المقدمة
يصف هذا المستند التكوين لتمكين تضمين IPsec و GRE لواجهة النفق نفسها على موجه Cisco IOS XE® SD-WAN.
المتطلبات الأساسية
المتطلبات
توصي Cisco بمعرفة الموضوعات التالية:
- تقنية SD-WAN من Cisco
- واجهة سطر الأوامر (CLI) الأساسية من Cisco IOS-XE
المكونات المستخدمة
يستند هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تحتاج موجهات Cisco IOS-XE SD-WAN إلى عملية كبسلة واحدة على الأقل؛ أمان بروتوكول الإنترنت (IPsec) أو تضمين التوجيه العام (GRE) لكل واجهة نفق.
هناك حالات إستخدام عند الحاجة إلى كلا التضمين.
حالات الاستخدام
السيناريو 1
في هذا سيناريو، هناك صرة مع نقل واحد وكلا التضمين ل ال نفسه نفق قارن.
وهذا يؤدي إلى إنشاء وحدتي TLOC ويسمح بتكوين أنفاق باستخدام أجهزة الحافة البعيدة التي تستخدم فقط IPSec والأجهزة الطرفية البعيدة التي تستخدم GRE فقط.
السيناريو 2
في هذا السيناريو، هناك جهازان طرفيان مع نقل واحد. تم تكوين هذا النقل باستخدام كل من التضمين على نقطتي النهاية.
ويكون هذا الإجراء مفيدا إذا كانت هناك حركة مرور يلزم إرسالها عبر بروتوكول GRE وحركة مرور البيانات التي سيتم إرسالها عبر IPsec.
التكوين
يمكن تنفيذ هذا التكوين من خلال واجهة سطر الأوامر للموجه أو من خلال قالب ميزة vManage.
من خلال قالب ميزة vManage
على قالب ميزة إيثرنت لواجهة شبكة VPN من Cisco ل VPN 0، انتقل إلى نفق > خيارات متقدمة > عملية كبسلة وقم بتشغيل GRE وIPsec:
Via CLI
قم بتكوين واجهة النفق باستخدام كلا التضمين على كلا الجهازين cEdge:
sdwan
interface <WAN Interface>
tunnel-interface
encapsulation gre
encapsulation ipsec
التحقق
تحقق من حالة إتصالات التحكم باستخدام أوامر التحقق من الصحة.
show sdwan omp tlocs table | i <system-ip>
show sdwan bfd sessions
مثال على السيناريو 2:
تحقق من إعادة توزيع وحدات التحكم في الوصول إلى البنية الأساسية (TLOCs) في OMP:
Edge_A#show sdwan omp tlocs table | i 10.2.2.2
ipv4 10.2.2.2 mpls gre 0.0.0.0 C,Red,R 1 172.16.1.30 0 172.16.1.30 0 :: 0 :: 0 up
10.2.2.2 mpls ipsec 0.0.0.0 C,Red,R 1 172.16.1.30 12346 172.16.1.30 12346 :: 0 :: 0 up
تحقق من جلسات عمل BFD إلى Edge_B على كل من علامتي التحكم في الوصول للوسائط:
Edge_A#show sdwan bfd sessions
SOURCE TLOC REMOTE TLOC DST PUBLIC DST PUBLIC DETECT TX
SYSTEM IP SITE ID STATE COLOR COLOR SOURCE IP IP PORT ENCAP MULTIPLIER INTERVAL(msec UPTIME TRANSITIONS
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.4.4.4 4 up mpls mpls 172.16.1.30 172.16.1.32 0 gre 7 1000 11 11:11:36:55 1
10.4.4.4 4 up mpls mpls 172.16.1.30 172.16.1.32 12366 ipsec 7 1000 11 11:11:36:51 0
تحقق من المسار نحو كلا النفقين. أستخدم الأمر show sdwan policy service path vpn <vpn-number> interface <interface> source-ip <source-ip> dest-ip <dest-ip> بروتوكول <protocol> all.
Edge_A#show sdwan policy service-path vpn 10 interface Loopback 20 source-ip 10.40.40.40 dest-ip 10.50.50.50 protocol 1 all
Number of possible next hops: 2
Next Hop: GRE
Source: 172.16.1.30 Destination: 172.16.1.32 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
Next Hop: IPsec
Source: 172.16.1.30 12346 Destination: 172.16.1.32 12366 Local Color: mpls Remote Color: mpls Remote System IP: 10.4.4.4
معلومات ذات صلة