在XE SD-WAN的同一通道介面中配置IPsec和GRE

下載選項

  • PDF     (413.8 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (162.8 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (137.9 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2023 年 3 月 29 日
文件 ID:220314

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案介紹在Cisco IOS XE® SD-WAN路由器上為同一通道介面啟用IPsec和GRE封裝的組態。

    必要條件

    需求

    思科建議瞭解以下主題:

    • Cisco SD-WAN
    • 基本Cisco IOS-XE命令列介面(CLI)

    採用元件

    本檔案是根據以下軟體和硬體版本所編制:

    • C8000V版本17.6.2

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    Cisco IOS-XE SD-WAN路由器至少需要一個封裝;每個通道介面的網際網路協定安全(IPsec)或通用路由封裝(GRE)。

    兩種封裝都需要使用案例。

    使用案例

    案例 1

    在此案例中,有一個集線器,其中包含同一通道介面的一種傳輸和兩種封裝。

    這會建立兩個TLOC,並允許與僅使用IPSec的遠端邊緣裝置和僅使用GRE的遠端邊緣裝置形成隧道。

    IPsec and GRE example

    案例 2

    在此案例中,有兩個邊緣裝置具有一個傳輸。此傳輸在兩個端點上均配置兩個封裝。

    如果存在需要通過GRE傳送的流量和需要通過IPsec傳送的流量,此功能非常有用。

    IPsec and GRE example

    組態

    此配置可以通過路由器CLI或vManage功能模板執行。

    通過vManage功能模板

    在VPN 0的Cisco VPN介面乙太網功能模板上,導航到Tunnel > Advanced Options > Encapsulation,然後開啟GREIPsec:

    GRE input fields

    通過CLI

    在兩台cEdge裝置上使用兩種封裝配置隧道介面:

    sdwan
     interface <WAN Interface>
      tunnel-interface
       encapsulation gre
       encapsulation ipsec

    驗證

    使用驗證命令驗證控制連線的狀態。

    show sdwan omp tlocs table | i <system-ip>
    show sdwan bfd sessions

    案例2:

    驗證是否已將TLOC重新分發到OMP中:

    Edge_A#show sdwan omp tlocs table | i 10.2.2.2
    ipv4   10.2.2.2  mpls  gre    0.0.0.0  C,Red,R  1  172.16.1.30  0      172.16.1.30  0      ::  0  ::  0  up 
           10.2.2.2  mpls  ipsec  0.0.0.0  C,Red,R  1  172.16.1.30  12346  172.16.1.30  12346  ::  0  ::  0  up

    驗證到兩個TLOC上Edge_B的BFD會話:

    Edge_A#show sdwan bfd sessions
                                 SOURCE TLOC  REMOTE TLOC              DST PUBLIC   DST PUBLIC         DETECT      TX 
    SYSTEM IP    SITE ID  STATE  COLOR        COLOR       SOURCE IP    IP           PORT        ENCAP  MULTIPLIER  INTERVAL(msec    UPTIME          TRANSITIONS 
    ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
    10.4.4.4     4        up     mpls         mpls        172.16.1.30  172.16.1.32  0           gre    7           1000             11 11:11:36:55  1 
    10.4.4.4     4        up     mpls         mpls        172.16.1.30  172.16.1.32  12366       ipsec  7           1000             11 11:11:36:51  0

    驗證通往兩個通道的路徑。使用命令show sdwan policy service path vpn <vpn-number> interface <interface> source-ip <source-ip> dest-ip <dest-ip> protocol <protocol> all。

    Edge_A#show sdwan policy service-path vpn 10 interface Loopback 20 source-ip 10.40.40.40 dest-ip 10.50.50.50 protocol 1 all 
    Number of possible next hops: 2
    Next Hop: GRE
    Source: 172.16.1.30 Destination: 172.16.1.32 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
    Next Hop: IPsec
    Source: 172.16.1.30 12346 Destination: 172.16.1.32 12366 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4

    相關資訊

    修訂記錄

    修訂 發佈日期 意見
    1.0
    29-Mar-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Rossana Del Castillo Fascinetto

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品