EIGRP على SVTI و DVTI و IKEv2 FlexVPN مع مثال تكوين الأمر "IP[v6] غير المرقم"
المحتويات
المقدمة
يصف هذا المستند كيفية تكوين بروتوكول توجيه العبارة الداخلي المحسن (EIGRP) في عدد من السيناريوهات التي تتم مواجهتها بشكل شائع على Cisco IOS®. لقبول تجاور EIGRP، يجب أن يحصل Cisco IOS على حزمة EIGRP HELLO من عنوان IP داخل الشبكة الفرعية نفسها. من الممكن تعطيل هذا التحقق باستخدام الأمر ip unnumber.
يعرض الجزء الأول من المقالة فشل EIGRP عندما يستلم حزمة ليست في الشبكة الفرعية نفسها.
يوضح مثال آخر إستخدام الأمر ip unnumber الذي يعجز هذا التحقق، ويسمح EIGRP بتكوين تجاور بين الأقران الذين ينتمون إلى شبكات فرعية مختلفة.
كما تقدم هذه المقالة نشر FlexVPN وتتحدث بواسطة عنوان IP تم إرساله من الخادم. بالنسبة لهذا السيناريو، يتم تعطيل التحقق من الشبكات الفرعية للأمر ip address negotiated وأيضا للأمر ip unnumber. يتم إستخدام الأمر ip غير المرقمة بشكل أساسي لواجهات النوع من نقطة إلى نقطة (P2P)، مما يجعل FlexVPN ملائمة كاملة لأنه يستند إلى بنية P2P.
وأخيرا، يتم تقديم سيناريو IPv6 مع إختلافات لكل من واجهات النفق الظاهرية الثابتة (SVTI) وواجهات النفق الظاهرية الديناميكية (DVTI). هناك تغييرات طفيفة في السلوك عند مقارنة سيناريوهات IPv6 و IPv4.
وبالإضافة إلى ذلك، يتم تقديم التغييرات بين Cisco IOS الإصدارات 15.1 و 15.3 (Cisco BUG CSCtx45062).
يكون الأمر ip unnumber ضروريا دائما ل DVTI. وذلك نظرا لعدم نسخ عناوين IP التي تم تكوينها بشكل ثابت على واجهة قالب ظاهري أبدا إلى واجهة وصول ظاهري. علاوة على ذلك، لا يمكن للواجهة دون عنوان IP الذي تم تكوينه إنشاء أي تجاور ديناميكي لبروتوكول التوجيه. لا يكون الأمر ip غير مرقم ضروريا ل SVTI، ولكن بدون هذه الشبكة الفرعية، يتم إجراء التحقق عند إنشاء تجاور بروتوكول التوجيه الديناميكي. أيضا لا يلزم الأمر IPv6 غير المرقم لسيناريوهات IPv6 بسبب العناوين المحلية الارتباط التي يتم إستخدامها لبناء عمليات تجاور EIGRP.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة أساسية بالمواضيع التالية:
- تكوين VPN على Cisco IOS
- تكوين FlexVPN على Cisco IOS
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى الإصدار 15.3T من Cisco IOS.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
EIGRP على مقطع إيثرنت واحد باستخدام شبكات فرعية مختلفة
المخطط: الموجه 1 (R1) (E0/0: 10.0.0.1/24)-------(e0/1: 10.0.1.2/24) الموجه 2 (R2)
R1:
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
router eigrp 100
network 10.0.0.1 0.0.0.0
R2:
interface Ethernet0/0
ip address 10.0.1.2 255.255.255.0
router eigrp 100
network 10.0.1.2 0.0.0.0
تظهر R1:
*Mar 3 16:39:34.873: EIGRP: Received HELLO on Ethernet0/0 nbr 10.0.1.2
*Mar 3 16:39:34.873: AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:39:34.873: EIGRP-IPv4(100): Neighbor 10.0.1.2 not on common subnet
for Ethernet0/0
لا يشكل Cisco IOS التجاور، والذي هو متوقع. لمزيد من المعلومات حول هذا الأمر، ارجع إلى ما المقصود برسائل EIGRP "ليس على الشبكة الفرعية المشتركة"؟ المقالة.
EIGRP على مقطع SVTI مع شبكات فرعية مختلفة
يحدث نفس الحالة عندما تستخدم نفق واجهات النفق الظاهرية (VTI) (نفق تضمين التوجيه العام (GRE)).
الطبولوجيا: R1(tun1: 172.16.0.1/24)-------(Tun1: 172.17.0.2/24) R2
R1:
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
interface Tunnel1
ip address 172.16.0.1 255.255.255.0
tunnel source Ethernet0/0
tunnel destination 10.0.0.2
router eigrp 100
network 172.16.0.1 0.0.0.0
passive-interface default
no passive-interface Tunnel1
R2:
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
interface Tunnel1
ip address 172.17.0.2 255.255.255.0
tunnel source Ethernet0/0
tunnel destination 10.0.0.1
router eigrp 100
network 172.17.0.2 0.0.0.0
passive-interface default
no passive-interface Tunnel1
تظهر R1:
*Mar 3 16:41:52.167: EIGRP: Received HELLO on Tunnel1 nbr 172.17.0.2
*Mar 3 16:41:52.167: AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:41:52.167: EIGRP-IPv4(100): Neighbor 172.17.0.2 not on common subnet
for Tunnel1
وهذا هو السلوك المتوقع.
أستخدم الأمر IP غير المرقم
يوضح هذا المثال كيفية إستخدام الأمر ip unnumber الذي يعجز التحقق من الصحة ويسمح بإنشاء جلسة EIGRP بين النظراء في الشبكات الفرعية المختلفة.
الطبولوجيا مماثلة للمثال السابق، غير أن العنوان من النفق يتم تعريفه الآن من خلال ال ip unnumber أمر أن يشير إلى الاسترجاع:
الطبولوجيا: R1(tun1: 172.16.0.1/24)-------(Tun1: 172.17.0.2/24) R2
R1:
interface Ethernet0/0
ip address 10.0.0.1 255.255.255.0
interface Loopback0
ip address 172.16.0.1 255.255.255.0
interface Tunnel1
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel destination 10.0.0.2
router eigrp 100
network 172.16.0.1 0.0.0.0
passive-interface default
no passive-interface Tunnel1
R2:
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
interface Loopback0
ip address 172.17.0.2 255.255.255.0
interface Tunnel1
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel destination 10.0.0.1
router eigrp 100
network 172.17.0.2 0.0.0.0
passive-interface default
no passive-interface Tunnel1
تظهر R1:
*Mar 3 16:50:39.046: EIGRP: Received HELLO on Tunnel1 nbr 172.17.0.2
*Mar 3 16:50:39.046: AS 100, Flags 0x0:(NULL), Seq 0/0 interfaceQ 0/0
*Mar 3 16:50:39.046: EIGRP: New peer 172.17.0.2
*Mar 3 16:50:39.046: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor 172.17.0.2
(Tunnel1) is up: new adjacency
R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 172.17.0.2 Tu1 12 00:00:07 7 1434 0 13
R1#show ip route eigrp
172.17.0.0/24 is subnetted, 1 subnets
D 172.17.0.0 [90/27008000] via 172.17.0.2, 00:00:05, Tunnel1
R1#show ip int brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 10.0.0.1 YES manual up up
Loopback0 172.16.0.1 YES manual up up
Tunnel1 172.16.0.1 YES TFTP up up
R2 مشابه لهذا.
بعد تغيير الأمر ip unnumber إلى تكوين عنوان IP محدد، لا يتم تكوين تجاور EIGRP.
EIGRP على مقطع SVTI إلى DVTI باستخدام شبكات فرعية مختلفة
يستخدم هذا المثال أيضا الأمر ip unnumber. تنطبق القواعد المذكورة سابقا على DVTI أيضا.
الطبولوجيا: R1(tn1: 172.16.0.1/24)-------(Virtual-template: 172.17.0.2/24) R2
يتم تعديل المثال السابق هنا لاستخدام DVTI بدلا من SVTI. وبالإضافة إلى ذلك، تتم إضافة حماية النفق في هذا المثال.
R1:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto ipsec profile prof
set transform-set TS
!
interface Loopback0
ip address 172.16.0.1 255.255.255.0
!
interface Tunnel1
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 10.0.0.2
tunnel protection ipsec profile prof
!
router eigrp 100
network 172.16.0.1 0.0.0.0
passive-interface default
no passive-interface Tunnel1
R2:
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto isakmp profile profLAN
keyring default
match identity address 10.0.0.1 255.255.255.255
virtual-template 1
!
crypto ipsec transform-set TS esp-des esp-md5-hmac
!
crypto ipsec profile profLAN
set transform-set TS
set isakmp-profile profLAN
interface Loopback0
ip address 172.17.0.2 255.255.255.0
!
interface Ethernet0/0
ip address 10.0.0.2 255.255.255.0
!
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile profLAN
!
!
router eigrp 100
network 172.17.0.2 0.0.0.0
passive-interface default
no passive-interface Virtual-Template1
كل شيء يعمل كما هو متوقع:
R1#show crypto session
Crypto session current status
Interface: Tunnel1
Session status: UP-ACTIVE
Peer: 10.0.0.2 port 500
IKEv1 SA: local 10.0.0.1/500 remote 10.0.0.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
R1#show crypto ipsec sa
interface: Tunnel1
Crypto map tag: Tunnel1-head-0, local addr 10.0.0.1
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 10.0.0.2 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 89, #pkts encrypt: 89, #pkts digest: 89
#pkts decaps: 91, #pkts decrypt: 91, #pkts verify: 91
R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
0 172.17.0.2 Tu1 13 00:06:31 7 1434 0 19
R1#show ip route eigrp
172.17.0.0/24 is subnetted, 1 subnets
D 172.17.0.0 [90/27008000] via 172.17.0.2, 00:06:35, Tunnel1
R2#show crypto session
Crypto session current status
Interface: Virtual-Access1
Profile: profLAN
Session status: UP-ACTIVE
Peer: 10.0.0.1 port 500
IKEv1 SA: local 10.0.0.2/500 remote 10.0.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
R2#show crypto ipsec sa
interface: Virtual-Access1
Crypto map tag: Virtual-Access1-head-0, local addr 10.0.0.2
protected vrf: (none)
local ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
remote ident (addr/mask/prot/port): (0.0.0.0/0.0.0.0/0/0)
current_peer 10.0.0.1 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 107, #pkts encrypt: 107, #pkts digest: 107
#pkts decaps: 105, #pkts decrypt: 105, #pkts verify: 105
R2#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
0 172.16.0.1 Vi1 13 00:07:41 11 200 0 16
R2#show ip route eigrp
172.16.0.0/24 is subnetted, 1 subnets
D 172.16.0.0 [90/1433600] via 172.16.0.1, 00:07:44, Virtual-Access1
بالنسبة للأمثلة السابقة، عند محاولة تكوين 172.16.0.1 و 172.17.0.2 مباشرة تحت واجهات النفق، يفشل EIGRP بنفس الخطأ تماما كما كان من قبل.
EIGRP على IKEv2 Flex VPN مع شبكات فرعية مختلفة
هنا مثال لتكوين لوحة وصل FlexVPN والمحكي. يرسل الخادم عنوان IP عبر وضع تكوين العميل.
الطبولوجيا: R1(e0/0: 172.16.0.1/24)-------(e0/1: 172.16.0.2/24) R2
تكوين الموزع (R1):
aaa new-model
aaa authorization network LOCALIKEv2 local
crypto ikev2 authorization policy AUTHOR-POLICY
pool POOL
!
crypto ikev2 keyring KEYRING
peer R2
address 172.16.0.2
pre-shared-key CISCO
!
crypto ikev2 profile default
match identity remote key-id FLEX
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
aaa authorization group psk list LOCALIKEv2 AUTHOR-POLICY
virtual-template 1
interface Loopback0
ip address 1.1.1.1 255.255.255.0
!
interface Ethernet0/0
ip address 172.16.0.1 255.255.255.0
interface Virtual-Template1 type tunnel
ip unnumbered Loopback0
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel protection ipsec profile default
!
!
router eigrp 1
network 1.1.1.1 0.0.0.0
passive-interface default
no passive-interface Virtual-Template1
!
ip local pool POOL 192.168.0.1 192.168.0.10
التكوين الذي تم التحدث به:
aaa new-model
aaa authorization network FLEX local
crypto ikev2 authorization policy FLEX
route set interface
!
!
!
crypto ikev2 keyring KEYRING
peer R1
address 172.16.0.1
pre-shared-key CISCO
!
!
!
crypto ikev2 profile default
match identity remote address 172.16.0.1 255.255.255.255
identity local key-id FLEX
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
aaa authorization group psk list FLEX FLEX
interface Loopback0
ip address 2.2.2.2 255.255.255.0
!
interface Ethernet0/0
ip address 172.16.0.2 255.255.255.0
interface Tunnel0
ip address negotiated
tunnel source Ethernet0/0
tunnel mode ipsec ipv4
tunnel destination 172.16.0.1
tunnel protection ipsec profile default
router eigrp 1
network 0.0.0.0
passive-interface default
no passive-interface Tunnel0
يستعمل المتكلم SVTI in order to ربطت إلى الصرة أن يستعمل DVTI لكل القفاز. لأن EIGRP ليس مرن مثل فتح أقصر مسار أولا (OSPF) ولا يمكن تكوينه تحت الواجهة (SVTI أو DVTI)، يتم إستخدام الشبكة 0.0.0.0 على Talk لضمان تمكين EIGRP على واجهة Tun0. يتم إستخدام واجهة سلبية لضمان تكوين التجاور فقط على واجهة Tun0.
لهذا النشر، من الضروري أيضا تكوين IP غير مرقم على الصرة. عندما تقوم بتكوين عنوان IP يدويا تحت واجهة القالب الظاهري، لا يتم إستنساخه إلى واجهة الوصول الظاهري. بعد ذلك، لا تحتوي واجهة الوصول الظاهري على عنوان IP معين، ولا يتم تكوين تجاور EIGRP. هذا هو السبب الذي يجعل الأمر ip unnumber مطلوبا دائما لواجهات DVTI لتكوين تجاور EIGRP.
في هذا المثال، يتم بناء تجاور EIGRP بين 1.1.1.1 و 192.168.0.9.
إختبار على لوحة الوصل:
R1#show ip int brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.0.1 YES NVRAM up up
Ethernet0/1 unassigned YES NVRAM administratively down down
Ethernet0/2 unassigned YES NVRAM administratively down down
Ethernet0/3 unassigned YES NVRAM administratively down down
Loopback0 1.1.1.1 YES manual up up
Virtual-Access1 1.1.1.1 YES unset up up
Virtual-Template1 1.1.1.1 YES manual up down
R1#show crypto session
Crypto session current status
Interface: Virtual-Access1
Session status: UP-ACTIVE
Peer: 172.16.0.2 port 500
IKEv2 SA: local 172.16.0.1/500 remote 172.16.0.2/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
R1#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 192.168.0.9 Vi1 10 01:28:49 12 1494 0 13
R1#show ip route eigrp
....
Gateway of last resort is not set
2.0.0.0/24 is subnetted, 1 subnets
D 2.2.2.0 [90/27008000] via 192.168.0.9, 01:28:52, Virtual-Access1
من منظور Talk، يعمل الأمر ip address negotiated بنفس الأمر ip address unnumber، ويتم تعطيل التحقق من الشبكة الفرعية.
إختبار على الخطابة:
R2#show ip int brief
Interface IP-Address OK? Method Status Protocol
Ethernet0/0 172.16.0.2 YES NVRAM up up
Ethernet0/1 unassigned YES NVRAM administratively down down
Ethernet0/2 unassigned YES NVRAM administratively down down
Ethernet0/3 unassigned YES NVRAM administratively down down
Loopback0 2.2.2.2 YES NVRAM up up
Tunnel0 192.168.0.9 YES NVRAM up up
R2#show crypto session
Crypto session current status
Interface: Tunnel0
Session status: UP-ACTIVE
Peer: 172.16.0.1 port 500
IKEv2 SA: local 172.16.0.2/500 remote 172.16.0.1/500 Active
IPSEC FLOW: permit ip 0.0.0.0/0.0.0.0 0.0.0.0/0.0.0.0
Active SAs: 2, origin: crypto map
R2#show ip eigrp neighbors
EIGRP-IPv4 Neighbors for AS(1)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 1.1.1.1 Tu0 14 01:30:18 15 1434 0 14
R2#show ip route eigrp
....
1.0.0.0/24 is subnetted, 1 subnets
D 1.1.1.0 [90/27008000] via 1.1.1.1, 01:30:21
وضع التكوين للتوجيه
أما الإصدار 2 من تبادل مفتاح الإنترنت (IKEv2) فهو خيار آخر. من الممكن إستخدام وضع التكوين لدفع المسارات. في هذا السيناريو، لا تكون هناك حاجة إلى EIGRP والأمر ip غير المرقم.
أنت يستطيع عدلت المثالالسابق in order to شكلت الصرة أن يرسل أن طريق عن طريق تشكيل أسلوب:
crypto ikev2 authorization policy AUTHOR-POLICY
pool POOL
route set access-list SPLIT
ip access-list standard SPLIT
permit 1.1.1.0 0.0.0.255
يرى المتحدث 1.1.1.1 كساكن إستاتيكي، وليس EIGRP:
R2#show ip route
....
1.0.0.0/24 is subnetted, 1 subnets
S 1.1.1.0 is directly connected, Tunnel0
وتعمل نفس العملية في الإتجاه المعاكس. يرسل الصوت طريق إلى الصرة:
crypto ikev2 authorization policy FLEX
route set access-list SPLIT
ip access-list standard SPLIT
permit 2.2.2.0 0.0.0.255
الصرة يرى هو ساكن إستاتيكي (ليس EIGRP):
R1#show ip route
....
2.0.0.0/24 is subnetted, 1 subnets
S 2.2.2.0 is directly connected, Virtual-Access1
لهذا السيناريو، لا تكون هناك حاجة إلى بروتوكول التوجيه الديناميكي والأمر ip غير المرقم.
IPv6 EIGRP على مقطع SVTI باستخدام شبكات فرعية مختلفة
بالنسبة ل IPv6، يكون الوضع مختلفا. وذلك نظرا لاستخدام عناوين IPv6 المحلية الارتباط (FE80::/10) لبناء تجاور EIGRP أو OSPF. تنتمي العناوين المحلية للارتباط الصالحة دائما إلى الشبكة الفرعية نفسها، لذلك لا حاجة لاستخدام الأمر غير المرقم ل IPv6 لذلك.
المخطط هنا هو نفسه للمثال السابق، باستثناء أنه يتم إستبدال جميع عناوين IPv4 بعناوين IPv6.
تكوين R1:
interface Tunnel1
no ip address
ipv6 address FE80:1::1 link-local
ipv6 address 2001:1::1/64
ipv6 enable
ipv6 eigrp 100
tunnel source Ethernet0/0
tunnel mode gre ipv6
tunnel destination 2001::2
interface Loopback0
description Simulate LAN
no ip address
ipv6 address 2001:100::1/64
ipv6 enable
ipv6 eigrp 100
interface Ethernet0/0
no ip address
ipv6 address 2001::1/64
ipv6 enable
ipv6 router eigrp 100
تكوين R2:
interface Tunnel1
no ip address
ipv6 address FE80:2::2 link-local
ipv6 address 2001:2::2/64
ipv6 enable
ipv6 eigrp 100
tunnel source Ethernet0/0
tunnel mode gre ipv6
tunnel destination 2001::1
interface Loopback0
description Simulate LAN
no ip address
ipv6 address 2001:200::1/64
ipv6 enable
ipv6 eigrp 100
interface Ethernet0/0
no ip address
ipv6 address 2001::2/64
ipv6 enable
ipv6 router eigrp 100
توجد عناوين النفق في شبكات فرعية مختلفة (2001:1::1/64 و 2001:2::2/64)، ولكن هذا ليس مهما. يتم إستخدام العناوين المحلية من أجل بناء التجاور. بهذه العناوين، تنجح دائما.
في R1:
R1#show ipv6 int brief
Ethernet0/0 [up/up]
FE80::A8BB:CCFF:FE00:6400
2001::1
Loopback0 [up/up]
FE80::A8BB:CCFF:FE00:6400
2001:100::1
Tunnel1 [up/up]
FE80:1::1
2001:1::1
R1#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 Link-local address: Tu1 12 00:13:58 821 4926 0 17
FE80:2::2
R1#show ipv6 route eigrp
...
D 2001:2::/64 [90/28160000]
via FE80:2::2, Tunnel1
D 2001:200::/64 [90/27008000]
via FE80:2::2, Tunnel1
في R2:
R2#show ipv6 int brief
Ethernet0/0 [up/up]
FE80::A8BB:CCFF:FE00:6500
2001::2
Loopback0 [up/up]
FE80::A8BB:CCFF:FE00:6500
2001:200::1
Tunnel1 [up/up]
FE80:2::2
2001:2::2
R2#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 Link-local address: Tu1 14 00:15:31 21 1470 0 18
FE80:1::1
R2#show ipv6 route eigrp
...
D 2001:1::/64 [90/28160000]
via FE80:1::1, Tunnel1
D 2001:100::/64 [90/27008000]
via FE80:1::1, Tunnel1
يتم تثبيت شبكة IPv6 النظير بواسطة عملية EIGRP. في R1، يتم تثبيت شبكة 2001:2:/64، وتلك الشبكة هي شبكة فرعية مختلفة عن شبكة 2001:1:/64. ويصدق نفس القول على R2. على سبيل المثال، تم تثبيت 2001::1/64، وهي شبكة فرعية لعنوان IP للنظير الخاص بها. لا حاجة إلى الأمر غير المرقم ل IPv6 هنا. وبالإضافة إلى ذلك، لا يلزم أمر عنوان IPv6 على واجهة النفق لإنشاء تجاور EIGRP، نظرا لاستخدام عناوين الارتباط المحلية (والتي يتم إنشاؤها تلقائيا عند تمكين IPv6 باستخدام الأمر IPv6 enable).
IPv6 EIGRP على IKEv2 Flex VPN مع شبكات فرعية مختلفة
تكوين DVTI ل IPv6 مختلف عن IPv4: لم يعد من الممكن تكوين عنوان IP ثابت.
R1(config)#interface Virtual-Template2 type tunnel
R1(config-if)#ipv6 enable
R1(config-if)#ipv6 address ?
autoconfig Obtain address using autoconfiguration
dhcp Obtain a ipv6 address using dhcp
negotiated IPv6 Address negotiated via IKEv2 Modeconfig
R1(config-if)#ipv6 address
هذا متوقع، نظرا لأنه لا يتم نسخ العنوان الثابت أبدا إلى واجهة الوصول الظاهري. وهذا هو السبب في أنه يوصى باستخدام الأمر IPv6 غير المرقم لتكوين الموزع، ويتم التوصية بأمر عنوان IPv6 الذي تم التفاوض عليه لتكوين Talk.
الطبولوجيا هي نفسها كما في المثال السابق، باستثناء أنه يتم إستبدال جميع عناوين IPv4 بعناوين IPv6.
تكوين الموزع (R1):
aaa authorization network LOCALIKEv2 local
crypto ikev2 authorization policy AUTHOR-POLICY
ipv6 pool POOL
crypto ikev2 keyring KEYRING
peer R2
address 2001::2/64
pre-shared-key CISCO
crypto ikev2 profile default
match identity remote key-id FLEX
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
aaa authorization group psk list LOCALIKEv2 AUTHOR-POLICY
virtual-template 1
interface Loopback0
no ip address
ipv6 address 2001:100::1/64
ipv6 enable
ipv6 eigrp 100
interface Ethernet0/0
no ip address
ipv6 address 2001::1/64
ipv6 enable
interface Virtual-Template1 type tunnel
no ip address
ipv6 unnumbered Loopback0
ipv6 enable
ipv6 eigrp 100
tunnel source Ethernet0/0
tunnel mode ipsec ipv6
tunnel protection ipsec profile default
ipv6 local pool POOL 2001:10::/64 64
ipv6 router eigrp 100
eigrp router-id 1.1.1.1
تم التحدث (R2) التكوين:
aaa authorization network FLEX local
crypto ikev2 authorization policy FLEX
route set interface
crypto ikev2 keyring KEYRING
peer R1
address 2001::1/64
pre-shared-key CISCO
crypto ikev2 profile default
match identity remote address 2001::1/64
identity local key-id FLEX
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
aaa authorization group psk list FLEX FLEX
interface Tunnel0
no ip address
ipv6 address negotiated
ipv6 enable
ipv6 eigrp 100
tunnel source Ethernet0/0
tunnel mode ipsec ipv6
tunnel destination 2001::1
tunnel protection ipsec profile default
!
interface Ethernet0/0
no ip address
ipv6 address 2001::2/64
ipv6 enable
ipv6 router eigrp 100
eigrp router-id 2.2.2.2
التحقق:
R2#show ipv6 eigrp neighbors
EIGRP-IPv6 Neighbors for AS(100)
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
0 Link-local address: Tu0 11 00:12:32 17 1440 0 12
FE80::A8BB:CCFF:FE00:6500
R2#show ipv6 route eigrp
....
D 2001:100::/64 [90/27008000]
via FE80::A8BB:CCFF:FE00:6500, Tunnel0
R2#show crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
Interface: Tunnel0
Uptime: 00:13:17
Session status: UP-ACTIVE
Peer: 2001::1 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 2001::1
Desc: (none)
IKEv2 SA: local 2001::2/500
remote 2001::1/500 Active
Capabilities:(none) connid:1 lifetime:23:46:43
IPSEC FLOW: permit ipv6 ::/0 ::/0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 190 drop 0 life (KB/Sec) 4271090/2803
Outbound: #pkts enc'ed 194 drop 0 life (KB/Sec) 4271096/2803
R2#ping 2001:100::1 repeat 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 2001:100::1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/4/5 ms
R2#show crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
Interface: Tunnel0
Uptime: 00:13:27
Session status: UP-ACTIVE
Peer: 2001::1 port 500 fvrf: (none) ivrf: (none)
Phase1_id: 2001::1
Desc: (none)
IKEv2 SA: local 2001::2/500
remote 2001::1/500 Active
Capabilities:(none) connid:1 lifetime:23:46:33
IPSEC FLOW: permit ipv6 ::/0 ::/0
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 292 drop 0 life (KB/Sec) 4271071/2792
Outbound: #pkts enc'ed 296 drop 0 life (KB/Sec) 4271082/2792
بالنسبة ل DVTI، لا يمكن تكوين IPv6 يدويا. يوصى باستخدام الأمر IPv6 غير المرقم للمحور، كما يوصى باستخدام الأمر ipV6 address الذي تم التفاوض عليه.
يعرض هذا السيناريو الأمر غير المرقم ل IPv6 ل DVTI. من المهم ملاحظة أنه بالنسبة للإصدار السادس من بروتوكول الإنترنت (IPv6) مقارنة بالإصدار الرابع من بروتوكول الإنترنت (IPv4)، لا توجد حاجة إلى الأمر غير المرقم الخاص بالإصدار السادس من بروتوكول الإنترنت (IPv6) على واجهة القالب الظاهري. وسبب ذلك هو نفسه سبب سيناريو IPv6 SVTI: يتم إستخدام عنوان IPv6 المحلي لإنشاء التجاور. ترث واجهة الوصول الظاهري، التي يتم إستنساخها من القالب الظاهري، العنوان المحلي لارتباط IPv6، وهذا كاف لبناء تجاور EIGRP.
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
المحاذير المعروفة
معرف تصحيح الأخطاء من Cisco CSCtx45062 FlexVPN: لا يجب أن يتحقق EIGRP من الشبكات الفرعية الشائعة إذا كانت عناوين IP للنفق هي /32.
لا يتم تحديد هذا الخطأ والإصلاح حسب FlexVPN. دخلت هذا أمر قبل أن أنت تنفذ ال fix (برمجية إطلاق 15.1):
R2(config-if)#do show run int tun1
Building configuration...
Current configuration : 165 bytes
interface Tunnel1
tunnel source Ethernet0/0
tunnel destination 192.168.0.1
tunnel protection ipsec profile prof1
R2(config-if)#ip address 192.168.200.1 255.255.255.255
Bad mask /32 for address 192.168.200.1
دخلت هذا أمر بعد الإصلاح (برمجية 15.3):
R2(config-if)#do show run int tun1
Building configuration...
Current configuration : 165 bytes
interface Tunnel1
tunnel source Ethernet0/0
tunnel destination 192.168.0.1
tunnel protection ipsec profile prof1
R2(config-if)#ip address 192.168.200.1 255.255.255.255
R2(config-if)#
*Jun 14 18:01:12.395: %DUAL-5-NBRCHANGE: EIGRP-IPv4 100: Neighbor
192.168.100.1 (Tunnel1) is up: new adjacency
يوجد في الواقع تغييران في البرنامج الإصدار 15.3:
- تم قبول NetMask /32 لجميع عناوين IP.
- لا يوجد تحقق من الشبكة الفرعية لمجاورة EIGRP عند إستخدام عنوان /32.
ملخص
يتم تغيير سلوك EIGRP بواسطة الأمر ip unnumber. هو يقوم بتعطيل التحققات لنفس الشبكة الفرعية أثناء إنشاء تجاور EIGRP.
ومن المهم أيضا تذكر أنه عند إستخدام عنوان IP الذي تم تكوينه بشكل ثابت على القالب الظاهري، فإنه لا يتم إستنساخه للوصول الظاهري. هذا هو السبب في الحاجة إلى الأمر ip unnumber.
بالنسبة لشبكة FlexVPN، لا حاجة لاستخدام الأمر ip unnumber عند إستخدام عنوان التفاوض على العميل. لكن، من المهم إستخدامه على لوحة الوصل عندما تستخدم EIGRP. عندما تستخدم وضع التكوين للتوجيه، لا يلزم EIGRP.
بالنسبة ل SVTI، يستخدم IPv6 العناوين المحلية للارتباط للتجاور، ولا توجد حاجة لاستخدام الأمر غير المرقم ل IPv6.
بالنسبة ل DVTI، لا يمكن تكوين IPv6 يدويا. يوصى باستخدام الأمر IPv6 غير المرقم للمحور، كما يوصى باستخدام الأمر ipV6 address الذي تم التفاوض عليه.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
18-Sep-2013 |
الإصدار الأولي |
التعليقات