はじめに
本ドキュメントでは、Cisco Secure AccessのNetwork tunnel groupに接続する、ユーザ (CPE) 側ルータの機器冗長を構成するための設定例を紹介します。
前提条件
- 本記事は2025年3月3日時点のSecure Access Dashboardの動作を前提にしており、予告なく変更される場合があります
- ユーザ側ネットワーク (Corporate Network) 内のルータ (R1/2/3) は、Catalyst 8000v IOS-XE 17.12.02を用いて動作確認をしています
- 本内容は設定例であり、実際の運用環境における動作を担保するものではありません。環境に合わせて設定を見直し、動作検証を行った上で利用ください
トポロジ
- Network Tunnel Group
- 単一トンネル (ECMP未利用)
- Primary HubにR1、Secondary HubにR2を接続 - ルーティングプロトコル
- Secure Access - CPEルータ間:BGP
- LAN内:EIGRP (BGPに再配布) - CPEルータ (R1/R2) におけるLAN側冗長
- HSRPによるActive/Standby構成
- Secure Access - CPEルータ間のIPsecトンネルインタフェースに対するオブジェクトトラッキングにより、Active/Standbyを切り替え - R1/R2は、同一の経路情報をBGPでSecure Accessに対し広報します (AS-PATHを除く)
ECMPでトンネルを重畳し、帯域を増やす必要がある場合には、以下の設定例を参照ください。
BGPでECMPを使用したCisco Secure AccessとIOS XEルータ間のネットワークトンネルの設定
設定例
Secure Access - Network Tunnel Group
- BGP ASN
場所 ASN 備考 Secure Access側 64512 Secure Accessで予約されたAS番号、ユーザ側ネットワークでは利用不可 ユーザ側 65103 64513–65534の範囲が利用可能 - BGP Peer IPアドレス
169.254.0.5, 169.254.0.9の2アドレスがDashboardでは例示されていますが、Secure Access側は169.254.0.0/24の範囲であればPeering可能です
BGP Peer IPs
https://docs.sse.cisco.com/sse-user-guide/docs/dynamic-routing#bgp-config - Tunnel Group ID、Data Center IP addressは、ご利用の環境に合わせ設定内容を変更ください
R1
crypto ikev2 proposal sse-proposal
encryption aes-gcm-256
prf sha256
group 19 20
!
crypto ikev2 policy sse
match address local 198.18.128.253
proposal sse-proposal
!
crypto ikev2 keyring sse-kr
peer sse
address 43.206.17.248
pre-shared-key [Pre-shared key]
!
crypto ikev2 profile sse-profile
match identity remote address 43.206.17.248 255.255.255.255
identity local email [Primary HubのTunnel ID]
authentication remote pre-share
authentication local pre-share
keyring local sse-kr
dpd 10 3 periodic
!
crypto ipsec transform-set sse-ts esp-gcm 256
mode tunnel
!
crypto ipsec profile sse
set transform-set sse-ts
set ikev2-profile sse-profile
!
track 10 interface Tunnel1 line-protocol
delay down 5 !!! インタフェースフラップによる誤動作防止のため、5秒のディレイを設定
!
interface Tunnel1
description Connect to Primary Hub on Secure Access
ip address 169.254.0.2 255.255.255.252 !!! Secure AccessのBGPでは169.254.0.0/24でPeering可能なため、Link localのIPを付与
ip tcp adjust-mss 1350
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination 43.206.17.248
tunnel protection ipsec profile sse
!
interface GigabitEthernet2
description WAN Interface
ip address 198.18.128.253 255.255.192.0
!
interface GigabitEthernet3
description LAN Interface
ip address 172.16.105.253 255.255.255.0
!!! HSRP
standby 10 ip 172.16.105.254
standby 10 priority 101
standby 10 preempt
standby 10 track 10 decrement 10 !!! Object tracking (Track# 10) にてイベント検知時にPriorityを10減少させ、standbyに降格
!
router eigrp 1
network 172.16.105.0 0.0.0.255
!
router bgp 65103
bgp log-neighbor-changes
neighbor 169.254.0.1 remote-as 64512 !!! Tunnel1のサブネット内のリンクローカルアドレスに対してPeering
!
address-family ipv4
network 172.16.105.0 mask 255.255.255.0
redistribute eigrp 1 !!! EIGRPの経路を再広報
neighbor 169.254.0.1 activate
exit-address-family
!
ip route 0.0.0.0 0.0.0.0 Tunnel1 !!! Default routeはTunnel1として、Secure Accessにルーティング
ip route 43.206.17.248 255.255.255.255 198.18.128.1 !!! Primary Hub向けのトラフィックのみをWAN I/FのGWにルーティング
R2
crypto ikev2 proposal sse-proposal
encryption aes-gcm-256
prf sha256
group 19 20
!
crypto ikev2 policy sse
match address local 198.18.128.252
proposal sse-proposal
!
crypto ikev2 keyring sse-kr
peer sse
address 35.75.23.82
pre-shared-key [Pre-shared key]
!
crypto ikev2 profile sse-profile
match identity remote address 35.75.23.82 255.255.255.255
identity local email [Secondary HubのTunnel ID]
authentication remote pre-share
authentication local pre-share
keyring local sse-kr
dpd 10 3 periodic
!
crypto ipsec transform-set sse-ts esp-gcm 256
mode tunnel
!
crypto ipsec profile sse
set transform-set sse-ts
set ikev2-profile sse-profile
!
!
interface Tunnel1
description Connect to Secondary Hub on Secure Access
ip address 169.254.0.2 255.255.255.252
ip tcp adjust-mss 1350
tunnel source GigabitEthernet2
tunnel mode ipsec ipv4
tunnel destination 35.75.23.82
tunnel protection ipsec profile sse
!
interface GigabitEthernet2
description WAN Interface
ip address 198.18.128.252 255.255.192.0
!
interface GigabitEthernet3
description LAN Interface
ip address 172.16.105.252 255.255.255.0
!!! HSRP
standby 10 ip 172.16.105.254
standby 10 priority 99
standby 10 preempt
!!! Secondary側のTunnel I/Fのみがダウンした場合はHSRPの切り替えは不要であるため、Track設定は行わない
!
router eigrp 1
network 172.16.105.0 0.0.0.255
!
router bgp 65103
bgp log-neighbor-changes
neighbor 169.254.0.1 remote-as 64512 !!! Tunnel1のサブネット内のリンクローカルアドレスに対してPeering
!
address-family ipv4
network 172.16.105.0 mask 255.255.255.0
redistribute eigrp 1 !!! EIGRPの経路を再広報
neighbor 169.254.0.1 activate
neighbor 169.254.0.1 route-map ASP-PREPEND out // AS-PATH prependにより、Active側 (R1) よりも1つAS-PATHを追加 (Secure Accessがサポートする最大AS-PATHは3)
exit-address-family
!
ip route 0.0.0.0 0.0.0.0 Tunnel1 !!! Default routeはTunnel1として、Secure Accessにルーティング
ip route 35.75.23.82 255.255.255.255 198.18.128.1 !!! Secondary Hub向けのトラフィックのみをWAN I/FのGWにルーティング
!
route-map ASP-PREPEND permit 10 !!! BGP設定が参照するRoute map
set as-path prepend 65103
R3
interface GigabitEthernet2
ip address 172.16.105.251 255.255.255.0
!
interface GigabitEthernet3
ip address 172.16.106.254 255.255.255.0
!
!!! LAN側の経路はEIGRPで広報
router eigrp 1
network 172.16.105.0 0.0.0.255
network 172.16.106.0 0.0.0.255
!
ip route 0.0.0.0 0.0.0.0 172.16.105.254 !!! R1/R2 HSRPのVIPをDefault routeに指定
動作確認
Secure Access
Primary Hubの経路情報
Secondary Hubの経路情報
R1
BGP route
cat8kv-pri#show ip bgp
BGP table version is 479, local router ID is 198.18.128.253
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.111/32 169.254.0.1 0 64512 i
<snip>
*> 100.112.164.4/32 169.254.0.1 0 64512 i
*> 172.16.103.0/24 169.254.0.1 0 64512 i
*> 172.16.105.0/24 0.0.0.0 0 32768 i
*> 172.16.106.0/24 172.16.105.251 3072 32768 ?
*> 192.168.11.0 169.254.0.1 0 64512 i
*> 192.168.16.0 169.254.0.1 0 64512 i
cat8kv-pri#
R2
Secure Accessから広報される経路はR1と比べるとAS-PATHが多く、R2の経路は優先度が低くなる (ただし、異なるルータに広報されている経路情報であるため、この場合にはAS-PATHはルーティング動作には作用しない)
cat8kv-sec#show ip bgp
BGP table version is 479, local router ID is 198.18.128.252
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale, m multipath, b backup-path, f RT-Filter,
x best-external, a additional-path, c RIB-compressed,
t secondary path, L long-lived-stale,
Origin codes: i - IGP, e - EGP, ? - incomplete
RPKI validation codes: V valid, I invalid, N Not found
Network Next Hop Metric LocPrf Weight Path
*> 10.10.10.111/32 169.254.0.1 0 64512 64512 65523 65530 i
<snip>
*> 100.112.164.4/32 169.254.0.1 0 64512 64512 i
*> 172.16.103.0/24 169.254.0.1 0 64512 64512 i
*> 172.16.105.0/24 0.0.0.0 0 32768 i
*> 172.16.106.0/24 172.16.105.251 3072 32768 ?
*> 192.168.11.0 169.254.0.1 0 64512 64512 i
*> 192.168.16.0 169.254.0.1 0 64512 64512 65523 i
cat8kv-sec#
参考資料
Manage Network Tunnel Groups
https://docs.sse.cisco.com/sse-user-guide/docs/manage-network-tunnel-groups
Dynamic Routing Using BGP
https://docs.sse.cisco.com/sse-user-guide/docs/dynamic-routing
Configure Tunnels with Cisco ISR
https://docs.sse.cisco.com/sse-user-guide/docs/configure-tunnels-cisco-isr
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
