1): purging node 958118275

Cisco 7204VXR-1 기본 HSRP 라우터에서 장애 조치가 발생하면 디바이스가 대기 라우터가 됩니다. 기존 ISAKMP 및 IPSec SA가 해체됩니다. Cisco 7204VXR-2 보조 HSRP 라우터가 활성화되고 Cisco VPN 7200을 사용하여 새 IPSec SA를 설정합니다.

debug standby events 명령의 출력에는 HSRP와 관련된 이벤트가 표시됩니다.

HSRP: Fa0/0 API Software interface going down
HSRP: Fa0/0 API Software interface going down
HSRP: Fa0/0 Interface down
HSRP: Fa0/0 Grp 1 Active: b/HSRP disabled
HSRP: Fa0/0 Grp 1 Active router is unknown, was local
HSRP: Fa0/0 Grp 1 Standby router is unknown, was 172.16.172.54
HSRP: Fa0/0 Grp 1 Active -> Init
%HSRP-6-STATECHANGE: FastEthernet0/0 Grp 1 state Active -> Init
HSRP: Fa0/0 Grp 1 Redundancy "VPNHA" state Active -> Init
%CRYPTO-5-SESSION_STATUS: Crypto tunnel is DOWN. 
   Peer 172.16.172.69:500 Id: 172.16.172.69
HSRP: Fa0/0 Grp 1 Redundancy enquiry for VPNHA succeeded
HSRP: Fa0/0 API Add active HSRP addresses to ARP table
%LINK-5-CHANGED: Interface FastEthernet0/0, 
   changed state to administratively down
HSRP: API Hardware state change
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, 
   changed state to down

인터페이스가 종료되었으므로 HSRP 상태가 "Init"로 변경됩니다.

paal#show standby
FastEthernet0/0 - Group 1
State is Init (interface down)
3 state changes, last state change 00:07:29
Virtual IP address is 172.16.172.53
Active virtual MAC address is unknown
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Preemption enabled
Active router is unknown
Standby router is unknown
Priority 200 (configured 200)
Track interface FastEthernet0/1 state Up decrement 150
IP redundancy name is "VPNHA" (cfgd)

Cisco 7204VXR-2는 활성 HSRP 라우터가 되고 상태를 "Active"로 변경합니다. 

HSRP: Fa0/0 Grp 1 Standby: c/Active timer expired (172.16.172.52)
HSRP: Fa0/0 Grp 1 Active router is local, was 172.16.172.52
HSRP: Fa0/0 Grp 1 Standby router is unknown, was local
HSRP: Fa0/0 Grp 1 Standby -> Active (active 0->1, passive 2->1)
%HSRP-6-STATECHANGE: FastEthernet0/0 Grp 1 state Standby -> Active
HSRP: Fa0/0 Grp 1 Redundancy "VPNHA" state Standby -> Active

!--- VPN route 20.1.1.0/24 is added to the routing table.
 
IPSEC(rte_mgr): VPN Route Added 20.1.1.0 255.255.255.0 
   via 172.16.172.69 in IP DEFAULT TABLE
 
7204VXR-2#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:10:38
Virtual IP address is 172.16.172.53
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.116 secs
Preemption enabled
Active router is local
Standby router is unknown
Priority 100 (default 100)
Track interface FastEthernet1/0 state Up decrement 10
IP redundancy name is "VPNHA" (cfgd)

RRI가 활성화된 경우 장애 조치 중에 VPN 경로가 동적으로 업데이트됩니다. 고정 경로 20.1.1.0/24이 제거되고 Cisco 7204VXR-1 라우터가 Cisco 7204VXR-2 라우터에서 경로를 학습합니다.

show ip route 명령의 출력은 이 동적 업데이트를 보여줍니다.

7204VXR-1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, 
        IA - OSPF inter area, N1 - OSPF NSSA external type 1, 
        N2 - OSPF NSSA external type 2, E1 - OSPF external type 1, 
        E2 - OSPF external type 2, i - IS-IS, su - IS-IS summary, 
        L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area, 
        * - candidate default, U - per-user static route
        o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

	99.0.0.0/32 is subnetted, 1 subnets
O 	 99.99.99.99 [110/2] via 10.1.1.3, 02:46:16, FastEthernet0/1
	20.0.0.0/24 is subnetted, 1 subnets
O E2 	 20.1.1.0 [110/20] via 10.1.1.2, 00:08:35, FastEthernet0/1
	172.16.0.0/28 is subnetted, 1 subnets
O E2 	 172.16.172.64 [110/20] via 10.1.1.2, 00:07:56, FastEthernet0/1
	10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C	 10.1.1.0/24 is directly connected, FastEthernet0/1
S 	 10.48.66.0/23 [1/0] via 10.1.1.2

고정 VPN 경로는 Cisco 7204VXR-2 라우터의 라우팅 테이블에 삽입됩니다.

7204VXR-2#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, 
        IA - OSPF inter area, N1 - OSPF NSSA external type 1, 
        N2 - OSPF NSSA external type 2, E1 - OSPF external type 1, 
        E2 - OSPF external type 2, i - IS-IS, su - IS-IS summary, 
        L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area, 
        * - candidate default, U - per-user static route
        o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

	99.0.0.0/32 is subnetted, 1 subnets
O 	 99.99.99.99 [110/2] via 10.1.1.3, 03:04:18, FastEthernet1/0
	20.0.0.0/24 is subnetted, 1 subnets
S 	 20.1.1.0 [1/0] via 172.16.172.69
	172.16.0.0/28 is subnetted, 2 subnets
C 	 172.16.172.48 is directly connected, FastEthernet0/0
S 	 172.16.172.64 [1/0] via 172.16.172.49
	10.0.0.0/24 is subnetted, 1 subnets
C 	 10.1.1.0 is directly connected, FastEthernet1/0

내부 라우터 7206-1은 OSPF 인접 라우터 7204VXR-2에서 원격 VPN 피어에 대한 20.1.1/24 경로를 학습합니다. 이러한 라우팅 변경은 HSRP/RRI와 OSPF의 조합을 통해 동적으로 발생합니다.

7206-1#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
        D - EIGRP, EX - EIGRP external, O - OSPF, 
        IA - OSPF inter area, N1 - OSPF NSSA external type 1, 
        N2 - OSPF NSSA external type 2, E1 - OSPF external type 1, 
        E2 - OSPF external type 2, i - IS-IS, su - IS-IS summary, 
        L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area, 
        * - candidate default, U - per-user static route
        o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

    99.0.0.0/32 is subnetted, 1 subnets
C     99.99.99.99 is directly connected, Loopback0
    20.0.0.0/24 is subnetted, 1 subnets
O E2     20.1.1.0 [110/20] via 10.1.1.2, 00:13:55, FastEthernet0/1
    172.16.0.0/28 is subnetted, 1 subnets
O E2     172.16.172.64 [110/20] via 10.1.1.2, 00:13:17, FastEthernet0/1
    10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C     10.1.1.0/24 is directly connected, FastEthernet0/1
O E2     10.48.66.0/23 [110/20] via 10.1.1.2, 03:06:08, FastEthernet0/1

HSRP 장애 조치 중에 Cisco 7204VXR-2가 활성 라우터가 되면 Cisco 7204VXR-2와 Cisco VPN 7200 라우터 간의 VPN 트래픽은 ISAKMP 및 IPSec SA를 가져옵니다.

VPN 7200 라우터의 show crypto isakmp sashow crypto ipsec sa 명령의 출력은 다음과 같습니다.

7204VXR-2#show crypto isakmp sa detail 
Codes: C - IKE configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal
X - IKE Extended Authentication
psk - Preshared key, rsig - RSA signature
renc - RSA encryption

C-id 	Local 		       Remote 		     I-VRF 	Encr Hash Auth DH Lifetime Cap.
1 		  172.16.172.53  172.16.172.69        des  md5   psk  1  23:53:47 K 
Connection-id:Engine-id = 1:1(software)


7204VXR-2#show crypto ipsec sa

interface: FastEthernet0/0
Crypto map tag: vpn, local addr. 172.16.172.53


protected vrf: 
local ident (addr/mask/prot/port): (99.99.99.99/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (20.1.1.0/255.255.255.0/0/0)
current_peer: 172.16.172.69:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 9, #pkts encrypt: 9, #pkts digest: 9
#pkts decaps: 9, #pkts decrypt: 9, #pkts verify: 9
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0

local crypto endpt.: 172.16.172.53, remote crypto endpt.: 172.16.172.69
path mtu 1500, media mtu 1500
current outbound spi: 83827275

inbound esp sas:
spi: 0x8D70E8A3(2372987043)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn
crypto engine type: Software, engine_id: 1
sa timing: remaining key lifetime (k/sec): (4453897/3162)
ike_cookies: 95074F89 3FF73F2B F70FEDF6 5998090C
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x83827275(2206364277)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn
crypto engine type: Software, engine_id: 1
sa timing: remaining key lifetime (k/sec): (4453898/3162)
ike_cookies: 95074F89 3FF73F2B F70FEDF6 5998090C
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound pcp sas: vpn7200#show crypto isa sa
dst 		src 		state 	conn-id slot
172.16.172.53   172.16.172.69   QM_IDLE 1       0

vpn7200#show crypto ipsec sa

interface: FastEthernet0/1
Crypto map tag: vpn, local addr. 172.16.172.69


local ident (addr/mask/prot/port): (20.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (99.99.99.99/255.255.255.255/0/0)
current_peer: 172.16.172.53
PERMIT, flags={origin_is_acl,}
#pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19
#pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 6, #recv errors 0

local crypto endpt.: 172.16.172.69, remote crypto endpt.: 172.16.172.53
path mtu 1500, ip mtu 1500
current outbound spi: 8D70E8A3

inbound esp sas:
spi: 0x83827275(2206364277)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2029, flow_id: 1, crypto map: vpn
sa timing: remaining key lifetime (k/sec): (4607997/3070)
IV size: 8 bytes
replay detection support: Y

inbound ah sas:

inbound pcp sas:

outbound esp sas:
spi: 0x8D70E8A3(2372987043)
transform: esp-des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2030, flow_id: 2, crypto map: vpn
sa timing: remaining key lifetime (k/sec): (4607998/3070)
IV size: 8 bytes
replay detection support: Y

outbound ah sas:

outbound pcp sas:

원래 HSRP 기본 라우터가 중단으로부터 복구되면

서비스가 Cisco 7204VXR-1 original HSRP 기본 라우터에서 복구되면, 우선순위가 더 높고 HSRP 선점이 구성되어 있으므로 디바이스가 활성 라우터로 다시 배치됩니다.

다른 라우터의 showdebug 명령 출력은 HSRP 및 IPSec의 또 다른 전환을 보여줍니다. ISAKMP 및 IPSec SA가 자동으로 재설정되고 라우팅 정보 변경 사항이 동적으로 업데이트됩니다.

이 샘플 출력은 라우터 7204VXR-1이 상태를 "Active"로 변경하는 것을 보여줍니다. 

HSRP: Fa0/0 API 172.16.172.52 is not an HSRP address
HSRP: Fa0/0 API MAC address update
HSRP: Fa0/0 API Software interface coming up
%LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
HSRP: API Hardware state change
HSRP: Fa0/0 API Software interface coming up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, 
   changed state to up
HSRP: Fa0/0 Interface up
HSRP: Fa0/0 Starting minimum interface delay (1 secs)
HSRP: Fa0/0 Interface min delay expired
HSRP: Fa0/0 Grp 1 Init: a/HSRP enabled
HSRP: Fa0/0 Grp 1 Init -> Listen
HSRP: Fa0/0 Grp 1 Redundancy "VPNHA" state Init -> Backup
HSRP: Fa0/0 Grp 1 Listen: c/Active timer expired (unknown)
HSRP: Fa0/0 Grp 1 Listen -> Speak
HSRP: Fa0/0 Grp 1 Redundancy "VPNHA" state Backup -> Speak
HSRP: Fa0/0 Grp 1 Speak: d/Standby timer expired (unknown)
HSRP: Fa0/0 Grp 1 Standby router is local
HSRP: Fa0/0 Grp 1 Speak -> Standby
HSRP: Fa0/0 Grp 1 Redundancy "VPNHA" state Speak -> Standby
HSRP: Fa0/0 Grp 1 Redundancy enquiry for VPNHA succeeded
HSRP: Fa0/0 Grp 1 Standby: c/Active timer expired (unknown)
HSRP: Fa0/0 Grp 1 Active router is local
HSRP: Fa0/0 Grp 1 Standby router is unknown, was local
HSRP: Fa0/0 Grp 1 Standby -> Active
%HSRP-6-STATECHANGE: FastEthernet0/0 Grp 1 state Standby -> Active
HSRP: Fa0/0 Grp 1 Redundancy "VPNHA" state Standby -> Active
HSRP: Fa0/0 Grp 1 Active: i/Resign rcvd (100/172.16.172.54)
HSRP: Fa0/0 Grp 1 Redundancy group VPNHA state Active -> Active
HSRP: Fa0/0 Grp 1 Redundancy group VPNHA state Active -> Active
HSRP: Fa0/0 Grp 1 Standby router is 172.16.172.54

라우터 7204VXR-2는 상태를 "Standby"로 변경합니다. VPN 경로가 라우팅 테이블에서 제거됩니다.

HSRP: Fa0/0 Grp 1 Standby router is 172.16.172.52
HSRP: Fa0/0 Grp 1 Hello in 172.16.172.52 Active pri 200 vIP 172.16.172.53
hel 3000 hol 10000 id 0000.0c07.ac01
HSRP: Fa0/0 Grp 1 Active router is 172.16.172.52, was local
HSRP: Fa0/0 Grp 1 Standby router is unknown, was 172.16.172.52
HSRP: Fa0/0 Grp 1 Active: g/Hello rcvd from 
   higher pri Active router (200/172.16.172.52)
HSRP: Fa0/0 Grp 1 Active -> Speak (active 1->0, passive 0->1)
%HSRP-6-STATECHANGE: FastEthernet0/0 Grp 1 state Active -> Speak
HSRP: Fa0/0 Grp 1 Redundancy "VPNHA" state Active -> Speak
HSRP: Fa0/0 Grp 1 Speak: d/Standby timer expired (unknown)
HSRP: Fa0/0 Grp 1 Standby router is local
HSRP: Fa0/0 Grp 1 Speak -> Standby (active 0, passive 1)
HSRP: Fa0/0 Grp 1 Redundancy "VPNHA" state Speak -> Standby
HSRP: Fa0/0 Grp 1 Redundancy enquiry for VPNHA succeeded
addr 172.16.172.53 name VPNHA state Speak
active 172.16.172.52 standby 172.16.172.54

!--- The VPN route is removed.

IPSEC(rte_mgr): VPN Route Removed 20.1.1.0 255.255.255.0 
   via 172.16.172.69 in IP DEFAULT TABLE

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
08-Sep-2004
최초 릴리스

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품