Hướng Dẫn Cấu Hình Dynamic Multipoint VPN Trên Router Cisco
TỔNG QUAN VỀ DYNAMIC MULTIPOINT VPN TRÊN ROUTER CISCO
Dynamic Multipoint VPN Trên Router Cisco Là Gì?
Tính năng Dynamic Multipoint VPN trên các thiết bị Router Cisco cho phép người dùng mở rộng quy mô IP Security (IPsec) Virtual Private Networks (VPNs) lớn và nhỏ tốt hơn bằng cách kết hợp các tunnel generic routing encapsulation (GRE), mã hóa IPsec và Next Hop Resolution Protocol (NHRP).
Lợi Ích Của Dynamic Multipoint VPN Trên Router Cisco
Dưới đây là những lợi ích cụ thể mà tính năng Dynamic Multipoint VPN mang đến cho người dùng:
Giảm Cấu Hình Của Hub Router
- Đối với mỗi thiết bị spoke router, có một khối các dòng cấu hình riêng biệt trên hub router xác định các đặc điểm crypto map, danh sách truy cập crypto và giao diện tunnel GRE. Tính năng này cho phép người dùng định cấu hình một giao diện tunnel mGRE, một cấu hình IPsec duy nhất và không có danh sách truy cập crypto trên bộ định tuyến trung tâm để xử lý tất cả các bộ định tuyến đã nói. Do đó, kích thước của cấu hình trên hub router không đổi ngay cả khi các speak router được thêm vào mạng.
- Kiến trúc DMVPN có thể nhóm nhiều spoke thành một giao diện multipoint GRE duy nhất, loại bỏ nhu cầu về giao diện logic hoặc vật lý riêng biệt cho mỗi spoke trong cài đặt IPsec gốc.
Bắt Đầu Mã Hóa IPsec Tự Động
- GRE có địa chỉ nguồn và đích ngang hàng được định cấu hình hoặc giải quyết bằng NHRP. Do đó, tính năng này cho phép IPsec được kích hoạt ngay lập tức cho point-to-point GRE tunneling hoặc khi địa chỉ GRE peer được giải quyết thông qua NHRP cho tunnel multipoint GRE.
Hỗ Trợ Cho Các Spoke Router Được Định Địa Chỉ Động
- Khi sử dụng các mạng point-to-point GRE và IPsec hub-and-spoke VPN, địa chỉ IP giao diện vật lý của các router spoke phải được biết khi cấu hình hub router vì địa chỉ IP phải được cấu hình làm địa chỉ đích của tunnel GRE. Tính năng này cho phép spoke router có địa chỉ IP giao diện vật lý động (phổ biến cho các kết nối cáp và DSL). Khi bộ định tuyến spoke trực tuyến, nó sẽ gửi các gói đăng ký đến bộ định tuyến hub: trong các gói đăng ký này là địa chỉ IP giao diện vật lý hiện tại của spoke router này.
Tạo Dynamic Cho Spoke-to-Spoke Tunnel
- Tính năng này loại bỏ nhu cầu cấu hình spoke-to-spoke cho cho các tunnel trực tiếp. Khi một speak router muốn truyền một gói tin đến một speak router khác, giờ đây nó có thể sử dụng NHRP để xác định động địa chỉ đích cần thiết của speak router mục tiêu. (Hub router đóng vai trò là máy chủ NHRP, xử lý yêu cầu đối với speak router nguồn). Hai speak router tự động tạo một IPsec tunnel giữa chúng để dữ liệu có thể được truyền trực tiếp.
CÁC BƯỚC CẤU HÌNH DYNAMIC MULTIPOINT VPN TRÊN ROUTER CISCO
Cấu Hình IPsec Profile Trên Router Cisco
IPsec profile chia sẻ hầu hết các lệnh giống với cấu hình crypto map, nhưng chỉ một tập hợp con của các lệnh là hợp lệ trong cấu hình IPsec. Chỉ các lệnh liên quan đến chính sách IPsec mới có thể được ban hành trong cấu hình IPsec; bạn không thể chỉ định địa chỉ IPsec ngang hàng hoặc Access Control List (ACL) để khớp với các gói sẽ được mã hóa.
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | crypto ipsec profile name
Ví dụ:
Router(config)# crypto ipsec profile vpnprof |
Xác định các tham số IPsec sẽ được sử dụng để mã hóa IPsec giữa các bộ định tuyến “spoke và hub” và “spoke và speak”.
|
| Bước 4 | set transform-set transform-set-name
Ví dụ:
Router(config-crypto-map)# set transform-set trans2 |
Chỉ định bộ biến đổi nào có thể được sử dụng với IPsec profile.
|
| Bước 5 | set identity
Ví dụ:
Router(config-crypto-map)# set identity |
(Tùy chọn) Chỉ định các hạn chế nhận dạng sẽ được sử dụng với IPsec profile. |
| Bước 6 | set security association lifetime {seconds seconds | kilobytes kilobytes }
Ví dụ:
Router(config-crypto-map)# set security association lifetime seconds 1800 |
(Tùy chọn) Ghi đè giá trị global lifetime cho IPsec profile.
|
| Bước 7 | set pfs [group1 | group2 ]
Ví dụ:
Router(config-crypto-map)# set pfs group2 |
(Tùy chọn) Chỉ định rằng IPsec sẽ yêu cầu perfect forward secrecy (PFS) khi yêu cầu liên kết bảo mật mới IPsec profile này.
|
Cấu Hình Hub Cho Dynamic Multipoint VPN Trên Router Cisco
Để định cấu hình hub router để tích hợp mGRE và IPsec (nghĩa là liên kết tunnel với cấu hình IPsec được định cấu hình trong quy trình trước đó), hãy sử dụng các lệnh sau.
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
||
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung | ||
| Bước 3 | interface tunnel number
Ví dụ:
Router(config)# interface tunnel 5 |
Cấu hình giao diện tunnel và vào chế độ cấu hình chung
|
||
| Bước 4 | ip address ip-address mask secondary
Ví dụ:
Router(config-if)# ip address 10.0.0.1 255.255.255.0 |
Đặt địa chỉ IP chính hoặc phụ cho giao diện tunnel
|
||
| Bước 5 | ip mtu bytes
Ví dụ:
Router(config-if)# ip mtu 1400 |
Đặc kích thước đơn vị truyền dẫn (MTU) tối đa, tính bằng byte, của các gói IP được gửi trên một giao diện | ||
| Bước 6 | ip nhrp authentication string
Ví dụ:
Router(config-if)# ip nhrp authentication donttell |
Cấu hình chuỗi xác thực cho giao diện bằng NHRP.
|
||
| Bước 7 | ip nhrp map multicast dynamic
Ví dụ:
Router(config-if)# ip nhrp map multicast dynamic |
Cho phép NHRP tự động thêm các spoke routers vào ánh xạ NHRP đa hướng.
|
||
| Bước 8 | ip nhrp network-id number
Ví dụ:
Router(config-if)# ip nhrp network-id 99 |
Bật NHRP trên một giao diện.
|
||
| Bước 9 | tunnel source {ip-address | type number }
Ví dụ:
Router(config-if)# tunnel source Gigabitethernet 0/0/0 |
Đặt địa chỉ nguồn cho giao diện tunnel | ||
| Bước 10 | tunnel key key-number
Ví dụ:
Router(config-if)# tunnel key 100000 |
(Tùy chọn) Bật khóa ID key cho giao diện tunnel
|
||
| Bước 11 | tunnel mode gre multipoint
Ví dụ:
Router(config-if)# tunnel mode gre multipoint |
Đặt địa chỉ đóng gói thành mGRE cho giao diện tunnel. | ||
| Bước 12 | Thực hiện một trong các lệnh sau:
· tunnel protection ipsec profile name · tunnel protection psk key Ví dụ:
Router(config-if)# tunnel protection ipsec profile vpnprof Ví dụ:
Router(config-if)# tunnel protection psk test1 |
Liên kết giao diện tunnel với IPsec profile.
Hoặc Đơn giản hóa cấu hình bảo vệ tunnel cho pre-shared key (PSK) bằng cách tạo IPsec profile mặc định. |
||
| Bước 13 | bandwidth kbps
Ví dụ:
Router(config-if)# bandwidth 1000 |
Đặt giá trị băng thông hiện tại cho một giao diện thành các giao thức cấp cao hơn.
|
||
| Bước 14 | ip tcp adjust-mss max-segment-size
Ví dụ:
Router(config-if)# ip tcp adjust-mss 1360 |
Điều chỉnh giá trị maximum segment size (MSS) của các gói TCP đi qua Router Cisco
|
||
| Bước 15 | ip nhrp holdtime seconds
Ví dụ:
Router(config-if)# ip nhrp holdtime 450 |
Thay đổi số giây mà các địa chỉ NHRP NBMA được giới thiệu là hợp lệ trong các phản hồi NHRP có thẩm quyền.
|
||
| Bước 16 | delay number
Ví dụ:
Router(config-if)# delay 1000 |
(Tùy chọn) Thay đổi chỉ số định tuyến EIGRP cho các route đã học qua giao diện tunnel.
|
Cấu Hình Spoke Cho Dynamic Multipoint VPN Trên Router Cisco
Thực hiện các lệnh sau để cấu hình spoke router Cisco để tích hợp mGRE và IPsec.
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ đặc quyền EXEC
|
||
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung | ||
| Bước 3 | interface tunnel number
Ví dụ:
Router(config)# interface tunnel 5 |
Cấu hình giao diện tunnel và vào chế độ cấu hình giao diện.
|
||
| Bước 4 | ip address ip-address mask secondary
Ví dụ:
Router(config-if)# ip address 10.0.0.2 255.255.255.0 |
Đặt địa chỉ IP chính hoặc phụ cho giao diện tunnel.
|
||
| Bước 5 | ip mtu bytes
Ví dụ:
Router(config-if)# ip mtu 1400 |
Đặt kích thước MTU tính bằng byte, của các gói IP được gửi trên một giao diện. | ||
| Bước 6 | ip nhrp authentication string
Ví dụ:
Router(config-if)# ip nhrp authentication donttell |
Cấu hình chuỗi xác thực cho giao diện bằng cách sử dụng NHRP.
|
||
| Bước 7 | ip nhrp map hub-tunnel-ip-address hub-physical-ip-address
Ví dụ:
Router(config-if)# ip nhrp map 10.0.0.1 172.17.0.1 |
Cấu hình ánh xạ địa chỉ tĩnh IP-to-NBMA của các đích IP được kết nối với mạng NBMA.
|
||
| Bước 8 | ip nhrp map multicast hub-physical-ip-address
Ví dụ:
Router(config-if)# ip nhrp map multicast 172.17.0.1 |
Cho phép sử dụng giao thức định tuyến động giữa spoke và hub, đồng thời gửi các gói phát đa hướng đến hub router. | ||
| Bước 9 | ip nhrp nhs hub-tunnel-ip-address
Ví dụ:
Router(config-if)# ip nhrp nhs 10.0.0.1 |
Cấu hình hub router làm NHRP next-hop server. | ||
| Bước 10 | ip nhrp network-id number
Ví dụ:
Router(config-if)# ip nhrp network-id 99 |
Kích hoạt NHRP trên một giao diện
|
||
| Bước 11 | tunnel source {ip-address | type number }
Ví dụ:
Router(config-if)# tunnel source Gigabitethernet 0/0/0 |
Đặt địa chỉ nguồn cho giao diện tunnel | ||
| Bước 12 | tunnel key key-number
Ví dụ:
Router(config-if)# tunnel key 100000 |
(Tùy chọn) Bật khóa ID cho giao diện tunnel.
|
||
| Bước 13 | Thực hiện một trong các lệnh sau:
· tunnel mode gre multipoint · tunnel destination hub-physical-ip-address Ví dụ:
Router(config-if)# tunnel mode gre multipoint Ví dụ:
Router(config-if)# tunnel destination 172.17.0.1 |
Đặt chế độ encapsulation thành mGRE cho giao diện tunnel.
Chỉ định đích ccho một giao diện tunnel
|
||
| Bước 14 | Thực hiện một trong các hành động sau:
· tunnel protection ipsec profile name · tunnel protection psk key Ví dụ:
Router(config-if)# tunnel protection ipsec profile vpnprof Ví dụ:
Router(config-if)# tunnel protection psk test1 |
Liên kết giao diện tunnel với cấu hình IPsec.
Hoặc Đơn giản hóa cấu hình bảo vệ tunnel cho pre-shared key (PSK) bằng cách tạo giao diện IPsec mặc định |
||
| Bước 15 | bandwidth kbps
Ví dụ:
Router(config-if)# bandwidth 1000 |
Đặt giá trị băng thông hiện tại cho một giao diện thành các giao thức cấp cao hơn.
|
||
| Bước 16 | ip tcp adjust-mss max-segment-size
Ví dụ:
Router(config-if)# ip tcp adjust-mss 1360 |
Điều chỉnh giá trị MSS của các gói TCP đi qua bộ định tuyến.
|
||
| Bước 17 | ip nhrp holdtime seconds
Ví dụ:
Router(config-if)# ip nhrp holdtime 450 |
Thay đổi số giây mà các địa chỉ NHRP NBMA được giới thiệu là hợp lệ trong các phản hồi NHRP có thẩm quyền.
|
||
| Bước 18 | delay number
Ví dụ:
Router(config-if)# delay 1000 |
(Tùy chọn) Thay đổi chỉ số định tuyến EIGRP cho các route đã học qua giao diện tunnel
|
Cấu Hình Chuyển Tiếp Gói Clear-Text Data IP Thành VRF Trên Router Cisco
Để định cấu hình chuyển tiếp các gói clear-text data IP vào VRF trên Router Cisco, hãy thực hiện các bước sau. Cấu hình này giả định VRF Blue đã được cấu hình.
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | interface type number
Ví dụ:
Router(config)# interface tunnel 0 |
Cấu hình một kiểu giao diện và vào chế độ cấu hình giao diện |
| Bước 4 | ip vrf forwarding vrf-name
Ví dụ:
Router(config-if)# ip vrf forwarding Blue |
Cho phép chuyển tiếp các gói clear-text data IP vào VRF. |
Cấu Hình Chuyển Tiếp Gói Encrypted Tunnel Thành VRF Trên Router Cisco
Để định cấu hình chuyển tiếp các gói Encrypted Tunnel vào VRF trên Router Cisco, hãy thực hiện các bước sau. Cấu hình này giả định VRF Red đã được cấu hình.
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 | enable
Ví dụ:
Router> enable |
Bật chế độ EXEC đặc quyền.
|
| Bước 2 | configure terminal
Ví dụ:
Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 | interface type number
Ví dụ:
Router(config)# interface tunnel 0 |
Cấu hình một kiểu giao diện và vào chế độ cấu hình giao diện |
| Bước 4 | tunnel vrf vrf-name
Ví dụ:
Router(config-if)# tunnel vrf RED |
Liên kết một phiên bản VPN VRF với một đích đến, giao diện hoặc giao diện phụ của tunnel cụ thể và cho phép chuyển tiếp các gói tunnel được mã hóa vào một VRF |
Cấu Hình Traffic Segmentation Trong DMVPN Trên Router Cisco
Thực hiện các tác vụ sau để thực hiện cấu hình phân đoạn lưu lượng trong DMVPN trên Router Cisco
Bật MPLS Trên VPN Tunnel
Vì việc phân đoạn lưu lượng trong DMVPN tunnel phụ thuộc vào MPLS, nên bạn phải định cấu hình MPLS cho từng phiên bản VRF trong đó lưu lượng sẽ được phân đoạn.
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 |
enable Ví dụ: Router> enable |
Bật chế độ đặc quyền EXEC
|
| Bước 2 |
configure terminal Ví dụ: Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 |
interface type number Ví dụ: Router(config)# interface tunnel 0 |
Cấu hình một kiểu giao diện và vào chế độ cấu hình giao diện |
| Bước 4 |
mpls ip Ví dụ: Router(config-if)# mpls ip |
Cho phép gắn thẻ MPLS cho các gói trên giao diện tunnel được chỉ định |
Cấu Hình Multiprotocol BGP Trên Hub Router
Bạn phải cấu hình multiprotocol iBGP (MP-iBGP) để cho phép quảng cáo các tiền tố và nhãn VPNv4 được áp dụng cho lưu lượng VPN. Sử dụng BGP để định cấu hub làm Route Reflector. Để buộc tất cả lưu lượng truy cập được định tuyến qua hub, hãy định cấu hình BGP Route Reflector để thay đổi bước tiếp theo thành chính nó khi nó quảng cáo tiền tố VPNv4 cho các route reflector client.
| Lệnh hoặc Hành động | Mục đích | |
| Bước 1 |
enable Ví dụ: Router> enable |
Bật chế độ EXEC đặc quyền
|
| Bước 2 |
configure terminal Ví dụ: Router# configure terminal |
Vào chế độ cấu hình chung |
| Bước 3 |
router bgp autonomous-system-number Ví dụ: Router(config)# router bgp 1 |
Cho phép cấu hình quy trình định tuyến BGP |
| Bước 4 |
neighbor ipaddress remote-as as – number Ví dụ: Router(config-router)# neighbor 10.0.0.11 remote-as 1 |
Thêm một mục vào BGP hoặc bảng multiprotocol BGP neighbor. |
| Bước 5 |
neighbor ipaddress update-source interface Ví dụ: Router(config-router)# neighbor 10.10.10.11 update-source Tunnel1 |
Cấu hình phần mềm Cisco IOS XE để cho phép các phiên BGP sử dụng bất kỳ giao diện hoạt động nào cho các kết nối TCP. |
| Bước 6 |
address-family vpnv4 Ví dụ: Router(config)# address-family vpnv4 |
Vào chế độ cấu hình address family để cấu hình phiên định tuyến bằng các tiền tố địa chỉ VPNv4. |
| Bước 7 |
neighbor ipaddress activate Ví dụ: Router(config-router-af)# neighbor 10.0.0.11 activate |
Cho phép trao đổi thông tin với BGP neighbor. |
| Bước 8 |
neighbor ipaddress send-community extended Ví dụ: Router(config-router-af)# neighbor 10.0.0.11 send-community extended |
Chỉ định rằng các thuộc tính cộng đồng mở rộng sẽ được gửi tới một BGP lân cận. |
| Bước 9 |
neighbor ipaddress route-reflector-client Ví dụ: Router(config-router-af)# neighbor 10.0.0.11 route-reflector-client |
Cấu hình router làm BGP Route Reflector và cấu hình neighbor được chỉ định làm client của nó. |
| Bước 10 |
neighbor ipaddress route-map nexthop out Ví dụ: Router(config-router-af)# neighbor 10.0.0.11 route-map nexthop out |
Buộc tất cả lưu lượng truy cập được định tuyến qua hub |
| Bước 11 |
exit Ví dụ: Router(config-router-af)# exit |
Thoát khỏi chế độ cấu hình address family cho VPNv4. |
| Bước 12 |
address-family ipv4 vrf-name Ví dụ: Router(config)# address-family ipv4 red |
Vào chế độ cấu hình address family để cấu hình phiên định tuyến bằng các tiền tố địa chỉ IPv4 tiêu chuẩn. |
| Bước 13 |
redistribute connected Ví dụ: Router(config-router-af)# redistribute connected |
Phân phối lại các route được thiết lập tự động nhờ bật IP trên giao diện từ một miền định tuyến sang miền định tuyến khác. |
| Bước 14 |
route-map map-tag [permit | deny ] [sequence-number ] Ví dụ: Router(config-router-af)# route-map cisco permit 10 |
Nhập chế độ cấu hình route map để cấu hình next-hop sẽ được giới thiệu tới các spoke. |
| Bước 15 |
set ip next-hop ipaddress Ví dụ: Router(config-route-map)# set ip next-hop 10.0.0.1 |
Đặt hop tiếp theo làm hub. |
Cấu Hình Multiprotocol BGP Trên Spoke Router
| Lệnh hoặc Hành động | Mục đích | |||
| Bước 1 |
enable Ví dụ: Router> enable |
Bật chế độ đặc quyền EXEC
|
||
| Bước 2 |
configure terminal Ví dụ: Router# configure terminal |
Vào chế độ cấu hình chung |
||
| Bước 3 |
router bgp autonomous-system-number Ví dụ: Router(config)# router bgp 1 |
Vào chế độ cấu hình BGP |
||
| Bước 4 |
neighbor ipaddress remote-as as – number Ví dụ: Router(config-router)# neighbor 10.0.0.1 remote-as 1 |
Thêm một mục vào BGP hoặc bảng multiprotocol BGP neighbor. |
||
| Bước 5 |
neighbor ipaddress update-source interface Ví dụ: Router(config-router)# neighbor 10.10.10.1 update-source Tunnel1 |
Cấu hình phần mềm Cisco IOS XE để cho phép các phiên BGP sử dụng bất kỳ giao diện hoạt động nào cho các kết nối TCP. |
||
| Bước 6 |
address-family vpnv4 Ví dụ: Router(config)# address-family vpnv4 |
Vào chế độ cấu hình address family để định cấu hình phiên định tuyến bằng các tiền tố địa chỉ VPNv4. |
||
| Bước 7 |
neighbor ipaddress activate Example:Router(config-router-af)# neighbor 10.0.0.1 activate |
Cho phép trao đổi thông tin với BGP lân cận. |
||
| Bước 8 |
neighbor ipaddress send-community extended Ví dụ: Router(config-router-af)# neighbor 10.0.0.1 send-community extended |
Chỉ định rằng các thuộc tính cộng đồng mở rộng sẽ được gửi tới một BGP lân cận. |
||
| Bước 9 |
exit Ví dụ: Router(config-router-af)# exit |
Thoát khỏi chế độ cấu hình address family. |
||
| Bước 10 |
address-family ipv4 vrf-name Ví dụ: Router(config)# address-family ipv4 red |
Vào chế độ cấu hình để định cấu hình phiên định tuyến bằng các tiền tố địa chỉ IPv4 tiêu chuẩn. |
||
| Bước 11 |
redistribute connected Ví dụ: Router(config-router-af)# redistribute connected |
Phân phối lại các route được thiết lập tự động nhờ bật IP trên giao diện từ một miền định tuyến sang miền định tuyến khác |
||
| Bước 12 |
exit Ví dụ: Router(config-router-af)# exit |
Thoát khỏi chế độ cấu hình address family
|
Khắc Phục Sự Cố Dynamic Multipoint VPN Trên Router Cisco
Sau khi cấu hình Dynamic Multipoint VPN trên Router Cisco, hãy thực hiện các bước tùy chọn sau trong tác vụ này để xác minh rằng DMVPN đang hoạt động chính xác, để xóa số liệu thống kê hoặc phiên DMVPN hoặc để gỡ lỗi DMVPN. Các lệnh này có thể được sử dụng theo bất kỳ thứ tự nào.
Bước 1
clear dmvpn session
Lệnh này xóa các phiên DMVPN. Ví dụ sau chỉ xóa các phiên DMVPN động cho tunnel đã chỉ định.
Ví dụ:
Router# clear dmvpn session interface tunnel 5Ví dụ sau xóa tất cả các phiên DMVPN, cả tĩnh và động, đối với tunnel đã chỉ định.
Ví dụ:
Router# clear dmvpn session interface tunnel 5 staticBước 2
clear dmvpn statistics
Lệnh này được sử dụng để xóa các bộ đếm liên quan đến DMVPN. Ví dụ sau đây cho thấy cách xóa bộ đếm phiên liên quan đến DMVPN cho giao diện tunnel được chỉ định.
Ví dụ:
Router#
clear dmvpn statistics interface tunnel 5Bước 3
debug dmvpn
Lệnh này được sử dụng để gỡ lỗi các phiên DMVPN. Bạn có thể bật hoặc tắt gỡ lỗi DMVPN dựa trên một điều kiện cụ thể. Có ba cấp độ gỡ lỗi DMVPN, được liệt kê theo thứ tự chi tiết từ thấp nhất đến cao nhất:
- Error level
- Detail level
- Packet level
Ví dụ sau đây cho thấy cách bật tính năng gỡ lỗi DMVPN có điều kiện hiển thị tất cả các bản sửa lỗi cho NHRP, socket, bảo vệ tunnel và thông tin về crypto.
Ví dụ:
Router# debug dmvpn error allBước 4
debug dmvpn condition
Lệnh này hiển thị thông tin phiên DMVPN gỡ lỗi có điều kiện. Ví dụ sau đây cho thấy cách bật gỡ lỗi có điều kiện cho một giao diện tunnel cụ thể.
Ví dụ:
Router# debug dmvpn condition interface tunnel 5Bước 5
debug nhrp condition
Lệnh này bật hoặc tắt gỡ lỗi dựa trên một điều kiện cụ thể. Ví dụ sau đây cho thấy cách bật gỡ lỗi NHRP có điều kiện.
Ví dụ:
Router#
debug nhrp conditionBước 6
debug nhrp error
Lệnh này hiển thị thông tin về hoạt động lỗi NHRP. Ví dụ sau đây cho thấy cách bật gỡ lỗi cho các thông báo lỗi NHRP.
Ví dụ:
Router#
debug nhrp errorBước 7
logging dmvpn
Lệnh này được sử dụng để kích hoạt DMVPN system logging. Ví dụ sau đây cho thấy cách bật DMVPN system logging với tốc độ 1 tin nhắn cứ sau 20 giây.
Ví dụ:
Router(config)#
logging dmvpn rate-limit 20Ví dụ sau đây hiển thị nhật ký hệ thống mẫu với các thông báo DMVPN.
Ví dụ:
%DMVPN-7-CRYPTO_SS: Tunnel101-192.0.2.1 socket is UP
%DMVPN-5-NHRP_NHS: Tunnel101 192.0.2.251 is UP
%DMVPN-5-NHRP_CACHE: Client 192.0.2.2 on Tunnel1 Registered.
%DMVPN-5-NHRP_CACHE: Client 192.0.2.2 on Tunnel101 came UP.
%DMVPN-3-NHRP_ERROR: Registration Request failed for 192.0.2.251 on Tunnel101Bước 8
show crypto ipsec sa
Lệnh này hiển thị các cài đặt được sử dụng bởi các SA hiện tại. Ví dụ đầu ra sau đây chỉ hiển thị trạng thái IPsec SA của thiết bị đang hoạt động.
Ví dụ:
Router#
show crypto ipsec sa active
interface: gigabitethernet0/0/0
Crypto map tag: to-peer-outside, local addr 209.165.201.3
protected vrf: (none
local ident (addr/mask/prot/port): (192.168.0.1/255.255.255.255/0/0)
remote ident (addr/mask/prot/port): (172.16.0.1/255.255.255.255/0/0)
current_peer 209.165.200.225 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3
#pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0
local crypto endpt.: 209.165.201.3, remote crypto endpt.: 209.165.200.225
path mtu 1500, media mtu 1500
current outbound spi: 0xD42904F0(3559458032)
inbound esp sas:
spi: 0xD3E9ABD0(3555306448)
transform: esp-3des ,
in use settings ={Tunnel, }
conn id: 2006, flow_id: 6, crypto map: to-peer-outside
sa timing: remaining key lifetime (k/sec): (4586265/3542)
HA last key lifetime sent(k): (4586267)
ike_cookies: 9263635C CA4B4E99 C14E908E 8EE2D79C
IV size: 8 bytes
replay detection support: Y
Status: ACTIVEBước 9
show crypto isakmp sa
Lệnh này hiển thị tất cả các IKE SA ngang hàng hiện tại. Ví dụ: đầu ra mẫu sau đây được hiển thị sau khi đàm phán IKE đã hoàn tất thành công giữa hai peer.
Ví dụ:
Router# show crypto isakmp sa
dst src state conn-id slot
172.17.63.19 172.16.175.76 QM_IDLE 2 0
172.17.63.19 172.17.63.20 QM_IDLE 1 0
172.16.175.75 172.17.63.19 QM_IDLE 3 0Bước 10
show crypto map
Lệnh này hiển thị cấu hình crypto map. Đầu ra mẫu sau đây được hiển thị sau khi crypto map đã được định cấu hình.
Ví dụ:
Router# show crypto map
Crypto Map "Tunnel5-head-0" 10 ipsec-isakmp
Profile name: vpnprof
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
Crypto Map "Tunnel5-head-0" 20 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.16.175.75
Extended IP access list
access-list permit gre host 172.17.63.19 host 172.16.175.75
Current peer: 172.16.175.75
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
Crypto Map "Tunnel5-head-0" 30 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.17.63.20
Extended IP access list
access-list permit gre host 172.17.63.19 host 172.17.63.20
Current peer: 172.17.63.20
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
Crypto Map "Tunnel5-head-0" 40 ipsec-isakmp
Map is a PROFILE INSTANCE.
Peer = 172.16.175.76
Extended IP access list
access-list permit gre host 172.17.63.19 host 172.16.175.76
Current peer: 172.16.175.76
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={trans2, }
Interfaces using crypto map Tunnel5-head-0:Tunnel5
Bước 11
show dmvpn
Lệnh này hiển thị phiên DMVPN-specific. Mẫu sau đây hiển thị đầu ra tóm tắt ví dụ.
Ví dụ:
Router# show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
! The line below indicates that the sessions are being displayed for Tunnel1.
! Tunnel1 is acting as a spoke and is a peer with three other NBMA peers.
Tunnel1, Type: Spoke, NBMA Peers: 3,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
2 192.0.2.21 192.0.2.116 IKE 3w0d D
1 192.0.2.102 192.0.2.11 NHRP 02:40:51 S
1 192.0.2.225 192.0.2.10 UP 3w0d S
Tunnel2, Type: Spoke, NBMA Peers: 1,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 192.0.2.25 192.0.2.171 IKE never S Bước 12
show ip nhrp traffic
Lệnh này hiển thị thống kê NHRP. Ví dụ sau hiển thị đầu ra cho một đường hầm cụ thể (tunnel7)
Ví dụ:
Router# s
how ip nhrp traffic interface tunnel7
Tunnel7: Max-send limit:10000Pkts/10Sec, Usage:0%
Sent: Total 79
18 Resolution Request 10 Resolution Reply 42 Registration Request
0 Registration Reply 3 Purge Request 6 Purge Reply
0 Error Indication 0 Traffic Indication
Rcvd: Total 69
10 Resolution Request 15 Resolution Reply 0 Registration Request
36 Registration Reply 6 Purge Request 2 Purge Reply
0 Error Indication 0 Traffic IndicationĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT
ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.
ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.
Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router Cisco, Hãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội
- Địa chỉ: Số 59 Võ Chí Công, Phường Nghĩa Đô, Quận Cầu Giấy, TP Hà Nội.
- Hotline/Zalo: 0936.366.606
- Email: info@anbinhnet.com.vn
- Website: https://anbinhnet.com.vn/
Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn
- Địa chỉ: Số 736/182 Lê Đức Thọ, Phường 15, Quận Gò Vấp, TP Hồ Chí Minh
- Hotline/Zalo: 0936.366.606
- Email: info@anbinhnet.com.vn
- Website: https://anbinhnet.com.vn/