2025-03-03 05:25 PM 2025-04-04 04:04 PM 更新
本ドキュメントでは、Cisco Secure AccessのNetwork tunnel groupに接続する、ユーザ (CPE) 側ルータの機器冗長を構成するための設定例を紹介します。
ECMPでトンネルを重畳し、帯域を増やす必要がある場合には、以下の設定例を参照ください。
BGPでECMPを使用したCisco Secure AccessとIOS XEルータ間のネットワークトンネルの設定
場所 | ASN | 備考 |
Secure Access側 | 64512 | Secure Accessで予約されたAS番号、ユーザ側ネットワークでは利用不可 |
ユーザ側 | 65103 | 64513–65534の範囲が利用可能 |
crypto ikev2 proposal sse-proposal
encryption aes-gcm-256
prf sha256
group 19 20
!
crypto ikev2 policy sse
match address local 198.18.128.253
proposal sse-proposal
!
crypto ikev2 keyring sse-kr
peer sse
address 43.206.17.248
pre-shared-key [Pre-shared key]
!
crypto ikev2 profile sse-profile
match identity remote address 43.206.17.248 255.255.255.255
identity local email [Primary HubのTunnel ID]
authentication remote pre-share
authentication local pre-share
keyring local sse-kr
dpd 10 3 periodic
!
crypto ipsec transform-set sse-ts esp-gcm 256
mode tunnel
!
crypto ipsec profile sse
set transform-set sse-ts
set ikev2-profile sse-profile
!
track 10 interface Tunnel1 line-protocol
delay down 5 !!! インタフェースフラップによる誤動作防止のため、5秒のディレイを設定
!
interface Tunnel1
description Connect to Primary Hub on Secure Access
ip address 169.254.0.2 255.255.255.252 !!! Secure AccessのBGPでは169.254.0.0/24でPeering可能なため、Link localのIPを付与
ip tcp adjust-mss 1350
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination 43.206.17.248
tunnel protection ipsec profile sse
!
interface GigabitEthernet2
description WAN Interface
ip address 198.18.128.253 255.255.192.0
!
interface GigabitEthernet3
description LAN Interface
ip address 172.16.105.253 255.255.255.0
!!! HSRP
standby 10 ip 172.16.105.254
standby 10 priority 101
standby 10 preempt
standby 10 track 10 decrement 10 !!! Object tracking (Track# 10) にてイベント検知時にPriorityを10減少させ、standbyに降格
!
router eigrp 1
network 172.16.105.0 0.0.0.255
!
router bgp 65103
bgp log-neighbor-changes
neighbor 169.254.0.1 remote-as 64512 !!! Tunnel1のサブネット内のリンクローカルアドレスに対してPeering
!
address-family ipv4
network 172.16.105.0 mask 255.255.255.0
redistribute eigrp 1 !!! EIGRPの経路を再広報
neighbor 169.254.0.1 activate
exit-address-family
!
ip route 0.0.0.0 0.0.0.0 Tunnel1 !!! Default routeはTunnel1として、Secure Accessにルーティング
ip route 43.206.17.248 255.255.255.255 198.18.128.1 !!! Primary Hub向けのトラフィックのみをWAN I/FのGWにルーティング
crypto ikev2 proposal sse-proposal
encryption aes-gcm-256
prf sha256
group 19 20
!
crypto ikev2 policy sse
match address local 198.18.128.252
proposal sse-proposal
!
crypto ikev2 keyring sse-kr
peer sse
address 35.75.23.82
pre-shared-key [Pre-shared key]
!
crypto ikev2 profile sse-profile
match identity remote address 35.75.23.82 255.255.255.255
identity local email [Secondary HubのTunnel ID]
authentication remote pre-share
authentication local pre-share
keyring local sse-kr
dpd 10 3 periodic
!
crypto ipsec transform-set sse-ts esp-gcm 256
mode tunnel
!
crypto ipsec profile sse
set transform-set sse-ts
set ikev2-profile sse-profile
!
!
interface Tunnel1
description Connect to Secondary Hub on Secure Access
ip address 169.254.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination 35.75.23.82
tunnel protection ipsec profile sse
!
interface GigabitEthernet2
description WAN Interface
ip address 198.18.128.252 255.255.192.0
!
interface GigabitEthernet3
description LAN Interface
ip address 172.16.105.252 255.255.255.0
!!! HSRP
standby 10 ip 172.16.105.254
standby 10 priority 99
standby 10 preempt
!!! Secondary側のTunnel I/Fのみがダウンした場合はHSRPの切り替えは不要であるため、Track設定は行わない
!
router eigrp 1
network 172.16.105.0 0.0.0.255
!
router bgp 65103
bgp log-neighbor-changes
neighbor 169.254.0.1 remote-as 64512 !!! Tunnel1のサブネット内のリンクローカルアドレスに対してPeering
!
address-family ipv4
network 172.16.105.0 mask 255.255.255.0
redistribute eigrp 1 !!! EIGRPの経路を再広報
neighbor 169.254.0.1 activate
neighbor 169.254.0.1 route-map ASP-PREPEND out // AS-PATH prependにより、Active側 (R1) よりも1つAS-PATHを追加 (Secure Accessがサポートする最大AS-PATHは3)
exit-address-family
!
ip route 0.0.0.0 0.0.0.0 Tunnel1 !!! Default routeはTunnel1として、Secure Accessにルーティング
ip route 35.75.23.82 255.255.255.255 198.18.128.1 !!! Secondary Hub向けのトラフィックのみをWAN I/FのGWにルーティング
!
route-map ASP-PREPEND permit 10 !!! BGP設定が参照するRoute map
set as-path prepend 65103
interface GigabitEthernet2
ip address 172.16.105.251 255.255.255.0
!
interface GigabitEthernet3
ip address 172.16.106.254 255.255.255.0
!
!!! LAN側の経路はEIGRPで広報
router eigrp 1
network 172.16.105.0 0.0.0.255
network 172.16.106.0 0.0.0.255
!
ip route 0.0.0.0 0.0.0.0 172.16.105.254 !!! R1/R2 HSRPのVIPをDefault routeに指定
BGP route
cat8kv-pri#show ip bgp
BGP table version is 479, local router ID is 198.18.128.253
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.111/32 169.254.0.1 0 64512 i
<snip>
*> 100.112.164.4/32 169.254.0.1 0 64512 i
*> 172.16.103.0/24 169.254.0.1 0 64512 i
*> 172.16.105.0/24 0.0.0.0 0 32768 i
*> 172.16.106.0/24 172.16.105.251 3072 32768 ?
*> 192.168.11.0 169.254.0.1 0 64512 i
*> 192.168.16.0 169.254.0.1 0 64512 i
cat8kv-pri#
Secure Accessから広報される経路はR1と比べるとAS-PATHが多く、R2の経路は優先度が低くなる (ただし、異なるルータに広報されている経路情報であるため、この場合にはAS-PATHはルーティング動作には作用しない)
cat8kv-sec#show ip bgp
BGP table version is 479, local router ID is 198.18.128.252
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.111/32 169.254.0.1 0 64512 64512 65523 65530 i
<snip>
*> 100.112.164.4/32 169.254.0.1 0 64512 64512 i
*> 172.16.103.0/24 169.254.0.1 0 64512 64512 i
*> 172.16.105.0/24 0.0.0.0 0 32768 i
*> 172.16.106.0/24 172.16.105.251 3072 32768 ?
*> 192.168.11.0 169.254.0.1 0 64512 64512 i
*> 192.168.16.0 169.254.0.1 0 64512 64512 65523 i
cat8kv-sec#
Manage Network Tunnel Groups
https://docs.sse.cisco.com/sse-user-guide/docs/manage-network-tunnel-groups
Dynamic Routing Using BGP
https://docs.sse.cisco.com/sse-user-guide/docs/dynamic-routing
Configure Tunnels with Cisco ISR
https://docs.sse.cisco.com/sse-user-guide/docs/configure-tunnels-cisco-isr
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
下記より関連するコンテンツにアクセスできます