أستكشاف أخطاء LISP VXLAN النسيجية وإصلاحها على محولات Catalyst 9000 Series Switches
المحتويات
المقدمة
يصف هذا وثيقة المكونات الأساسية من LISP baser بناء وكيفية التحقق من تشغيله.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
-
Catalyst 9300
-
Catalyst 9400
-
Catalyst 9500
- Cisco IOS XE 17.9.3 أو إصدار أحدث
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
البنية المستندة إلى LISP VXLAN
الغرض من نشر شبكة VXLAN LISP هو أن يكون قادرا على إنشاء بنية حيث يتم تحديد شبكات تغشية متعددة، تعرف أيضا بشبكات ظاهرية، أعلى شبكة فرعية.
- وستعمل الشبكة الأساسية في هذه الطوبولوجيا بصفة أساسية كطبقة نقل، ولن تكون على علم بالتطوبولوجيا المغطاة التي يجري تدويرها عليها.
- يمكن إضافة الشبكات المتداخلة وإزالتها دون التأثير على الشبكة الفرعية.
- يفرق إستخدام شبكات التغشية بشكل فعال بين المستخدمين والشبكة الأساسية.
التقنيات المستخدمة لإنشاء بنية LISP VXLAN
بروتوكول فصل هوية محدد الموقع (LISP)
- بروتوكول LISP هو بروتوكول مستوى التحكم المستخدم داخل البنية. يتم تشغيله على جميع أجهزة البنية لإنشاء البنية والتحكم في كيفية إرسال حركة مرور البيانات عبر البنية.
- يخلق LISP إثنان عنوان فراغ. واحد ل التوجيه محدد موقع (RLOCs) أي يكون استعملت أن يعلن reachability. مساحة العنوان الأخرى هي لمعرفات نقطة النهاية (EID)، حيث توجد نقاط النهاية ويتم إستخدامها للتغشية.
- في LISP، يتم الإعلان عن أيام العيد مع RLOC المعلن عنه. وفي حالة قيام العيد بنقل كل ما يلزم القيام به، يتم تحديث محدد التوجيه المرتبط به.
- للوصول إلى نقطة نهاية مع حركة مرور LISP نحو EID يجب تغليف وإنشاء قنوات على مسار وحدة التحكم في الوصول عن بعد (RLOC) التي تزيل كبسلاتها وتعيد توجيهها إلى نقطة النهاية.
السياسات المستندة إلى مجموعة
- للتمكن من السماح بالتقسيم داخل نهج مستندة إلى مجموعة بناء.
- عندما يتم نشر السياسات المستندة إلى المجموعة يتم تصنيف حركة المرور مع المجموعة الآمنة بدلا من ذلك بناء على IP المصدر/الوجهة.
- وهذا يقلل من تعقيد قوائم التحكم بالوصول المعقدة. بدلا من قوائم عناوين IP التي يلزم الحفاظ على عناوين IP/الشبكات الفرعية يتم تعيينها إلى علامة مجموعة آمنة.
- على المدخل داخل القماش يتم تمييزه مع رقيب عندما تخرج حركة المرور عبر القماش غاية الإطار تبحث عن رقيب لها .
- ومع إستخدام مصفوفة، تتم مطابقة رقيب المصدر والوجهة وتطبيق قائمة تحكم بالوصول (ACL) خاصة بالمجموعة الآمنة لتعزيز حركة المرور بمجرد خروجها من الهيكل.
تضمين VXLAN
- داخل النسيج استعملت VXLAN أن يغلف كل حركة مرور
- الفائدة أن يستعمل VXLAN عبر القديم LISP عملية كبسلة أن هو يسمح أن يغلف الكامل طبقة 2 إطار، وليس فقط الطبقة 3 إطار. بينما يتم تغليف الإطار بأكمله، يسمح التغشيات بأن تكون كل من الطبقة 2 والطبقة 3.
- تستخدم VXLAN UDP مع منفذ الوجهة 4789. وهذا يسمح بنقل إطارات VXLAN أيضا من خلال جهاز لن يكون على دراية بمخطط التغشية.
- بما أن VXLAN يقوم بتضمين الإطار بأكمله، فمن المهم زيادة MTU لذلك لن تكون هناك حاجة إلى تجزئة حيث أن حركة مرور البيانات يتم إرسالها بين وحدات التحكم في الوصول للوسائط (RLOCs). ستحتاج أي أجهزة وسيطة إلى دعم وحدة الحد الأقصى للنقل (MTU) أكبر لنقل الإطارات المدمجة.
المصادقة
- لكي تتمكن من تعيين نقاط نهاية لمصادقة الموارد الخاصة بها، يمكن إستخدام.
- باستخدام بروتوكولات مثل 802.1x، يمكن مصادقة نقاط نهاية MAB و/أو WebAuth مقابل خادم RADIUS ومنحها إمكانية الوصول إلى الشبكة استنادا إلى ملفات تعريف التخويل الخاصة بها.
- مع سمات RADIUS الخاصة بهم يمكن تخصيص نقاط النهاية إلى شبكة VLAN الخاصة بهم ورقيب وأي سمات أخرى لتوفير نقطة نهاية/وصول شبكة المستخدم.
المكونات الأساسية في بنية LISP VXLAN
عقدة مستوى التحكم
- يشتمل على خادم خريطة LISP ووظائف "محلل الخريطة".
- تقوم جميع أجهزة البنية الأخرى بالاستعلام عن عقدة مستوى التحكم عن موقع EID وإرسال تسجيلات EID إلى عقد مستوى التحكم.
- وهذا يعطي عقد مستوى التحكم نظرة شاملة على البنية فيما يتعلق بما هو موجود خلف واجهة سطر الأوامر في مختلف أيام العيد.
العقد الحدودية
- يوفر إمكانية اتصال خارج نطاق البنية إما بقنوات ليفية أخرى أو للعالم الخارجي.
- تقوم الحدود الداخلية باستيراد المسارات إلى البنية وتسجيلها باستخدام عقد مستوى التحكم.
- تتصل الحدود الخارجية بالعالم الخارجي وتوفر مسار افتراضي خارج البنية لوجهات IP غير المعروفة.
عقد الحافة
- توفر هذه العقد إمكانية الاتصال بنقاط النهاية داخل البنية.
- في تعريف LISP هذا يكون XTRs بما أن هم سينجز على حد سواء وظيفة مدخل نفق مسحاج تخديد (ITR) وموجه مخرج نفق (ETR).
لا تقتصر العقد على تنفيذ مهمة واحدة فقط.
- يمكنها القيام بالجمع أو حتى جميع الوظائف داخل الهيكل.
- عند وجود عقدة حد وعقدة مستوى التحكم على جهاز واحد فإنها تشير إلى أنه مجمع.
- إذا كانت هذه العقدة توفر أيضا وظيفة Edge التي يشار إليها باسم "بنية" في "مربع" (FIAB).
توفر الحدود مسارات عمل لباقي الشبكة باستخدام VRF Lite.
- يقترن كل تغشية أو شبكة ظاهرية بمثيل VRF على العقدة الحدودية.
- ولربط تلك الإطارات المختلفة مع بعضها البعض، يتم إستخدام موجه دمج. ولا يعد موجه الدمج هذا جزءا من البنية نفسها، ولكنه يعد أمرا بالغ الأهمية للعملية ليكون قادرا على توصيل شبكات التغشية بالنسيج.
هناك مفهوم آخر مهم داخل بنية LISP VXLAN وهو مفهوم إستخدام IP AnyCast.
- هذا يعني أنه على جميع الأجهزة الطرفية، يتم نسخ عنوان IP وعناوين MAC الخاصة به للواجهات الظاهرية المحولة (SVI).
- لكل حافة نفس التكوين على SVI فيما يتعلق بعناوين IPv4 و IPv6 و MAC.
- إن أستكشاف هذه المعضلة وإصلاحها يفرض بعض التحديات.
- لاختبار إمكانية الوصول باستخدام عمليات إختبار الاتصال باستخدام الأجهزة المحلية المتصلة.
- للوصول إلى الوجهات البعيدة من خلال بنية LISP VXLAN لا ترجع إستجابة نظرا لأن الجهاز الذي يرسل إستجابة يرسل هذه الاستجابة أيضا إلى عنوان IP ل AnyCast الذي يتم تلبيته إلى جهاز البنية المحلي الذي لا يعرف أي عقدة بنية أخرى قد أرسلت إختبار الاتصال الأصلي.
تسجيل نقطة النهاية
لعمل بنية LISP VXLAN، من المهم أن يكون لعقدة مستوى التحكم إدراك لكيفية الوصول إلى جميع نقاط النهاية من خلال البنية.
- بالنسبة لمستوى التحكم لمعرفة جميع العطلات في الشبكة، يعتمد على جميع أجهزة البنية الأخرى لتسجيل جميع العطلات التي يعرفها في مستوى التحكم.
- ترسل عقدة بنية رسائل LISP لسجل خريطة الجهاز إلى عقدة مستوى التحكم. من المعلومات المعلن عنها مع رسالة سجل الخريطة.
معلومات مهمة
معرف مثيل LISP:
- ويتم حمل هذا المعرف عبر البنية ويشير إلى الشبكة الظاهرية التي سيتم إستخدامها.
- ضمن بنية LISP VXLAN لكل طبقة 3 تغشية يتم إستخدام تواجد واحد لكل شبكة VLAN مستخدمة في البنية هناك أيضا مثيل الطبقة 2.
نقطة النهاية المحددة (EID):
- إذا كان هذا مثيل من الطبقة 2 أو الطبقة 3، فهذا هو عنوان MAC أو مسار مضيف IP (/32 أو /128) أو شبكة IP الفرعية المسجلة
محدد موقع التوجيه (RLOC):
- وهذا هو عنوان IP لعقدة البنية الخاصة والتي تعلن من خلالها عن إمكانية الوصول حيث تقوم أجهزة البنية الأخرى بإرسال حركة مرور مغلفة قد تحتاج إلى الوصول إلى العيد.
علامة الوكيل:
- عند تعيين هذه العلامة، فإنها تسمح لعقدة مستوى التحكم بالاستجابة لطلبات الخريطة من عقد البنية الأخرى مباشرة، دون علامة الوكيل تعيين كافة الطلبات لإعادة توجيهها إلى عقدة البنية التي أعادت تنظيم EID.
خطوات التسجيل
الخطوة 1: تعرف أجهزة البنية على معرفات نقطة النهاية. ويمكن أن يتم ذلك من خلال التكوين أو بروتوكولات التوجيه أو عند تعلمه على أجهزة البنية.
الخطوة 2: تقوم أجهزة البنية بتسجيل نقاط النهاية التي تم التعرف عليها مع كل عقد معروفة ويمكن الوصول إليها من مستوى التحكم داخل البنية.
الخطوة 3: تحتفظ عقد مستوى التحكم بجدول من العوائد المسجلة مع معرف المثيل ذي الصلة و RLOC والعيد الذي تم تعلمه
التحقق من الصحة
تعلم عنوان MAC 1.1
بالنسبة لمثيلات الطبقة 2، فإن العيد الذي يتم إستخدامه هو عناوين MAC التي يتم التعرف عليها داخل شبكة VLAN المقترنة. تتعلم حواف البنية عناوين الطبقة 2 من خلال الطرق القياسية على المحولات.
حدد موقع شبكة VLAN المرتبطة بمعرف مثيل طبقة 2 معين يمكن مراجعة التكوين أو الأمر
أستخدم الإيثرنت <instance>show lisp instance-id"
FE2068#show lisp instance-id 8191 ethernet
Instance ID: 8191
Router-lisp ID: 0
Locator table: default
EID table: Vlan 150
Ingress Tunnel Router (ITR): enabled
Egress Tunnel Router (ETR): enabled
..
Site Registration Limit: 0
Map-Request source: derived from EID destination
ITR Map-Resolver(s): 172.30.250.19
ETR Map-Server(s): 172.30.250.19
كما يرى في الإنتاج، ال instance-id 8191 اقترنت مع VLAN 150. وهذا ينتج عن جميع عناوين MAC داخل شبكة VLAN التي سيتم تسجيلها مع LISP وتصبح جزءا من بنية LISP VXLAN.
FE2068#show mac address-table vlan 150
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
150 0000.0c9f.f18e STATIC Vl150
150 0050.5693.8930 DYNAMIC Gi1/0/1
150 2416.9db4.33fd STATIC Vl150
150 0019.3052.6d7f CP_LEARN L2LI0
Total Mac Addresses for this criterion: 3
Total Mac Addresses installed by LISP: REMOTE: 1
الإدخالات الثابتة مع قارن VL150 هي عناوين MAC من المفتاح قارن ظاهري (قارن VLAN 150).
- عناوين MAC هذه غير مسجلة مع عقدة مستوى التحكم حيث أنها ستكون نفسها على جميع الأجهزة الطرفية.
- إن مدخل cp_learn المعروض هو إدخالات تم التعرف عليها من خلال النسيج. لجميع الإدخالات الأخرى إذا كانت ديناميكية أو ثابتة، يجب تسجيلها باستخدام عقدة مستوى التحكم.
ما إن تم التعرف عليها من خلال وسيلتها الخاصة بها تظهر في مخرج قاعدة بيانات LISP، يحتوي هذا إنتاج كل مدخل محلي على هذا بناء أداة.
FE2068#show lisp instance-id 8191 ethernet database
LISP ETR MAC Mapping Database for LISP 0 EID-table Vlan 150 (IID 8191), LSBs: 0x1
Entries total 3, no-route 0, inactive 0, do-not-register 2
0000.0c9f.f18e/48, dynamic-eid Auto-L2-group-8191, do not register, inherited from default locator-set rloc_hosts
Uptime: 14:56:40, Last-change: 14:56:40
Domain-ID: local
Service-Insertion: N/A
Locator Pri/Wgt Source State
172.30.250.44 10/10 cfg-intf site-self, reachable
0050.5693.8930/48, dynamic-eid Auto-L2-group-8191, inherited from default locator-set rloc_hosts
Uptime: 14:03:06, Last-change: 14:03:06
Domain-ID: local
Service-Insertion: N/A
Locator Pri/Wgt Source State
172.30.250.44 10/10 cfg-intf site-self, reachable
2416.9db4.33fd/48, dynamic-eid Auto-L2-group-8191, do not register, inherited from default locator-set rloc_hosts
Uptime: 14:56:50, Last-change: 14:56:50
Domain-ID: local
Service-Insertion: N/A
Locator Pri/Wgt Source State
172.30.250.44 10/10 cfg-intf site-self, reachable
لكل عناوين MAC المحلية المعروفة التي يتم عرضها في قاعدة البيانات، يتم عرض محدد الموقع.
- هذا هو محدد الموقع الذي سيتم إستخدامه لتسجيل هذا الإدخال باستخدام عقدة مستوى التحكم.
- كما أشار إلى حالة محدد الموقع.يتم أيضا عرض عنواني MAC اللذين ينتميان إلى Switches SVI ولكن يتم عرضهما مع علامة "عدم التسجيل" التي تمنع تسجيلهما.
- الإدخال البعيد الذي تم مشاهدته في الأمر show mac address ليس عنوان MAC محليا وعلى هذا النحو لا يظهر أسفل قاعدة بيانات LISP.
لمثيل الطبقة 2 ليس فقط أن يتم التعرف على عناوين MAC للطبقة 2 كعيد، هناك أيضا حاجة لتعلم معلومات دقة وضوح العنوان من إطارات ARP و ND.
- هذا بالنسبة لنسيج LISP VXLAN ليكون قادرا على إعادة توجيه هذه الإطارات بما أنها يتم فضت عادة داخل شبكة VLAN.
- لا يملك معرف مثيل الطبقة 2 دائما القدرة على التدفق إلى هناك آلية أخرى من شأنها السماح لنقاط النهاية بحل معلومات تحليل العنوان لنقاط النهاية الأخرى في نفس المثيل. ولهذا الغرض تتعرف أجهزة البنية على هذه المعلومات وتسجيلها، والتي يتم التعرف عليها محليا من خلال تعقب الأجهزة .
- ويتم بعد ذلك تسجيل هذا الأمر مع عقد مستوى التحكم أيضا. نظرا لتطفل ND أو ARP على هذه الحزم يتم ضربها إلى وحدة المعالجة المركزية لتشغيل طلب على عقد مستوى التحكم لمعرفة ما إذا كان هناك أي عنوان MAC معروف مرتبط.
- إن يرجع إستجابة إيجابي يتم إعادة كتابة حزم ARP/ND بحيث يتم تغيير عنوان MAC للوجهة من بث أو بث متعدد إلى عنوان MAC للبث الأحادي.
- ويمكن بعد ذلك إعادة توجيه هذه الحزمة التي تمت إعادة كتابتها من خلال بنية LISP VXLAN كإطار أحادي البث.
أن يرى العنوان دقة معلومة أن يكون معروف على المفتاح الأمر show device-tracking قاعدة معطيات يستطيع كنت استعملت.
- وهذا يظهر كافة التعيينات المعروفة بواسطة تعقب الأجهزة.
- تتم تسمية عناوين IP الخاصة بالمحولات باسم L(محلي) ويجب أن تكون موجودة في قاعدة بيانات تعقب الأجهزة.
يتم عرض الإدخالات البعيدة أيضا في هذا الإخراج.
- كما يتم حلها بعد تثبيتها في طلب ND أو ARP، فإنها توضع في قاعدة بيانات تتبع الأجهزة مع عنوان طبقة الارتباط 000.000.00fd.
- اللحظة التي تم حلها فيها، غيرت المعلومة باتجاه عنوان MAC الذي تم تحليله وتغيرت الميناء إلى Tu0.
عرض قاعدة بيانات تعقب الجهاز
FE2068#show device-tracking database vlanid 150
vlanDB has 6 entries for vlan 150, 3 dynamic
Codes: L - Local, S - Static, ND - Neighbor Discovery, ARP - Address Resolution Protocol, DH4 - IPv4 DHCP, DH6 - IPv6 DHCP, PKT - Other Packet, API - API created
Preflevel flags (prlvl):
0001:MAC and LLA match 0002:Orig trunk 0004:Orig access
0008:Orig trusted trunk 0010:Orig trusted access 0020:DHCP assigned
0040:Cga authenticated 0080:Cert authenticated 0100:Statically assigned
Network Layer Address Link Layer Address Interface vlan prlvl age state Time left
ARP 172.24.1.3 0050.5693.8930 Gi1/0/1 150 0005 31s REACHABLE 213 s try 0
RMT 172.24.1.4 0050.5693.3120 Tu0 150 0005 51s REACHABLE
API 172.24.1.99 0000.0000.00fd Gi1/0/1 150 0000 5s UNKNOWN try 0 (25 s)
ND FE80::1AE4:8804:5B8F:50F6 0050.5693.8930 Gi1/0/1 150 0005 127s REACHABLE 115 s try 0
ND 2001:DB8::E70B:E8E1:E368:BDB7 0050.5693.8930 Gi1/0/1 150 0005 137s REACHABLE 110 s try 0
L 172.24.1.254 0000.0c9f.f18e Vl150 150 0100 1078mn REACHABLE
L 2001:DB8::1 0000.0c9f.f18e Vl150 150 0100 1077mn REACHABLE
L FE80::200:CFF:FE9F:F18E 0000.0c9f.f18e Vl150 150 0100 1077mn REACHABLE
عرض التعيينات المسجلة محليا باستخدام الأمر 'show lisp instance-id <instance> قاعدة بيانات إيثرنت Address-Resolution'
FE2068#show lisp instance-id 8191 ethernet database address-resolution
LISP ETR Address Resolution for LISP 0 EID-table Vlan 150 (IID 8191)
(*) -> entry being deleted
Hardware Address L3 InstID Host Address
0000.0c9f.f18e 4099 FE80::200:CFF:FE9F:F18E/128
4099 2001:DB8::1/128
0050.5693.8930 4099 172.24.1.3/32
4099 2001:DB8::E70B:E8E1:E368:BDB7/128
4099 FE80::1AE4:8804:5B8F:50F6/128
التعلم من عناوين IP الديناميكية 1.2
على أجهزة البنية الموجودة على طبقة IP، يتم تكوين شبكة ظاهرية من خلال اقتران معرف مثيل LISP بمعرف VRF.
- ثم يتم تكوين هذا التردد اللاسلكي (VRF) تحت الواجهات الظاهرية للمحول (SVI) المختلفة وتصبح جزءا من شبكة تغشية الطبقة 3
- في معظم الحالات، تنتمي هذه SVI أيضا إلى شبكات VLAN التي يتم تسجيلها مع مثيلات الطبقة 2 الخاصة بها.
العثور على التعيين بين معرف مثيل VRF و LISP باستخدام الأمر show lisp instance-id <instance>ipV4
FE2068#sh lisp instance-id 4099 ipv4
Instance ID: 4099
Router-lisp ID: 0
Locator table: default
EID table: vrf Fabric_VN_1
Ingress Tunnel Router (ITR): enabled
Egress Tunnel Router (ETR): enabled
..
ITR Map-Resolver(s): 172.30.250.19
ETR Map-Server(s): 172.30.250.19
ملاحظة: يمكن إستخدام هذا الأمر أيضا للتحقق من الوظائف المختلفة التي يمكن تمكينها لهذا المثيل بالإضافة إلى أنه يعرض عقد مستوى التحكم المستخدمة داخل بنية LISP VXLAN
ما إن خلقت طبقة 3 مثيل يكون وربطت إلى VRF LISP 0 <instance-id> قارن خلقت ويكون مرئي في التشكيل جار وتحت عرض vrf.
- لا يلزم إنشاء هذه الواجهة يدويا ولا تحتاج عادة إلى تكوين (بخلاف تكوين البث المتعدد عند إستخدام البث المتعدد الأساسي).
FE2068#show vrf Fabric_VN_1
Name Default RD Protocols Interfaces
Fabric_VN_1ipv4,ipv6 LI0.4099
Vl150
Vl151
بخلاف إطارات الإيثرنت حيث يتم إستخدام جميع عناوين MAC في شبكة VLAN ل IP، هناك حاجة إلى أن تكون عناوين IP داخل نطاق EID ديناميكي كي كي يتم التعرف عليه.
عرض مثيل LISP
FE2068#sh lisp instance-id 4099 dynamic-eid
LISP Dynamic EID Information for router 0, IID 4099, EID-table VRF "Fabric_VN_1"
Dynamic-EID name: Fabric_VN_Subnet_1_IPv4
Database-mapping EID-prefix: 172.24.1.0/24, locator-set rloc_hosts
Registering more-specific dynamic-EIDs
Map-Server(s): none configured, use global Map-Server
Site-based multicast Map-Notify group: none configured
Number of roaming dynamic-EIDs discovered: 2
Last dynamic-EID discovered: 172.24.1.3, 21:17:45 ago
Dynamic-EID name: Fabric_VN_Subnet_1_IPv6
Database-mapping EID-prefix: 2001:DB8::/64, locator-set rloc_hosts
Registering more-specific dynamic-EIDs
Map-Server(s): none configured, use global Map-Server
Site-based multicast Map-Notify group: none configured
Number of roaming dynamic-EIDs discovered: 2
Last dynamic-EID discovered: 2001:DB8::E70B:E8E1:E368:BDB7, 21:17:44 ago
Dynamic-EID name: Fabric_VN_Subnet_2_IPv4
Database-mapping EID-prefix: 172.24.2.0/24, locator-set rloc_hosts
Registering more-specific dynamic-EIDs
Map-Server(s): none configured, use global Map-Server
Site-based multicast Map-Notify group: none configured
Number of roaming dynamic-EIDs discovered: 2
Last dynamic-EID discovered: 172.24.2.2, 21:55:56 ago
يتم إعتبار عنوان IP الموجود خارج هذه النطاقات المحددة غير مؤهل للبنية ولا يتم وضعه في قواعد بيانات LISP ولا يتم تسجيله مع عقد مستوى التحكم.
FE2068#show lisp instance-id 4099 ipv4 database
LISP ETR IPv4 Mapping Database for LISP 0 EID-table vrf Fabric_VN_1 (IID 4099), LSBs: 0x1
Entries total 4, no-route 0, inactive 0, do-not-register 2
172.24.1.3/32, dynamic-eid Fabric_VN_Subnet_1_IPv4, inherited from default locator-set rloc_hosts
Uptime: 21:28:51, Last-change: 21:28:51
Domain-ID: local
Service-Insertion: N/A
Locator Pri/Wgt Source State
172.30.250.44 10/10 cfg-intf site-self, reachable
172.24.1.254/32, dynamic-eid Fabric_VN_Subnet_1_IPv4, do not register, inherited from default locator-set rloc_hosts
Uptime: 22:22:35, Last-change: 22:22:35
Domain-ID: local
Service-Insertion: N/A
Locator Pri/Wgt Source State
172.30.250.44 10/10 cfg-intf site-self, reachable
172.24.2.2/32, dynamic-eid Fabric_VN_Subnet_2_IPv4, inherited from default locator-set rloc_hosts
Uptime: 22:07:03, Last-change: 22:07:03
Domain-ID: local
Service-Insertion: N/A
Locator Pri/Wgt Source State
172.30.250.44 10/10 cfg-intf site-self, reachable
172.24.2.254/32, dynamic-eid Fabric_VN_Subnet_2_IPv4, do not register, inherited from default locator-set rloc_hosts
Uptime: 22:22:35, Last-change: 22:22:35
Domain-ID: local
Service-Insertion: N/A
Locator Pri/Wgt Source State
172.30.250.44 10/10 cfg-intf site-self, reachable
يعرض الإخراج جميع معلومات عنوان IP المعروفة محليا.
- بالنسبة للمضيفين تكون هذه بشكل نموذجي مسارات المضيف (/32 أو /128)، ولكن يمكن أيضا أن تكون شبكات فرعية إذا كان سيتم إستيراد هذه الشبكات إلى قاعدة بيانات LISP المضمنة على العقدة الحدودية.
- يتم وضع علامة على عناوين IP من SVI نفسه على أنها "لا تسجل" . وهذا لتجنب جميع أجهزة البنية لتسجيل عنوان IP AnyCast باستخدام عقدة مستوى التحكم.
CP_BN_2071#sh lisp instance-id 4099 ipv4 database
LISP ETR IPv4 Mapping Database for LISP 0 EID-table vrf Fabric_VN_1 (IID 4099), LSBs: 0x1
Entries total 2, no-route 0, inactive 0, do-not-register 0
0.0.0.0/0, locator-set rloc_border, auto-discover-rlocs, default-ETR
Uptime: 2d17h, Last-change: 2d17h
Domain-ID: local
Metric: 0
Service-Insertion: N/A
Locator Pri/Wgt Source State
172.30.250.19 10/10 cfg-intf site-self, reachable
10.48.13.0/24, route-import, inherited from default locator-set rloc_border, auto-discover-rlocs
Uptime: 2d17h, Last-change: 2d16h
Domain-ID: local, tag: 65101
Service-Insertion: N/A
Locator Pri/Wgt Source State
172.30.250.19 10/10 cfg-intf site-self, reachable
1. 3 تسجيل العيد مع مستوى التحكم
يتم تسجيل نقطة النهاية في بنية تستند إلى LISP VXLAN من خلال التسجيل الموثوق ب LISP. هذا يعني أن جميع التسجيلات تتم من خلال جلسة TCP ، جلسة LISP. من كل جهاز بناء يتم إنشاء جلسة LISP مع كل عقد من عقد مستوى التحكم في البنية.من خلال جلسة LISP هذه، تحدث جميع التسجيلات. إذا كانت هناك عقد متعددة لمستوى التحكم داخل بنية، فيجب إستخدامها جميعا لتسجيل العوائد التي تصل إليها.
تكون الحالة معطلة عندما لا يكون هناك أي شيء للتسجيل على جهاز البنية، والذي يحدث عادة على الحدود الخارجية فقط
التي لا تسجل أي نطاقات IP مع عقدة مستوى التحكم أو على الأجهزة الطرفية دون أي نقطة نهاية
يتم تسجيل العيد من خلال رسائل تسجيل LISP
التي يتم إرسالها إلى جميع عقد مستوى التحكم التي تم تكوينها.
أن يرى ال LISP جلسة على بناء أداة الأمر show lisp جلسة يستطيع كنت استعملت.
إنها تظهر حالة جلسة العمل والوقت الذي كانت فيه.
FE2068#show lisp session
Sessions for VRF default, total: 1, established: 1
Peer State Up/Down In/Out Users
172.30.250.19:4342 Up 22:06:07 9791/6531 10
يمكن أن تحدث جلسة عمل LISP الموضحة كأسفل على الأجهزة التي ليس لها أي EID للتسجيل مع عقدة مستوى التحكم.
وعادة ما تكون هذه عقد حدود لا تقوم باستيراد المسارات إلى أجهزة البنية أو الأجهزة الطرفية دون أي نقاط نهاية متصلة.
عرض معلومات أكثر تفصيلا حول جلسة LISP باستخدام الأمر show lisp session vrf الافتراضي <ip address>
FE2068#show lisp vrf default session 172.30.250.19
Peer address: 172.30.250.19:4342
Local address: 172.30.250.44:13255
Session Type: Active
Session State: Up (22:07:24)
Messages in/out: 9800/6537
Bytes in/out: 616771/757326
Fatal errors: 0
Rcvd unsupported: 0
Rcvd invalid VRF: 0
Rcvd override: 0
Rcvd malformed: 0
Sent deferred: 1
SSO redundancy: N/A
Auth Type: None
Accepting Users: 0
Users: 10
Type ID In/Out State
Policy subscription lisp 0 IID 4099 AFI IPv4 2/1 Established
Pubsub subscriber lisp 0 IID 4099 AFI IPv6 1/0 Idle
Pubsub subscriber lisp 0 IID 8191 AFI MAC 2/0 Idle
Pubsub subscriber lisp 0 IID 8192 AFI MAC 0/0 Idle
ETR Reliable Registration lisp 0 IID 4099 AFI IPv4 6/5 TCP
ETR Reliable Registration lisp 0 IID 4099 AFI IPv6 1/3 TCP
ETR Reliable Registration lisp 0 IID 8191 AFI MAC 9769/6517 TCP
ETR Reliable Registration lisp 0 IID 8192 AFI MAC 2/6 TCP
ETR Reliable Registration lisp 0 IID 16777214 AFI IPv4 4/4 TCP
Capability Exchange N/A 1/1 waiting
يوضح هذا الإخراج التفصيلي لجلسة العمل المثيلات النشطة مع EID المسجلة مع عقد مستوى التحكم.
CP_BN_2071#show lisp session
Sessions for VRF default, total: 7, established: 4
Peer State Up/Down In/Out Users
172.30.250.19:4342 Up 22:10:52 1198618/1198592 4
172.30.250.19:49270 Up 22:10:52 1198592/1198618 3
172.30.250.30:25780 Up 22:10:38 6534/9805 6
172.30.250.44:13255 Up 22:10:44 6550/9820 7
عندما ينظر المرء إلى عدد جلسات العمل على عقدة مستوى التحكم فإنه يعرض عادة المزيد من جلسات العمل التي تكون قيد التشغيل.
- إذا كانت هذه عقدة حد/cp مرتبطة، فسيتم أيضا إنشاء جلسة LISP نحو نفسها.
- في هذه الحالة هناك جلسة من 172.30.250.19:4342 إلى 172.30.250.19:49270.
- من خلال هذه الجلسة، يقوم مكون الحد بتسجيل عيده باستخدام عقدة مستوى التحكم.
1.4 معلومات مستوى التحكم
باستخدام المعلومات التي يتم توفيرها بواسطة "أجهزة البنية" من خلال التسجيل، يمكن لعقدة مستوى التحكم إنشاء عرض كامل للنسيج. لكل معرف مثيل، يحتفظ هذا المعرف بجدول يضم عناوين IDs التي تم التعرف عليها ومحدد موقع التوجيه المرتبط بها.
عرض هذا لمثيلات الطبقة 3 الأمر show lisp موقع
CP_BN_2071#show lisp site
LISP Site Registration Information
* = Some locators are down or unreachable
# = Some registrations are sourced by reliable transport
Site Name Last Up Who Last Inst EID Prefix
Register Registered ID
site_uci never no -- 4097 0.0.0.0/0
never no -- 4097 172.23.255.0/24
never no -- 4097 172.24.255.0/24
never no -- 4099 0.0.0.0/0
00:00:00 yes# 172.30.250.19:49270 4099 10.48.13.0/24
never no -- 4099 172.23.1.0/24
never no -- 4099 172.24.1.0/24
21:35:06 yes# 172.30.250.44:13255 4099 172.24.1.3/32
22:11:46 yes# 172.30.250.30:25780 4099 172.24.1.4/32
never no -- 4099 172.24.2.0/24
22:11:52 yes# 172.30.250.44:13255 4099 172.24.2.2/32
هي الأمر بتفرجي كل المعايدين المسجلين وآخر المسجلين بالعيد. من المهم ملاحظة أن هذا سيكون أيضا هو RLOC المستخدم، لكن هذا يمكن أن يختلف. كذلك، يمكن تسجيل الإجازات المتعددة باستخدام قوائم التحكم في الوصول عن بعد (RLOCs) .
لعرض التفاصيل الكاملة، يتضمن الأمر العيد والمثيل
CP_BN_2071#show lisp site 172.24.1.3/32 instance-id 4099
LISP Site Registration Information
Site name: site_uci
Description: map-server
Allowed configured locators: any
Requested EID-prefix:
EID-prefix: 172.24.1.3/32 instance-id 4099
First registered: 21:35:53
Last registered: 21:35:53
Routing table tag: 0
Origin: Dynamic, more specific of 172.24.1.0/24
Merge active: No
Proxy reply: Yes
Skip Publication: No
Force Withdraw: No
TTL: 1d00h
State: complete
Extranet IID: Unspecified
Registration errors:
Authentication failures: 0
Allowed locators mismatch: 0
ETR 172.30.250.44:13255, last registered 21:35:53, proxy-reply, map-notify
TTL 1d00h, no merge, hash-function sha1
state complete, no security-capability
nonce 0x6ED7000E-0xD4C608C5
xTR-ID 0x88F15053-0x40C0253D-0xAE5EA874-0x2551DB71
site-ID unspecified
Domain-ID local
Multihoming-ID unspecified
sourced by reliable transport
Locator Local State Pri/Wgt Scope
172.30.250.44 yes up 10/10 IPv4 none
ملاحظة: في الإخراج التفصيلي، من المهم إدراك ما يلي:
- الوكيل، باستخدام هذه المجموعة تستجيب عقدة مستوى التحكم مباشرة لطلب تعيين. في LISP التقليدي، تتم إعادة توجيه طلب الخريطة إلى XTR الذي قام بتسجيل العيد ولكن باستخدام تعيين الوكيل لمستوى التحكم تقوم عقدة الاستجابة مباشرة
- ttl، هذا هو وقت عيش تسجيل العيد. بشكل افتراضي هذه هي 24 ساعة
- معلومات ETR، هذا يتعلق بجهاز النسيج الذي أرسل تسجيل العيد
- RLOC معلومة هي هي ال RLOC المطلوب إستخدامها للوصول للعيد. يحتوي هذا أيضا على معلومات حالة كما هو في up/down. إذا كان RLOC معطلا، فلا يتم إستخدامه. كما يحتوي على الوزن والأولوية التي يمكن إستخدامها عند وجود العديد من أدوات تسجيل الدخول إلى الشبكة (RLOC) للعيد لإعطاء الأفضلية لواحد منها.
لعرض محفوظات التسجيل على عقدة مستوى التحكم، يمكن إستخدام الأمر show lisp server register history.
- كما أنها تعطي لمحة عامة عن العيد الذي تم تسجيله وإلغاء تسجيله.
عرض محفوظات التسجيل
CP_BN_2071#show lisp server registration-history last 10
Map-Server registration history
Roam = Did host move to a new location?
WLC = Did registration come from a Wireless Controller?
Prefix qualifier: + = Register Event, - = Deregister Event, * = AR register event
Timestamp (UTC) Instance Proto Roam WLC Source
EID prefix / Locator
*Mar 24 20:49:51.490 4099 TCP No No 172.30.250.19
+ 10.48.13.0/24
*Mar 24 20:49:51.491 4099 TCP No No 172.30.250.19
- 10.48.13.0/24
*Mar 24 20:49:51.621 4099 TCP No No 172.30.250.19
+ 10.48.13.0/24
*Mar 24 20:49:51.622 4099 TCP No No 172.30.250.19
- 10.48.13.0/24
*Mar 24 20:49:51.752 4099 TCP No No 172.30.250.19
+ 10.48.13.0/24
*Mar 24 20:49:51.754 4099 TCP No No 172.30.250.19
- 10.48.13.0/24
*Mar 24 20:49:51.884 4099 TCP No No 172.30.250.19
+ 10.48.13.0/24
*Mar 24 20:49:51.886 4099 TCP No No 172.30.250.19
- 10.48.13.0/24
*Mar 24 20:49:52.017 4099 TCP No No 172.30.250.19
+ 10.48.13.0/24
*Mar 24 20:49:52.019 4099 TCP No No 172.30.250.19
- 10.48.13.0/24
عرض ال يسجل EID ل إثرنيت الأمر show lisp instance-id <instance> نادل إثرنيت (هذا يعطي إنتاج مماثل للطبقة 3)
CP_BN_2071#show lisp instance-id 8191 ethernet server
LISP Site Registration Information
* = Some locators are down or unreachable
# = Some registrations are sourced by reliable transport
Site Name Last Up Who Last Inst EID Prefix
Register Registered ID
site_uci never no -- 8191 any-mac
00:00:04 yes# 172.30.250.44:13255 8191 0019.3052.6d7f/48
21:36:41 yes# 172.30.250.44:13255 8191 0050.5693.8930/48
22:13:20 yes# 172.30.250.30:25780 8191 0050.5693.f1b2/48
إلحاق عنوان MAC للحصول على مزيد من المعلومات التفصيلية حول التسجيل
CP_BN_2071#show lisp instance-id 8191 ethernet server 0019.3052.6d7f
LISP Site Registration Information
Site name: site_uci
Description: map-server
Allowed configured locators: any
Requested EID-prefix:
EID-prefix: 0019.3052.6d7f/48 instance-id 8191
First registered: 22:14:38
Last registered: 00:00:03
Routing table tag: 0
Origin: Dynamic, more specific of any-mac
Merge active: No
Proxy reply: Yes
Skip Publication: No
Force Withdraw: No
TTL: 1d00h
State: complete
Extranet IID: Unspecified
Registration errors:
Authentication failures: 0
Allowed locators mismatch: 0
ETR 172.30.250.30:25780, last registered 00:00:03, proxy-reply, map-notify
TTL 1d00h, no merge, hash-function sha1
state complete, no security-capability
nonce 0x0465A327-0xA3A2974C
xTR-ID 0x280403CF-0x598BAAF1-0x3E70CE52-0xE8F09E6E
site-ID unspecified
Domain-ID local
Multihoming-ID unspecified
sourced by reliable transport
Locator Local State Pri/Wgt Scope
172.30.250.30 yes up 10/10 IPv4 none
إلحاق "محفوظات التسجيل" للاطلاع على محفوظات التسجيل ل Ethernet ID
ملاحظة: يفيد هذا أمر جدا عندما تتجول الأجهزة في البنية لترى أين ومتى تم تسجيل عنوان MAC
CP_BN_2071#show lisp instance-id 8191 ethernet server registration-history
Map-Server registration history
Roam = Did host move to a new location?
WLC = Did registration come from a Wireless Controller?
Prefix qualifier: + = Register Event, - = Deregister Event, * = AR register event
Timestamp (UTC) Instance Proto Roam WLC Source
EID prefix / Locator
*Mar 24 20:47:10.291 8191 TCP Yes No 172.30.250.44
+ 0019.3052.6d7f/48
*Mar 24 20:47:10.296 8191 TCP No No 172.30.250.30
- 0019.3052.6d7f/48
*Mar 24 20:47:18.644 8191 TCP Yes No 172.30.250.30
+ 0019.3052.6d7f/48
*Mar 24 20:47:18.647 8191 TCP No No 172.30.250.44
- 0019.3052.6d7f/48
*Mar 24 20:47:20.700 8191 TCP Yes No 172.30.250.44
+ 0019.3052.6d7f/48
*Mar 24 20:47:20.702 8191 TCP No No 172.30.250.30
- 0019.3052.6d7f/48
*Mar 24 20:47:31.914 8191 TCP Yes No 172.30.250.30
+ 0019.3052.6d7f/48
*Mar 24 20:47:31.918 8191 TCP No No 172.30.250.44
- 0019.3052.6d7f/48
*Mar 24 20:47:40.206 8191 TCP Yes No 172.30.250.44
+ 0019.3052.6d7f/48
*Mar 24 20:47:40.210 8191 TCP No No 172.30.250.30
- 0019.3052.6d7f/48
لترى معلومات تحليل العنوان المسجلة على عقدة مستوى التحكم، يتم إلحاق الأمر بدقة تحليل العنوان.
- هذا فقط يبدي التخطيطات بين عنوان MAC ومعلومات الطبقة 3 الخاصة بهم ويتم إستخدامه بشكل أساسي لحواف البنية لإعادة كتابة عناوين MAC وجهة الطبقة 2 من البث/البث المتعدد إلى البث الأحادي.
- ال RLOC أن يماثل أن طبقة 2 {upper}mac address يكون حللت بشكل مستقل .
إلحاق "تحليل العنوان" للاطلاع على معلومات تحليل العنوان المسجلة على عقدة مستوى التحكم
CP_BN_2071#sh lisp instance-id 8191 ethernet server address-resolution
Address-resolution data for router lisp 0 instance-id 8191
L3 InstID Host Address Hardware Address
4099 172.24.1.3/32 0050.5693.8930
4099 172.24.1.4/32 0050.5693.f1b2
4099 2001:DB8::E70B:E8E1:E368:BDB7/128 0050.5693.8930
4099 2001:DB8::F304:BCCD:6BF3:BFAF/128 0050.5693.f1b2
4099 FE80::3EE:5111:BA77:E37D/128 0050.5693.f1b2
4099 FE80::1AE4:8804:5B8F:50F6/128 0050.5693.8930
ملاحظة: على الرغم من أن عناوين IPv6 المحلية الخاصة بالارتباط لا تتطابق مع IPv6 Dynamic EID، إلا أنه سيتم التعرف عليها لدقة العنوان وهل سيظهر ذلك على عقدة مستوى التحكم. لن يتم تسجيل هذه العناصر نفسها تحت معرف مثيل الطبقة 3، ولكنها متوفرة لحل العنوان.
حل الوجهات البعيدة
لحركة المرور التي سيتم إعادة توجيهها من خلال بنية LISP VXLAN، يلزم حل RLOC الخاص بالوجهة. ضمن بنية LISP VXLAN يتم القيام بذلك باستخدام ذاكرة تخزين مؤقت للخريطة يتم من خلالها وضع المعلومات في قاعدة معلومات إعادة التوجيه (FIB) الخاصة بجهاز البنية.
باستخدام بنى LISP VXLAN، يجب تشغيل وحدات التخزين المؤقت لخريطة الشبكة بسبب إشارات البيانات.
- وهذا يعني إعادة توجيه حركة المرور إلى وحدة المعالجة المركزية (CPU) وإنشاء وحدة المعالجة المركزية (CPU) لطلب خريطة نحو عقدة مستوى التحكم للاستعلام عن معلومات RLOC التي قد تحتاج إلى إرسال الإطارات الخاصة بهذا العيد.
- توفر خطة التحكم عندما تتلقى طلب خريطة معلومات محدد موقع التوجيه المرتبطة بهذا العيد أو ستقوم بإرسال رد سلبي على الخريطة.
- عندما ترسل ردا سلبيا على الخريطة، فإن عقدة مستوى التحكم لن تشير فقط إلى أن العيد المطلوب غير معروف، بل ستوفر كتلة العيد الكاملة التي ينتمي إليها هذا العيد والتي لن يكون لديه أي تسجيل له.
يتم تحديث ذاكرة التخزين المؤقت للخريطة باستخدام المعلومات الموجودة داخل رد الخريطة من عقدة مستوى التحكم.
- مدة البقاء (TTL) لردود الخريطة هي عادة 24 ساعة. (بالنسبة لردود الخريطة السالبة تكون عادة 15 دقيقة فقط).
- بالنسبة لعيد الإيثرنت، لا يتم وضع الردود السالبة على الخريطة في ذاكرة التخزين المؤقت للخريطة. (يتم هذا فقط لمثيلات الطبقة 3).
2.1 ذاكرة التخزين المؤقت لمخطط الإيثرنت
عرض ذاكرة التخزين المؤقت لمخطط الإيثرنت باستخدام الأمر show lisp instance-id <instance> map-cache
FE2067#show lisp instance-id 8191 ethernet map-cache
LISP MAC Mapping Cache for LISP 0 EID-table Vlan 150 (IID 8191), 1 entries
0019.3052.6d7f/48, uptime: 00:00:07, expires: 23:59:52, via map-reply, complete
Locator Uptime State Pri/Wgt Encap-IID
172.30.250.44 00:00:07 up 10/10 -
يعرض هذا الأمر إدخال عنوان MAC البعيد الذي كان سيتم حله.
- لتشغيل إدخال ذاكرة التخزين المؤقت للخريطة لمثيل Ethernet يجب إرسال حركة مرور البيانات إلى وجهة غير معروفة.
- وسيؤدي ذلك إلى إستخدام "جهاز البنية" لمحاولة حل المشكلة من خلال LISP.
- بمجرد التعرف عليها من خلال رد على الخريطة، سيتم وضعها في التخزين المؤقت للخريطة والإطارات التالية باتجاه وجهة الطبقة 2 تلك سيتم إرسالها مباشرة إلى محدد التوجيه الذي تم التعرف عليه.
إختياريا في تواجدات الطبقة 2 هو إستخدام تدفق حركة مرور BUM .
- لا يقوم LISP/VXLAN بتسييل حركة المرور بشكل افتراضي لأنه يستخدم تقنية تغشية ولكن يمكن تكوين مجموعة بث IP المتعدد في الشبكة الأساسية (GRT) من خلالها يمكن تدفق إطارات الطبقة 2.
عرض عنوان مجموعة البث الأساسي
FE2068#sh run | sec instance-id 8191
instance-id 8191
remote-rloc-probe on-route-change
service ethernet
eid-table vlan 150
broadcast-underlay 239.0.1.19
database-mapping mac locator-set rloc_hosts
exit-service-ethernet
!
exit-instance-id
ذاكرة تخزين مؤقت لخريطة بروتوكول الإنترنت وفقا لمعيار 2.2
بالنسبة لمثيلات الطبقة 3، تكون معلومات ذاكرة التخزين المؤقت للخريطة مماثلة لإنشاء إيثرنت بواسطة حركة مرور يتم إرسالها إلى وحدة المعالجة المركزية (CPU) للإشارة التي تتسبب في إرسال طلب خريطة.
- ومع ذلك، بالنسبة لحزم الطبقة 3، يتم انتقاؤها فقط إلى وحدة المعالجة المركزية للإشارة عندما يكون هذا الأمر قيد الإعداد. ويتم تنفيذ ذلك بواسطة الأمر map-cache الذي تم تكوينه. بالنسبة ل IPv4، يكون هذا هو 0.0.0.0/0 و:0/0 ل IPv6.
- يجب إجراء تكوين إدخال ذاكرة التخزين المؤقت للخريطة هذا على العقد الحدودية بعناية. إذا تم تكوين عقدة حد باستخدام إدخال مخزن التخزين المؤقت للخريطة هذا 0.0.0.0/0 أو ::0/0 للخريطة، فإنها تحاول حل الوجهات غير المعروفة من خلال البنية بدلا من توجيهها خارج البنية.
عرض تكوين التخزين المؤقت للخريطة
FE2068#sh run | sec instance-id 4099
instance-id 4099
remote-rloc-probe on-route-change
dynamic-eid Fabric_VN_Subnet_1_IPv4
database-mapping 172.24.1.0/24 locator-set rloc_hosts
exit-dynamic-eid
!
dynamic-eid Fabric_VN_Subnet_1_IPv6
database-mapping 2001:DB8::/64 locator-set rloc_hosts
exit-dynamic-eid
!
service ipv4
eid-table vrf Fabric_VN_1
map-cache 0.0.0.0/0 map-request
exit-service-ipv4
!
service ipv6
eid-table vrf Fabric_VN_1
map-cache ::/0 map-request
exit-service-ipv6
!
exit-instance-id
يتسبب map-cache 0.0.0.0/0 و::/0 map-request في تكوين إدخال map-cache في ذاكرة التخزين المؤقت للخريطة باستخدام إجراءات "send-map-request". تقوم حركة المرور التي تصل إلى هذه العملية بتشغيل طلبات الخريطة. بما أن إدخالات ذاكرة التخزين المؤقت للخريطة يجب وضعها في FIB الذي يعمل استنادا إلى أطول تطابق، فهذا يتم تطبيقه على جميع حركة مرور IP الموجهة التي لا تصل إلى أي من الإدخالات الأكثر تحديدا.
- على الأنظمة الأساسية المدعومة لتجنب الحزمة الأولى التي سيتم إسقاطها، يكون الإجراء الموضح هو send-map-request + encapsulate إلى ETR للوكيل.
وهذا ينتج عنه في الحزمة الأولى إلى وجهة غير معروفة يطلق طلب خريطة أيضا أن الربط أرسلت إلى الوكيل - البوابة إن كان موجودا.
FE2067#show lisp instance-id 4099 ipv4 map-cache
LISP IPv4 Mapping Cache for LISP 0 EID-table vrf Fabric_VN_1 (IID 4099), 6 entries
0.0.0.0/0, uptime: 22:28:18, expires: 00:13:41, via map-reply, unknown-eid-forward
action: send-map-request + Encapsulating to proxy ETR
PETR Uptime State Pri/Wgt Encap-IID Metric
172.30.250.19 22:28:18 up 10/10 - 0
10.48.13.0/24, uptime: 02:31:26, expires: 21:28:34, via map-reply, complete
Locator Uptime State Pri/Wgt Encap-IID
172.30.250.19 02:31:26 up 10/10 -
172.24.1.0/24, uptime: 22:31:34, expires: never, via dynamic-EID, send-map-request
Negative cache entry, action: send-map-request
172.24.2.0/24, uptime: 22:31:34, expires: never, via dynamic-EID, send-map-request
Negative cache entry, action: send-map-request
172.24.2.2/32, uptime: 00:00:21, expires: 23:59:38, via map-reply, complete
Locator Uptime State Pri/Wgt Encap-IID
172.30.250.44 00:00:21 up 10/10 -
172.28.0.0/14, uptime: 22:28:22, expires: 00:13:39, via map-reply, unknown-eid-forward
PETR Uptime State Pri/Wgt Encap-IID Metric
172.30.250.19 22:28:19 up 10/10 - 0
في هذا المخرج يتم عرض بعض المدخلات.
- 10.48.13.0/24 و 172.24.2.2/32 في هذا المخرج يتم التعرف عليها من خلال الرد على الخريطة ويتم إكمالها. يتم تضمين حركة المرور إلى هذه الوجهات وإعادة توجيهها إلى محددات الموقع الخاصة بها.
- ال 172.28.0.0/14 هو مثال على رد خريطة سالبة تم إستلامه ومجموعة من عناوين IP التي تم إرجاعها. لا تقوم حركة المرور باتجاه هذه الشبكة الفرعية بتشغيل طلب خريطة طالما كان هذا الإدخال في ذاكرة التخزين المؤقت للخريطة.
إعادة توجيه حركة المرور عبر البنية
إعادة توجيه 3.1 من الطبقة 2 أو الطبقة 3
يمكن إعادة توجيه حركة مرور البيانات في بنية LISP/VXLAN من خلال مثيلات الطبقة 2 أو الطبقة.
- يعتمد التحديد أي تواجد يتم إستخدامه على عنوان MAC الوجهة للإطارات.
- الإطارات التي يتم إرسالها إلى أي عنوان MAC آخر، ثم الإطارات التي يتم تسجيلها مع المحول التي يتم إعادة توجيهها هي لاستخدام الطبقة 2. إن يكون الغاية من الربط المفتاح هو أرسلت من خلال طبقة 3.
- هذا هو نفس المنطق الذي سينطبق على إعادة التوجيه العادية من خلال محول Catalyst 9000 Series switch.
إعادة توجيه الطبقة 2 من 3.2
تتم إعادة توجيه الطبقة 2 من خلال بنية LISP VXLAN استنادا إلى عنوان MAC لوجهة الطبقة 2. يتم إدراج الوجهة البعيدة في جدول عنوان MAC باستخدام واجهة مخرج L2LI0.
عرض الواجهات المحلية والبعيدة من الطبقة 2
FE2068#show mac address-table vlan 150
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
150 0000.0c9f.f18e STATIC Vl150
150 0050.5693.8930 DYNAMIC Gi1/0/1
150 2416.9db4.33fd STATIC Vl150 <- Local
150 0019.3052.6d7f CP_LEARN L2LI0 <- Remote
Total Mac Addresses for this criterion: 3
Total Mac Addresses installed by LISP: REMOTE: 1
لوجهات غير معروفة، إذا تم تكوينها، يتم إرسال حركة المرور من خلال مجموعة IP للبث المتعدد التي تم تكوينها في الجزء السفلي.
- لضمان التدفق الصحيح للبث، يلزم وجود بيئة بث متعدد تعمل بشكل صحيح للبث الأحادي والبث المتعدد غير المعروف (التدفق الانتقائي للبث المتعدد فقط) في الجزء السفلي.
- يجب تضمين حركة المرور التي سيتم إرسالها من خلال مجموعة البث المتعدد الأساسية هذه في شبكة VXLAN.
- كل الحواف الأخرى يجب أن تنضم إلى مجموعة البث المتعدد وتتلقى حركة مرور وتزيل كبسلة حركة المرور لمثيلات الطبقة 2 المعروفة.
عرض مجموعة بث IP المتعدد الأساسية
FE2068#sh ip mroute 239.0.19.1
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,
L - Local, P - Pruned, R - RP-bit set, F - Register flag,
T - SPT-bit set, J - Join SPT, M - MSDP created entry, E - Extranet,
X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,
U - URD, I - Received Source Specific Host Report,
Z - Multicast Tunnel, z - MDT-data group sender,
Y - Joined MDT-data group, y - Sending to MDT-data group,
G - Received BGP C-Mroute, g - Sent BGP C-Mroute,
N - Received BGP Shared-Tree Prune, n - BGP C-Mroute suppressed,
Q - Received BGP S-A Route, q - Sent BGP S-A Route,
V - RD & Vector, v - Vector, p - PIM Joins on route,
x - VxLAN group, c - PFP-SA cache created entry,
* - determined by Assert, # - iif-starg configured on rpf intf,
e - encap-helper tunnel flag, l - LISP decap ref count contributor
Outgoing interface flags: H - Hardware switched, A - Assert winner, p - PIM Join
t - LISP transit group
Timers: Uptime/Expires
Interface state: Interface, Next-Hop or VCD, State/Mode
(*, 239.0.1.19), 00:02:36/stopped, RP 172.31.255.1, flags: SJCF
Incoming interface: GigabitEthernet1/0/23, RPF nbr 172.30.250.42
Outgoing interface list:
L2LISP0.8191, Forward/Sparse-Dense, 00:02:35/00:00:24, flags:
(172.30.250.44, 239.0.1.19), 00:02:03/00:00:56, flags: FT
Incoming interface: Null0, RPF nbr 0.0.0.0
Outgoing interface list:
GigabitEthernet1/0/23, Forward/Sparse, 00:02:03/00:03:23, flags:
(172.30.250.30, 239.0.1.19), 00:02:29/00:00:30, flags: JT
Incoming interface: GigabitEthernet1/0/23, RPF nbr 172.30.250.42
Outgoing interface list:
L2LISP0.8191, Forward/Sparse-Dense, 00:02:29/00:00:30, flags:
يبدي هذا إنتاج S،G مدخل ل كل آخر حافة في البناء حيث زبون يكون شكلت أن يرسل حركة مرور يفيض. كما يعرض أيضا إدخال S،G مع الاسترجاع0 الخاص بجهاز الحافة هذا كمصدر.
بالنسبة لجانب المستقبل لحركة المرور من خلال مجموعة البث المتعدد الأساسية، يعرض الأمر show ip mroute أيضا L2LISP0.<instance>
هذا يشير إلى مثيلات الطبقة 2 التي يكون جهاز الحافة هذا قد تم إلغاء كبسلة حركة المرور المتدفقة وإعادة توجيهها إلى
الواجهات ذات الصلة.
معلومات إعادة توجيه الطبقة 3.3
لتحديد كيفية إعادة توجيه حركة المرور عند نشر بنية LISP VXLAN، من المهم التحقق من إعادة توجيه حركة المرور.
- LISP بخلاف بروتوكولات التوجيه التقليدية يدرج إتجاه التوجيه ليس في جدول التوجيه ولكنه يتفاعل مباشرة مع CEF لتحديث FIB.
بالنسبة لوجهة بعيدة معينة، تحتوي معلومات ذاكرة التخزين المؤقت للمخطط على معلومات محدد الموقع التي سيتم إستخدامها.
عرض معلومات محدد الموقع
FE2067#sh lisp instance-id 4099 ipv4 map-cache 172.24.2.2
LISP IPv4 Mapping Cache for LISP 0 EID-table vrf Fabric_VN_1 (IID 4099), 1 entries
172.24.2.2/32, uptime: 11:19:02, expires: 12:40:57, via map-reply, complete
Sources: map-reply
State: complete, last modified: 11:19:02, map-source: 172.30.250.44
Idle, Packets out: 2(1152 bytes), counters are not accurate (~ 11:18:35 ago)
Encapsulating dynamic-EID traffic
Locator Uptime State Pri/Wgt Encap-IID
172.30.250.44 11:19:02 up 10/10 -
Last up-down state change: 11:19:02, state change count: 1
Last route reachability change: 11:19:02, state change count: 1
Last priority / weight change: never/never
RLOC-probing loc-status algorithm:
Last RLOC-probe sent: 11:19:02 (rtt 2ms)
من ذاكرة التخزين المؤقت الخريطة يكون محدد الموقع المستخدم لهذا العيد هو 172.30.250.44. لذلك فإن حركة المرور نحو هذه الوجهة أن يكون غلف ويملك العنوان الخارجي IP غاية عنوان 172.30.250.44.
في جدول التوجيه الخاص ب VRF المستخدم لهذا المثيل، لا يتم عرض هذا الإدخال.
FE2067#show ip route vrf Fabric_VN_1
Routing Table: Fabric_VN_1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type
E1 - OSPF external type 1, E2 - OSPF external type 2, m - OMP
n - NAT, Ni - NAT inside, No - NAT outside, Nd - NAT DIA
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
H - NHRP, G - NHRP registered, g - NHRP registration summary
o - ODR, P - periodic downloaded static route, l - LISP
a - application route
+ - replicated route, % - next hop override, p - overrides from PfR
& - replicated local route overrides by connected
Gateway of last resort is not set
172.24.0.0/16 is variably subnetted, 5 subnets, 2 masks
C 172.24.1.0/24 is directly connected, Vlan150
l 172.24.1.4/32 [10/1] via 172.24.1.4, 06:11:02, Vlan150
L 172.24.1.254/32 is directly connected, Vlan150
C 172.24.2.0/24 is directly connected, Vlan151
L 172.24.2.254/32 is directly connected, Vlan151
توفر مخرجات CEF المزيد من المعلومات حول إعادة التوجيه من خلال بنية LISP VXLAN.
- عندما تتم إضافة الكلمة الأساسية التفصيلية إلى الأمر show ip cef، فإنها لا تمنح وجهة الإطار المضمن للإرسال فقط.
- واجهة المخرج مع هذا الإخراج هي LISP 0.<instance> يشير إلى أن حركة المرور يتم إرسالها عبر التضمين.
FE2067#sh ip cef vrf Fabric_VN_1 172.24.2.2 detail
172.24.2.2/32, epoch 1, flags [subtree context, check lisp eligibility]
SC owned,sourced: LISP remote EID - locator status bits 0x00000001
LISP remote EID: 2 packets 1152 bytes fwd action encap, dynamic EID need encap
SC inherited: LISP cfg dyn-EID - LISP configured dynamic-EID
LISP EID attributes: localEID No, c-dynEID Yes, d-dynEID No, a-dynEID No
SC inherited: LISP generalised SMR - [enabled, inheriting, 0x7FF95B3E0BE8 locks: 5]
LISP source path list
nexthop 172.30.250.44 LISP0.4099
2 IPL sources [no flags]
nexthop 172.30.250.44 LISP0.4099
بما أن حركة مرور يكون أرسلت يغلف نحو الخطوة تالي، الخطوة تالي أن يركض عرض ip cef <الخطوة تالي>أن يرى المخرج قارن حيث الربط يكون وجهت خارج أيضا.
ركضت أن يرى المخرج قارن
FE2067#sh ip cef 172.30.250.44
172.30.250.44/32
nexthop 172.30.250.38 GigabitEthernet1/0/23
ملاحظة: هناك مستويان مختلفان من إمكانية توجيه المسار المتعدد (ECMP) بالتساوي في التكلفة.
- يمكن أن تكون حركة المرور متوازنة في التغشية في حال وجود وحدتي RLOC معلنتين ويمكن أن تكون متوازنة الحمل في الشبكة الأساسية إذا كانت المسارات المتكررة موجودة للوصول إلى عنوان IP الخاصة بوحدة التحكم في الشبكة المحلية اللاسلكية (RLOC).
- بما أن ال UDP غاية ثبتت ميناء إلى 4789 والمصدر والوجهة عنوان ل كل تدفق بين إثنان بناء أداة ال نفسه بعض شكل من مكافحة إستقطاب يحتاج آلية أن يقع أن لتجنب كل ربط يوجه عبر ال نفسه ممر.
- مع LISP VXLAN هذا هو ال UDP مصدر ميناء في الرأس الخارجي أن يكون مختلف للتدفقات المختلفة في الشبكة overflow.
تنسيق الحزمة 3.4
- ضمن بنى LISP VXLAN، يتم تضمين جميع حركات مرور البيانات بالكامل في شبكة VXLAN. يتضمن ذلك إطار الطبقة 2 بأكمله ليكون قادرا على دعم التغشيات لكل من الطبقة 2 والطبقة 3.
لإطارات الطبقة 2 يتم تضمين الرأس الأصلي. بالنسبة للإطارات يتم إرسال نسخة زائفة من الطبقة 3 من خلال نسخة زائفة من الطبقة 2.
Ethernet II, Src: 24:16:9d:3d:56:67 (24:16:9d:3d:56:67), Dst: 6c:31:0e:f6:21:c7 (6c:31:0e:f6:21:c7)
Internet Protocol Version 4, Src: 172.30.250.30, Dst: 172.30.250.44
User Datagram Protocol, Src Port: 65288, Dst Port: 4789
Virtual eXtensible Local Area Network
Flags: 0x8800, GBP Extension, VXLAN Network ID (VNI)
1... .... .... .... = GBP Extension: Defined
.... .... .0.. .... = Don't Learn: False
.... 1... .... .... = VXLAN Network ID (VNI): True
.... .... .... 0... = Policy Applied: False
.000 .000 0.00 .000 = Reserved(R): 0x0000
Group Policy ID: 16
VXLAN Network Identifier (VNI): 4099
Reserved: 0
Ethernet II, Src: 00:00:00:00:80:a3 (00:00:00:00:80:a3), Dst: ba:25:cd:f4:ad:38 (ba:25:cd:f4:ad:38)
Internet Protocol Version 4, Src: 172.24.1.4, Dst: 172.24.2.2
Internet Control Message Protocol
كما هو موضح من خلال التقاط عينة من إطار تم تحميله عبر بنية LISP VXLAN، هناك الإطار الذي تم تغليفه بالكامل داخل حزمة VXLAN. بما أنه إطار من الطبقة 3، فإن رأس الإيثرنت هو رأس وهمي.
في رأس شبكة VXLAN يحمل حقل معرف شبكة VLAN معرف مثيل LISP الذي ينتمي إليه الإطار أيضا.
- من خلال حقل معرف سياسة المجموعة يتم حمل علامة الرقيب.
- ويتم تعيين هذا عند الدخول في البنية ويتم المرور عبره إلى أن يتم تنفيذ السياسات على أساس المجموعة.
المصادقة وفرض الأمان
مصادقة منفذ المحول 4.1
لتعيين نقاط النهاية بشكل ديناميكي إلى شبكات VLAN الخاصة بها وتخصيصها مصادقة علامة SGT يمكن إستخدامها.
- يمكن نشر بروتوكولات المصادقة مثل Dot1x/MAB/Central WebAuth للمصادقة وتخويل المستخدمين ونقاط النهاية على خادم Radius الذي يرسل السمات مرة أخرى إلى المحول للسماح بالوصول إلى الشبكة إلى العميل/نقطة النهاية في المجموعة الصحيحة وبتفويض الوصول إلى الشبكة الصحيح.
بالنسبة لنسيج LISP VXLAN هناك القليل من سمات RADIUS الشائعة:
- VLAN Assignment: يتم ضبط هذه السمات على معرف VLAN أو اسم من خادم RADIUS إلى المحولات يمكن تعيين نقطة نهاية لمثيل LISP من الطبقة 2/الطبقة 3 معين.
- قيمة الرقيب: تحدد هذه السمة نقطة نهاية معينة لهذا الرقيب. سيتم إستخدام هذا النهج للسياسات المستندة إلى المجموعة تجاه نقطة النهاية هذه بالإضافة إلى تعيين قيمة SGT لجميع الإطارات التي يتم إرسالها من خلال البنية التي تم إنشاؤها بواسطة نقطة النهاية هذه.
- تفويض الصوت: تعمل الأجهزة الصوتية على شبكة VLAN الصوتية. يؤدي هذا إلى تعيين تفويض الصوت وسيتم السماح لنقطة النهاية بإرسال حركة مرور البيانات واستقبالها في شبكة VLAN الصوتية التي تم تكوينها على منفذ ما. هذا لفصل حركة مرور الصوت والبيانات في شبكات VLAN الخاصة بها
- مهلة جلسة العمل: لدى نقاط النهاية المختلفة مهلات خاصة بها للجلسات. يمكن إرسال مهلة من خادم RADIUS للإشارة إلى عدد المرات التي يحتاج فيها العميل إلى إعادة المصادقة
- القالب: لبعض نقاط النهاية، يلزم تطبيق قالب مختلف على منفذ ما ليعمل بشكل صحيح. يمكن إرسال اسم قالب من خادم Radius الذي يشير إلى ما يجب تطبيقه على المنفذ
فحصت نتيجة المصادقة على ميناء يستعمل الأمر show access-session
FE2067#show access-session interface Gi1/0/1 details
Interface: GigabitEthernet1/0/1
IIF-ID: 0x1FF97CF7
MAC Address: 0050.5693.f1b2
IPv6 Address: FE80::3EE:5111:BA77:E37D
IPv4 Address: 172.24.1.4
User-Name: 00-50-56-93-F1-B2
Device-type: Microsoft-Workstation
Device-name: W7180-PC
Status: Authorized
Domain: DATA
Oper host mode: multi-auth
Oper control dir: both
Session timeout: N/A
Acct update timeout: 172800s (local), Remaining: 172678s
Common Session ID: 9256300A000057B8376D924C
Acct Session ID: 0x00016d77
Handle: 0x85000594
Current Policy: PMAP_DefaultWiredDot1xClosedAuth_1X_MAB
Local Policies:
Server Policies:
Vlan Group: Vlan: 150
SGT Value: 16
Method status list:
Method State
dot1x Stopped
mab Authc Success
لاحظ هذه الحقول الرئيسية:
- عناوين IPv4 و IPv6: يتم التعرف عليها بشكل نموذجي من خلال تعقب الأجهزة.
- username: هذا ال username يستعمل للمصادقة.
- بالنسبة ل Dot1x هذا يكون عادة المستخدم الذي يصدق.
- عند إستخدام MAB، يكون هذا هو عنوان MAC للمحطة التي يتم إرسالها إلى RADIUS كاسم مستخدم وكلمة مرور للمصادقة.
- الحالة: يشير ذلك إلى حالة المصادقة ونتيجة المصادقة.
- مجال: لنقاط النهاية العادية هذا يكون ال data domain، لذلك حركة مرور يكون أرسلت/إستلمت untagged على الميناء. (بالنسبة للأجهزة الصوتية، يمكن تعيين ذلك على الصوت)
- سياسات الخادم: هذا هو المكان الذي يتم فيه تقديم المعلومات من خادم RADIUS مثل تعيين الشبكة المحلية الظاهرية (VLAN) ومهمة الرقيب
- قائمة حالة الطريقة: يوضح هذا نظرة عامة على الطرق التي يتم تشغيلها.
- يتم تشغيل نقطة قياسية1x قبل MAB.
- إذا لم تستجب نقطة نهاية لإطارات EAPOL، فسيفشل الأسلوب في الوصول إلى MAB.
- هذا بعد ذلك عرض dot1x أن يفشل.
- يظهر MAB نجاح المصادقة يشير إلى أنه تمت مصادقته، وهو لا يعكس ما إذا كانت نتيجة المصادقة ستكون قبول وصول أو رفض.
4.2 سياسات حركة المرور والسياسات القائمة على المجموعة (CTS)
ضمن LISP VXLAN Fabric يتم إستخدام CTS لفرض سياسات حركة مرور البيانات:
- تستند بنية النهج المستندة إلى المجموعة إلى علامات المجموعة الآمنة.
- يتم تحديد جميع حركات المرور داخل الهيكل على بطاقة الدخول والرقيب التي يتم حملها عبر الهيكل في كل إطار.
- عندما تترك حركة المرور هذه البنية يتم فرض سياسات حركة المرور.
- ويتم القيام بذلك في السياسات المستندة إلى المجموعة التي تتحقق من علامات مجموعة المصدر والوجهة الخاصة بالحزمة مقابل المصفوفة التي تتكون من عناوين SGT للمصدر والوجهة حيث تكون النتيجة هي SGACL التي تحدد حركة مرور البيانات التي سيتم السماح بها أو التي لا يسمح بها.
- عندما لا يكون هناك تطابق معين داخل المصفوفة لرقيب مصدر-غاية الإجراء الافتراضي الذي تم تعريفه يتم تطبيقه.
4-3 بيئة نظام CTS
للعمل باستخدام السياسات المستندة إلى مجموعة، فإن أول شيء يلزم لأجهزة Fabric هو الحصول على مسوغ وصول محمي CTS.
- يجب إستخدام مسوغ الوصول المحمي هذا داخل إطارات RADIUS لتخويل إطارات RADIUS على Cisco ISE. يستخدم هذا لضبط الحقل المعتم-CTS داخل إطارات Radius.
عرض معلومات مسوغ الوصول المحمي CTS
FE2067#sh cts pacs
AID: C7105D0DA108B6AE0FB00499233B9C6A
PAC-Info:
PAC-type = Cisco Trustsec
AID: C7105D0DA108B6AE0FB00499233B9C6A
I-ID: FOC2410L1ZZ
A-ID-Info: Identity Services Engine
Credential Lifetime: 18:05:51 UTC Sat Jun 24 2023
PAC-Opaque: 000200B80003000100040010C7105D0DA108B6AE0FB00499233B9C6A0006009C00030100C5C0B998FB5E8C106F6882A088D5041300000013641F061A00093A80BA05A1608225843FBAAFD6C3BCD673353B18A6C68149AFAE24A060CBCAFC783E1E6C483AA1A32ADDB8C8EA5E739FB65DB7747ABAEDA59C48F4D1A4F9C8342C36E6D28725A440C1FE4BDB34207081E93CD79367AB19811E323F5882FE20EF831B7A5C2F339C3F35EFC0DBF346C77404F206F5B2171A4C0AAC187F74C5
Refresh timer is set for 12w0d
من المهم التأكد من تكوين مسوغ الوصول المحمي CTS وصلاحيته. يتم تحديث هذا بواسطة جهاز "البنية" تلقائيا.
ملاحظة: لتشغيل تحديث يدويا يمكن إصدار الأمر "cts refresh pac".
للسياسات المستندة إلى المجموعة لتشغيل البيانات البيئية الخاصة بتنزيل تقنية المعلومات، وكذلك تنزيل معلومات السياسة المطلوبة.
- تحتوي بيانات البيئة هذه على كل من علامة CTS التي يستخدمها المحول نفسه بالإضافة إلى تنزيل جدول جميع مجموعات السياسات المستندة إلى المجموعة المعروفة على خادم RADIUS.
عرض بيانات بيئة CTS
FE2067#sh cts environment-data
CTS Environment Data
====================
Current state = COMPLETE
Last status = Successful
Service Info Table:
Local Device SGT:
SGT tag = 2-00:TrustSec_Devices
Server List Info:
Installed list: CTSServerList1-0001, 1 server(s):
*Server: 10.48.13.221, port 1812, A-ID C7105D0DA108B6AE0FB00499233B9C6A
Status = ALIVE
auto-test = TRUE, keywrap-enable = FALSE, idle-time = 60 mins, deadtime = 20 secs
Security Group Name Table:
0-00:Unknown
2-00:TrustSec_Devices
3-00:Network_Services
4-00:Employees
5-00:Contractors
6-00:Guests
7-00:Production_Users
8-00:Developers
9-00:Auditors
10-00:Point_of_Sale_Systems
11-00:Production_Servers
12-00:Development_Servers
13-00:Test_Servers
14-00:PCI_Servers
15-00:BYOD
16-00:Fabric_Client_1
17-00:Fabric_Client_2
255-00:Quarantined_Systems
Environment Data Lifetime = 86400 secs
Last update time = 11:46:41 UTC Fri Mar 31 2023
Env-data expires in 0:19:17:04 (dd:hr:mm:sec)
Env-data refreshes in 0:19:17:04 (dd:hr:mm:sec)
Cache data applied = NONE
State Machine is running
Retry_timer (60 secs) is not running
عندما يتم إستخدام السياسات المستندة إلى المجموعة، فإن السياسات الوحيدة التي يتم تنزيلها هي علامات CTS التي يحتوي الجهاز على نقاط نهاية محلية لها والتي يحتاج إلى فرضها.
- للتمكن من التحقق من التعيين من عنوان IP (أو الشبكة الفرعية) إلى مجموعة سياسات تستند إلى مجموعة، يمكن إستخدام الأمر show cts based sgt-map vrf <vrf>all".
عرض جميع معلومات IP إلى SGT المعروفة لتردد الراديو (VRF)
FE2067#sh cts role-based sgt-map vrf Fabric_VN_1 all
Active IPv4-SGT Bindings Information
IP Address SGT Source
============================================
172.24.1.4 17 LOCAL
172.24.1.254 2 INTERNAL
172.24.2.254 2 INTERNAL
IP-SGT Active Bindings Summary
============================================
Total number of LOCAL bindings = 1
Total number of INTERNAL bindings = 2
Total number of active bindings = 3
Active IPv6-SGT Bindings Information
IP Address SGT Source
================================================================
2001:DB8::1 2 INTERNAL
2001:DB8::F304:BCCD:6BF3:BFAF 17 LOCAL
IP-SGT Active Bindings Summary
============================================
Total number of LOCAL bindings = 1
Total number of INTERNAL bindings = 1
Total number of active bindings = 2
يبدي هذا الإخراج جميع عناوين IP المعروفة (والشبكات الفرعية) ل VRF معين واقترانات السياسات المستندة إلى المجموعات الخاصة بها.
- كما يمكن ملاحظته هناك عنوان IP واحد لنقطة نهاية يتم تعيينها لمجموعة سياسات تستند إلى مجموعة 17 ويكون محليا المصدر.
- هذه هي نتيجة المصادقة التي تحدث على المنفذ وحيثما أشارت النتائج إلى أن العلامة مقترنة بتلك النقطة الطرفية.
- كما يسلط الضوء على عناوين IP الخاصة بالمحولات التي يتم تعيين العلامة الرقيب للجهاز كمصدر داخلي.
- كما يمكن تعيين علامات النهج المستندة إلى المجموعة من خلال التكوين أو من خلال جلسة SXP إلى ISE.
عندما يتعرف الجهاز على علامة رقيب فإنه يحاول تنزيل السياسات المرتبطة بها من خادم ISE.
- يعطي الأمر عرض إدخالات تفويض CTS نظرة عامة على وقت محاولة تنزيل تلك الإدخالات وإذا كانت قد تم تنزيلها أو لم يتم تنزيلها تباعا.
ملاحظة: يتم تحديث السياسات بشكل دوري في حالة حدوث أي تغييرات في السياسات. كما يمكن أن يقوم ISE بدفع أمر CoA للمحول المراد تشغيله لتنزيل السياسات الجديدة عند إجراء التغييرات. لتحديث السياسات يدويا يتم إصدار الأمر cts refresh policy.
عرض نظرة عامة على السياسات التي تم محاولة تنزيلها، وإذا تم تنزيلها أو لم يتم تنزيلها على التوالي
FE2067#show cts authorization entries
Authorization Entries Info
==========================
Peer name = Unknown-0
Peer SGT = 0-00:Unknown
Entry State = COMPLETE
Entry last refresh = 22:14:46 UTC Thu Mar 30 2023
SGT policy last refresh = 22:14:46 UTC Thu Mar 30 2023
SGT policy refresh time = 86400
Policy expires in 0:05:23:44 (dd:hr:mm:sec)
Policy refreshes in 0:05:23:44 (dd:hr:mm:sec)
Retry_timer = not running
Cache data applied = NONE
Entry status = SUCCEEDED
AAA Unique-ID = 11
Peer name = Unknown-17
Peer SGT = 17-01:Fabric_Client_2
Entry State = COMPLETE
Entry last refresh = 11:47:31 UTC Fri Mar 31 2023
SGT policy last refresh = 11:47:31 UTC Fri Mar 31 2023
SGT policy refresh time = 86400
Policy expires in 0:18:56:29 (dd:hr:mm:sec)
Policy refreshes in 0:18:56:29 (dd:hr:mm:sec)
Retry_timer = not running
Cache data applied = NONE
Entry status = SUCCEEDED
AAA Unique-ID = 4031
في حالة تنزيل أي سياسات، يمكن عرضها باستخدام الأمر show cts roulebased policy".
FE2067#sh cts role-based permissions
IPv4 Role-based permissions default:
Permit IP-00
IPv4 Role-based permissions from group 17:Fabric_Client_2 to group 16:Fabric_Client_1:
PermitWeb-02
RBACL Monitor All for Dynamic Policies : FALSE
RBACL Monitor All for Configured Policies : FALSE
يعرض هذا الأمر كل السياسات التي تعلمها الجهاز. على خادم ISE، من المحتمل وجود المزيد من السياسات لمجموعات مختلفة ولكن الجهاز يحاول فقط تنزيل السياسات التي يعرف نقاط النهاية لها. يحافظ ذلك على موارد الأجهزة القيمة.
يبدي هذا أمر أيضا التقصير عملية أن يكون طبقت إلى حركة مرور ما من أكثر مدخل خاص معروف ل. في هذه الحالة، يسمح ل IP، لذلك كل حركة المرور التي لا تتطابق مع إدخال معين في الجدول أن يسمح بالمرور.
قم بتشغيل show cts rbacl <name>للحصول على مزيد من التفاصيل حول المحتوى الدقيق ل RBACL الذي تم تنزيله
FE2067#sh cts rbacl permitssh
CTS RBACL Policy
================
RBACL IP Version Supported: IPv4 & IPv6
name = permitssh-03
IP protocol version = IPV4
refcnt = 2
flag = 0x41000000
stale = FALSE
RBACL ACEs:
permit tcp dst eq 22
permit tcp dst eq 23
deny ip
في هذه الحالة، فإن حركة المرور الوحيدة المسموح بها ليتم إرسالها إلى نقطة النهاية مع تطبيق RBACL هذا عليها هي حزم TCP نحو 22 (SSH) و 23(Telnet).
ملاحظة: يعمل RBACL في إتجاه واحد فقط. ما لم يكن هناك نهج في حركة مرور الإرجاع يتم فرضه باستخدام النهج الافتراضي. لا يتم فرض حركة المرور التي تدخل البنية، فإنها ترسل عبر البنية مع علامة الرقيب المعروفة على عقدة الدخول. ويتم فرض هذا الإجراء فقط عند خروجه من البنية ويتم فرضه على السياسات الموجودة على هذا الجهاز. وعادة ما تكون هذه السياسات هي نفسها، ولكن من الممكن توسيع مجال CTS مثلا باستخدام جدار حماية حيث يمكن تحديد سياسات أخرى اعتمادا على سياسات الأمان التي تم نشرها.
قم بتشغيل العدادات المستندة إلى الأدوار من أجل التحقق من صحة الإطارات إذا تم إسقاطها أو لم يتم إسقاطها
- يعرض هذا الأمر العدادات التراكمية للمحول بالكامل. لا يوجد أمر مكافئ لكل واجهة.
FE2067#sh cts role-based counters
Role-based IPv4 counters
From To SW-Denied HW-Denied SW-Permitt HW-Permitt SW-Monitor HW-Monitor
* * 0 0 3565235 7777106 0 0
17 16 0 3 0 3412 0 0
16 17 0 5812 0 871231 0 0
يبدي هذا نظرة عامة كل الإدخالات معروف أن المفتاح يعرف عنه في هذه الحالة أن يكون قادر أن يطابق حركة مرور من 17 إلى 16 ومن 16 إلى 17.
- أي تطابق آخر يقع ضمن * ويحصل على الإجراء الافتراضي المطبق بحيث إذا أتت أي حركة مرور على سبيل المثال من 18 إلى 16 لا تطابق المصفوفة المعروفة على المحول وتطبق الإجراء الافتراضي.
على الرغم من أن العدادات تراكمية، إلا أنها تعطي إشارة جيدة إذا تم إسقاط حركة المرور.
- لتحديد حركة المرور التي قد تصل إلى إدخال، يمكن إضافة الكلمة الأساسية "السجل" على خادم ISE إلى السياسات المقابلة، والتي ينتج عنها في المحول توفر رسائل السجل عند الوصول إلى هذا الإدخال.
- يمكن القيام بذلك لكل من الإجراء الافتراضي (* *) أو أحد الإدخالات الأكثر تحديدا في المصفوفة.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
06-Apr-2023 |
الإصدار الأولي |
التعليقات