在XE SD-WAN的同一隧道接口中配置IPsec和GRE

下载选项

  • PDF     (409.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (162.9 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (137.9 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2023 年 3 月 29 日
文档 ID:220314

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍在Cisco IOS XE® SD-WAN路由器上为同一隧道接口启用IPsec和GRE封装的配置。

    先决条件

    要求

    建议掌握下列主题的相关知识:

    • 思科SD-WAN
    • 基本Cisco IOS-XE命令行界面(CLI)

    使用的组件

    本文档基于以下软件和硬件版本:

    • C8000V版本17.6.2

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    Cisco IOS-XE SD-WAN路由器至少需要一个封装;每个隧道接口的互联网协议安全(IPsec)或通用路由封装(GRE)。

    两种封装都需要使用案例。

    使用案例

    场景 1

    在此场景中,有一个集线器,具有一个传输和两个封装,用于同一隧道接口。

    这将创建两个TLOC,并允许与仅使用IPSec的远程边缘设备和仅使用GRE的远程边缘设备形成隧道。

    IPsec and GRE example

    场景 2

    在此场景中,有两个边缘设备具有一个传输。此传输在两个终端上都配置了两种封装。

    如果存在需要通过GRE发送的流量和需要通过IPsec发送的流量,此功能非常有用。

    IPsec and GRE example

    配置

    此配置可通过路由器CLI或vManage功能模板执行。

    通过vManage功能模板

    在VPN 0的Cisco VPN接口以太网功能模板上,导航到Tunnel > Advanced Options > Encapsulation,然后打开On GRE and IPsec:

    GRE input fields

    通过CLI

    在两台cEdge设备上使用两种封装配置隧道接口:

    sdwan
     interface <WAN Interface>
      tunnel-interface
       encapsulation gre
       encapsulation ipsec

    确认

    使用验证命令验证控制连接的状态。

    show sdwan omp tlocs table | i <system-ip>
    show sdwan bfd sessions

    场景2示例:

    验证TLOC是否已重分发到OMP:

    Edge_A#show sdwan omp tlocs table | i 10.2.2.2
    ipv4   10.2.2.2  mpls  gre    0.0.0.0  C,Red,R  1  172.16.1.30  0      172.16.1.30  0      ::  0  ::  0  up 
           10.2.2.2  mpls  ipsec  0.0.0.0  C,Red,R  1  172.16.1.30  12346  172.16.1.30  12346  ::  0  ::  0  up

    验证到两个TLOC上Edge_B的BFD会话:

    Edge_A#show sdwan bfd sessions
                                 SOURCE TLOC  REMOTE TLOC              DST PUBLIC   DST PUBLIC         DETECT      TX 
    SYSTEM IP    SITE ID  STATE  COLOR        COLOR       SOURCE IP    IP           PORT        ENCAP  MULTIPLIER  INTERVAL(msec    UPTIME          TRANSITIONS 
    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    10.4.4.4     4        up     mpls         mpls        172.16.1.30  172.16.1.32  0           gre    7           1000             11 11:11:36:55  1 
    10.4.4.4     4        up     mpls         mpls        172.16.1.30  172.16.1.32  12366       ipsec  7           1000             11 11:11:36:51  0

    检验通向两个隧道的路径。使用命令show sdwan policy service path vpn <vpn-number> interface <interface> source-ip <source-ip> dest-ip <dest-ip> protocol <protocol> all。

    Edge_A#show sdwan policy service-path vpn 10 interface Loopback 20 source-ip 10.40.40.40 dest-ip 10.50.50.50 protocol 1 all 
    Number of possible next hops: 2
    Next Hop: GRE
    Source: 172.16.1.30 Destination: 172.16.1.32 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
    Next Hop: IPsec
    Source: 172.16.1.30 12346 Destination: 172.16.1.32 12366 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    29-Mar-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 罗萨纳德尔卡斯蒂略法西内托

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品