تكوين تشفير ASR1000 عبر OTV Unicast

المقدمة

يصف هذا المستند المجموعة الأساسية من التكوينات التي يتم إستخدامها لعرض المحاكاة الظاهرية للنقل العشوائي (OTV) باستخدام تشفير IPSec. لا يتطلب التشفير عبر OTV أي تكوينات إضافية من نهاية OTV. ما عليك سوى فهم كيفية وجود OTV و IPSec معا.

in order to أضفت تشفير عبر OTV، أنت تحتاج أن يضيف يغلف أمن حمولة (ESP) رأس على فوق OTV PDU. يمكنك تحقيق التشفير على أجهزة ASR1000 Edge (ED) من خلال طريقتين: (i) IPSec (ii) GETVPN.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• موجهات ASR1000 للأجهزة الطرفية (ED)
• Core (شبكة ISP)
• المحولات Catalyst 2960 switches كمحول الوصول على أي من الموقعين 

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

يفترض أن مستخدمي هذا المستند يعرفون الوظائف الأساسية وتكوينات OTV الأساسية.

يمكنك أيضا تتبع تلك الوثائق لنفس الإجراء:

• تكوين OTV للبث الأحادي
• تكوين البث المتعدد OTV

التكوين

الرسم التخطيطي للشبكة

التكوينات

الموقع أ: مواصفات ED:

Site_A_1#show run

Building configuration...

otv site bridge-domain 99

!

otv site-identifier 0000.0000.0001

crypto isakmp policy 10

 hash md5

 authentication pre-share

crypto isakmp key cisco address 30.0.0.1

crypto isakmp key cisco address 40.0.0.1

!

crypto ipsec transform-set tset esp-aes esp-md5-hmac

 mode tunnel

!

crypto map cmap 1 ipsec-isakmp

 set peer 30.0.0.1

 set transform-set tset

 match address cryptoacl

crypto map cmap 3 ipsec-isakmp

 set peer 40.0.0.1

 set transform-set tset

 match address cryptoacl3

!

interface Overlay99

 no ip address

 otv join-interface GigabitEthernet0/0/1

 otv adjacency-server unicast-only

 service instance 100 ethernet

  encapsulation dot1q 100

  bridge-domain 100

 !

 service instance 101 ethernet

  encapsulation dot1q 101

  bridge-domain 101

 !

!

interface GigabitEthernet0/0/0

 no ip address

service instance 99 ethernet

  encapsulation dot1q 99

  bridge-domain 99

 !

 service instance 100 ethernet

  encapsulation dot1q 100

  bridge-domain 100

 !

 service instance 101 ethernet

  encapsulation dot1q 101

  bridge-domain 101

 !

!

interface GigabitEthernet0/0/1

 ip address 10.0.0.1 255.255.255.0

 crypto map cmap

!

ip access-list extended cryptoacl

 permit gre host 10.0.0.1 host 30.0.0.1

ip access-list extended cryptoacl3

 permit gre host 10.0.0.1 host 40.0.0.1

Site_A_2#show run

Building configuration...

otv site bridge-domain 99

!

otv site-identifier 0000.0000.0001

crypto isakmp policy 10

 hash md5

 authentication pre-share

crypto isakmp key cisco address 30.0.0.1

crypto isakmp key cisco address 40.0.0.1

!

crypto ipsec transform-set tset esp-aes esp-md5-hmac

 mode tunnel

!

crypto map cmap 2 ipsec-isakmp

 set peer 30.0.0.1

 set transform-set tset

 match address cryptoacl2

crypto map cmap 3 ipsec-isakmp

 set peer 40.0.0.1

 set transform-set tset

 match address cryptoacl3

!

interface Overlay99

 no ip address

 otv join-interface GigabitEthernet0/0/1

 otv use-adjacency-server 10.0.0.1 30.0.0.1 unicast-only

 service instance 100 ethernet

  encapsulation dot1q 100

  bridge-domain 100

 !

 service instance 101 ethernet

  encapsulation dot1q 101

  bridge-domain 101

 !

!

interface GigabitEthernet0/0/0

 no ip address

service instance 99 ethernet

  encapsulation dot1q 99

  bridge-domain 99

 !

 service instance 100 ethernet

  encapsulation dot1q 100

  bridge-domain 100

 !

 service instance 101 ethernet

  encapsulation dot1q 101

  bridge-domain 101

 !

!

interface GigabitEthernet0/0/1

 ip address 20.0.0.1 255.255.255.0

 crypto map cmap

!

ip access-list extended cryptoacl2

 permit gre host 20.0.0.1 host 30.0.0.1

ip access-list extended cryptoacl3

 permit gre host 20.0.0.1 host 40.0.0.1

الموقع ب: مواصفات ED:

Site_B_1#sh run

Building configuration...

otv site bridge-domain 99

!

otv site-identifier 0000.0000.0002

crypto isakmp policy 10

 hash md5

 authentication pre-share

crypto isakmp key cisco address 10.0.0.1

crypto isakmp key cisco address 20.0.0.1

!

crypto ipsec transform-set tset esp-aes esp-md5-hmac

 mode tunnel

!

crypto map cmap 1 ipsec-isakmp

 set peer 10.0.0.1

 set transform-set tset

 match address cryptoacl

crypto map cmap 2 ipsec-isakmp

 set peer 20.0.0.1

 set transform-set tset

 match address cryptoacl2

!

interface Overlay99

 no ip address

 otv join-interface GigabitEthernet1/0/2

 otv use-adjacency-server 10.0.0.1 unicast-only

 otv adjacency-server unicast-only

 service instance 100 ethernet

  encapsulation dot1q 100

  bridge-domain 100

 !

 service instance 101 ethernet

  encapsulation dot1q 101

  bridge-domain 101

 !

!

interface GigabitEthernet1/0/3

 no ip address

service instance 99 ethernet

  encapsulation dot1q 99

  bridge-domain 99

 !

 service instance 100 ethernet

  encapsulation dot1q 100

  bridge-domain 100

 !

 service instance 101 ethernet

  encapsulation dot1q 101

  bridge-domain 101

 !

!

interface GigabitEthernet1/0/2

 ip address 30.0.0.1 255.255.255.0

crypto map cmap

!

ip access-list extended cryptoacl

 permit gre host 30.0.0.1 host 10.0.0.1

ip access-list extended cryptoacl2

 permit gre host 30.0.0.1 host 20.0.0.1

Site_B_2#sh run

Building configuration...

otv site bridge-domain 99

!

otv site-identifier 0000.0000.0002

crypto isakmp policy 10

 hash md5

 authentication pre-share

crypto isakmp key cisco address 10.0.0.1

crypto isakmp key cisco address 20.0.0.1

!

crypto ipsec transform-set tset esp-aes esp-md5-hmac

 mode tunnel

!

crypto map cmap 1 ipsec-isakmp

 set peer 10.0.0.1

 set transform-set tset

 match address cryptoacl

crypto map cmap 2 ipsec-isakmp

 set peer 20.0.0.1

 set transform-set tset

 match address cryptoacl2

!

interface Overlay99

 no ip address

 otv join-interface GigabitEthernet2/2/0

 otv use-adjacency-server 10.0.0.1 30.0.0.1 unicast-only

 service instance 100 ethernet

  encapsulation dot1q 100

  bridge-domain 100

 !

 service instance 101 ethernet

  encapsulation dot1q 101

  bridge-domain 101

 !

!

interface GigabitEthernet2/2/1

 no ip address

 service instance 99 ethernet

  encapsulation dot1q 99

  bridge-domain 99

 !

 service instance 100 ethernet

  encapsulation dot1q 100

  bridge-domain 100

 !

 service instance 101 ethernet

  encapsulation dot1q 101

  bridge-domain 101

 !

!

interface GigabitEthernet2/2/0

 ip address 40.0.0.1 255.255.255.0

 crypto map cmap

!

ip access-list extended cryptoacl

 permit gre host 40.0.0.1 host 10.0.0.1

ip access-list extended cryptoacl2

 permit gre host 40.0.0.1 host 20.0.0.1

التحقق من الصحة 

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

1. تحقق مما إذا كان قد تم التعرف على عنوان MAC الخاص بمضيف شبكة VLAN الداخلية (في هذه الحالة ال SVI على المحول 2960 Catalyst Switch) على جداول مسار OTV.
2. تحقق مما إذا تم إجراء التشفير التشفير التشفير و التشفير لحركة مرور التخطيات (OTV).

ما إن يظهر ال OTV بعد أن يشكل أنت ال crypto خريطة على ال يتلاقى قارن، فحصت ال نشط مصدر ل VLAN محلي (في هذه الحالة VLAN 100 و 101). هذا يوضح أن SITE_A_1 و SITE_B_2 هما الموجدان النشيطان للشبكة المحلية الظاهرية (VLAN) المتساوية لأنك ستقوم باختبار تشفير حركة مرور البيانات للإختبارات التي تم بدؤها من شبكة VLAN رقم 100 في الموقع A إلى شبكة VLAN رقم 100 في الموقع B:

Site_A_1#show otv vlan

Key:  SI - Service Instance, NA - Non AED, NFC - Not Forward Capable.

Overlay 99 VLAN Configuration Information

 Inst VLAN BD   Auth ED              State                Site If(s)

 0    100  100  *Site_A_1            active              Gi0/0/0:SI100

 0    101  101   Site_A_2            inactive(NA)        Gi0/0/0:SI101

 0    200  200  *Site_A_1            active              Gi0/0/0:SI200

 0    201  201   Site_A_2            inactive(NA)        Gi0/0/0:SI201

 Total VLAN(s): 4

Site_B_2#show otv vlan

Key:  SI - Service Instance, NA - Non AED, NFC - Not Forward Capable.



Overlay 99 VLAN Configuration Information

 Inst VLAN BD   Auth ED              State                Site If(s)

0    100  100  *Site_B_2            active              Gi2/2/1:SI100

 0    101  101   Site_B_1            inactive(NA)        Gi2/2/1:SI101

 0    200  200  *Site_B_2            active              Gi2/2/1:SI200

 0    201  201   Site_B_1            inactive(NA)        Gi2/2/1:SI201

 Total VLAN(s): 4

in order to فحصت إن الربط يحصل حقا يغلف ويفك كبسلة على إما ed، أنت ينبغي فحصت إن ال ipsEC جلسة يكون نشط والعداد قيمة في ال crypto جلسة in order to أكدت أن الربط يكون بالفعل يتم تشفيرها وفك تشفيرها. للتحقق من ما إذا كانت جلسة IPSec نشطة، نظرا لأنها تصبح نشطة فقط إذا تم تدفق أي حركة مرور عبر، فتحقق من إخراج show crypto isakmp sa. هنا، يتم التحقق من مخرجات العملاء النشطين، لكن يجب أن يظهر هذا الحالة النشطة على كل ED ل OTV over تشفير أن يعمل.

Site_A_1#show crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id status

10.0.0.1        30.0.0.1        QM_IDLE           1008 ACTIVE

10.0.0.1        40.0.0.1        QM_IDLE           1007 ACTIVE

Site_B_2#sh crypto isakmp sa

IPv4 Crypto ISAKMP SA

dst             src             state          conn-id status

20.0.0.1        40.0.0.1        QM_IDLE           1007 ACTIVE

10.0.0.1        40.0.0.1        QM_IDLE           1006 ACTIVE

الآن، من أجل تأكيد ما إذا تم تشفير الحزم وفك تشفيرها، تحتاج أولا إلى معرفة ما يجب توقعه في مخرجات تفاصيل جلسة تشفير العرض. لذلك، عند بدء حزمة صدى ICMP من Sw_A switch نحو Sw_B، فمن المتوقع أن:

• بينما يغادر صدى ICMP من Site_A_1 ED وهو الموجه النشط لشبكة VLAN 100، فإنه سيتعين عليه تضمين حمولة OTV (ICMP ECHO + MPLS + GRE)
• ثم بمجرد وصول صدى ICMP إلى Site_B_2 ED وهو الموجه النشط لشبكة VLAN 100، سيكون عليه فك كبسلة حمولة OTV (ICMP ECHO + MPLS + GRE)
• الآن، بمجرد أن يتلقى SITE_B_2 ED رد ICMP ECHO من SW_B، سيكون عليه مرة أخرى تضمين حمولة OTV (ICMP ECHO + MPLS + GRE)
• وبمجرد أن يصل رد ICMP ECHO إلى SITE_A_1 ED، سيتعين علي مرة أخرى إزالة كبسلة حمولة OTV (ICMP ECHO + MPLS + GRE)

بعد إختبارات الاتصال الناجحة من SW_A إلى SW_B، توقع رؤية زيادة بمقدار 5 عدادات تحت قسم "enc" و"dec" من إخراج تفاصيل جلسة عمل show crypto على كل من ED الموجه النشط.

الآن، تحقق من نفس الشيئ من المحررين: 

Site_A_1(config-if)#do show crypto session detail | section enc

K - Keepalives, N - NAT-traversal, T - cTCP encapsulation

        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4608000/3345

        Outbound: #pkts enc'ed 10 drop 0 life (KB/Sec) 4607998/3291 <<<< 10 counter before ping

Site_A_1(config-if)#do show crypto session detail | section dec

        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 4608000/3343

        Inbound:  #pkts dec'ed 18 drop 0 life (KB/Sec) 4607997/3289 <<<< 18 counter before ping

Site_B_2(config-if)#do show crypto session detail | section enc

K - Keepalives, N - NAT-traversal, T - cTCP encapsulation

        Outbound: #pkts enc'ed 18 drop 0 life (KB/Sec) 4607997/3295 <<<< 18 counter before ping

        Outbound: #pkts enc'ed 9 drop 0 life (KB/Sec) 4607999/3295

Site_B_2(config-if)#do show crypto session detail | section dec

        Inbound:  #pkts dec'ed 10 drop 0 life (KB/Sec) 4607998/3293 <<<< 10 counter before ping

        Inbound:  #pkts dec'ed 1 drop 0 life (KB/Sec) 4607999/3293

Sw_A(config)#do ping 192.168.10.1 source vlan 100



Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 192.168.10.1, timeout is 2 seconds:

Packet sent with a source address of 192.168.10.2

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/10 ms

Sw_A(config)#

Site_A_1(config-if)#do show crypto session detail | section enc

K - Keepalives, N - NAT-traversal, T - cTCP encapsulation

        Outbound: #pkts enc'ed 0 drop 0 life (KB/Sec) 4608000/3339

        Outbound: #pkts enc'ed 15 drop 0 life (KB/Sec) 4607997/3284 <<<< 15 counter after ping (After ICMP Echo)

Site_A_1(config-if)#do show crypto session detail | section dec

        Inbound:  #pkts dec'ed 0 drop 0 life (KB/Sec) 4608000/3338

        Inbound:  #pkts dec'ed 23 drop 0 life (KB/Sec) 4607997/3283 <<<< 23 counter after ping (After ICMP Echo Reply)

Site_B_2(config-if)#do show crypto session detail | section enc

K - Keepalives, N - NAT-traversal, T - cTCP encapsulation

        Outbound: #pkts enc'ed 23 drop 0 life (KB/Sec) 4607997/3282 <<<< 23 counter after ping (After ICMP Echo Reply)

        Outbound: #pkts enc'ed 9 drop 0 life (KB/Sec) 4607999/3282

Site_B_2(config-if)#do show crypto session detail | section dec

        Inbound:  #pkts dec'ed 15 drop 0 life (KB/Sec) 4607997/3281 <<<< 15 counter after ping (After ICMP Echo)

        Inbound:  #pkts dec'ed 1 drop 0 life (KB/Sec) 4607999/3281

يمكن لدليل التكوين هذا نقل تفاصيل التكوين المطلوبة باستخدام IPSec لإعداد البث الأحادي الرئيسي المزدوج.

استكشاف الأخطاء وإصلاحها

لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.