Uživatelská příručka

GRE přes IPsec tunely

Konfigurace zabezpečení Catalyst SD-WAN

Poznámka
Pro dosažení zjednodušení a konzistence bylo řešení Cisco SD-WAN přejmenováno na Cisco Catalyst SD-WAN. Kromě toho jsou od Cisco IOS XE SD-WAN Release 17.12.1a a Cisco Catalyst SD-WAN Release 20.12.1 použitelné následující změny součástí: Cisco vManage na Cisco Catalyst SD-WAN Manager, Cisco vAnalytics na Cisco Catalyst SD-WAN Analytics, Cisco vBond to Cisco Catalyst SD-WAN Validator a Cisco vSmart to Cisco Catalyst SD-WAN Controller. Úplný seznam všech změn názvů značek součástí naleznete v nejnovějších poznámkách k vydání. Zatímco přecházíme na nové názvy, mohou se v sadě dokumentace vyskytovat určité nekonzistence kvůli postupnému přístupu k aktualizacím uživatelského rozhraní softwarového produktu.

Tabulka 1: Historie funkcí

Název funkce	Informace o vydání	Popis
Mezi tunely GRE přes IPsec Zařízení Cisco IOS XE	Cisco IOS XE Catalyst SD-WAN Release 17.7.1a Cisco vManage Release 20.7.1	Tato funkce vám umožňuje nastavit tunely GRE over IPsec se zapnutým ověřováním IKEv2 RSA-SIG Cisco IOS XE Catalyst SD-WAN zařízení v režimu řadiče pro připojení k zařízením Cisco IOS XE v autonomním režimu. Toto nastavení umožňuje zařízením Cisco IOS XE Catalyst SD-WAN používat OSPFv3 jako dynamický směrovací protokol a multicastový provoz v síti WAN. Tunely GRE over IPsec můžete nakonfigurovat pomocí šablon zařízení CLI v Cisco SD-WAN Manager pro zařízení Cisco IOS XE Catalyst SD-WAN.
Tunely IPv6 GRE nebo IPsec Mezi Cisco IOS XE Catalyst SD-WAN a zařízení třetích stran	Cisco IOS XE Catalyst SD-WAN Vydání 17.12.1a	Tato funkce umožňuje konfigurovat tunel IPv6 GRE nebo IPSEC ze zařízení Cisco IOS XE Catalyst SD-WAN do zařízení třetí strany přes servisní VPN.

Tunely GRE Over IPsec mezi zařízeními Cisco IOS XE Catalyst SD-WAN

Na zařízeních Cisco IOS XE můžete nakonfigurovat zapouzdření generického směrování (GRE) přes tunely IPsec (Internet Protocol Security). GRE podporuje multicast a dynamické směrovací protokoly, IPsec s protokolem IKEv2 nabízí vylepšené zabezpečení. Tunely GRE over IPsec se konfigurují pomocí protokolu OSPFv3 (dynamický směrovací protokol) a vícesměrového vysílání (v řídkém režimu), pomocí protokolu IPsec zašifrují pakety napříč tunely a pomocí protokolu IKEv2 spolu s autentizací RSA-SIG provádějí autentizaci, navazují a udržovat bezpečnostní asociace.

Předpoklady pro GRE Over IPsec tunely mezi zařízeními Cisco IOS XE
Chcete-li nakonfigurovat tunely GRE over IPsec, použijte protokol Internet Key Exchange verze 2 (IKEv2) a podpis RSA jako metodu ověřování.

Omezení pro GRE Over IPsec tunely mezi zařízeními Cisco IOS XE

• Adresy IPv6 pro zdroj tunelu IPsec nejsou podporovány.
• Nelze nakonfigurovat tunely GRE Over IPsec mezi zařízeními Cisco IOS XE pomocí GUI Cisco SD-WAN Manager.

Výhody GRE Over IPsec tunely mezi zařízeními Cisco IOS XE

• Umožňuje migraci. Můžete buď migrovat do sítě Cisco Catalyst SD-WAN, nebo upravit zařízení tak, aby podporovalo Cisco Catalyst SD-WAN.
• Poskytuje úplné mesh spojení mezi pobočkou a datovým centrem, bez ohledu na to, zda jde o síť Cisco Catalyst SD-WAN nebo síť bez SD-WAN.
• Podporuje OSPFv3 a multicast provoz z větve Cisco Catalyst s podporou SD-WAN do datového centra bez SD-WAN.

Případ použití pro GRE Over IPsec tunely mezi zařízeními Cisco IOS XE
V této sampV topologii existují zařízení Cisco IOS XE, která jsou umístěna v různých datových centrech a pobočkách.
Dvě zařízení Cisco IOS XE v režimu řadiče jsou umístěna v síti Cisco Catalyst SD-WAN, jedno v datovém centru a druhé v pobočce. Další dvě zařízení Cisco IOS XE v autonomním režimu jsou umístěna v síti bez SD-WAN. Tunel GRE over IPsec je nakonfigurován pro připojení zařízení Cisco IOS XE z pobočky v síti Cisco Catalyst SD-WAN k datovému centru umístěnému v síti jiné než SD-WAN.

Poznámka
Ujistěte se, že zdroj tunelu je nakonfigurován s globální VPN na straně WAN a tunelový VRF nakonfigurován se servisní VPN na straně služby.

Konfigurace tunelů GRE Over IPsec mezi zařízeními Cisco IOS XE
Konfigurace GRE přes tunely IPsec pomocí Cisco SD-WAN Manager je dvoufázový proces:

1. Nainstalujte certifikační ověřování.
   Importujte soubor pkcs12 file na zařízení Cisco IOS XE Catalyst SD-WAN pomocí příkazu pki import.
   Informace naleznete v části Ověření certifikace instalace v Nakonfigurujte GRE Over IPsec tunely mezi zařízeními Cisco IOS XE pomocí CLI .
2. Připravte konfigurace tunelu GRE over IPsec (GRE, IPsec, IKEv2, PKI, OSPFv3 a Multicast) prostřednictvím šablony CLI Cisco SD-WAN Manager a přeneste je do zařízení Cisco IOS XE Catalyst SD-WAN.
   Informace o použití šablony zařízení viz Šablony CLI založené na konfiguraci zařízení pro zařízení Cisco IOS XE Catalyst SD-WAN.
   Viz část Konfigurace GRE Over IPsec Tunnel v Nakonfigurujte GRE Over IPsec tunely mezi zařízeními Cisco IOS XE pomocí CLI pro jakoampkonfigurace souboru pro použití v šabloně CLI.

Poznámka
Poznámka: Přidejte konfigurační příkaz crypto pki trustpoint explicitně do šablony CLI Cisco SD-WAN Manager.

Konfigurace tunelů GRE Over IPsec mezi zařízeními Cisco IOS XE Catalyst SD-WAN pomocí rozhraní CLI
Tato část poskytuje napřample Konfigurace CLI pro konfiguraci tunelů GRE přes IPsec pro Cisco IOS XE
Katalyzátorová zařízení SD-WAN v režimu řadiče.

Nainstalujte certifikační ověřování
Importujte soubor pkcs12 file na zařízení Cisco IOS XE Catalyst SD-WAN pomocí příkazu pki import.
Device# crypto pki import trustpoint_name pkcs12 bootflash:certificate_name password cisco
Spuštěním příkazu crypto pki trustpoint překonfigurujte zařízení Cisco IOS XE Catalyst SD-WAN.
Device(config)# crypto pki trustpoint trustpoint_name
Zařízení(ca-trustpoint)# registrace pkcs12
Device(ca-trustpoint)# revocation-check none
Device(ca-trustpoint)# rsakeypair název_důvěryhodného bodu

Nakonfigurujte GRE přes tunel IPsec
Následující je jakoampkonfigurace souboru napřample pro konfiguraci GRE přes tunel IPsec.

Poznámka
Konfigurace pro tunely GRE over IPsec pro zařízení Cisco IOS XE v autonomním režimu jsou stejné jako v režimu řadiče zobrazeném výše.
Kromě toho jsou kroky k instalaci certifikační autentizace pro zařízení Cisco IOS XE v autonomním režimu stejné jako v zařízeních Cisco IOS XE Catalyst SD-WAN a není nutné, abyste explicitně překonfigurovali důvěryhodný bod crypto pki na zařízeních Cisco IOS XE. v autonomním režimu.

Monitorujte GRE přes IPsec tunely mezi zařízeními Cisco IOS XE pomocí CLI

Example 1
Následuje sampVýstup souboru z příkazu show crypto pki certificates pomocí volitelného argumentu trustpoint-name a podrobného klíčového slova. Výstup zobrazuje certifikát zařízení a certifikát CA. V tomto example jsou dříve vygenerovány páry klíčů RSA pro obecné účely a pro tento pár klíčů je požadován a přijat certifikát.

Example 2
Následuje sampVýstupem příkazu show crypto ipsec sa zobrazí nastavení používaná přidružením zabezpečení IPsec.

Example 3
Následující example zobrazuje výstup příkazu show crypto session detail, který zobrazuje informace o stavu aktivních krypto relací.

Example 4
Následuje sampVýstup příkazu show crypto key mypubkey rsa, který zobrazuje veřejné klíče RSA vašeho zařízení.

Tunely IPv6 GRE nebo IPsec mezi zařízeními Cisco IOS XE Catalyst SD-WAN a zařízeními třetích stran

Minimální podporované vydání: Cisco IOS XE Catalyst SD-WAN Release 17.12.1a
Tato funkce umožňuje konfigurovat tunel IPv6 GRE nebo IPSEC ze zařízení Cisco IOS XE Catalyst SD-WAN do zařízení třetí strany přes servisní VPN. Podporovány jsou následující typy:

• Tunel IPv6 GRE přes podložení IPv4
• Tunel IPv6 GRE přes podložení IPv6
• Tunel IPsec IPv6 přes podložení IPv4
• Tunel IPsec IPv6 přes podložení IPv6

Omezení pro IPv6 GRE nebo IPsec tunely mezi zařízeními Cisco IOS XE Catalyst SD-WAN a zařízeními třetích stran

• Tato funkce je konfigurovatelná pouze prostřednictvím šablony CLI zařízení. Šablony funkcí nejsou podporovány.
• Hlavní balíček není podporován.
• Duální zásobník není podporován pro tunely IPsec SVTI, ale podporován pro tunely GRE.
• Název rozhraní jako zpětná smyčka pro zdroj tunelu není podporován. Když jako zdroj tunelu používáte rozhraní zpětné smyčky, musíte jako pole zdroje tunelu zadat adresu IPv4 nebo IPv6. Můžete zadat název rozhraní jako zdrojové pole tunelu pro fyzické rozhraní a podrozhraní.

Podporovaná zařízení pro IPv6 GRE nebo IPsec tunely mezi Cisco IOS XE Catalyst SD-WAN zařízeními a zařízeními třetích stran

Tabulka 2: Podporovaná zařízení a verze

Uvolnění	Podporovaná zařízení
Cisco IOS XE Catalyst SD-WAN Release 17.12.1a a novější	• Okrajové platformy Cisco Catalyst 8300 Series • Okrajové platformy Cisco Catalyst 8500 Series • Okrajové platformy Cisco Catalyst 8500L • Software Cisco Catalyst 8000V Edge • Směrovač Cisco ASR 1001-HX • Směrovač Cisco ASR 1002-HX • Směrovače řady Cisco ISR1100 • Cisco 4461 Integrated Services Router

Konfigurace tunelů IPv6 GRE nebo IPsec mezi zařízeními Cisco IOS XE Catalyst SD-WAN a zařízeními třetích stran pomocí šablony CLI

Nakonfigurujte rozhraní společného zdroje
Tato část poskytuje example Konfigurace CLI pro konfiguraci rozhraní společného zdroje.

1. Vstupte do režimu globální konfigurace.
   nakonfigurovat terminál
2. Vstupte do režimu konfigurace rozhraní.
   rozhraní GigabitEthernet1
3. Povolit rozhraní.
   žádné vypnutí
4. Nastavte IP adresu rozhraní.
   IP adresa 209.165.200.225 255.255.255.0
5. Nakonfigurujte adresu IPv6.
   ipv6 address 2001:DB8:200::225/64
6. Ukončete režim konfigurace rozhraní.
   výstup

Tato část poskytuje example Konfigurace CLI pro konfiguraci rozhraní zpětné smyčky.

1. Nakonfigurujte rozhraní zpětné smyčky.
   rozhraní Loopback 0
2. Nastavte IP adresu rozhraní.
   IP adresa 209.165.201.1 255.255.255.0
3. Nakonfigurujte adresu IPv6.
   ipv6 address 2001:DB8:201::1/64
4. Ukončete režim konfigurace rozhraní.
   výstup

Zde je kompletní konfigurace napřample pro konfiguraci rozhraní společného zdroje.

Nakonfigurujte tunel IPv6 GRE přes podložení IPv4
Tato část poskytuje exampKonfigurace CLI pro konfiguraci tunelu IPv6 GRE přes podložení IPv4.

1. Vstupte do režimu globální konfigurace.
   nakonfigurovat terminál
2. Vytvořte tunel rozhraní.
   rozhraní Tunnel64
3. Povolit rozhraní.
   žádné vypnutí
4. Přidružte instanci VRF nebo virtuální síť k rozhraní nebo podrozhraní v režimu konfigurace rozhraní.
   přesměrování vrf 1
5. Nakonfigurujte adresu IPv6 a povolte zpracování IPv6 na rozhraní v režimu konfigurace rozhraní.
   ipv6 address 2001:DB8:64::1/64
6. Nastavte zdrojovou adresu pro rozhraní tunelu v režimu konfigurace rozhraní.
   tunelový zdroj 209.165.202.129
7. Nastavte cílovou adresu pro rozhraní tunelu GRE v režimu konfigurace rozhraní.
   cíl tunelu 209.165.202.158
8. Zadejte odchozí rozhraní přenosu tunelu v režimu konfigurace rozhraní. Pokud použijete povinné klíčové slovo a trasa není k dispozici, provoz klesne.
   trasa tunelu-přes GigabitEthernet5 povinná

Zde je kompletní konfigurace napřampsoubor pro konfiguraci tunelu IPv6 GRE přes podložení IPv4.

Nakonfigurujte tunel IPv6 GRE přes podložení IPv6
Tato část poskytuje exampKonfigurace CLI pro konfiguraci tunelu IPv6 GRE přes podložení IPv6.

1. Vstupte do režimu globální konfigurace.
   nakonfigurovat terminál
2. Vstupte do režimu tunelového rozhraní.
   rozhraní Tunnel66
3. Povolit rozhraní.
   žádné vypnutí
4. Přidružte instanci VRF nebo virtuální síť k rozhraní nebo podrozhraní v režimu konfigurace rozhraní.
   přesměrování vrf 1
5. Nakonfigurujte adresu IPv6 a povolte zpracování IPv6 na rozhraní v režimu konfigurace rozhraní.
   ipv6 address 2001:DB8:166::1/64
6. Nastavte zdrojovou adresu pro rozhraní tunelu v režimu konfigurace rozhraní.
   zdroj tunelu 2001:DB8:15::15
7. Nastavte cílovou adresu pro rozhraní tunelu GRE v režimu konfigurace rozhraní.
   cíl tunelu 2001:DB8:15::16
8. Nastavte režim zapouzdření pro rozhraní tunelu v režimu konfigurace rozhraní.
   tunelový režim gre ipv6
9. Zadejte odchozí rozhraní přenosu tunelu v režimu konfigurace rozhraní. Pokud použijete povinné klíčové slovo a trasa není k dispozici, provoz klesne.
   trasa tunelu-přes GigabitEthernet5 povinná

Zde je kompletní konfigurace napřampsoubor pro konfiguraci tunelu IPv6 GRE přes podložení IPv6.

rozhraní Tunnel66
žádné vypnutí
přesměrování vrf 1
ipv6 address 2001:DB8:66::1/64
zdroj tunelu 2001:DB8:15::15
cíl tunelu 2001:DB8:15::16
tunelový režim gre ipv6
trasa tunelu-přes GigabitEthernet5 povinná

Nakonfigurujte tunel IPsec IPv6 přes podložení IPv4
Tato část poskytuje exampKonfigurace CLI pro konfiguraci tunelu IPsec IPv6 přes podložení IPv4.

1. Vstupte do režimu globální konfigurace.
   nakonfigurovat terminál
2. Vstupte do režimu tunelového rozhraní.
   rozhraní Tunnel164
3. Povolit rozhraní.
   žádné vypnutí
4. Přidružte instanci VRF nebo virtuální síť k rozhraní nebo podrozhraní v režimu konfigurace rozhraní.
   přesměrování vrf 1
5. Nakonfigurujte adresu IPv6 a povolte zpracování IPv6 na rozhraní v režimu konfigurace rozhraní.
   ipv6 address 2001:DB8:164::1/64
6. Nastavte zdrojovou adresu pro rozhraní tunelu v režimu konfigurace rozhraní.
   tunelový zdroj 209.165.202.129
7. Nastavte cílovou adresu pro rozhraní tunelu IPsec v režimu konfigurace rozhraní.
   cíl tunelu 209.165.202.158
8. Nastavte režim zapouzdření pro rozhraní tunelu v režimu konfigurace rozhraní.
   tunelový režim ipsec ipv4 v6-overlay
9. Přidružte rozhraní tunelu k profesionálovi IPsecfile.
   ochrana tunelu ipsec profile if-ipsec1-ipsec-profile164
10. Zadejte odchozí rozhraní přenosu tunelu v režimu konfigurace rozhraní. Pokud použijete povinné klíčové slovo a trasa není k dispozici, provoz klesne.
    trasa tunelu-přes GigabitEthernet5 povinná

Zde je kompletní konfigurace napřampsoubor pro konfiguraci tunelu IPsec IPv6 přes podložení IPv4.

Nakonfigurujte tunel IPsec IPv6 přes podložení IPv6
Tato část poskytuje exampKonfigurace CLI pro konfiguraci tunelu IPsec IPv6 přes podložení IPv6.

1. Vstupte do režimu globální konfigurace.
   nakonfigurovat terminál
2. Vstupte do režimu tunelového rozhraní.
   rozhraní Tunnel166
3. Povolit rozhraní.
   žádné vypnutí
4. Přidružte instanci VRF nebo virtuální síť k rozhraní nebo podrozhraní v režimu konfigurace rozhraní.
   přesměrování vrf 1
5. Nakonfigurujte adresu IPv6 a povolte zpracování IPv6 na rozhraní v režimu konfigurace rozhraní.
   ipv6 address 2001:DB8:166::1/64
6. Nastavte zdrojovou adresu pro rozhraní tunelu v režimu konfigurace rozhraní.
   zdroj tunelu 2001:DB8:15::15
7. Nastavte cílovou adresu pro rozhraní tunelu IPsec v režimu konfigurace rozhraní.
   cíl tunelu 2001:DB8:15::16
8. Nastavte režim zapouzdření pro rozhraní tunelu v režimu konfigurace rozhraní.
   tunelový režim ipsec ipv6
9. Přidružte rozhraní tunelu k profesionálovi IPsecfile.
   ochrana tunelu ipsec profile if-ipsec1-ipsec-profile166
10. Zadejte odchozí rozhraní přenosu tunelu v režimu konfigurace rozhraní. Pokud použijete povinné klíčové slovo a trasa není k dispozici, provoz klesne.
    trasa tunelu-přes GigabitEthernet5 povinná

Zde je kompletní konfigurace napřampsoubor pro konfiguraci tunelu IPsec IPv6 přes podložení IPv6.

Ověřte tunely IPv6 GRE nebo IPsec mezi zařízeními zařízení Cisco IOS XE Catalyst SD-WAN a zařízeními třetích stran
Následující je jakoample výstup z příkazu show run interface type/number.

Následující je jakoample výstup z interního příkazu show adjacency tunnel164.
zobrazit sousedství tunel164 vnitřní

Dokumenty / zdroje

Konfigurace zabezpečení CISCO Catalyst SD-WAN [pdfUživatelská příručka Konfigurace zabezpečení Catalyst SD-WAN, Catalyst SD-WAN, Konfigurace zabezpečení, Konfigurace

Reference

• Uživatelská příručka