CloudSec 設定情報を使用してセキュアな VXLAN EVPN マルチサイトを表示するには、以下のタスクのいずれかを実行します。
コマンド
|
目的
|
show tunnel-encryption info global
|
CloudSec を使用したセキュアな VXLAN EVPN マルチサイトの設定情報を表示します。
|
show tunnel-encryption policy [policy-name]
|
特定の CloudSec ポリシーまたはすべての CloudSec ポリシーの設定を表示します。
|
show tunnel-encryption session [peer-ip peer-ip-address] [detail]
|
エンドポイント間のセッションがセキュアかどうかなど、CloudSec セッションに関する情報を表示します。
|
show running-config tunnel-encryption
|
CloudSec を使用したセキュアな VXLAN EVPN マルチサイトの実行中の設定報を表示します。
|
show bgp ipv4 unicast ip-address
|
BGP ルートのトンネル暗号化情報を表示します。
|
show bgp l2vpn evpn
|
レイヤ 2 VPN EVPN アドレス ファミリとルーティング テーブル情報を表示します。
|
show ip route ip-address vrf vrf
|
VRF ルートを表示します。
|
show l2route evpn mac evi evi
|
レイヤ 2 ルート情報を表示します。
|
show nve interface interface detail
|
NVE インターフェイスの詳細を表示します。
|
show running-config rpm
|
実行中の設定でキー テキストを表示します。
(注)
|
key-chain tunnelencrypt-psk no-show コマンドを実行する前にコマンドを入力すると、キー テキストは実行中の設定で非表示になります(アスタリスク付き)。reload ascii コマンドを入力すると、キー テキストは実行中の設定から省略されます。
|
|
show running-config cert-enroll
|
トラストポイントとキーペアの構成を表示します。
|
show crypto ca certificates <trustpoint_label>
|
トラストポイントの証明書の内容を表示します。
|
次の例では、CloudSec を使用したセキュアな VXLAN EVPN マルチサイトの設定情報を表示します。
switch# show tunnel-encryption info global
Global Policy Mode: Must-Secure
SCI list: 0000.0000.0001.0002 0000.0000.0001.0004
No. of Active Peers : 1
次に、設定されているすべての CloudSec ポリシーを表示する例を示します。出力には、各ポリシーの暗号、ウィンドウ サイズ、および SAK 再試行時間が表示されます。
switch# show tunnel-encryption policy
Tunnel-Encryption Policy Cipher Window SAK Rekey time
---------------------------- ---------------- --------- --------------
cloudsec GCM-AES-XPN-256 134217728 1800
p1 GCM-AES-XPN-256 1073741823
system-default-tunenc-policy GCM-AES-XPN-256 268435456
次の例では、CloudSec セッションに関する情報を表示します。出力には、ピアの IP アドレスとポリシー、使用可能なキー チェーン、およびセッションがセキュアかどうかが示されます。
switch# show tunnel-encryption session
Tunnel-Encryption Peer Policy Keychain RxStatus TxStatus
----------------- ----------- -------- ----------- --------------
33.1.33.33 p1 kc1 Secure (AN: 0) Secure (AN: 2)
33.2.33.33 p1 kc1 Secure (AN: 0) Secure (AN: 2)
33.3.33.33 p1 kc1 Secure (AN: 0) Secure (AN: 2)
44.1.44.44 p1 kc1 Secure (AN: 0) Secure (AN: 0)
44.2.44.44 p1 kc1 Secure (AN: 0) Secure (AN: 0)
次の例では、 PKI 証明書トラストポイントに基づく Cloudsec セッションに関する情報を表示します。
switch# sh tunnel-encryption session
Tunnel-Encryption Peer Policy Keychain
RxStatus TxStatus
------------------------ ----------------------------------------
---------------------------------------- ----------------- -----------------
20.20.20.2 p1 PKI: myCA (RSA)
Secure (AN: 0) Secure (AN: 0)
32.11.11.4 p1 PKI: myCA (RSA)
Secure (AN: 0) Secure (AN: 0)
次に、BGP ルートのトンネル暗号化情報の例を示します。
switch# show bgp ipv4 unicast 199.199.199.199 Source-loopback configured on peer BGW for CloudSec
BGP routing table information for VRF default, address family IPv4 Unicast
BGP routing table entry for 199.199.199.199/32, version 109
Paths: (1 available, best #1)
Flags: (0x8008001a) (high32 0x000200) on xmit-list, is in urib, is best urib route, is in HW
Multipath: eBGP
Advertised path-id 1
Path type: external, path is valid, is best path, no labeled nexthop, in rib
AS-Path: 1000 200 , path sourced external to AS
89.89.89.89 (metric 0) from 89.89.89.89 (89.89.89.89)
Origin IGP, MED not set, localpref 100, weight 0
Tunnel Encapsulation attribute: Length 120
Path-id 1 advertised to peers:
2.2.2.2
次の例は、MAC が仮想 ESI に接続されているかどうかを示しています。
switch(config)# show bgp l2vpn evpn 0012.0100.000a
BGP routing table information for VRF default, address family L2VPN EVPN
Route Distinguisher: 110.110.110.110:32876
BGP routing table entry for [2]:[0]:[0]:[48]:[0012.0100.000a]:[0]:[0.0.0.0]/216, version 13198
Paths: (1 available, best #1)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not in HW
Multipath: eBGP
Advertised path-id 1
Path type: external, path is valid, is best path, no labeled nexthop
Imported to 1 destination(s)
Imported paths list: l2-10109
AS-Path: 1000 200 , path sourced external to AS
10.10.10.10 (metric 0) from 89.89.89.89 (89.89.89.89)
Origin IGP, MED not set, localpref 100, weight 0
Received label 10109
Extcommunity: RT:100:10109 ENCAP:8
ESI: 0300.0000.0000.0200.0309
Path-id 1 not advertised to any peer
Route Distinguisher: 199.199.199.199:32876
BGP routing table entry for [2]:[0]:[0]:[48]:[0012.0100.000a]:[0]:[0.0.0.0]/216, version 24823
Paths: (1 available, best #1)
Flags: (0x000202) (high32 00000000) on xmit-list, is not in l2rib/evpn, is not in HW
Multipath: eBGP
Advertised path-id 1
Path type: external, path is valid, is best path, no labeled nexthop
Imported to 1 destination(s)
Imported paths list: l2-10109
AS-Path: 1000 200 , path sourced external to AS
9.9.9.9 (metric 0) from 89.89.89.89 (89.89.89.89)
Origin IGP, MED not set, localpref 100, weight 0
Received label 10109
Extcommunity: RT:100:10109 ENCAP:8
ESI: 0300.0000.0000.0200.0309
Path-id 1 not advertised to any peer
次に、リモート サイトから受信した EVPN タイプ 5 ルート用に作成された ECMP の例を示します。
switch(config)# show ip route 205.205.205.9 vrf vrf903
IP Route Table for VRF "vrf903"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
205.205.205.9/32, ubest/mbest: 2/0
*via 9.9.9.9%default, [20/0], 11:06:32, bgp-100, external, tag 1000, segid: 900003 tunnelid: 0x9090909 encap: VXLAN
*via 10.10.10.10%default, [20/0], 3d05h, bgp-100, external, tag 1000, segid: 900003 tunnelid: 0xa0a0a0a encap: VXLAN
次の例は、リモート サイトから受信した MAC に ESI ベースの MAC マルチパスが設定されているかどうかを示しています。
switch(config)# show l2route evpn mac evi 109 mac 0012.0100.000a detail
Flags -(Rmac):Router MAC (Stt):Static (L):Local (R):Remote (V):vPC link
(Dup):Duplicate (Spl):Split (Rcv):Recv (AD):Auto-Delete (D):Del Pending
(S):Stale (C):Clear, (Ps):Peer Sync (O):Re-Originated (Nho):NH-Override
(Pf):Permanently-Frozen, (Orp): Orphan
Topology Mac Address Prod Flags Seq No Next-Hops
-------- -------------- ------ ------ ------ ----------------------
109 0012.0100.000a BGP SplRcv 0 9.9.9.9 (Label: 10109)
10.10.10.10 (Label: 10109)
Route Resolution Type: ESI
Forwarding State: Resolved (PL)
Resultant PL: 9.9.9.9, 10.10.10.10
Sent To: L2FM
ESI : 0300.0000.0000.0200.0309
Encap: 1
次の例は、PIP を使用した VXLAN EVPN マルチサイトが設定されていることを示しています。
switch(config)# show nve interface nve1 detail
Interface: nve1, State: Up, encapsulation: VXLAN
VPC Capability: VPC-VIP-Only [not-notified]
Local Router MAC: 700f.6a15.c791
Host Learning Mode: Control-Plane
Source-Interface: loopback0 (primary: 14.14.14.14, secondary: 0.0.0.0)
Source Interface State: Up
Virtual RMAC Advertisement: No
NVE Flags:
Interface Handle: 0x49000001
Source Interface hold-down-time: 180
Source Interface hold-up-time: 30
Remaining hold-down time: 0 seconds
Virtual Router MAC: N/A
Virtual Router MAC Re-origination: 0200.2e2e.2e2e
Interface state: nve-intf-add-complete
Multisite delay-restore time: 180 seconds
Multisite delay-restore time left: 0 seconds
Multisite dci-advertise-pip configured: True
Multisite bgw-if: loopback1 (ip: 46.46.46.46, admin: Up, oper: Up)
Multisite bgw-if oper down reason:
次の例は、実行中の設定のキー テキストを示しています。key-chain tunnelencrypt-psk no-show コマンドを入力すると、キーテキストは非表示になります。
switch# show running-config rpm
!Command: show running-config rpm
!Running configuration last done at: Mon Jun 15 14:41:40 2020
!Time: Mon Jun 15 15:10:27 2020
version 9.3(5) Bios:version 05.40
key chain inter tunnel-encryption
key 3301
key-octet-string 7 075f79696a58405441412e2a577f0f077d6461003652302552040a0b76015a504e370c
7972700604755f0e22230c03254323277d2f5359741a6b5d3a5744315f2f cryptographic-algorithm AES_256_CMAC
key chain kc1 tunnel-encryption
key 3537
key-octet-string 7 072c746f172c3d274e33592e22727e7409106d003725325758037800777556213d4e0c7c00770576772
d08515e0804553124577f5a522e046d6a5f485c35425f59 cryptographic-algorithm AES_256_CMAC
send-lifetime local 09:09:40 Apr 15 2020 duration 1800
key 2001
key-octet-string 7 075f79696a58405441412e2a577f0f077d6461003652302552040a0b76015a504e370c7972700604755
f0e22230c03254323277d2f5359741a6b5d3a5744315f2f cryptographic-algorithm AES_256_CMAC
key 2065
key-octet-string 7 0729791f6f5e3d213347292d517308730c156c7737223554270f787c07722a513e450a0a0703070c062
e0256210d0e204120510d29222a051f1e594c2135375359 cryptographic-algorithm AES_256_CMAC
key 2129
key-octet-string 7 075c796f6f2a4c2642302f5c56790e767063657a4b564f2156777c0a020228564a32780e0472007005530
c5e560f04204056577f2a222d056d1f5c4c533241525d cryptographic-algorithm AES_256_CMAC
key 2193
key-octet-string 7 07577014195b402336345a5f260f797d7d6264044b50415755047a7976755a574d350b7e720a0202715d7
a50530d715346205d0c2d525c001f6b5b385046365a29 cryptographic-algorithm AES_256_CMAC
switch# configure terminal
switch(config)# key-chain tunnelencrypt-psk no-show
switch(config)# show running-config rpm
!Command: show running-config rpm
!Running configuration last done at: Mon Jun 15 15:10:44 2020
!Time: Mon Jun 15 15:10:47 2020
version 9.3(5) Bios:version 05.40
key-chain tunnelencrypt-psk no-show
key chain inter tunnel-encryption
key 3301
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
key chain kc1 tunnel-encryption
key 3537
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
send-lifetime local 09:09:40 Apr 15 2020 duration 1800
key 2001
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
key 2065
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
key 2129
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
key 2193
key-octet-string 7 ****** cryptographic-algorithm AES_256_CMAC
次に、トラストポイントとキーペアの構成例を示します。
switch# show running-config cert-enroll
!Command: show running-config cert-enroll
!Running configuration last done at: Fri Apr 21 10:53:30 2023
!Time: Fri Apr 21 12:07:31 2023
version 10.3(3) Bios:version 05.47
crypto key generate rsa label myRSA exportable modulus 1024
crypto key generate rsa label myKey exportable modulus 1024
crypto key generate rsa label tmpCA exportable modulus 2048
crypto key generate ecc label src15_ECC_key exportable modulus 224
crypto ca trustpoint src15_ECC_CA
ecckeypair switch_ECC_key and so on
revocation-check crl
crypto ca trustpoint myRSA
rsakeypair myRSA
revocation-check crl
crypto ca trustpoint tmpCA
rsakeypair tmpCA
revocation-check crl
crypto ca trustpoint myCA
rsakeypair myKey
revocation-check crl
次の例では、トラストポイント下で証明書コンテンツを示します。
switch(config)# show crypto ca certificates myCA
Trustpoint: myCA
certificate:
subject=CN = switch, serialNumber = FBO22411ABC
issuer=C = US, ST = CA, L = San Jose, O = Org, OU = EN, CN = PKI, emailAddress = abc@xyz.com
serial=2F24FCE6823FCBE5A8AC72C82D0E8E24EB327B0C
notBefore=Apr 19 19:43:48 2023 GMT
notAfter=Aug 31 19:43:48 2024 GMT
SHA1 Fingerprint=D0:F8:1E:32:6E:6D:44:21:6B:AE:92:69:69:AD:88:73:69:76:B9:18
purposes: sslserver sslclient
CA certificate 0:
subject=C = US, ST = CA, L = San Jose, O = Org, OU = EN, CN = PKI, emailAddress = abc@xyz.com
issuer=C = US, ST = CA, L = San Jose, O = Cisco, OU = EN, CN = PKI, emailAddress = ca@ca.com
serial=1142A22DDDE63A047DE0829413359362042CCC31
notBefore=Jul 12 13:25:59 2022 GMT
notAfter=Jul 12 13:25:59 2023 GMT
SHA1 Fingerprint=33:37:C6:D5:F1:B3:E1:79:D9:5A:71:30:FD:50:E4:28:7D:E1:2D:A3
purposes: sslserver sslclient