تكوين IPsec و GRE في واجهة النفق نفسها على XE SD-WAN

المقدمة

يصف هذا المستند التكوين لتمكين تضمين IPsec و GRE لواجهة النفق نفسها على موجه Cisco IOS XE® SD-WAN.

المتطلبات الأساسية

المتطلبات

توصي Cisco بمعرفة الموضوعات التالية:

• تقنية SD-WAN من Cisco
• واجهة سطر الأوامر (CLI) الأساسية من Cisco IOS-XE

المكونات المستخدمة

يستند هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• C8000V، الإصدار 17.6.2

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

تحتاج موجهات Cisco IOS-XE SD-WAN إلى عملية كبسلة واحدة على الأقل؛ أمان بروتوكول الإنترنت (IPsec) أو تضمين التوجيه العام (GRE) لكل واجهة نفق.

هناك حالات إستخدام عند الحاجة إلى كلا التضمين.

حالات الاستخدام 

السيناريو 1

في هذا سيناريو، هناك صرة مع نقل واحد وكلا التضمين ل ال نفسه نفق قارن.

وهذا يؤدي إلى إنشاء وحدتي TLOC ويسمح بتكوين أنفاق باستخدام أجهزة الحافة البعيدة التي تستخدم فقط IPSec والأجهزة الطرفية البعيدة التي تستخدم GRE فقط.

السيناريو 2

في هذا السيناريو، هناك جهازان طرفيان مع نقل واحد. تم تكوين هذا النقل باستخدام كل من التضمين على نقطتي النهاية.

ويكون هذا الإجراء مفيدا إذا كانت هناك حركة مرور يلزم إرسالها عبر بروتوكول GRE وحركة مرور البيانات التي سيتم إرسالها عبر IPsec.

التكوين

يمكن تنفيذ هذا التكوين من خلال واجهة سطر الأوامر للموجه أو من خلال قالب ميزة vManage.

من خلال قالب ميزة vManage

على قالب ميزة إيثرنت لواجهة شبكة VPN من Cisco ل VPN 0، انتقل إلى نفق > خيارات متقدمة > عملية كبسلة وقم بتشغيل GRE وIPsec:

Via CLI

قم بتكوين واجهة النفق باستخدام كلا التضمين على كلا الجهازين cEdge:

sdwan
 interface <WAN Interface>
  tunnel-interface
   encapsulation gre
   encapsulation ipsec

التحقق

تحقق من حالة إتصالات التحكم باستخدام أوامر التحقق من الصحة.

show sdwan omp tlocs table | i <system-ip>
show sdwan bfd sessions

مثال على السيناريو 2:

تحقق من إعادة توزيع وحدات التحكم في الوصول إلى البنية الأساسية (TLOCs) في OMP:

Edge_A#show sdwan omp tlocs table | i 10.2.2.2
ipv4   10.2.2.2  mpls  gre    0.0.0.0  C,Red,R  1  172.16.1.30  0      172.16.1.30  0      ::  0  ::  0  up 
       10.2.2.2  mpls  ipsec  0.0.0.0  C,Red,R  1  172.16.1.30  12346  172.16.1.30  12346  ::  0  ::  0  up 

تحقق من جلسات عمل BFD إلى Edge_B على كل من علامتي التحكم في الوصول للوسائط:

Edge_A#show sdwan bfd sessions
                             SOURCE TLOC  REMOTE TLOC              DST PUBLIC   DST PUBLIC         DETECT      TX 
SYSTEM IP    SITE ID  STATE  COLOR        COLOR       SOURCE IP    IP           PORT        ENCAP  MULTIPLIER  INTERVAL(msec    UPTIME          TRANSITIONS 
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.4.4.4     4        up     mpls         mpls        172.16.1.30  172.16.1.32  0           gre    7           1000             11 11:11:36:55  1 
10.4.4.4     4        up     mpls         mpls        172.16.1.30  172.16.1.32  12366       ipsec  7           1000             11 11:11:36:51  0 

تحقق من المسار نحو كلا النفقين. أستخدم الأمر show sdwan policy service path vpn <vpn-number> interface <interface> source-ip <source-ip> dest-ip <dest-ip> بروتوكول <protocol> all.

Edge_A#show sdwan policy service-path vpn 10 interface Loopback 20 source-ip 10.40.40.40 dest-ip 10.50.50.50 protocol 1 all 
Number of possible next hops: 2
Next Hop: GRE
Source: 172.16.1.30 Destination: 172.16.1.32 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
Next Hop: IPsec
Source: 172.16.1.30 12346 Destination: 172.16.1.32 12366 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4

معلومات ذات صلة

• دليل تكوين الأنظمة والواجهات Cisco SD-WAN، Cisco IOS XE، الإصدار 17.x
• مرجع أوامر SD-WAN من Cisco