Kasutusjuhend

GRE üle IPsec tunnelite

Catalyst SD-WAN turvakonfiguratsioon

Märkus
Lihtsustamise ja järjepidevuse saavutamiseks on Cisco SD-WAN lahendus ümber nimetatud Cisco Catalyst SD-WAN-iks. Lisaks kehtivad Cisco IOS XE SD-WAN-i versioonist 17.12.1a ja Cisco Catalyst SD-WAN-i versioonist 20.12.1 järgmised komponentide muudatused: Cisco vManage kuni Cisco Catalyst SD-WAN Manager, Cisco vAnalytics kuni Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator ja Cisco vSmart to Cisco Catalyst SD-WAN kontroller. Kõigi komponentide kaubamärginime muudatuste põhjaliku loendi saamiseks vaadake uusimaid väljalaskemärkmeid. Uutele nimedele ülemineku ajal võib dokumentatsioonikomplektis esineda mõningaid ebakõlasid tarkvaratoote kasutajaliidese värskenduste etapiviisilise lähenemise tõttu.

Tabel 1: Funktsioonide ajalugu

GRE üle IPsec tunnelite Cisco IOS XE Catalyst SD-WAN seadmete vahel

Cisco IOS XE seadmetes saate konfigureerida üldise marsruutimise kapseldamise (GRE) Interneti-protokolli turvalisuse (IPsec) tunnelite kaudu. GRE toetab multisaadete ja dünaamilise marsruutimise protokolli, IPsec koos IKEv2 protokolliga pakub täiustatud turvalisust. GRE over IPsec tunnelid on konfigureeritud kasutades OSPFv3 (dünaamiline marsruutimisprotokoll) ja multisaadet (hõredas režiimis), kasutades tunnelites olevate pakettide krüptimiseks IPseci ning kasutades autentimiseks, tuvastamiseks ja autentimiseks IKEv2 koos RSA-SIG autentimisega. hoida turvaühendusi.

GRE eeltingimused IPsec-tunnelite kaudu Cisco IOS XE seadmete vahel
GRE konfigureerimiseks IPseci tunnelite kaudu kasutage Interneti-võtmevahetuse versiooni 2 (IKEv2) protokolli ja autentimismeetodina RSA allkirja.

Piirangud GRE-le üle IPsec-tunnelite Cisco IOS XE seadmete vahel

• IPsec tunneli allika IPv6 aadresse ei toetata.
• Te ei saa konfigureerida GRE Over IPsec tunneleid Cisco IOS XE seadmete vahel, kasutades Cisco SD-WAN Manageri GUI-d.

GRE eelised võrreldes Cisco IOS XE seadmete vaheliste IPsec-tunnelitega

• Võimaldab migratsiooni. Saate migreeruda Cisco Catalyst SD-WAN võrku või muuta seadet, et see toetaks Cisco Catalyst SD-WAN-i.
• Tagab täieliku võrguühenduse filiaali ja andmekeskuse vahel, olenemata sellest, kas võrk on Cisco Catalyst SD-WAN-võrk või mitte-SD-WAN-võrk.
• Toetab OSPFv3 ja multiedastusliiklust Cisco Catalyst SD-WAN toega harust mitte-SD-WAN andmekeskusesse.

Kasutage Cisco IOS XE seadmete vaheliste IPsec-tunnelite GRE-i jaoks mõeldud ümbrist
Selles samptopoloogias on Cisco IOS XE seadmeid, mis asuvad erinevates andmekeskustes ja filiaalides.
Kaks kontrollerirežiimis olevat Cisco IOS XE seadet asuvad Cisco Catalyst SD-WAN võrgus, üks andmekeskuses ja teine ​​filiaalis. Ülejäänud kaks autonoomses režiimis Cisco IOS XE seadet asuvad mitte-SD-WAN võrgus. GRE üle IPseci tunnel on konfigureeritud ühendama Cisco IOS XE seadmeid Cisco Catalyst SD-WAN võrgu harust andmekeskusega, mis asub mitte-SD-WAN võrgus.

Märkus
Veenduge, et tunneli allikas on WAN-i poole jaoks konfigureeritud globaalse VPN-iga ja teenuse poole jaoks on tunneli VRF konfigureeritud teenuse VPN-iga.

Konfigureerige GRE IPseci tunnelite kaudu Cisco IOS XE seadmete vahel
GRE konfigureerimine IPseci tunnelite kaudu Cisco SD-WAN Manageri abil on kaheetapiline protsess:

1. Installige sertifikaadi autentimine.
   Importige pkcs12 file seadmes Cisco IOS XE Catalyst SD-WAN, kasutades käsku pki import.
   Teavet leiate jaotisest Sertifikaadi autentimise installimine GRE seadistamine IPseci tunnelite kaudu Cisco IOS XE seadmete vahel CLI abil .
2. Valmistage ette GRE üle IPseci tunneli konfiguratsioonid (GRE, IPsec, IKEv2, PKI, OSPFv3 ja Multicast) Cisco SD-WAN Manageri CLI malli kaudu ja lükake see Cisco IOS XE Catalyst SD-WAN seadmesse.
   Lisateavet seadme malli kasutamise kohta vt Seadme konfiguratsioonipõhised CLI mallid Cisco IOS XE Catalyst SD-WAN-seadmetele.
   Vaadake jaotist GRE seadistamine IPseci tunneli kaudu GRE seadistamine IPseci tunnelite kaudu Cisco IOS XE seadmete vahel CLI abil jaoks naguample konfiguratsioon kasutamiseks CLI mallis.

Märkus
Märkus. Lisage krüpto-pki usalduspunkti konfiguratsioonikäsk selgesõnaliselt Cisco SD-WAN Manageri CLI malli.

GRE seadistamine IPseci tunnelite kaudu Cisco IOS XE Catalyst SD-WAN seadmete vahel CLI abil
See jaotis sisaldab ntample CLI konfiguratsioonid GRE konfigureerimiseks IPsec tunnelite kaudu Cisco IOS XE jaoks
Katalüsaatori SD-WAN seadmed kontrolleri režiimis.

Installige sertifikaadi autentimine
Importige pkcs12 file seadmes Cisco IOS XE Catalyst SD-WAN, kasutades käsku pki import.
Seadme nr krüpto pki import usalduspunkti_nimi pkcs12 bootflash:sertifikaadi_nimi parool cisco
Käivitage Cisco IOS XE Catalyst SD-WAN-seadme ümberkonfigureerimiseks käsk crypto pki trustpoint.
Device(config)# krüpto-pki usalduspunkti usalduspunkti_nimi
Seadme(ca-trustpoint)# registreerimine pkcs12
Seade(ca-trustpoint)# tühistamine-kontroll puudub
Seadme(ca-trustpoint)# rsakeypair usalduspunkti_nimi

Konfigureerige GRE IPsec-tunneli kaudu
Järgmine on naguampkonfiguratsioon ntample GRE konfigureerimiseks IPsec tunneli kaudu.

Märkus
GRE üle IPsec tunnelite konfiguratsioonid Cisco IOS XE seadmete jaoks autonoomses režiimis on samad, mis ülal näidatud kontrolleri režiimis.
Lisaks sellele on autonoomses režiimis Cisco IOS XE seadmete sertifitseerimisautentimise installimise toimingud samad, mis Cisco IOS XE Catalyst SD-WAN seadmetes ja teil pole nõuet Cisco IOS XE seadmetes krüpto-pki usalduspunkti selgesõnaliselt ümber konfigureerida. autonoomses režiimis.

GRE jälgimine IPseci tunnelite kaudu Cisco IOS XE seadmete vahel, kasutades CLI-d

Example 1
Järgmine on sample väljund käsust show crypto pki sertifikaadid, kasutades valikulist usalduspunkti nimi argumenti ja üksikasjalikku märksõna. Väljundis kuvatakse seadme sertifikaat ja CA sertifikaat. Selles eksample, genereeritakse eelnevalt üldotstarbelised RSA võtmepaarid ning võtmepaari kohta küsitakse ja võetakse vastu sertifikaat.

Example 2
Järgmine on sample väljund käsust show crypto ipsec sa, et kuvada IPseci turbeühenduste kasutatavad sätted.

Example 3
Järgmised eksample näitab krüptosansi üksikasjade näitamise käsu väljundit, mis kuvab aktiivsete krüptoseansside olekuteavet.

Example 4
Järgmine on sample väljund käsust show crypto key mypubkey rsa, mis kuvab teie seadme avalikud RSA võtmed.

IPv6 GRE või IPsec tunnelid Cisco IOS XE Catalyst SD-WAN seadmete ja kolmanda osapoole seadmete vahel

Minimaalne toetatud väljalase: Cisco IOS XE Catalyst SD-WAN väljalase 17.12.1a
See funktsioon võimaldab teil teenuse VPN-i kaudu konfigureerida IPv6 GRE- või IPSEC-tunneli Cisco IOS XE Catalyst SD-WAN-seadmetest kolmanda osapoole seadmesse. Toetatud on järgmised tüübid:

• IPv6 GRE tunnel üle IPv4 aluskihi
• IPv6 GRE tunnel üle IPv6 aluskihi
• IPsec IPv6 tunnel üle IPv4 aluskatte
• IPsec IPv6 tunnel üle IPv6 aluskatte

Piirangud IPv6 GRE või IPsec tunnelitele Cisco IOS XE Catalyst SD-WAN seadmete ja kolmanda osapoole seadmete vahel

• Seda funktsiooni saab konfigureerida ainult seadme CLI malli kaudu. Funktsioonimalle ei toetata.
• Funktsioonipaketti ei toetata.
• IPsec SVTI tunnelite puhul topeltpinu ei toetata, kuid GRE tunnelite puhul.
• Liidese nime tunneliallika tagasisilmusena ei toetata. Kui kasutate tunneliallikana tagasisilmusliidest, peate tunneli allika väljana sisestama IPv4- või IPv6-aadressi. Saate anda füüsilise liidese ja alamliidese tunneli allika väljana liidese nime.

Toetatud seadmed IPv6 GRE või IPsec tunnelite jaoks Cisco IOS XE Catalyst SD-WAN seadmete ja kolmanda osapoole seadmete vahel

Tabel 2: Toetatud seadmed ja väljalasked

IPv6 GRE või IPsec tunnelite konfigureerimine Cisco IOS XE Catalyst SD-WAN seadmete ja kolmanda osapoole seadmete vahel, kasutades CLI malli

Ühise allikaliidese konfigureerimine
See jaotis pakub endistample CLI konfiguratsioon ühise allikaliidese konfigureerimiseks.

1. Sisenege globaalsesse konfiguratsioonirežiimi.
   terminali seadistamine
2. Sisenege liidese konfiguratsioonirežiimi.
   liides GigabitEthernet1
3. Luba liides.
   väljalülitamist pole
4. Määrake liidese IP-aadress.
   IP-aadress 209.165.200.225 255.255.255.0
5. Seadistage IPv6 aadress.
   ipv6 address 2001:DB8:200::225/64
6. Väljuge liidese konfiguratsioonirežiimist.
   väljuda

See jaotis pakub endistample CLI konfiguratsioon tagasisilmusliidese konfigureerimiseks.

1. Seadistage tagasisilmusliides.
   liides Loopback 0
2. Määrake liidese IP-aadress.
   IP-aadress 209.165.201.1 255.255.255.0
3. Seadistage IPv6 aadress.
   ipv6 address 2001:DB8:201::1/64
4. Väljuge liidese konfiguratsioonirežiimist.
   väljuda

Siin on täielik konfiguratsioon, ntample ühise allikaliidese konfigureerimiseks.

IPv6 GRE tunneli konfigureerimine üle IPv4 aluskatte
See jaotis pakub endistample CLI konfiguratsioon IPv6 GRE tunneli konfigureerimiseks üle IPv4 aluskatte.

1. Sisenege globaalsesse konfiguratsioonirežiimi.
   terminali seadistamine
2. Loo liidese tunnel.
   liides Tunnel64
3. Luba liides.
   väljalülitamist pole
4. Seostage VRF-i eksemplar või virtuaalne võrk liidese või alamliidesega liidese konfiguratsioonirežiimis.
   vrf edastamine 1
5. Konfigureerige IPv6 aadress ja lubage IPv6 töötlemine liidese konfiguratsioonirežiimis.
   ipv6 address 2001:DB8:64::1/64
6. Määrake liidese konfiguratsioonirežiimis tunneli liidese lähteaadress.
   tunneli allikas 209.165.202.129
7. Määrake GRE tunneli liidese sihtaadress liidese konfiguratsioonirežiimis.
   tunneli sihtkoht 209.165.202.158
8. Määrake liidese konfiguratsioonirežiimis tunneli transpordi väljuv liides. Kui kasutate kohustuslikku märksõna ja marsruut pole saadaval, liiklus väheneb.
   tunneli marsruut - GigabitEthernet5 kaudu kohustuslik

Siin on täielik konfiguratsioon, ntample IPv6 GRE tunneli konfigureerimiseks üle IPv4 aluskatte.

IPv6 GRE tunneli konfigureerimine üle IPv6 aluskatte
See jaotis pakub endistample CLI konfiguratsioon IPv6 GRE tunneli konfigureerimiseks üle IPv6 aluskatte.

1. Sisenege globaalsesse konfiguratsioonirežiimi.
   terminali seadistamine
2. Sisenege tunneli liidese režiimi.
   liides Tunnel66
3. Luba liides.
   väljalülitamist pole
4. Seostage VRF-i eksemplar või virtuaalne võrk liidese või alamliidesega liidese konfiguratsioonirežiimis.
   vrf edastamine 1
5. Konfigureerige IPv6 aadress ja lubage IPv6 töötlemine liidese konfiguratsioonirežiimis.
   ipv6 address 2001:DB8:166::1/64
6. Määrake liidese konfiguratsioonirežiimis tunneli liidese lähteaadress.
   tunneli allikas 2001:DB8:15::15
7. Määrake GRE tunneli liidese sihtaadress liidese konfiguratsioonirežiimis.
   tunneli sihtkoht 2001:DB8:15::16
8. Liidese konfiguratsioonirežiimis saate määrata tunneli liidese kapseldamise režiimi.
   tunnelirežiim gre ipv6
9. Määrake liidese konfiguratsioonirežiimis tunneli transpordi väljuv liides. Kui kasutate kohustuslikku märksõna ja marsruut pole saadaval, liiklus väheneb.
   tunneli marsruut - GigabitEthernet5 kaudu kohustuslik

Siin on täielik konfiguratsioon, ntample IPv6 GRE tunneli konfigureerimiseks üle IPv6 aluskatte.

liides Tunnel66
väljalülitamist pole
vrf edastamine 1
ipv6 address 2001:DB8:66::1/64
tunneli allikas 2001:DB8:15::15
tunneli sihtkoht 2001:DB8:15::16
tunnelirežiim gre ipv6
tunneli marsruut - GigabitEthernet5 kaudu kohustuslik

IPseci IPv6 tunneli konfigureerimine üle IPv4 aluskatte
See jaotis pakub endistample CLI konfiguratsioon IPsec IPv6 tunneli konfigureerimiseks üle IPv4 aluskatte.

1. Sisenege globaalsesse konfiguratsioonirežiimi.
   terminali seadistamine
2. Sisenege tunneli liidese režiimi.
   liides Tunnel164
3. Luba liides.
   väljalülitamist pole
4. Seostage VRF-i eksemplar või virtuaalne võrk liidese või alamliidesega liidese konfiguratsioonirežiimis.
   vrf edastamine 1
5. Konfigureerige IPv6 aadress ja lubage IPv6 töötlemine liidese konfiguratsioonirežiimis.
   ipv6 address 2001:DB8:164::1/64
6. Määrake liidese konfiguratsioonirežiimis tunneli liidese lähteaadress.
   tunneli allikas 209.165.202.129
7. Määrake IPseci tunneli liidese sihtkoha aadress liidese konfiguratsioonirežiimis.
   tunneli sihtkoht 209.165.202.158
8. Liidese konfiguratsioonirežiimis saate määrata tunneli liidese kapseldamise režiimi.
   tunnelirežiim ipsec ipv4 v6-overlay
9. Seostage tunneli liides IPsec pro-gafile.
   tunnelikaitse ipsec profile if-ipsec1-ipsec-profile164
10. Määrake liidese konfiguratsioonirežiimis tunneli transpordi väljuv liides. Kui kasutate kohustuslikku märksõna ja marsruut pole saadaval, liiklus väheneb.
    tunneli marsruut - GigabitEthernet5 kaudu kohustuslik

Siin on täielik konfiguratsioon, ntample IPsec IPv6 tunneli konfigureerimiseks üle IPv4 aluskatte.

IPseci IPv6 tunneli konfigureerimine üle IPv6 aluskatte
See jaotis pakub endistample CLI konfiguratsioon IPsec IPv6 tunneli konfigureerimiseks üle IPv6 aluskatte.

1. Sisenege globaalsesse konfiguratsioonirežiimi.
   terminali seadistamine
2. Sisenege tunneli liidese režiimi.
   liides Tunnel166
3. Luba liides.
   väljalülitamist pole
4. Seostage VRF-i eksemplar või virtuaalne võrk liidese või alamliidesega liidese konfiguratsioonirežiimis.
   vrf edastamine 1
5. Konfigureerige IPv6 aadress ja lubage IPv6 töötlemine liidese konfiguratsioonirežiimis.
   ipv6 address 2001:DB8:166::1/64
6. Määrake liidese konfiguratsioonirežiimis tunneli liidese lähteaadress.
   tunneli allikas 2001:DB8:15::15
7. Määrake IPseci tunneli liidese sihtkoha aadress liidese konfiguratsioonirežiimis.
   tunneli sihtkoht 2001:DB8:15::16
8. Liidese konfiguratsioonirežiimis saate määrata tunneli liidese kapseldamise režiimi.
   tunnelirežiim ipsec ipv6
9. Seostage tunneli liides IPsec pro-gafile.
   tunnelikaitse ipsec profile if-ipsec1-ipsec-profile166
10. Määrake liidese konfiguratsioonirežiimis tunneli transpordi väljuv liides. Kui kasutate kohustuslikku märksõna ja marsruut pole saadaval, liiklus väheneb.
    tunneli marsruut - GigabitEthernet5 kaudu kohustuslik

Siin on täielik konfiguratsioon, ntample IPsec IPv6 tunneli konfigureerimiseks üle IPv6 aluskatte.

Kinnitage IPv6 GRE või IPsec tunnelid Cisco IOS XE Catalyst SD-WAN seadmeseadmete ja kolmanda osapoole seadmete vahel
Järgmine on naguample väljund show run liidese tüüp/number käsust.

Järgmine on naguample väljund show naabrustunnel164 sisemisest käsust.
näita naabertunneli164 sisemist

Dokumendid / Ressursid

CISCO Catalyst SD-WAN turvakonfiguratsioon [pdfKasutusjuhend Catalyst SD-WAN turvakonfiguratsioon, Catalyst SD-WAN, turvakonfiguratsioon, konfiguratsioon

Viited

• Kasutusjuhend