In diesem Dokument wird beschrieben, wie eine Layer 2 Tunneling Protocol Version 3 (L2TPv3)-Verbindung so konfiguriert wird, dass sie über eine Cisco IOS FlexVPN Virtual Tunnel Interface (VTI)-Verbindung zwischen zwei Routern ausgeführt wird, auf denen die Cisco IOS® Software ausgeführt wird. Mit dieser Technologie können Layer-2-Netzwerke innerhalb eines IPsec-Tunnels sicher über mehrere Layer-3-Hops erweitert werden, sodass physisch separate Geräte im selben lokalen LAN erscheinen.
Cisco empfiehlt, über Kenntnisse in folgenden Bereichen zu verfügen:
Die Informationen in diesem Dokument basieren auf den folgenden Software- und Hardwareversionen:
Diese FlexVPN-Konfiguration verwendet intelligente Standardeinstellungen und Pre-Shared-Key-Authentifizierung, um die Erläuterung zu vereinfachen. Verwenden Sie für maximale Sicherheit Verschlüsselungstechnologie der nächsten Generation. Weitere Informationen finden Sie unter Verschlüsselung der nächsten Generation.
Die Informationen in diesem Dokument wurden von den Geräten in einer bestimmten Laborumgebung erstellt. Alle in diesem Dokument verwendeten Geräte haben mit einer leeren (Standard-)Konfiguration begonnen. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die potenziellen Auswirkungen eines Befehls verstehen.
Diese Konfiguration verwendet die Topologie in diesem Bild. Ändern Sie die IP-Adressen nach Bedarf für Ihre Installation.
Auf dem Router R1 ist eine IP-Adresse für die Schnittstelle konfiguriert:
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
Bei diesem Verfahren wird FlexVPN auf dem Router R2 konfiguriert.
crypto ikev2 keyring key1
peer 10.10.10.3
address 10.10.10.3
pre-shared-key ciscol
crypto ikev2 profile default
match identity remote address 10.10.10.3 255.255.255.255
identity local address 10.10.10.2
authentication remote pre-share
authentication local pre-share
keyring local key1
interface Tunnel1
ip address 172.16.1.2 255.255.255.0
tunnel source 10.10.10.2
tunnel destination 10.10.10.3
tunnel protection ipsec profile default
Bei diesem Verfahren wird L2TPv3 auf dem Router R2 konfiguriert.
pseudowire-class l2tp1
encapsulation l2tpv3
ip local interface Tunnel1
interface Ethernet0/0
no ip address
xconnect 172.16.1.3 1001 encapsulation l2tpv3 pw-class l2tp1
Bei diesem Verfahren wird FlexVPN auf dem Router R3 konfiguriert.
crypto ikev2 keyring key1
peer 10.10.10.2
address 10.10.10.2
pre-shared-key cisco
crypto ikev2 profile default
match identity remote address 10.10.10.2 255.255.255.255
identity local address 10.10.10.3
authentication remote pre-share
authentication local pre-share
keyring local key1
interface Tunnel1
ip address 172.16.1.3 255.255.255.0
tunnel source 10.10.10.3
tunnel destination 10.10.10.2
tunnel protection ipsec profile default
Bei diesem Verfahren wird L2TPv3 auf dem Router R3 konfiguriert.
pseudowire-class l2tp1
encapsulation l2tpv3
ip local interface Tunnel1
interface Ethernet0/0
no ip address
xconnect 172.16.1.2 1001 encapsulation l2tpv3 pw-class l2tp1
Auf dem Router R4 ist eine IP-Adresse für die Schnittstelle konfiguriert:
interface Ethernet0/0
ip address 192.168.1.4 255.255.255.0
In diesem Abschnitt überprüfen Sie, ob Ihre Konfiguration ordnungsgemäß funktioniert.
In diesem Beispiel wird überprüft, ob die IPsec-Sicherheitszuordnung erfolgreich auf Router R2 mit Schnittstelle Tunnel1 erstellt wurde.
R2#show crypto sockets
Number of Crypto Socket connections 1
Tu1 Peers (local/remote): 10.10.10.2/10.10.10.3
Local Ident (addr/mask/port/prot): (10.10.10.2/255.255.255.255/0/47)
Remote Ident (addr/mask/port/prot): (10.10.10.3/255.255.255.255/0/47)
IPSec Profile: "default"
Socket State: Open
Client: "TUNNEL SEC" (Client State: Active)
Crypto Sockets in Listen state:
Client: "TUNNEL SEC" Profile: "default" Map-name: "Tunnel1-head-0"
In diesem Beispiel wird überprüft, ob die IKEv2-Sicherheitszuordnung (SA) erfolgreich auf Router R2 erstellt wurde.
R2#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 10.10.10.2/500 10.10.10.3/500 none/none READY
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK,
Auth verify: PSK
Life/Active Time: 86400/562 sec
IPv6 Crypto IKEv2 SA
In diesem Beispiel wird überprüft, ob der L2TPv3-Tunnel auf dem Router R2 korrekt geformt wurde.
R2#show xconnect all
Legend: XC ST=Xconnect State S1=Segment1 State S2=Segment2 State
UP=Up DN=Down AD=Admin Down IA=Inactive
SB=Standby HS=Hot Standby RV=Recovering NH=No Hardware
XC ST Segment 1 S1 Segment 2 S2
------+---------------------------------+--+---------------------------------+--
UP pri ac Et0/0:3(Ethernet) UP l2tp 172.16.1.3:1001 UP
In diesem Beispiel wird überprüft, ob der Router R1 über Netzwerkverbindungen mit dem Router R4 verfügt und sich scheinbar im gleichen lokalen Netzwerk befindet.
R1#ping 192.168.1.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 6/6/6 ms
R1#show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - aabb.cc00.0100 ARPA Ethernet0/0
Internet 192.168.1.4 4 aabb.cc00.0400 ARPA Ethernet0/0
R1#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID Local Intrfce Holdtme Capability Platform Port ID
R4 Eth 0/0 142 R B Linux Uni Eth 0/0
Dieser Abschnitt enthält Informationen zur Fehlerbehebung in Ihrer Konfiguration:
Das Output Interpreter Tool (nur registrierte Kunden) unterstützt bestimmte show-Befehle. Verwenden Sie das Output Interpreter Tool, um eine Analyse der Ausgabe des Befehls show anzuzeigen.
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
06-Jun-2013 |
Erstveröffentlichung |