CloudSec 設定情報を使用してセキュアな VXLAN EVPN マルチサイトを表示するには、以下のタスクのいずれかを実行します。
コマンド
|
目的
|
show tunnel-encryption info global
|
CloudSec を使用したセキュアな VXLAN EVPN マルチサイトの設定情報を表示します。
|
show tunnel-encryption policy [policy-name]
|
特定の CloudSec ポリシーまたはすべての CloudSec ポリシーの設定を表示します。
|
show tunnel-encryption session [peer-ip peer-ip-address] [detail]
|
エンドポイント間のセッションがセキュアかどうかなど、CloudSec セッションに関する情報を表示します。
|
show running-config tunnel-encryption
|
CloudSec を使用したセキュアな VXLAN EVPN マルチサイトの実行中の設定報を表示します。
|
show bgp ipv4 unicast ip-address
|
BGP ルートのトンネル暗号化情報を表示します。
|
show bgp l2vpn evpn
|
レイヤ 2 VPN EVPN アドレス ファミリとルーティング テーブル情報を表示します。
|
show ip route ip-address vrf vrf
|
VRF ルートを表示します。
|
show l2route evpn mac evi evi
|
レイヤ 2 ルート情報を表示します。
|
show nve interface interface detail
|
NVE インターフェイスの詳細を表示します。
|
show running-config rpm
|
実行中の設定でキー テキストを表示します。
(注)
|
key-chain tunnelencrypt-psk no-show コマンドを実行する前にコマンドを入力すると、キー テキストは実行中の設定で非表示になります(アスタリスク付き)。reload ascii コマンドを入力すると、キー テキストは実行中の設定から省略されます。
|
|
次の例では、CloudSec を使用したセキュアな VXLAN EVPN マルチサイトの設定情報を表示します。
switch# show tunnel-encryption info global
Global Policy Mode: Must-Secure
SCI list: 0000.0000.0001.0002 0000.0000.0001.0004
No. of Active Peers : 1
次に、設定されているすべての CloudSec ポリシーを表示する例を示します。出力には、各ポリシーの暗号、ウィンドウ サイズ、および SAK 再試行時間が表示されます。
switch# show tunnel-encryption policy
Tunnel-Encryption Policy Cipher Window SAK Rekey time
---------------------------- ---------------- --------- --------------
cloudsec GCM-AES-XPN-256 134217728 1800
p1 GCM-AES-XPN-256 1073741823
system-default-tunenc-policy GCM-AES-XPN-256 268435456
次の例では、CloudSec セッションに関する情報を表示します。出力には、ピアの IP アドレスとポリシー、使用可能なキー チェーン、およびセッションがセキュアかどうかが示されます。
switch# show tunnel-encryption session
Tunnel-Encryption Peer Policy Keychain RxStatus TxStatus
----------------- ----------- -------- ----------- --------------
33.1.33.33 p1 kc1 Secure (AN: 0) Secure (AN: 2)
33.2.33.33 p1 kc1 Secure (AN: 0) Secure (AN: 2)
33.3.33.33 p1 kc1 Secure (AN: 0) Secure (AN: 2)
44.1.44.44 p1 kc1 Secure (AN: 0) Secure (AN: 0)
44.2.44.44 p1 kc1 Secure (AN: 0) Secure (AN: 0)
次に、BGP ルートのトンネル暗号化情報の例を示します。
switch# show bgp ipv4 unicast 199.199.199.199 Source-loopback configured on peer BGW for CloudSec
BGP routing table information for VRF default, address family IPv4 Unicast
BGP routing table entry for 199.199.199.199/32, version 109
Paths: (1 available, best #1)
Flags: (0x8008001a) (high32 0x000200) on xmit-list, is in urib, is best urib route, is in HW
Multipath: eBGP
Advertised path-id 1
Path type: external, path is valid, is best path, no labeled nexthop, in rib
AS-Path: 1000 200 , path sourced external to AS
89.89.89.89 (metric 0) from 89.89.89.89 (89.89.89.89)
Origin IGP, MED not set, localpref 100, weight 0
Tunnel Encapsulation attribute: Length 120
Path-id 1 advertised to peers:
2.2.2.2
次の例は、MAC が仮想 ESI に接続されているかどうかを示しています。
switch(config)# show bgp l2vpn evpn 0012.0100.000a
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 110.110.110.110:32876
BGP routing table entry for [2]:[0]:[0]:[48]:[0012.0100.000a]:[0]:[0.0.0.0]/216, version 13198
Paths: (1 available, best #1)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not in HW
Multipath: eBGP
Advertised path-id 1
Path type: external, path is valid, is best path, no labeled nexthop
Imported to 1 destination(s)
Imported paths list: l2-10109
AS-Path: 1000 200 , path sourced external to AS
10.10.10.10 (metric 0) from 89.89.89.89 (89.89.89.89)
Origin IGP, MED not set, localpref 100, weight 0
Received label 10109
Extcommunity: RT:100:10109 ENCAP:8
ESI: 0300.0000.0000.0200.0309
Path-id 1 not advertised to any peer
Route Distinguisher: 199.199.199.199:32876
BGP routing table entry for [2]:[0]:[0]:[48]:[0012.0100.000a]:[0]:[0.0.0.0]/216, version 24823
Paths: (1 available, best #1)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not in HW
Multipath: eBGP
Advertised path-id 1
Path type: external, path is valid, is best path, no labeled nexthop
Imported to 1 destination(s)
Imported paths list: l2-10109
AS-Path: 1000 200 , path sourced external to AS
9.9.9.9 (metric 0) from 89.89.89.89 (89.89.89.89)
Origin IGP, MED not set, localpref 100, weight 0
Received label 10109
Extcommunity: RT:100:10109 ENCAP:8
ESI: 0300.0000.0000.0200.0309
Path-id 1 not advertised to any peer
次に、リモート サイトから受信した EVPN タイプ 5 ルート用に作成された ECMP の例を示します。
switch(config)# show ip route 205.205.205.9 vrf vrf903
IP Route Table for VRF "vrf903"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
205.205.205.9/32, ubest/mbest: 2/0
*via 9.9.9.9%default, [20/0], 11:06:32, bgp-100, external, tag 1000, segid: 900003 tunnelid: 0x9090909 encap: VXLAN
*via 10.10.10.10%default, [20/0], 3d05h, bgp-100, external, tag 1000, segid: 900003 tunnelid: 0xa0a0a0a encap: VXLAN
次の例は、リモート サイトから受信した MAC に ESI ベースの MAC マルチパスが設定されているかどうかを示しています。
switch(config)# show l2route evpn mac evi 109 mac 0012.0100.000a detail
Flags -(Rmac):Router MAC (Stt):Static (L):Local (R):Remote (V):vPC link
(Dup):Duplicate (Spl):Split (Rcv):Recv (AD):Auto-Delete (D):Del Pending
(S):Stale (C):Clear, (Ps):Peer Sync (O):Re-Originated (Nho):NH-Override
(Pf):Permanently-Frozen, (Orp): Orphan
Topology Mac Address Prod Flags Seq No Next-Hops
-------- -------------- ------ ------ ------ ----------------------
109 0012.0100.000a BGP SplRcv 0 9.9.9.9 (Label: 10109)
10.10.10.10 (Label: 10109)
Route Resolution Type: ESI
Forwarding State: Resolved (PL)
Resultant PL: 9.9.9.9, 10.10.10.10
Sent To: L2FM
ESI : 0300.0000.0000.0200.0309
Encap: 1
次の例は、PIP を使用した VXLAN EVPN マルチサイトが設定されていることを示しています。
switch(config)# show nve interface nve1 detail
Interface: nve1, State: Up, encapsulation: VXLAN
VPC Capability: VPC-VIP-Only [not-notified]
Local Router MAC: 700f.6a15.c791
Host Learning Mode: Control-Plane
Source-Interface: loopback0 (primary: 14.14.14.14, secondary: 0.0.0.0)
Source Interface State: Up
Virtual RMAC Advertisement: No
NVE Flags:
Interface Handle: 0x49000001
Source Interface hold-down-time: 180
Source Interface hold-up-time: 30
Remaining hold-down time: 0 seconds
Virtual Router MAC: N/A
Virtual Router MAC Re-origination: 0200.2e2e.2e2e
Interface state: nve-intf-add-complete
Multisite delay-restore time: 180 seconds
Multisite delay-restore time left: 0 seconds
Multisite dci-advertise-pip configured: True
Multisite bgw-if: loopback1 (ip: 46.46.46.46, admin: Up, oper: Up)
Multisite bgw-if oper down reason:
次の例は、実行中の設定のキー テキストを示しています。key-chain tunnelencrypt-psk no-show コマンドを入力すると、キーテキストは非表示になります。
switch# show running-config rpm
!Command: show running-config rpm
!Running configuration last done at: Mon Jun 15 14:41:40 2020
!Time: Mon Jun 15 15:10:27 2020
version 9.3(5) Bios:version 05.40
key chain inter tunnel-encryption
key 3301
key-octet-string 7 075f79696a58405441412e2a577f0f077d6461003652302552040a0b76015a504e370c
7972700604755f0e22230c03254323277d2f5359741a6b5d3a5744315f2f cryptographic-algorithm AES_256_CMAC
key chain kc1 tunnel-encryption
key 3537
key-octet-string 7 072c746f172c3d274e33592e22727e7409106d003725325758037800777556213d4e0c7c00770576772
d08515e0804553124577f5a522e046d6a5f485c35425f59 cryptographic-algorithm AES_256_CMAC
send-lifetime local 09:09:40 Apr 15 2020 duration 1800
key 2001
key-octet-string 7 075f79696a58405441412e2a577f0f077d6461003652302552040a0b76015a504e370c7972700604755
f0e22230c03254323277d2f5359741a6b5d3a5744315f2f cryptographic-algorithm AES_256_CMAC
key 2065
key-octet-string 7 0729791f6f5e3d213347292d517308730c156c7737223554270f787c07722a513e450a0a0703070c062
e0256210d0e204120510d29222a051f1e594c2135375359 cryptographic-algorithm AES_256_CMAC
key 2129
key-octet-string 7 075c796f6f2a4c2642302f5c56790e767063657a4b564f2156777c0a020228564a32780e0472007005530
c5e560f04204056577f2a222d056d1f5c4c533241525d cryptographic-algorithm AES_256_CMAC
key 2193
key-octet-string 7 07577014195b402336345a5f260f797d7d6264044b50415755047a7976755a574d350b7e720a0202715d7
a50530d715346205d0c2d525c001f6b5b385046365a29 cryptographic-algorithm AES_256_CMAC
switch# configure terminal
switch(config)# key-chain tunnelencrypt-psk no-show
switch(config)# show running-config rpm
!Command: show running-config rpm
!Running configuration last done at: Mon Jun 15 15:10:44 2020
!Time: Mon Jun 15 15:10:47 2020
version 9.3(5) Bios:version 05.40
key-chain tunnelencrypt-psk no-show
key chain inter tunnel-encryption
key 3301
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
key chain kc1 tunnel-encryption
key 3537
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
send-lifetime local 09:09:40 Apr 15 2020 duration 1800
key 2001
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
key 2065
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
key 2129
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
key 2193
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC