проблема IPSec DVTI /SVTI

Soma-II

Здравствуйте, Мы находимся в процессе настройки топологии HUB-and-SPOKE с использованием IPsec VTI. Маршрутизатор HUB настроен с DVTI, а маршрутизатор SPOKE использует SVTI. Несмотря на наличие IP-соединения между маршрутизаторами,
фаза 1 согласования IPsec завершается сбоем
. Маршрутизатор HUB (ROUTER_HUB) не получает IP-пакеты от маршрутизатора SPOKE (ROUTER_SPOKE).
Мы проанализировали множество документов и руководств и на их основе пришли к выводу, что конфигурация выглядит правильной. Конфигурация и результаты тестирования приведены ниже для справки. Буду очень благодарен за любую помощь, которую вы сможете оказать. EDIT: Я добавил файл с решением для будущего использования. Спасибо за все

Rob Ingram

Привет
[, @Soma-II,]
при использовании VRF_555 в качестве FVRF, где достигается одноранговый узел, я имел в виду следующую конфигурацию: crypto keyring IPSec_key-ring_SPOKE_ROUTER_HUB
vrf VRF_555
pre-shared-key address 172.21.55.70 key CLAVE123
crypto isakmp profile Isakmp-profile_SPOKE_ROUTER_HUB
match identity address 172.21.55.70
VRF_555
interface Tunnel555
tunnel vrf VRF_555

Rob Ingram

@Soma-II
Если маршрутизатор-аналог доступен через VRF_555, необходимо настроить ключевой набор, идентификатор isakmp и интерфейс туннеля для соответствия VRF_555.

Soma-II

Здравствуйте, Роб, Да, мы уже внесли изменения. Ты уже успел просмотреть файл конфигурации? VRF правильно привязан к интерфейсам. Спасибо.

Soma-II

Это действительно интересно, Роб — я не знал, что такие опции доступны. Согласно некоторым источникам (например,
этому
), VRF требуется только на интерфейсе ISAKMP или Tunnel (включая VTI). В любом случае, я применил конфигурацию, как вы предложили ранее, но мне кажется, что чего-то все еще не хватает. Не могли бы вы поделиться какой-нибудь документацией или ссылками, которые я мог бы проверить?
Кстати, я снова изменил файл
. Большое спасибо за вашу помощь.

Rob Ingram

@Soma-II
обратитесь к этому руководству, раздел «2.5 Перенос только маршрутизатора A в VTI – с поддержкой VRF» -
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/ios-ipsec/white-paper-c11-744879.html#2IPsecvirtualtunnelinterfacemigrationinpractice ...в этом примере упоминается конкретная конфигурация, в которой необходимо указать FVRF. Ваша внутренняя сеть также находится в VRF_555 или в глобальной таблице маршрутизации? Если в глобальной таблице маршрутизации, вам не нужно «ip vrf forwarding VRF_555» под интерфейсом туннеля.

Soma-II

Прежде всего, спасибо за ваш ответ. Я ознакомился с вашим документом, но, к сожалению, он не был для меня достаточно понятен. Однако я ознакомился со следующими ресурсами: https://grumpy-networkers-journal.readthedocs.io/en/latest/VENDOR/CISCO/VPN/CISCO_IKEV1/IOS_IKEV1_DYNAMIC_VTI.html
https://networkengineering.stackexchange.com/questions/51459/cisco-vrf-aware-dynamic-vti-based-ipsec-vpn?newreg=bf2d1558254a4f5c9a55d810e561bf96
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_conn_vpnips/configuration/xe-3s/sec-sec-for-vpns-w-ipsec-xe-3s-book/sec-ipsec-virt-tunnl.pdf
https://elhacker.info/manuales/Redes/Cisco/Security/Harris%20Andrea%20-%20Cisco%20VPN.pdf Эти источники являются частью того, что вызвало некоторую путаницу. Я бы очень хотел следовать вашей рекомендации, но поскольку я использую DVTI на HUB и SVTI на SPOKE,
мне все еще не ясно, где именно должны быть настроены параметры VRF
.

Rob Ingram

@Soma-II
— это интерфейс, обращенный к одноранговому узлу, в VRF_555 или в глобальной таблице маршрутизации? Или внутренние интерфейсы находятся в VRF_555 или в глобальной таблице маршрутизации? Пожалуйста, предоставьте конфигурацию интерфейса, это прояснит ситуацию. Если интерфейс, обращенный к одноранговому узлу, находится в VRF_555, это называется FVRF, и вам потребуется конфигурация VRF, примененная выше.

Soma-II

Я изменил файл
Config_IPSec,
чтобы уточнить конфигурацию — извините за ранее возникшую путаницу. Трафик должен быть в VRF_555. Судя по приложенной мной информации, необходимо только добавить ip vrf forwarding VRF_555 на интерфейсе туннеля/VTI. Однако ранее я применил эту конфигурацию на маршрутизаторе Spoke, и она не сработала, поэтому я думаю, что была бы полезна более подробная информация, например, о такой же конфигурации VRF для DVTI и SVTI? Приношу извинения, но это немного сбивает с толку.

Rob Ingram

@Soma-II,
поскольку внешний интерфейс явно настроен в VRF_555, вы должны настроить «tunnel vrf VRF_555» на интерфейсе tunnel/virtual-template. В вашей обновленной конфигурации выше, похоже, это не настроено под VT на концентраторе. В каком VRF находится ваш внутренний/LAN-интерфейс? VRF_555 или глобальная таблица маршрутизации?

MHM Cisco World

Я не знаю, какой vrf-555 вы используете: vrf источника туннеля или vrf самого туннеля? Прошу уточнить этот момент. Я вижу ошибку в том, что вы используете Tunnel destination dynamic <<- в виртуальном шаблоне, что неправильно. Удалите его. MHM

Soma-II

Здравствуйте! Я увидел эту конфигурацию
в Интернете
, и она мне показалась логичной, поэтому я добавил ее в Virtual-Template. Я только что удалил ее, спасибо за разъяснение. Что касается этого VRF, то весь трафик находится под этим VRF. Этот туннель «путешествует» по сети MPLS. Не знаю, полезна ли вам эта информация.

MHM Cisco World

Источник туннеля настроен с vrf или без него? Этот интерфейс настроен с поддержкой VRF? tunnel source GigabitEthernet0/0/2.555 MHM

Soma-II

Я только что изменил файл
Config_IPSec
, добавив дополнительные настройки интерфейса. Да, команда ip vrf forwarding VRF_555 включена — вы можете проверить это в конфигурации. Извините, я полагал, что теста ping было достаточно.

Rob Ingram

@Soma-II
вам нужен «tunnel vrf VRF_555» на виртуальном шаблоне концентратора, так как его интерфейс, обращенный к спице, находится в VRF_555. interface Virtual-Template555 type tunnel
tunnel vrf VRF_555