يصف هذا المستند كيفية تكوين إرتباط الإصدار 3 (L2TPv3) لبروتوكول نفق الطبقة 2 للتشغيل عبر اتصال واجهة النفق الظاهرية (VTI) Cisco IOS FlexVPN بين موجهين يعملان ببرنامج Cisco IOS® Software. باستخدام هذه التقنية، يمكن توسيع شبكات الطبقة 2 بشكل آمن داخل نفق IPsec عبر نقلات متعددة من الطبقة 3، مما يتيح للأجهزة المنفصلة ماديا أن تظهر على شبكة LAN المحلية نفسها.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
يستخدم تكوين FlexVPN هذا إعدادات افتراضية ذكية ومصادقة مفاتيح مشتركة مسبقا من أجل تبسيط التفسير. للحصول على أقصى قدر من الأمان، أستخدم تشفير الجيل التالي؛ راجع تشفير الجيل التالي للحصول على مزيد من المعلومات.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يستخدم هذا التكوين المخطط في هذه الصورة. قم بتغيير عناوين IP حسب الحاجة للتثبيت.
يحتوي الموجه R1 على عنوان IP تم تكوينه على الواجهة:
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
يقوم هذا الإجراء بتكوين FlexVPN على الموجه R2.
crypto ikev2 keyring key1
peer 10.10.10.3
address 10.10.10.3
pre-shared-key ciscol
crypto ikev2 profile default
match identity remote address 10.10.10.3 255.255.255.255
identity local address 10.10.10.2
authentication remote pre-share
authentication local pre-share
keyring local key1
interface Tunnel1
ip address 172.16.1.2 255.255.255.0
tunnel source 10.10.10.2
tunnel destination 10.10.10.3
tunnel protection ipsec profile default
يقوم هذا الإجراء بتكوين L2TPv3 على الموجه R2.
pseudowire-class l2tp1
encapsulation l2tpv3
ip local interface Tunnel1
interface Ethernet0/0
no ip address
xconnect 172.16.1.3 1001 encapsulation l2tpv3 pw-class l2tp1
يقوم هذا الإجراء بتكوين FlexVPN على الموجه R3.
crypto ikev2 keyring key1
peer 10.10.10.2
address 10.10.10.2
pre-shared-key cisco
crypto ikev2 profile default
match identity remote address 10.10.10.2 255.255.255.255
identity local address 10.10.10.3
authentication remote pre-share
authentication local pre-share
keyring local key1
interface Tunnel1
ip address 172.16.1.3 255.255.255.0
tunnel source 10.10.10.3
tunnel destination 10.10.10.2
tunnel protection ipsec profile default
يقوم هذا الإجراء بتكوين L2TPv3 على الموجه R3.
pseudowire-class l2tp1
encapsulation l2tpv3
ip local interface Tunnel1
interface Ethernet0/0
no ip address
xconnect 172.16.1.2 1001 encapsulation l2tpv3 pw-class l2tp1
يحتوي الموجه R4 على عنوان IP تم تكوينه على الواجهة:
interface Ethernet0/0
ip address 192.168.1.4 255.255.255.0
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
يتحقق هذا المثال من إنشاء اقتران أمان IPsec بنجاح على الموجه R2 باستخدام نفق الواجهة 1.
R2#show crypto sockets
Number of Crypto Socket connections 1
Tu1 Peers (local/remote): 10.10.10.2/10.10.10.3
Local Ident (addr/mask/port/prot): (10.10.10.2/255.255.255.255/0/47)
Remote Ident (addr/mask/port/prot): (10.10.10.3/255.255.255.255/0/47)
IPSec Profile: "default"
Socket State: Open
Client: "TUNNEL SEC" (Client State: Active)
Crypto Sockets in Listen state:
Client: "TUNNEL SEC" Profile: "default" Map-name: "Tunnel1-head-0"
يتحقق هذا المثال من إنشاء اقتران أمان IKEv2 (SA) بنجاح على الموجه R2.
R2#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
2 10.10.10.2/500 10.10.10.3/500 none/none READY
Encr: AES-CBC, keysize: 256, Hash: SHA512, DH Grp:5, Auth sign: PSK,
Auth verify: PSK
Life/Active Time: 86400/562 sec
IPv6 Crypto IKEv2 SA
يتحقق هذا المثال من تكوين نفق L2TPv3 بشكل صحيح على الموجه R2.
R2#show xconnect all
Legend: XC ST=Xconnect State S1=Segment1 State S2=Segment2 State
UP=Up DN=Down AD=Admin Down IA=Inactive
SB=Standby HS=Hot Standby RV=Recovering NH=No Hardware
XC ST Segment 1 S1 Segment 2 S2
------+---------------------------------+--+---------------------------------+--
UP pri ac Et0/0:3(Ethernet) UP l2tp 172.16.1.3:1001 UP
يتحقق هذا المثال من أن الموجه R1 لديه اتصال شبكة بالموجه R4 ويبدو أنه على الشبكة المحلية نفسها.
R1#ping 192.168.1.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 6/6/6 ms
R1#show arp
Protocol Address Age (min) Hardware Addr Type Interface
Internet 192.168.1.1 - aabb.cc00.0100 ARPA Ethernet0/0
Internet 192.168.1.4 4 aabb.cc00.0400 ARPA Ethernet0/0
R1#show cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone,
D - Remote, C - CVTA, M - Two-port Mac Relay
Device ID Local Intrfce Holdtme Capability Platform Port ID
R4 Eth 0/0 142 R B Linux Uni Eth 0/0
يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها:
تدعم أداة مترجم الإخراج (للعملاءالمسجلين فقط) بعض أوامر show. استخدم "أداة مترجم الإخراج" لعرض تحليل لمُخرَج الأمر show.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
27-May-2013 |
الإصدار الأولي |