تكوين BGP عبر DMVPN المرحلة 3

المقدمة

يصف هذا المستند تكوين المرحلة 3 من DMVPN وتشغيلها باستخدام BGP، بما في ذلك أستكشاف الأخطاء وإصلاحها على مستويات ل IPsec عبر أنفاق DMVPN.

المتطلبات الأساسية

بالنسبة لأوامر التكوين وتصحيح الأخطاء في هذا المستند، يلزمك موجهان من Cisco يعملان بنظام التشغيل Cisco IOS® الإصدار 15.3(3)M أو إصدار أحدث. بشكل عام، تتطلب المرحلة 3 من شبكة VPN الديناميكية الأساسية متعددة النقاط (DMVPN) إصدار Cisco IOS، الإصدار 12.4(6)T، رغم أن الميزات وتصحيح الأخطاء التي تم رؤيتها في هذا المستند غير مدعومة بالكامل.

المتطلبات

توصي Cisco بأن تكون لديك معرفة أساسية بالمواضيع التالية:

• IKEV1/IKEV2 و IPsec
• مكونات DMVPN:

• بروتوكول تحليل الخطوة (Hop) التالية (NHRP): إنشاء قاعدة بيانات خرائط موزعة (NHRP) لجميع عناوين النفق الذي تم التحدث إليه إلى (واجهة عامة) الحقيقية
• واجهة نفق تضمين التوجيه العام متعدد النقاط (mGRE): واجهة تضمين التوجيه العام الواحد (GRE) لدعم أنفاق GRE/IPsec المتعددة، وتبسيط حجم التكوين وتعقيده، ودعم إنشاء النفق الديناميكي
• حماية نفق IPsec: إنشاء وتطبيق سياسات تشفير ديناميكيا
• التوجيه: الشبكات الديناميكية؛ يتم دعم جميع بروتوكولات التوجيه تقريبا (بروتوكول توجيه العبارة الداخلي المحسن (EIGRP) وبروتوكول معلومات التوجيه (RIP) وفتح أقصر مسار أولا (OSPF) وبروتوكول BGP وبروتوكول ODR)

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى سلسلة موجهات خدمات التجميع طراز ASR1000 من Cisco، الإصدار 17.6.5(MD).

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

ما هو DMVPN؟

DMVPN هو حل برنامج Cisco IOS لإنشاء شبكات VPN IPsec+GRE بسهولة وحيوية وقابلية التطوير. وهو حل لإنشاء شبكة VPN ذات مواقع متعددة دون الاضطرار إلى تكوين جميع الأجهزة بشكل ثابت. إنها شبكة "محورية ومكشوفة" حيث يمكن للسببين التواصل فيما بينهما مباشرة من دون الحاجة إلى المرور عبر الصرة. يتم دعم التشفير من خلال IPsec مما يجعل DMVPN خيارا شائعا لتوصيل المواقع المختلفة باستخدام إتصالات الإنترنت العادية. 

كيف يعمل DMVPN؟

• تقوم المحددات ببناء نفق ديناميكي دائم بين بروتوكول GRE/IPsec في الموزع، لكن ليس إلى أفرع أخرى. وهم يسجلون كعملاء لخادم NHRP (صرة).
• عندما يحتاج أحد المتكلمين إلى إرسال حزمة إلى شبكة فرعية (خاصة) لوجهة ما خلف كلمة أخرى، فإنه يستعلم عبر NHRP عن العنوان الحقيقي (الخارجي) للوجهة التي تم التحدث بها.
• يمكن الآن للكلام المنشئ بدء نفق GRE/IPsec ديناميكي للوصول إلى الخطاب الهدف (لأنه يعرف عنوان النظير).
• ويتم إنشاء النفق الديناميكي الذي يتم التحدث إليه عبر واجهة برنامج MGRE.
• عندما تتوقف حركة المرور، تتم إزالة النفق الذي يتحدث.

ما هي الأنواع المختلفة لشبكة DMVPN؟

1. المرحلة الأولى من DMVPN: تتضمن هذه المرحلة واجهة mGRE واحدة على الصرة، ولا تزال كل الفروع ثابتة أنفاق حتى لا تحصل على أي اتصال ديناميكي يتحدث إلى.
2. المرحلة الثانية من DMVPN: تتضمن هذه المرحلة كل موقع يتم تكوينه بواجهة mGRE حتى تحصل على إمكانية الاتصال الديناميكي.
3. المرحلة الثالثة من DMVPN: تمتد هذه المرحلة على قابلية تطوير شبكة DMVPN. وهذا يتضمن التلخيص في سحابة DMVPN. مع تكوين عمليات إعادة توجيه NHRP والتبديل المختصر NHRP. تخبر عمليات إعادة توجيه NHRP المصدر للعثور على مسار أفضل للوجهة التي يحاول الوصول إليها. تتيح إختصارات NHRP لشبكة DMVPN التعرف على الشبكات الأخرى خلف موجهات DMVPN الأخرى.

تدفق حركة المرور للمرحلة 3 ل DMVPN

1. يتم إرسال الحزمة من شبكة Talk 1 إلى شبكات Talk 2 عبر Hub (وفقا لجدول التوجيه).
2. يقوم الصرة بتوجيه الحزمة إلى Talk2 ولكنه يرسل بالتوازي رسالة إعادة توجيه NHRP إلى Talk1 التي تحتوي على معلومات حول المسار دون الأمثل إلى TALK2 وعنوان IP للنفق الخاص ب TALK2.
3. Talk1 بعد ذلك يصدر طلب تحليل NHRP لعنوان IP الخاص ب Speaker2 NonBroadcast Multiaccess (NBMA) إلى خادم Hop Server (NHS) التالي مع عنوان IP للوجهة الخاص بنفق Talk'2. يتم إرسال طلب تحليل NHRP هذا بشكل مستهدف إلى Talk2 عبر NHS (وفقا لجدول التوجيه) - إنها عملية إعادة توجيه NHRP عادية عبر جنجل.
4. TALK2 بعد تلقي طلب القرار بما في ذلك NBMA IP ل TALK1 يرسل الرد على قرار NHRP مباشرة إلى Talk1 -لا يجتاز الرد الصرة!
5. تحدث 1 بعد إستلام NBMA IP الصحيح من TALK2، يعيد كتابة إدخال CEF لبادئة الوجهة - يسمى هذا الإجراء إختصار NHRP.
6. لا تقوم المحددات بتشغيل NHRP من خلال التقاط التجاور، لكن ردود NHRP تقوم بتحديث CEF.

الرسم التخطيطي للشبكة

التكوينات

تكوينات التشفير

1. تكوين مقترح IKEv2 ومنفذ المفاتيح.

مقترح crypto ikev2 DMVPN
تشفير aes-cbc-256
التكامل SHA256
المجموعة 14
crypto ikev2 keyRing IKEV2-keyring
النظير إلى أي
العنوان 0.0.0.0.0.0.0.0
مفتاح مشترك مسبقا Cisco123
!

2. قم بتكوين ملف تعريف IKEv2 الذي يحتوي على جميع المعلومات المتعلقة بالاتصال.

crypto ikev2 profile IKEv2-PROF
مطابقة الواجهة المحلية GigabitEthernet0/0/0
مطابقة الهوية عنوان بعيد 0.0.0                    
مشاركة مسبقة محلية للمصادقة
مصادقة المشاركة المسبقة عن بعد
لوحة مفاتيح محلية IKEV2-KEYRING

فيما يلي تفاصيل الأوامر المستخدمة في ملف تعريف ikeV2:

• مطابقة الواجهة المحلية GigabitEthernet0/0/0: الواجهة الخارجية المحلية حيث تنتهي VPN، في هذه الحالة، GigabitEthernet0/0/0
• مطابقة عنوان الهوية البعيد 0.0.0.0: نظرا لأن النظير البعيد يمكن أن يكون متعدد، باستخدام 0.0.0.0 الذي يشير إلى أي نظير
• المشاركة المسبقة المحلية للمصادقة: وضع المصادقة في الموقع المحلي مشترك مسبقا
• المصادقة والمشاركة المسبقة عن بعد: وضع المصادقة في الموقع المحلي مشترك مسبقا
• لوحة مفاتيح محلية IKEV2-KEYRING: أستخدم نفس لوحة المفاتيح التي قمت بإنشائها سابقا.
  
  

3. تكوين ملف تعريف IPsec.

crypto ips transform-set T-set ESP-aes 256 esp-sha256-hmac
نفق النمط

ملف تعريف IPsec-IKEV2 للتشفير عبر بروتوكول الإنترنت (IPsec)

ضبط مجموعة تحويل T-Set
set ikev2-profile ikev2-prof

قم بإنشاء مجموعة تحويل لمفاوضات نفق IPsec واستدعي مجموعة التحويل وملف تعريف IkeV2 تحت ملف تعريف IPsec.

تكوين DMVPN

1. قم بتكوين الواجهة الخارجية.

واجهة GigabitEthernet0/0/0

ip address 172.16.1.1 255.255.255.0
آلية التفاوض
تمكين CDP

2. تكوين موجه الموزع لتكامل mGRE و IPsec (أي إقران النفق بملف تعريف IPsec الذي تم تكوينه في الإجراء السابق)

interface Tunnel0
ip address 10.10.10.1 255.255.255.0
لا توجد عمليات إعادة توجيه IP
مصادقة DMVPN ل IP NHRP
ديناميكية البث المتعدد لخريطة IP NHRP
ip nhrp network-id 1
ip nhrp redirect <— إلزامي لتمكين DMVPN المرحلة 3 على موجه الموزع
GigabitEthernet0/0/0 لمصدر النفق
نقطة متعددة لوضع النفق
ملف تعريف IPSec-IKEV2 لحماية النفق
!

يتم إستخدام هذه الأوامر في تكوين واجهة النفق:

• مصادقة DMVPN عبر IP: في هذه الحالة، يجب أن تحتوي سلسلة مصادقة 'DMVPN' على القيمة نفسها على جميع المحاور والأقسام الفرعية التي تعد جزءا من شبكة DMVPN نفسها.
• ديناميكية البث المتعدد لخريطة IP NHRP: السماح ل NHRP بإضافة كلمات إلى تعيين NHRP للبث المتعدد بشكل ديناميكي.
• ip nhrp network-id 1: معرف شبكة 32-بت الذي يمكن NHRP على واجهة.
• إعادة توجيه IP NHRP: تمكين إشارة حركة مرور البيانات المعاد توجيهها إذا تم إعادة توجيه حركة مرور البيانات مع شبكة NHRP.
• GigabitEthernet0/0/0: يضبط عنوان المصدر لواجهة نفق، هنا أنت تستخدم GigaEthernet 0/0/0 عنوان IP.
• نمط النفق متعدد النقاط: تعيين وضع التضمين إلى mGRE لواجهة النفق هذه.
• ملف تعريف IPSec-IKEV2 لحماية النفق: يربط واجهة نفق بملف تعريف IPsec الذي تم إنشاؤه بالفعل في تكوينات التشفير.

3. قم بتكوين الموجهات التي يتم التحدث بها للتكامل مع mGRE و IPsec مع واجهة خارجية وإعادة الاسترجاع لاختبار اتصال بروتوكول العبارة الحدودية (BGP).

تحدث إكس: (يمكن إستخدام تكوين مماثل في كل الفروع)

واجهة GigabitEthernet0/0/0
ip address 172.16.3.3 255.255.255.0
السرعة 1000
لا يوجد تفاوض تلقائي

!

إسترجاع الواجهة 10
ip address 192.168.33.3 255.255.255.0
!
interface Tunnel0
ip address 10.10.10.3 255.255.255.0
لا توجد عمليات إعادة توجيه IP
مصادقة DMVPN ل IP NHRP
ip nhrp map 10.10.10.1 172.16.1.1
البث المتعدد لخريطة IP nhrp 172.16.1.1
ip nhrp network-id 1
ip nhrp nhs 10.10.10.1
إختصار IP NHRP <— إلزامي لتمكين المرحلة 3 من DMVPN على الموجه المتصل
GigabitEthernet0/0/0 لمصدر النفق
نقطة متعددة لوضع النفق
ملف تعريف IPSec-IKEV2 لحماية النفق

يتم إستخدام هذه الأوامر في تكوين واجهة النفق:

• مصادقة DMVPN عبر IP: في هذه الحالة، يجب أن تحتوي سلسلة مصادقة 'DMVPN' على القيمة نفسها على جميع المحاور والأقسام الفرعية التي تعد جزءا من شبكة DMVPN نفسها.
• ip nhrp map 10.10.10.1 172.16.1.1: عنوان IP لموزع NBMA يدويا مع عنوان IP لواجهة النفق.
• البث المتعدد لخريطة IP nhrp 172.16.1.1: يعيد توجيه كل حركة مرور البث المتعدد نحو الصرة.
• ip nhrp network-id 1: معرف شبكة 32-بت الذي يمكن NHRP على واجهة.
• ip nhrp nhs 10.10.10.1: تم تكوين خادم الخطوة التالية الذي يمثل محورنا باستخدام هذا الأمر.
• إختصار IP NHRP: تمكين تبديل إختصار NHRP على واجهة.
• GigabitEthernet0/0/0: يضبط عنوان المصدر لواجهة نفق، هنا أنت تستخدم GigaEthernet 0/0/0 عنوان IP.
• نمط النفق متعدد النقاط: تعيين وضع التضمين إلى mGRE لواجهة النفق هذه.
• ملف تعريف IPSec-IKEV2 لحماية النفق: يربط واجهة نفق بملف تعريف IPsec الذي تم إنشاؤه بالفعل في تكوينات التشفير.

تكوين BGP

هناك عدة تنويعات يمكنك الاختيار منها:

• eBGP برقم AS مختلف على كل كلمة
• BGP الذي له نفس رقم AS على كل كلمة
• iBGP

إن شرح جميع السيناريوهات الثلاثة خارج نطاق هذا المستند.

تم تكوين eBGP برقم AS مختلف على كل الباقات، لذلك لا يمكن إستخدام المتجاورات الديناميكية. لذلك، أنت ينبغي شكلت الجيران يدويا.

eBGP مع وجود مختلف كما هو الحال على المحولات

1. تكوين BGP على الموزع:

hub(config)#router bgp 65010

 hub(config-router)#bgp log-neighbor-changes

 Hub(config-router)#network 192.168.11.1 قناع 255.255.255.255

 hub(config-router)#neighbor 10.10.10.2 remote-as 65011

 hub(config-router)#neighbor 10.10.10.3 remote-as 65012

!

يتم إستخدام هذه الأوامر في تكوين BGP على الصرة:

• الموجه BGP 65010: تكوين عملية توجيه BGP. أستخدم الوسيطة 'self-system-number' التي تعرف الجهاز إلى مكبرات صوت BGP الأخرى.
• الشبكة 192.168.11.1 قناع 255.255.255.255: يحدد شبكة كشبكة محلية لهذا النظام الذاتي ويضيف الشبكة إلى جدول توجيه BGP.
• جهاز التحكم عن بعد طراز 65011 المجاور 10.10.2: يضيف عنوان IP الخاص بالجار تحدث 1 في النظام الذاتي المحدد إلى جدول BGP المجاور ل IPv4 متعدد البروتوكولات للجهاز المحلي.
• جهاز التحكم عن بعد طراز 65012 المجاور 10.10.3: يضيف عنوان IP الخاص بالجار Talk 2 في النظام الذاتي المحدد إلى جدول BGP المجاور ل IPv4 متعدد البروتوكولات للجهاز المحلي.

2. تكوين BGP على Talk X:

talk2(config)#router bgp 65012

talk2(config-router) #bgp log-neighbor-changes

 talk2(config-router)# شبكة 192.168.33.3 قناع 255.255.255.255

talk2(config-router)# المجاور 10.10.10.1 remote-as 65010

يتم إستخدام هذه الأوامر في تكوين BGP على Talk X:

• الموجه BGP 65012: تكوين عملية توجيه BGP. أستخدم الوسيطة 'self-system-number' التي تعرف الجهاز إلى مكبرات صوت BGP الأخرى.
• الشبكة 192.168.33.3 قناع 255.255.255.255: يحدد شبكة كشبكة محلية لهذا النظام الذاتي ويضيف الشبكة إلى جدول توجيه BGP.
• المجاور 10.10.10.1 جهاز التحكم عن بعد طراز 65010: يضيف عنوان IP الخاص بالموجه في النظام الذاتي المحدد إلى جدول BGP المجاور ل IPv4 المتعدد البروتوكولات للجهاز المحلي.

التحقق من الصحة

1. أوامر التحقق من الصحة على جهاز موزع:

hub#sh dmvpn

عرض معلومات الجلسة الخاصة ب DMVPN.

وسيلة الإيضاح: Attrb —> S - ثابت، D - ديناميكي، I - غير مكتمل
N - NATed و L - محلي و X - بدون مقبس
T1 - المسار المثبت، T2 - تجاوز Nexthop
C - قدرة CTS
# ENT —> عدد إدخالات NHRP التي لها نظير NBMA نفسه
حالة NHS: E —> توقع الردود، R —> الإستجابة، W —> الإنتظار
وقت UPdn —> وقت التشغيل أو النقصان لنفق
==============================================================================================================

الواجهة: تفاصيل Tunnel0 و IPv4 NHRP
النوع:hub، نظائر NHRP:2، <<<<<<<<<<<<<<< يبلغ أن الجهاز يعمل كصرة و 2 NHRP نظير ربطت إلى هذا صرة.

# ENT Peer NBMA ADDR Peer Tunnel Add State upDN TM Attrb
— — — — — —
1 172.16.2.2 10.10.10.2 up 01:47:08 d <<<<<<<<<<<<<<<<<<<<< كلا النظرين سجلا ديناميكيا مع الموزع وهما في حالة up.
1 172.16.3.3 10.10.10.3 up 01:08:58 d

Hub#sh ip nhrp

يعرض تخطيط عنوان NBMA إلى IP لواجهة النفق لجميع أقران NHRP المتصلين بالموجه. يحتفظ الموزع بقاعدة بيانات كل الفروع.

10.10.10.2/32 عبر 10.10.10.2
النفق0 الذي تم إنشاؤه 01:47:22، تنتهي صلاحيته 01:32:27
النوع: ديناميكي، العلامات: نقطة وصول فريدة تم تسجيلها
عنوان NBMA: 172.16.2.2
10.10.10.3/32 عبر 10.10.10.3
النفق0 الذي تم إنشاؤه 01:09:11، تنتهي صلاحيته 01:29:58
النوع: ديناميكي، العلامات: نقطة وصول فريدة تم تسجيلها
عنوان NBMA: 172.16.3.3

البث المتعدد HUB#sh ip nhrp

عرض معلومات تعيين NHRP للبث المتعدد.

عنوان NBMA للطراز I/F
علامات النفق0 172.16.2.2: ديناميكي (ممكن)
علامات النفق0 172.16.3.3: ديناميكي (ممكن)

مآخذ تشفير Hub#sh

عدد إتصالات مأخذ التوصيل المشفرة 2

نظراء TU0 (محلي/بعيد): 172.16.1.1/172.16.2.2
المعرف المحلي (العنوان/القناع/المنفذ/المنفذ): (172.16.1.1/255.255.255.255/0/47 )
عنوان بعيد (عنوان/قناع/منفذ/منفذ): (172.16.2.2/255.255.255.255/0/47 )
ملف تعريف IPSec: "IPSec-IKEV2"
حالة المقبس: فتح
العميل: "Tunnel SEC" (حالة العميل: نشط)
نظراء TU0 (محلي/بعيد): 172.16.1.1/172.16.3.3
المعرف المحلي (العنوان/القناع/المنفذ/المنفذ): (172.16.1.1/255.255.255.255/0/47 )
عنوان بعيد (عنوان/قناع/منفذ/منفذ): (172.16.3.3/255.255.255.255/0/47 )
ملف تعريف IPSec: "IPSec-IKEV2"
حالة المقبس: فتح
العميل: "Tunnel SEC" (حالة العميل: نشط)
مقابس التشفير في حالة الاستماع:
العميل: ملف تعريف "Tunnel sec": اسم المخطط "IPSec-IKEV2": "Tunnel0-head-0"

Hub#sh cry ikev2 sa

IPv4 crypto IKEv2 SA

حالة Tunnel-id Local Remote FVRF/IVRF
172.16.1.1/500 172.16.2.2/500 لا شيء/لا شيء جاهز
إنتر: AES-CBC، حجم المفتاح: عام 256، برنامج PRF: SHA512، التجزئة: SHA512، DH GRP:5، علامة المصادقة: PSK، التحقق من المصادقة: PSK
العمر/الوقت النشط: 86400/6524 ثانية

حالة Tunnel-id Local Remote FVRF/IVRF
2 172.16.1.1/500 172.16.3.3/500 لا شيء/لا شيء جاهز
إنتر: AES-CBC، حجم المفتاح: عام 256، برنامج PRF: SHA512، التجزئة: SHA512، DH GRP:5، علامة المصادقة: PSK، التحقق من المصادقة: PSK
العمر/الوقت النشط: 86400/4234 ثانية

IPv6 crypto IKEv2 SA

ملخص Hub#sh ip bgp

يعرض الحالة الحالية لجلسة عمل BGP/عدد البادئات التي استلمها الموجه من مجموعة مجاورة أو نظير.

معرف موجه BGP 192.168.11.1 المحلي كرقم 65010
إصدار جدول BGP هو 4، إصدار جدول التوجيه الرئيسي هو 4.
3 إدخالات للشبكة باستخدام 432 بايت من الذاكرة
3 إدخالات مسار باستخدام 252 بايت من الذاكرة
إدخالات سمة مسار/مسار أفضل مسار لبروتوكول بوابة الحدود (BGP) بسرعة 3/3 باستخدام 480 بايت من الذاكرة
إدخالات BGP كمسار باستخدام 48 بايت من الذاكرة
0 إدخالات ذاكرة تخزين مؤقت لخريطة المسار BGP باستخدام 0 بايت من الذاكرة
0 إدخالات ذاكرة تخزين مؤقت لقائمة عوامل تصفية BGP باستخدام 0 بايت من الذاكرة
BGP باستخدام إجمالي 1212 بايت من الذاكرة
بادئات نشاط BGP 3/0، مسارات 3/0، فاصل المسح الضوئي 60 ثوان

Neighbor V AS MsgRcvd MsgSend TblVer InQ OutQ Up/Down State/PfxRcd
10٫10٫10٫2 4 65011 33 33 4 0:25:35 1
10٫10٫10٫3 4 65012 21 25 4 0:14:58 1

Hub#sh ip route bgp

الرموز: L - محلي، C - متصل، S - ساكن إستاتيكي، R - RIP، M - محمول، B - BGP
D - EIGRP، EX - EIGRP خارجي، O - OSPF، IA - OSPF بين المناطق
N1 - OSPF NSSA خارجي النوع 1، N2 - OSPF NSSA خارجي النوع 2
E1 - OSPF النوع الخارجي 1، E2 - OSPF النوع الخارجي 2
i - is-is، su - is-is summary، l1 - is-is-level-1، l2 - is-is-level-2
IA - IS-IS بين المناطق، * - تعيين المرشح الافتراضي، U - المسار الثابت لكل مستخدم
o - ODR و P - مسار ثابت تم تنزيله بشكل دوري، H - NHRP، L - LISP
أ - مسار التطبيق
+ - المسار المنسوخ نسخا متماثلا، ٪ - تجاوز الخطوة التالية، p - التخطيات من PfR

بوابة المحاولة الأخيرة هي 172.16.1.2 إلى الشبكة 0.0.0.0

192.168.0.0/16 عبارة عن شبكات فرعية مختلفة و 4 شبكات فرعية وأقنعة
B 192.168.22.0/24 [20/0] عبر 10.10.10.2 و 00:29:15 <<<<<<<<<<<<<Entry for Talk 1 Advertising Routers 
B 192.168.33.0/24 [20/0] عبر 10.10.10.3 و 00:18:37 <<<<<<<<<<<<<Entry for Speaker 2 Advertising Route 

2. أوامر التحقق من الصحة على Talk 1:

Talk1#sh dmvpn

وسيلة الإيضاح: Attrb —> S - ثابت، D - ديناميكي، I - غير مكتمل
N - NATed و L - محلي و X - بدون مقبس
T1 - المسار المثبت، T2 - تجاوز Nexthop
C - CTS قادر، I2 - مؤقت
# ENT —> عدد إدخالات NHRP التي لها نظير NBMA نفسه
حالة NHS: E —> توقع الردود، R —> الإستجابة، W —> الإنتظار
وقت UPdn —> وقت التشغيل أو النقصان لنفق
==============================================================================================================

الواجهة: تفاصيل Tunnel0 و IPv4 NHRP
الكتابة:تم التحدث، أقران NHRP:2،

# ENT Peer NBMA ADDR Peer Tunnel Add State upDN TM Attrb
— — — — — —
1 172.16.1.1 10.10.10.1 up 01:32:09 s <<<<<<<<<<<hub يظهر على أنه S- ساكن إستاتيكي نظرا لأننا قمنا بتكوينه كمدخل ساكن إستاتيكي تحت واجهة النفق
1 172.16.3.3 10.10.10.3 up 00:19:34 d <<<<<<<<<<<<Dynamic On-Demand Talk Tunnel الذي تم إنشاؤه بعد إرسال حركة المرور إلى Talk 2

تحدث1#sh ip bgp خلاصة

معرف موجه BGP 192.168.22.2، الرقم المحلي AS 65011
إصدار جدول BGP هو 4، إصدار جدول التوجيه الرئيسي هو 4.
3 إدخالات للشبكة باستخدام 744 بايت من الذاكرة
3 إدخالات مسار تستخدم 432 بايت من الذاكرة
إدخالات سمة مسار/مسار أفضل مسار لبروتوكول بوابة الحدود (BGP) بسرعة 3/3 باستخدام 864 بايت من الذاكرة
إدخالات BGP كمسار باستخدام 64 بايت من الذاكرة
0 إدخالات ذاكرة تخزين مؤقت لخريطة المسار BGP باستخدام 0 بايت من الذاكرة
0 إدخالات ذاكرة تخزين مؤقت لقائمة عوامل تصفية BGP باستخدام 0 بايت من الذاكرة
BGP باستخدام إجمالي 2104 بايت من الذاكرة
بادئات نشاط BGP 3/0، مسارات 3/0، فاصل المسح الضوئي 60 ثوان
3 شبكات بلغت ذروتها في 08:16:54 يونيو 2022 بالتوقيت العالمي (منذ 01:11:51.732)

Neighbor V AS MsgRcvd MsgSend TblVer InQ OutQ Up/Down State/PfxRcd
10.10.10.1 4 65010 85 85 4 0 01:12:21 2 <<<<<<<<<<<<<<<<<<<<<< لقد تلقينا 2 بادئات من الموزع، كل منها لمحور الاسترجاع و Talk2 loopback

Talk1#sh ip route bgp

الرموز: L - محلي، C - متصل، S - ساكن إستاتيكي، R - RIP، M - محمول، B - BGP
D - EIGRP، EX - EIGRP خارجي، O - OSPF، IA - OSPF بين المناطق
N1 - OSPF NSSA خارجي النوع 1، N2 - OSPF NSSA خارجي النوع 2
E1 - OSPF خارجي النوع 1، E2 - OSPF خارجي النوع 2، M - OMP
n - NAT و NI - NAT Inside و NO - NAT Outside و NAT DIA
i - is-is، su - is-is summary، l1 - is-is-level-1، l2 - is-is-level-2
IA - IS-IS بين المناطق، * - تعيين المرشح الافتراضي، U - المسار الثابت لكل مستخدم
H - NHRP، G - NHRP مسجل، G - ملخص تسجيل NHRP
o - ODR، P - مسار ثابت تم تنزيله بشكل دوري، l - LISP
أ - مسار التطبيق
+ - المسار المنسوخ نسخا متماثلا، ٪ - تجاوز الخطوة التالية، p - التخطيات من PfR

بوابة المحاولة الأخيرة هي 172.16.2.10 إلى الشبكة 0.0.0.0

B 192.168.11.0/24 [20/0] عبر 10.10.10.1 و 01:13:16>>>>>>>>يمكن الوصول إلى شبكة المحور مباشرة عبر الموزع

B 192.168.33.0/24 [20/0] عبر 10.10.10.3 و 01:12:46>>>>>> الشبكة التي يتم الوصول إليها بشكل مباشر عبر بروتوكول IP للنفق المتصل.

talk1#sh ip route

الرموز: L - محلي، C - متصل، S - ساكن إستاتيكي، R - RIP، M - محمول، B - BGP
D - EIGRP، EX - EIGRP خارجي، O - OSPF، IA - OSPF بين المناطق
N1 - OSPF NSSA خارجي النوع 1، N2 - OSPF NSSA خارجي النوع 2
E1 - OSPF خارجي النوع 1، E2 - OSPF خارجي النوع 2، M - OMP
n - NAT و NI - NAT Inside و NO - NAT Outside و NAT DIA
i - is-is، su - is-is summary، l1 - is-is-level-1، l2 - is-is-level-2
IA - IS-IS بين المناطق، * - تعيين المرشح الافتراضي، U - المسار الثابت لكل مستخدم
H - NHRP، G - NHRP مسجل، G - ملخص تسجيل NHRP
o - ODR، P - مسار ثابت تم تنزيله بشكل دوري، l - LISP
أ - مسار التطبيق
+ - المسار المنسوخ نسخا متماثلا، ٪ - تجاوز الخطوة التالية، p - التخطيات من PfR

بوابة المحاولة الأخيرة هي 172.16.2.10 إلى الشبكة 0.0.0.0

S* 0.0.0.0/0 [1/0] عبر الإصدار 172.16.2.10
172.16.2.0/24 عبارة عن شبكات فرعية مختلفة، شبكتين فرعيتين، أقنعة
يتصل C 172.16.2.0/24 مباشرة، GigabitEthernet2
L 172.16.2.2/32 متصل مباشرة، GigabitEthernet2
10.0.0.0/8 عبارة عن شبكات فرعية مختلفة، شبكتين فرعيتين، أقنعة
يتم توصيل C 10.10.10.0/24 مباشرة، Tunnel0
L 10.10.10.2/32 متصل مباشرة، Tunnel0
B 192.168.11.0/24 [20/0] عبر 10.10.10.1 و 01:13:21
192.168.22.0/24 عبارة عن شبكات فرعية مختلفة، شبكتين فرعيتين، أقنعة
يتصل C 192.168.22.0/24 مباشرة، الاسترجاع 10
L 192.168.22.2/32 متصل مباشرة، الاسترجاع 10
B 192.168.33.0/24 [20/0] عبر 10.10.10.3 و 01:12:51

TALK1#sh ip nhrp nhs

وسيلة الإيضاح: E=توقع ردود، R=إستجابة، W=انتظار، D=ديناميكية
Tunnel0:
10.10.10.1 RE priority = 0 cluster = 0 >>>>>>> تم تكوين خادم واحد فقط من الخادم التالي

حركة مرور TALK1#sh ip nhrp

Tunnel0: حد الإرسال الأقصى:10000 PKTS/10 ثانية، الاستخدام:0٪
تم الإرسال: المجموع 52
1 طلب الحل 0 الرد 51 طلب تسجيل <<<<<<< عدد مرات إرسال طلبات التسجيل إلى الموزع
0 الرد على التسجيل 0 إزالة الطلب 0 الرد
منع إعادة توجيه إشارة مرور 0 إلى الخطأ 0
RCVD: المجموع 25
0 طلب القرار 1 الرد 0 طلب تسجيل <<<<<<<<< عدد مرات تلقي الردود على طلبات التسجيل هذه
24 الرد على التسجيل 0 إزالة الطلب 0
منع إعادة توجيه إشارة مرور 0 إلى الخطأ 0

البث المتعدد TALK1#sh ip nhrp

عنوان NBMA للطراز I/F
علامات Tunnel0 172.16.1.1: ساكن إستاتيكي (يمكن) <<<<<<<<<<<< حركة مرور البث المتعدد شكلت أن يكون أرسلت نحو صرة NBMA

مآخذ التشفير TALK1#sh

عدد إتصالات مقبس التشفير 2

نظراء TU0 (محلي/بعيد): 172.16.2.2/172.16.1.1
المعرف المحلي (العنوان/القناع/المنفذ/المنفذ): (172.16.2.2/255.255.255.255/0/47 )
عنوان بعيد (عنوان/قناع/منفذ/منفذ): (172.16.1.1/255.255.255.255/0/47 )
ملف تعريف IPSec: "IPSec-IKEV2"
حالة المقبس: فتح <<<<<<<<<<<<<< حالة مأخذ التوصيل لهذا النظير الخاص
العميل: "Tunnel SEC" (حالة العميل: نشط)
نظراء TU0 (محلي/بعيد): 172.16.2.2/172.16.3.3
المعرف المحلي (العنوان/القناع/المنفذ/المنفذ): (172.16.2.2/255.255.255.255/0/47 )
عنوان بعيد (عنوان/قناع/منفذ/منفذ): (172.16.3.3/255.255.255.255/0/47 )
ملف تعريف IPSec: "IPSec-IKEV2"
حالة المقبس: فتح
العميل: "Tunnel SEC" (حالة العميل: نشط)
مقابس التشفير في حالة الاستماع:
العميل: ملف تعريف "Tunnel sec": اسم المخطط "IPSec-IKEV2": "Tunnel0-head-0"

Talk1#sh cry ikev2 sa

IPv4 crypto IKEv2 SA

حالة Tunnel-id Local Remote FVRF/IVRF
2 172.16.2.2/500 172.16.3.3/500 لا شيء/لا شيء جاهز
إنتر: AES-CBC، حجم المفتاح: عام 256، برنامج PRF: SHA512، التجزئة: SHA512، DH GRP:19، علامة المصادقة: PSK، التحقق من المصادقة: PSK
العمر/الوقت النشط: 86400/287 ثانية

حالة Tunnel-id Local Remote FVRF/IVRF
172.16.2.2/500 172.16.1.1/500 لا شيء/لا شيء جاهز
إنتر: AES-CBC، حجم المفتاح: عام 256، برنامج PRF: SHA512، التجزئة: SHA512، DH GRP:19، علامة المصادقة: PSK، التحقق من المصادقة: PSK
العمر/الوقت النشط: 86400/4643 ثانية

IPv6 crypto IKEv2 SA

talk1#traceroute 192.168.33.3 مصدر lo10

اكتب تسلسل الهروب للإجهاض.
تعقب المسار إلى 192.168.33.3
معلومات التردد اللاسلكي: (VRF في الاسم/المعرف، VRF خارج الاسم/المعرف)
1 10.10.10.3 3 مللي ثانية، 4 مللي ثانية * <<<<<<<<<<<< حركة المرور تنتقل مباشرة إلى الموجه 2 دون المرور عبر الموزع.

Talk2#sh dmvpn

وسيلة الإيضاح: Attrb —> S - ثابت، D - ديناميكي، I - غير مكتمل
N - NATed و L - محلي و X - بدون مقبس
T1 - المسار المثبت، T2 - تجاوز Nexthop
C - CTS قادر، I2 - مؤقت
# ENT —> عدد إدخالات NHRP التي لها نظير NBMA نفسه
حالة NHS: E —> توقع الردود، R —> الإستجابة، W —> الإنتظار
وقت UPdn —> وقت التشغيل أو النقصان لنفق
==============================================================================================================

الواجهة: تفاصيل Tunnel0 و IPv4 NHRP
الكتابة:تم التحدث، أقران NHRP:2،

# ENT Peer NBMA ADDR Peer Tunnel Add State upDN TM Attrb
— — — — — —
1 172.16.1.1 10.10.10.1 حتى 01:20:26 ثانية
1 172.16.2.2 10.10.10.2 حتى 00:07:51 العمق

3. أوامر التحقق من الصوت 2:

TALK2#sh ip nhrp

10.10.10.1/32 من خلال 10.10.10.1
النفق0 الذي تم إنشاؤه 01:36:06، لا تنتهي صلاحيته أبدا
النوع: ساكن إستاتيكي، العلامات:
عنوان NBMA: 172.16.1.1
10.10.10.2/32 عبر 10.10.10.2
النفق0 الذي تم إنشاؤه في 00:08:09، تنتهي صلاحيته في 00:01:50
النوع: ديناميكي، العلامات: موجه ضمني
عنوان NBMA: 172.16.2.2
10.10.10.3/32 عبر 10.10.10.3
النفق0 الذي تم إنشاؤه في 00:08:09، تنتهي صلاحيته في 00:01:50
النوع: ديناميكي، العلامات: موجه محلي فريد
عنوان NBMA: 172.16.3.3
(بلا مأخذ)
TALK2#sh ip nhrp mul
البث المتعدد TALK2#sh ip nhrp
عنوان NBMA للطراز I/F
علامات النفق0 172.16.1.1: ثابت (ممكن)
تم التحدث 2#

مآخذ تشفير TALK2#sh

عدد إتصالات مأخذ التوصيل المشفرة 2

نظراء TU0 (محلي/بعيد): 172.16.3.3/172.16.1.1
المعرف المحلي (العنوان/القناع/المنفذ/المنفذ): (172.16.3.3/255.255.255.255/0/47 )
عنوان بعيد (عنوان/قناع/منفذ/منفذ): (172.16.1.1/255.255.255.255/0/47 )
ملف تعريف IPSec: "IPSec-IKEV2"
حالة المقبس: فتح <<<<<<<<<<<<<<<<<<<<<<< حالة مأخذ التوصيل لهذا النظير الخاص
العميل: "Tunnel SEC" (حالة العميل: نشط)
نظراء TU0 (محلي/بعيد): 172.16.3.3/172.16.2.2
المعرف المحلي (العنوان/القناع/المنفذ/المنفذ): (172.16.3.3/255.255.255.255/0/47 )
عنوان بعيد (عنوان/قناع/منفذ/منفذ): (172.16.2.2/255.255.255.255/0/47 )
ملف تعريف IPSec: "IPSec-IKEV2"
حالة المقبس: فتح
العميل: "Tunnel SEC" (حالة العميل: نشط)
مقابس التشفير في حالة الاستماع:
العميل: ملف تعريف "Tunnel sec": اسم المخطط "IPSec-IKEV2": "Tunnel0-head-0"

talk2#sh cry ikev2 sa

IPv4 crypto IKEv2 SA

حالة Tunnel-id Local Remote FVRF/IVRF
2 172.16.3.3/500 172.16.2.2/500 لا شيء/لا شيء جاهز
إنتر: AES-CBC، حجم المفتاح: عام 256، برنامج PRF: SHA512، التجزئة: SHA512، DH GRP:19، علامة المصادقة: PSK، التحقق من المصادقة: PSK
العمر/الوقت النشط: 86400/509 ثانية

حالة Tunnel-id Local Remote FVRF/IVRF
172.16.3.3/500 172.16.1.1/500 لا شيء/لا شيء جاهز
إنتر: AES-CBC، حجم المفتاح: عام 256، برنامج PRF: SHA512، التجزئة: SHA512، DH GRP:19، علامة المصادقة: PSK، التحقق من المصادقة: PSK
العمر/الوقت النشط: 86400/4866 ثانية

IPv6 crypto IKEv2 SA

تحدث 2#sh ip bgp خلاصة

معرف موجه BGP 192.168.33.3، الرقم المحلي AS 65012
إصدار جدول BGP هو 4، إصدار جدول التوجيه الرئيسي هو 4.
3 إدخالات للشبكة باستخدام 744 بايت من الذاكرة
3 إدخالات مسار تستخدم 432 بايت من الذاكرة
إدخالات سمة مسار/مسار أفضل مسار لبروتوكول بوابة الحدود (BGP) بسرعة 3/3 باستخدام 864 بايت من الذاكرة
إدخالات BGP كمسار باستخدام 64 بايت من الذاكرة
0 إدخالات ذاكرة تخزين مؤقت لخريطة المسار BGP باستخدام 0 بايت من الذاكرة
0 إدخالات ذاكرة تخزين مؤقت لقائمة عوامل تصفية BGP باستخدام 0 بايت من الذاكرة
BGP باستخدام إجمالي 2104 بايت من الذاكرة
بادئات نشاط BGP 3/0، مسارات 3/0، فاصل المسح الضوئي 60 ثوان
3 شبكات بلغت ذروتها في 08:16:54 يونيو 2022 بالتوقيت العالمي (منذ 01:20:43.775)

Neighbor V AS MsgRcvd MsgSend TblVer InQ OutQ Up/Down State/PfxRcd
10.10.10.1 465010 97 94 4 0 01:21:07 2>>>>>>>. إستلمنا 2 بادئات من Hub، كل منها لمحور الاسترجاع و Talk2 الاسترجاع

talk2#sh ip route

الرموز: L - محلي، C - متصل، S - ساكن إستاتيكي، R - RIP، M - محمول، B - BGP
D - EIGRP، EX - EIGRP خارجي، O - OSPF، IA - OSPF بين المناطق
N1 - OSPF NSSA خارجي النوع 1، N2 - OSPF NSSA خارجي النوع 2
E1 - OSPF خارجي النوع 1، E2 - OSPF خارجي النوع 2، M - OMP
n - NAT و NI - NAT Inside و NO - NAT Outside و NAT DIA
i - is-is، su - is-is summary، l1 - is-is-level-1، l2 - is-is-level-2
IA - IS-IS بين المناطق، * - تعيين المرشح الافتراضي، U - المسار الثابت لكل مستخدم
H - NHRP، G - NHRP مسجل، G - ملخص تسجيل NHRP
o - ODR، P - مسار ثابت تم تنزيله بشكل دوري، l - LISP
أ - مسار التطبيق
+ - المسار المنسوخ نسخا متماثلا، ٪ - تجاوز الخطوة التالية، p - التخطيات من PfR

بوابة المحاولة الأخيرة هي 172.16.3.10 إلى الشبكة 0.0.0.0

S* 0.0.0.0/0 [1/0] عبر الإصدار 172.16.3.10
172.16.3.0/24/8 عبارة عن شبكات فرعية مختلفة، شبكتين فرعيتين، أقنعة
يتم توصيل C 172.16.3.0/24 مباشرة، GigabitEthernet3
L 172.16.3.3/32 متصل مباشرة، GigabitEthernet3
10.0.0.0/8 عبارة عن شبكات فرعية مختلفة، شبكتين فرعيتين، أقنعة
يتم توصيل C 10.10.10.0/24 مباشرة، Tunnel0
L 10.10.10.3/32 متصل مباشرة، Tunnel0
B 192.168.11.0/24 [20/0] عبر 10.10.10.1 و 01:47:08
B 192.168.22.0/24 [20/0] عبر 10.10.10.2 و 01:46:45
192.168.33.0/24 عبارة عن شبكات فرعية مختلفة، شبكتين فرعيتين، أقنعة
يتصل C 192.168.33.0/24 مباشرة، الاسترجاع 10
L 192.168.33.3/32 متصل مباشرة، الاسترجاع 10

TALK2#sh ip route BGP

الرموز: L - محلي، C - متصل، S - ساكن إستاتيكي، R - RIP، M - محمول، B - BGP
D - EIGRP، EX - EIGRP خارجي، O - OSPF، IA - OSPF بين المناطق
N1 - OSPF NSSA خارجي النوع 1، N2 - OSPF NSSA خارجي النوع 2
E1 - OSPF خارجي النوع 1، E2 - OSPF خارجي النوع 2، M - OMP
n - NAT و NI - NAT Inside و NO - NAT Outside و NAT DIA
i - is-is، su - is-is summary، l1 - is-is-level-1، l2 - is-is-level-2
IA - IS-IS بين المناطق، * - تعيين المرشح الافتراضي، U - المسار الثابت لكل مستخدم
H - NHRP، G - NHRP مسجل، G - ملخص تسجيل NHRP
o - ODR، P - مسار ثابت تم تنزيله بشكل دوري، l - LISP
أ - مسار التطبيق
+ - المسار المنسوخ نسخا متماثلا، ٪ - تجاوز الخطوة التالية، p - التخطيات من PfR

بوابة المحاولة الأخيرة هي 172.16.3.10 إلى الشبكة 0.0.0.0

B 192.168.11.0/24 [20/0] عبر 10.10.10.1 و 01:21:11 >>>>>>>إمكانية الوصول إلى شبكة المحور مباشرة عبر لوحة الوصل
B 192.168.22.0/24 [20/0] عبر 10.10.10.2 و 01:20:48>>>>>> الشبكة التي يتم الاتصال بها مباشرة عبر بروتوكول IP الخاص بالنفق الذي يتم التحدث عنه.

TALK2#sh ip nhrp NHS

وسيلة الإيضاح: E=توقع ردود، R=إستجابة، W=انتظار، D=ديناميكية
Tunnel0:
10.10.10.1 RE priority = 0 cluster = 0>>>>>>>>> يتم تكوين خادم واحد فقط من خادم الخطوة التالية

talk2#traceroute 192.168.22.2 مصدر الاسترجاع 10

اكتب تسلسل الهروب للإجهاض.
تعقب المسار إلى 192.168.22.2
معلومات التردد اللاسلكي: (VRF في الاسم/المعرف، VRF خارج الاسم/المعرف)
1 10.10.10.2 4 مللي ثانية، 4 مللي ثانية * <<<<<<<<<<< حركة المرور تنتقل مباشرة إلى الموجه 1 دون المرور عبر الموزع.

استكشاف الأخطاء وإصلاحها

نظير حالة تصحيح الأخطاء dmvpn <nmbma/tunnel> <NMBA IP أو عنوان IP للنظير>
debug crypto condition peer ipV4 <WAN IP الخاص بالنظير>
نظير شرط debug nhrp <nbma/tunnel> <NBMA أو عنوان IP للنظير>

لاستكشاف أخطاء DMVPN وإصلاحها، يجب عليك اعتماد نهج متعدد الطبقات:

1. طبقة التشفير: بعد تأكيد الاتصال الفعلي بين نظامين، يلزم التحقق من التشفير. تقوم هذه الطبقة بتشفير/فك تشفير حزم GRE.

أوامر تصحيح الأخطاء الشائعة المستخدمة للتحقق من جزء التشفير:

debug crypto condition peer ipV4 <WAN عنوان من نظير>

debug crypto ikev2

خطأ debug crypto ikev2

debug crypto ikev2 داخلي

debug crypto ikev2 packet

debug crypto ipSec

خطأ تصحيح أخطاء التشفير في بروتوكول IPsec

أو

نظير حالة تصحيح الأخطاء dmvpn <nmbma/tunnel> <NMBA IP أو عنوان IP للنظير>

debug crypto condition peer ipV4 <WAN IP الخاص بالنظير>

debug dmvpn detail crypto

للحصول على فهم عميق لاستكشاف أخطاء طبقة التشفير وإصلاحها، ارجع إلى الارتباط الخارجي:

https://www.cisco.com/c/en/us/support/docs/security-vpn/ipsec-negotiation-ike-protocols/5409-ipsec-debug-00.html. 

2. بروتوكول GRE/NHRP: تتضمن بعض المشاكل الشائعة فشل تسجيل NHRP وتغييرات عنوان NBMA الديناميكي في TALK التي تؤدي إلى عدم اتساق تعيين NHRP في الموزع.

أوامر تصحيح الأخطاء الشائعة المستخدمة للتحقق من تعيين NHRP:

نظير شرط debug nhrp <nbma/tunnel> <NBMA أو عنوان IP للنظير>

ذاكرة التخزين المؤقت ل NHRP للتصحيح

تصحيح أخطاء حزمة nhrp

تفاصيل تصحيح الأخطاء

خطأ في تصحيح الأخطاء

للحصول على فهم لحلول أستكشاف أخطاء DMVPN وإصلاحها الأكثر شيوعا، ارجع إلى الارتباط الخارجي:

https://www.cisco.com/c/en/us/support/docs/security/dynamic-multipoint-vpn-dmvpn/111976-dmvpn-troubleshoot-00.html. 

3. التوجيه: لا يقوم بروتوكول التوجيه بمراقبة حالة الأنفاق التي يتم التحدث بها حسب الطلب.

تحديثات توجيه IP وحزم بيانات بث IP المتعدد تجتاز فقط أنفاق المحور والتحدث.

تعبر حزم بيانات IP للبث الأحادي كلا من الأنفاق التي يتم التحدث بها عبر المحور وعند الطلب.

تصحيح الأخطاء: العديد من أوامر تصحيح الأخطاء تعتمد على بروتوكول التوجيه.

بالنسبة للغوص العميق لتوجيه BGP، ارجع إلى الارتباط الخارجي:

https://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bgp/26634-bgp-toc.html.