2つのシスコルータ間の複数のIPSECトンネル

私は、2つのデバイス間に複数のIPSECトンネルを確立する必要があるシナリオを持っています。

上記のシナリオでは、ASRには複数のVRFがあり、VRFごとにIPSECトンネルを作成し、もう一方のエンドは同じVIPです。 このため、PSKの代わりに証明書を使用することを検討しています。

トンネルごとに1つの証明書(異なるCNを使用する)が使用され、どのトンネルがどのVRF(顧客)からのものであるかを識別するのに役立ちます。

私はこのシナリオで動作するはずのVRF認識IPSECを考えています。しかし、私の懸念は、ASRのパブリックインターフェイスがNATingを行い、Source PORTs(500/4500)に何が起こるかということです。 私は、同じソースポートで複数のフローがある場合、NATがソースポート番号を変更し、そのテーブルを維持することを理解しています。 設定を確認してください/ ここに画像の説明を入力 このシナリオが機能するか、それを行うにはより良い方法があります。

PS: F5 load balancer can only look into Layer 3 & 4 headers. I have multiple IPSEC terminators and I need load balalncing. So assuming Source PORT will be different for each tunnel initiated from ASR.

0
答えがあなたを助けましたか?そうであれば、答えを受け入れて、質問が永遠にポップアップしないようにして、答えを探してください。あるいは、あなた自身の答えを提供して受け入れることもできます。
追加された 著者 Ron Maupin,

2 答え

VTI(IPSec保護を備えたGREトンネル)を使って、これを簡単に構築できます。 2つのトンネルには同じ送信元、宛先IPペアがあるので、ASRがそれらを区別できるように、固有の(トンネルごとの)GREトンネルキー(id)を使用することを確認する必要があります。同じIPSECプロファイル(トンネル保護コマンドの最後に「共有」キーワードが必要です)または異なるプロファイルを使用するように選択できます。あなたは好きなVRFにトンネルインターフェースを置くことができます。

F5 VIPのため、トンネルはF5の後ろにある2台のルータから開始する必要があります。この例では、ASRにレスポンダ専用モード(ipsecプロファイル設定)で動作するように指示します。

VRFがたくさんある場合、FlexVPNがより良いオプションです.CNを証明書から引き出してプロファイルを割り当てることができます(RADIUSサーバーにバックエンドすることもできます)。これは設定がはるかに複雑ですので、ドキュメントをよく読んでおくことをお勧めします。

1
追加された

VRFの

2種類のVPNはLAN-to-LANとリモートアクセスです。いくつかのLAN-to-LAN VPNを設定したいと思うようです。 VPNヘッドエンドは、VPNコンセントレータまたはVPNヘッドエンドと呼ばれることもあります。必要に応じて(デバイスでサポートされているように)多数のVPNトンネルを確立し、さまざまなパラメータを設定することもできます。これは珍しいことではありません。

しかし、あなたの場合は物理デバイスが2つしかないので、必要な作業を行うために複数の論理デバイスを作成する必要があります。 VRFのもう一つの意味は、VPNのMPLS(Multiprotocol Label Switching)VPN技術の重要な要素であるVPN Routing and Forwardingです。

0
追加された