Вернуться наверх

Настройка Route-Based IPSec VPN

Route-Based IPSec VPN — это тип VPN-соединения, при котором туннель создается как виртуальный сетевой интерфейс, а маршрутизация трафика через него осуществляется на основе статических или динамических маршрутов.

В зависимости от требований к сети, уровню детализации управления трафиком и сложности конфигурации вы также можете использовать другие способы организации безопасных туннелей для соединения сетей: Site-To-Site IPSec VPN и Policy-Based IPSec VPN.

В данной статье описана настройка Route-Based IPSec VPN между оборудованием Cisco CSR1000v и виртуальным шлюзом Edge Gateway и настройка динамической маршрутизации по протоколу BGP.

Общая схема взаимодействия:

Примечание

Далее в статье все значения, IP-адреса, порты и протоколы используются в качестве примера.

Edge Gateway

В данном разделе приведены параметры настройки Route-Based IPSec на Edge Gateway в рамках IKEv1 и IKEv2.

Cisco CSR1000v

В данном разделе приведено описание настройки Route-Based IPSec на Cisco CSR1000v в рамках IKEv1 и IKEv2.

Настройка BGP для обмена маршрутами

В разделе приведено описание настроек обмена маршрутами по протоколу BGP между Edge Gateway и Cisco CSR1000v.

Настройка BGP на стороне Cisco CSR1000v

Конфигурация к настройке BGP на Cisco CSR1000v выглядит следующим образом:

configure terminal
router bgp 65502
 bgp router-id 172.16.30.2
 bgp log-neighbor-changes
 neighbor 172.16.30.1 remote-as 65501
 address-family ipv4
  network 192.168.200.0 mask 255.255.255.0
  neighbor 172.16.30.1 activate
 exit-address-family
end

Настройка BGP на стороне Edge Gateway

Примечание

Описанные настройки доступны, если вы используете версию 10.4 или 10.5.

  1. Перейдите в Data Centers и выберите виртуальный дата-центр.

  2. Перейдите в Edges и выберите Edge Gateway.

  3. Чтобы добавить Router ID, перейдите в Services > Routing > Routing configuration.

    • Перейдите в DYNAMIC ROUTING CONFIGURATION.
    • Router ID — нажмите +.
    • В окне Add custom ID добавьте адрес туннельного интерфейса и нажмите Keep.
    • В Routing > Routing configuration нажмите Save Changes.

  4. Чтобы включить BGP и настроить соседство маршрутизации, перейдите в Routing > BGP.

    • Включите переключатель Enable BGP.
    • Local AS — введите соседа маршрутизации, например, 65501.
    • Neighbors — нажмите +, чтобы добавить соседство.
    • Откроется окно New Neighbour. Заполните поля.
    • IP Address — введите IP-адрес.
    • Remote AS — введите номер AS соседа.
    • Нажмите KEEP.
    • В Routing > BGP нажмите Save Changes.

  5. Чтобы добавить анонс сетей, которые подключены к Edge Gateway, перейдите в Routing > Route Redistribution.

    • Включите опцию BGP Status.
    • IP Prefixes — нажмите +, чтобы добавить префикс, который будет анонсироваться в BGP.
    • Откроется окно New IP Prefix. Заполните поля.
    • Name — введите название.
    • IP/Network — добавьте сеть в формате CIDR.
    • Нажмите KEEP.
    • Route Redistribution Table — нажмите +, чтобы добавить ранее созданную сеть в критерии, по которым будут производиться анонсы в BGP.
    • Откроется окно New Redistribution Criteria. Заполните поля.
    • Learner Protocol — выберите BGP.
    • Allow learning — выберите Connected.
    • Нажмите KEEP.
    • В Routing > Route Redistribution нажмите Save Changes.

Диагностика туннелей и BGP

Просмотр статуса на стороне Cisco CSR1000v

Посмотреть статус соединения, маршрутов и BGP соседства в рамках Cisco можно с помощью команд в CLI:

show ip interface brief
show interface tunnel 1
show tunnel endpoint Tunnel 1
show crypto session interface tunnel 1
show crypto isakmp sa
show crypto ipsec sa

show ip route bgp
show ip bgp
show ip bgp summary
show ip bgp neighbors 172.16.30.1 routes
show ip bgp neighbors 172.16.30.1 advertised-routes
show ip bgp neighbors 172.16.30.1 
show bgp all

Просмотр статуса на стороне Edge Gateway

Примечание

Описанные настройки доступны, если вы используете версию 10.4 или 10.5.

Посмотреть статус соединения IPSec связности и построения туннеля можно в свойствах Edge Gateway:

  1. Перейдите в Data Centers и выберите виртуальный дата-центр.
  2. Перейдите в Edges и выберите Edge Gateway.
  3. Перейдите в Services > Statistics > IPSec VPN.
  4. IPSec VPN Statistics & Status — состояние связности.
  5. IPSec VPN Tunnel Statistics & Status — статус туннеля.

Посмотреть статус соединения, маршрутов и BGP соседства в рамках Edge Gateway можно с помощью команд в CLI:

sh
show interface vti-1

show service ipsec
show service ipsec sa
show service ipsec site
show service ipsec sp

show ip route bgp

show ip bgp

show ip bgp neighbors summary
show ip bgp neighbors 172.16.30.2 advertised-routes
show ip bgp neighbors 172.16.30.2 routes
show ip bgp neighbors
show ip bgp neighbors 172.16.30.2