Hướng Dẫn Cấu Hình Dynamic Multipoint VPN Trên Router Cisco

TỔNG QUAN VỀ DYNAMIC MULTIPOINT VPN TRÊN ROUTER CISCO

Dynamic Multipoint VPN Trên Router Cisco Là Gì?

Tính năng Dynamic Multipoint VPN trên các thiết bị Router Cisco cho phép người dùng mở rộng quy mô IP Security (IPsec) Virtual Private Networks (VPNs) lớn và nhỏ tốt hơn bằng cách kết hợp các tunnel generic routing encapsulation (GRE), mã hóa IPsec và Next Hop Resolution Protocol (NHRP).

Lợi Ích Của Dynamic Multipoint VPN Trên Router Cisco

Dưới đây là những lợi ích cụ thể mà tính năng Dynamic Multipoint VPN mang đến cho người dùng:

Giảm Cấu Hình Của Hub Router

  • Đối với mỗi thiết bị spoke router, có một khối các dòng cấu hình riêng biệt trên hub router xác định các đặc điểm crypto map, danh sách truy cập crypto và giao diện tunnel GRE. Tính năng này cho phép người dùng định cấu hình một giao diện tunnel mGRE, một cấu hình IPsec duy nhất và không có danh sách truy cập crypto trên bộ định tuyến trung tâm để xử lý tất cả các bộ định tuyến đã nói. Do đó, kích thước của cấu hình trên hub router không đổi ngay cả khi các speak router được thêm vào mạng.
  • Kiến trúc DMVPN có thể nhóm nhiều spoke thành một giao diện multipoint GRE duy nhất, loại bỏ nhu cầu về giao diện logic hoặc vật lý riêng biệt cho mỗi spoke trong cài đặt IPsec gốc.

Bắt Đầu Mã Hóa IPsec Tự Động

  • GRE có địa chỉ nguồn và đích ngang hàng được định cấu hình hoặc giải quyết bằng NHRP. Do đó, tính năng này cho phép IPsec được kích hoạt ngay lập tức cho point-to-point GRE tunneling hoặc khi địa chỉ GRE peer được giải quyết thông qua NHRP cho tunnel multipoint GRE.

Hỗ Trợ Cho Các Spoke Router Được Định Địa Chỉ Động

  • Khi sử dụng các mạng point-to-point GRE và IPsec hub-and-spoke VPN, địa chỉ IP giao diện vật lý của các router spoke phải được biết khi cấu hình hub router vì địa chỉ IP phải được cấu hình làm địa chỉ đích của tunnel GRE. Tính năng này cho phép spoke router có địa chỉ IP giao diện vật lý động (phổ biến cho các kết nối cáp và DSL). Khi bộ định tuyến spoke trực tuyến, nó sẽ gửi các gói đăng ký đến bộ định tuyến hub: trong các gói đăng ký này là địa chỉ IP giao diện vật lý hiện tại của spoke router này.

Tạo Dynamic Cho Spoke-to-Spoke Tunnel

  • Tính năng này loại bỏ nhu cầu cấu hình spoke-to-spoke cho cho các tunnel trực tiếp. Khi một speak router muốn truyền một gói tin đến một speak router khác, giờ đây nó có thể sử dụng NHRP để xác định động địa chỉ đích cần thiết của speak router mục tiêu. (Hub router đóng vai trò là máy chủ NHRP, xử lý yêu cầu đối với speak router nguồn). Hai speak router tự động tạo một IPsec tunnel giữa chúng để dữ liệu có thể được truyền trực tiếp.

CÁC BƯỚC CẤU HÌNH DYNAMIC MULTIPOINT VPN TRÊN ROUTER CISCO

Cấu Hình IPsec Profile Trên Router Cisco

IPsec profile chia sẻ hầu hết các lệnh giống với cấu hình crypto map, nhưng chỉ một tập hợp con của các lệnh là hợp lệ trong cấu hình IPsec. Chỉ các lệnh liên quan đến chính sách IPsec mới có thể được ban hành trong cấu hình IPsec; bạn không thể chỉ định địa chỉ IPsec ngang hàng hoặc Access Control List (ACL) để khớp với các gói sẽ được mã hóa.

  Lệnh hoặc Hành động Mục đích
Bước 1 enable

Ví dụ:

 

Router> enable

Bật chế độ EXEC đặc quyền

  • Nhập mật khẩu của bạn nếu được nhắc
Bước 2 configure terminal

Ví dụ:

 

Router# configure terminal

Vào chế độ cấu hình chung
Bước 3 crypto ipsec profile name

Ví dụ:

 

Router(config)#

crypto ipsec profile vpnprof

Xác định các tham số IPsec sẽ được sử dụng để mã hóa IPsec giữa các bộ định tuyến “spoke và hub” và “spoke và speak”.

  • Lệnh này vào chế độ crypto map
  • Đối số name chỉ định tên của IPsec profile
    Bước 4 set transform-set transform-set-name

    Ví dụ:

     

    Router(config-crypto-map)# set transform-set trans2

    Chỉ định bộ biến đổi nào có thể được sử dụng với IPsec profile.

    • Đối số transform-set-name chỉ định tên của bộ biến đổi
    Bước 5 set identity

    Ví dụ:

     

    Router(config-crypto-map)# set identity

    (Tùy chọn) Chỉ định các hạn chế nhận dạng sẽ được sử dụng với IPsec profile.
    Bước 6 set security association lifetime {seconds seconds | kilobytes kilobytes }

    Ví dụ:

     

    Router(config-crypto-map)# set security association lifetime seconds 1800

    (Tùy chọn) Ghi đè giá trị global lifetime cho IPsec profile.

    • Tùy chọn seconds seconds chỉ định số giây SA sẽ tồn tại trước khi hết hạn; tùy chọn kilobytes kilobytes chỉ định khối lượng lưu lượng (tính bằng kilobyte) có thể truyền giữa các IPsec ngang hàng bằng cách sử dụng liên kết bảo mật nhất định trước khi liên kết bảo mật đó hết hạn.
    • Giá trị mặc định cho đối số seconds là 3600 giây
    Bước 7 set pfs [group1 | group2 ]

    Ví dụ:

     

    Router(config-crypto-map)# set pfs group2

    (Tùy chọn) Chỉ định rằng IPsec sẽ yêu cầu perfect forward secrecy (PFS) khi yêu cầu liên kết bảo mật mới IPsec profile này.

    • Nếu lệnh này không được chỉ định, mặc định (group1) sẽ được bật
    • Từ khóa group1 chỉ định rằng IPsec nên sử dụng nhóm mô đun nguyên tố Diffie-Hellman (DH) 768-bit khi thực hiện trao đổi DH mới; từ khóa group2 chỉ định nhóm mô đun nguyên tố DH 1024 bit.

    Cấu Hình Hub Cho Dynamic Multipoint VPN Trên Router Cisco

    Để định cấu hình hub router để tích hợp mGRE và IPsec (nghĩa là liên kết tunnel với cấu hình IPsec được định cấu hình trong quy trình trước đó), hãy sử dụng các lệnh sau.

      Lệnh hoặc Hành động Mục đích
    Bước 1 enable

    Ví dụ:

     

    Router> enable

    Bật chế độ EXEC đặc quyền

    • Nhập mật khẩu của bạn nếu được nhắc
    Bước 2 configure terminal

    Ví dụ:

     

    Router# configure terminal

    Vào chế độ cấu hình chung
    Bước 3 interface tunnel number

    Ví dụ:

     

    Router(config)#

    interface tunnel 5

    Cấu hình giao diện tunnel và vào chế độ cấu hình chung

    • Đối số number chỉ định số lượng giao diện tunnel mà bạn muốn tạo hoặc định cấu hình. Không có giới hạn về số lượng giao diện tunnel bạn có thể tạo.
    Bước 4 ip address ip-address mask secondary

    Ví dụ:

     

    Router(config-if)# ip address 10.0.0.1 255.255.255.0

    Đặt địa chỉ IP chính hoặc phụ cho giao diện tunnel

    Note  Tất cả các hub và spoke trong cùng một mạng DMVPN phải được xử lý trong cùng một mạng con IP.
    Bước 5 ip mtu bytes

    Ví dụ:

     

    Router(config-if)# ip mtu 1400

    Đặc kích thước đơn vị truyền dẫn (MTU) tối đa, tính bằng byte, của các gói IP được gửi trên một giao diện
    Bước 6 ip nhrp authentication string

    Ví dụ:

     

    Router(config-if)# ip nhrp authentication donttell

    Cấu hình chuỗi xác thực cho giao diện bằng NHRP.

    Note  Chuỗi xác thực NHRP phải được đặt cùng một giá trị trên tất cả hub và spoke trong cùng một mạng DMVPN.
    Bước 7 ip nhrp map multicast dynamic

    Ví dụ:

     

    Router(config-if)# ip nhrp map multicast dynamic

    Cho phép NHRP tự động thêm các spoke routers vào ánh xạ NHRP đa hướng.

    Note  Hiệu quả với Cisco IOS XE Denali 16.3 ip nhrp map multicast dynamic được bật theo mặc định.
    Bước 8 ip nhrp network-id number

    Ví dụ:

     

    Router(config-if)# ip nhrp network-id 99

    Bật NHRP trên một giao diện.

    • Đối số number chỉ định mã định danh mạng 32-bit duy nhất trên toàn hệ thống từ mạng nonbroadcast multiaccess (NBMA). Phạm vi từ 1 đến 4294967295
    Note  Hiệu quả với Cisco IOS XE Denali 16.3 ip nhrp network-id được bật theo mặc định.
    Bước 9 tunnel source {ip-address | type number }

    Ví dụ:

     

    Router(config-if)# tunnel source Gigabitethernet 0/0/0

    Đặt địa chỉ nguồn cho giao diện tunnel
    Bước 10 tunnel key key-number

    Ví dụ:

     

    Router(config-if)# tunnel key 100000

    (Tùy chọn) Bật khóa ID key cho giao diện tunnel

    • Đối số key-number chỉ định một số số từ 0 đến 4,294,967,295 để xác định khóa tunnel.
    Note  Số khóa phải được đặt cùng một giá trị trên tất cả các hub và spoke trong cùng một mạng DMVPN.
    Bước 11 tunnel mode gre multipoint

    Ví dụ:

     

    Router(config-if)#

    tunnel mode gre multipoint

    Đặt địa chỉ đóng gói thành mGRE cho giao diện tunnel.
    Bước 12 Thực hiện một trong các lệnh sau:

    ·        tunnel protection ipsec profile name

    ·        tunnel protection psk key

    Ví dụ:

     

    Router(config-if)#

    tunnel protection ipsec profile vpnprof

    Ví dụ:

     

    Router(config-if)#

    tunnel protection psk test1

    Liên kết giao diện tunnel với IPsec profile.

    • Đối số name chỉ định tên của IPsec profile, giá trị này phải khớp với name được chỉ định trong lệnh crypto ipsec profile name

    Hoặc

    Đơn giản hóa cấu hình bảo vệ tunnel cho pre-shared key (PSK) bằng cách tạo IPsec profile mặc định.

    Bước 13 bandwidth kbps

    Ví dụ:

     

    Router(config-if)# bandwidth 1000

    Đặt giá trị băng thông hiện tại cho một giao diện thành các giao thức cấp cao hơn.

    • Đối số kbps chỉ định băng thông tính bằng kilobit/giây. Giá trị mặc định là 9. Giá trị băng thông được khuyến nghị là 1000 hoặc cao hơn
    • Cài đặt giá trị băng thông một định ít nhất là 1000 vô cùng quan trọng nếu EIGRP được sử dụng trên giao diện tunnel. Giá trị băng thông cao hơn có thể cần thiết tùy thuộc vào số spoke được hỗ trợ bởi 1 hub.
    Bước 14 ip tcp adjust-mss max-segment-size

    Ví dụ:

     

    Router(config-if)# ip tcp adjust-mss 1360

    Điều chỉnh giá trị maximum segment size (MSS) của các gói TCP đi qua Router Cisco

    • Đối số max-segment-size chỉ định kích thước phân đoạn tối đa tính bằng byte. Phạm vi từ 500 đến 1460
    • Giá trị được khuyến nghị là 1360 khi số byte IP MTU được đặt là 1400. Với các cài đặt được đề xuất này, các phiên TCP sẽ nhanh chóng thu nhỏ quy mô trở lại các gói IP 1400 byte để các gói sẽ “fit” trong tunnel.
    Bước 15 ip nhrp holdtime seconds

    Ví dụ:

     

    Router(config-if)# ip nhrp holdtime 450

    Thay đổi số giây mà các địa chỉ NHRP NBMA được giới thiệu là hợp lệ trong các phản hồi NHRP có thẩm quyền.

    • Đối số seconds chỉ định thời gian tính bằng giây mà địa chỉ NBMA được giới thiệu là hợp lệ trong các phản hồi NHRP có thẩm quyền tích cực. Giá trị được khuyến nghị nằm trong khoảng từ 300 giây đến 600 giây.
    Bước 16 delay number

    Ví dụ:

     

    Router(config-if)# delay 1000

    (Tùy chọn) Thay đổi chỉ số định tuyến EIGRP cho các route đã học qua giao diện tunnel.

    • Đối số number chỉ định thời gian trễ tính bằng giây. Giá trị được khuyến nghị là 1000

    Cấu Hình Spoke Cho Dynamic Multipoint VPN Trên Router Cisco

    Thực hiện các lệnh sau để cấu hình spoke router Cisco để tích hợp mGRE và IPsec.

      Lệnh hoặc Hành động Mục đích
    Bước 1 enable

    Ví dụ:

     

    Router> enable

    Bật chế độ đặc quyền EXEC

    • Nhập mật khẩu của bạn nếu được nhắc

     

    Bước 2 configure terminal

    Ví dụ:

     

    Router# configure terminal

    Vào chế độ cấu hình chung
    Bước 3 interface tunnel number

    Ví dụ:

     

    Router(config)#

    interface tunnel 5

    Cấu hình giao diện tunnel và vào chế độ cấu hình giao diện.

    • Đối số number chỉ định số của giao diện tunnel mà bạn muốn tạo hoặc cấu hình. Không có giới hạn về số lượng giao diện tunnel bạn có thể tạo
    Bước 4 ip address ip-address mask secondary

    Ví dụ:

     

    Router(config-if)# ip address 10.0.0.2 255.255.255.0

    Đặt địa chỉ IP chính hoặc phụ cho giao diện tunnel.

    Note  Tất cả hub và spoke trong cùng một mạng DMVPN phải được xử lý trong cùng một mạng con IP
    Bước 5 ip mtu bytes

    Ví dụ:

     

    Router(config-if)# ip mtu 1400

    Đặt kích thước MTU tính bằng byte, của các gói IP được gửi trên một giao diện.
    Bước 6 ip nhrp authentication string

    Ví dụ:

     

    Router(config-if)# ip nhrp authentication donttell

    Cấu hình chuỗi xác thực cho giao diện bằng cách sử dụng NHRP.

    Note  Chuỗi xác thực NHRP phải được đặt thành cùng một giá trị trên tất cả các hub và spoke trong cùng một mạng DMVPN.
    Bước 7 ip nhrp map hub-tunnel-ip-address hub-physical-ip-address

    Ví dụ:

     

    Router(config-if)# ip nhrp map 10.0.0.1 172.17.0.1

    Cấu hình ánh xạ địa chỉ tĩnh IP-to-NBMA của các đích IP được kết nối với mạng NBMA.

    • hub-tunnel-ip-address –Xác định máy chủ NHRP tại trung tâm, được ánh xạ vĩnh viễn tới địa chỉ IP tĩnh công khai của hub
    • hub-physical-ip-address –Xác định địa chỉ IP tĩnh công khai của hub
    Bước 8 ip nhrp map multicast hub-physical-ip-address

    Ví dụ:

     

    Router(config-if)# ip nhrp map multicast 172.17.0.1

    Cho phép sử dụng giao thức định tuyến động giữa spoke và hub, đồng thời gửi các gói phát đa hướng đến hub router.
    Bước 9 ip nhrp nhs hub-tunnel-ip-address

    Ví dụ:

     

    Router(config-if)# ip nhrp nhs 10.0.0.1

    Cấu hình hub router làm NHRP next-hop server.
    Bước 10 ip nhrp network-id number

    Ví dụ:

     

    Router(config-if)# ip nhrp network-id 99

    Kích hoạt NHRP trên một giao diện

    • Đối số number chỉ định mã định danh mạng 32-bit duy nhất trên toàn hệ thống từ mạng NBMA. Phạm vi từ 1 đến 4294967295
    Note  Hiệu quả với Cisco IOS XE Denali 16.3 ip nhrp network-id được bật theo mặc định
    Bước 11 tunnel source {ip-address | type number }

    Ví dụ:

     

    Router(config-if)# tunnel source Gigabitethernet 0/0/0

    Đặt địa chỉ nguồn cho giao diện tunnel
    Bước 12 tunnel key key-number

    Ví dụ:

     

    Router(config-if)# tunnel key 100000

    (Tùy chọn) Bật khóa ID cho giao diện tunnel.

    • Đối số key-number chỉ định số một số từ 0 đến 4,294,967,295 xác định khóa tunnel.
    • Key number phải được đặt thành cùng một giá trị trên tất cả các hub và spoke trong cùng một mạng DMVPN.
    Bước 13 Thực hiện một trong các lệnh sau:

    ·        tunnel mode gre multipoint

    ·        tunnel destination hub-physical-ip-address

    Ví dụ:

     

    Router(config-if)# tunnel mode gre multipoint

    Ví dụ:

     

    Router(config-if)# tunnel destination 172.17.0.1

    Đặt chế độ encapsulation thành mGRE cho giao diện tunnel.

    • Sử dụng lệnh này nếu lưu lượng dữ liệu có thể sử dụng lưu lượng speak-to-spoke động.

    Chỉ định đích ccho một giao diện tunnel

    • Sử dụng lệnh này nếu lưu lượng dữ liệu có thể sử dụng hub-and-spoke tunnel
    Bước 14 Thực hiện một trong các hành động sau:

    ·        tunnel protection ipsec profile name

    ·        tunnel protection psk key

    Ví dụ:

     

    Router(config-if)# tunnel protection ipsec profile vpnprof

    Ví dụ:

     

    Router(config-if)#

    tunnel protection psk test1

    Liên kết giao diện tunnel với cấu hình IPsec.

    • Đối số name chỉ định tên của giao diện IPsec; giá trị này phải khớp với name được chỉ định trong lệnh crypto ipsec profile name

    Hoặc

    Đơn giản hóa cấu hình bảo vệ tunnel cho pre-shared key (PSK) bằng cách tạo giao diện IPsec mặc định

    Bước 15 bandwidth kbps

    Ví dụ:

     

    Router(config-if)# bandwidth 1000

    Đặt giá trị băng thông hiện tại cho một giao diện thành các giao thức cấp cao hơn.

    • Đối số kbps chỉ định băng thông tính bằng kilobit/giây. Giá trị mặc định là 9. Giá trị được khuyến nghị là từ 1000 hoặc cao hơn.
    • Cài đặt băng thông cho spoke không cần bằng cài đặt băng thông cho DMVPN hub. Sẽ dễ dàng hơn nếu tất cả các spoke sử dụng cùng một giá trị hoặc tương tự nhau. 
    Bước 16 ip tcp adjust-mss max-segment-size

    Ví dụ:

     

    Router(config-if)# ip tcp adjust-mss 1360

    Điều chỉnh giá trị MSS của các gói TCP đi qua bộ định tuyến.

    • Đối số max-segment-size chỉ định kích thước phân đoạn tối đa tính bằng byte. Phạm vi là từ 500 đến 1460.
    • Giá trị số được đề xuất là 1360 khi số byte của IP MTU được đặt là 1400. Với các cài đặt được đề xuất này, các phiên TCP sẽ nhanh chóng thu nhỏ quy mô trở lại các gói IP 1400 byte để các gói sẽ “fit” trong tunnel.
    Bước 17 ip nhrp holdtime seconds

    Ví dụ:

     

    Router(config-if)# ip nhrp holdtime 450

    Thay đổi số giây mà các địa chỉ NHRP NBMA được giới thiệu là hợp lệ trong các phản hồi NHRP có thẩm quyền.

    • Đối số seconds chỉ định thời gian tính bằng giây mà các địa chỉ NBMA được giới t hiệu là hợp lệ trong các phản hồi NHRP có thẩm quyền tích cực. Giá trị được khuyến nghị nằm trong khoảng từ 300 giây đến 600 giây.
    Bước 18 delay number

    Ví dụ:

     

    Router(config-if)# delay  1000

    (Tùy chọn) Thay đổi chỉ số định tuyến EIGRP cho các route đã học qua giao diện tunnel

    • Đối số number chỉ định thời gian trễ tính bằng giây. Giá trị được khuyến nghị là 1000.

    Cấu Hình Chuyển Tiếp Gói Clear-Text Data IP Thành VRF Trên Router Cisco

    Để định cấu hình chuyển tiếp các gói clear-text data IP vào VRF trên Router Cisco, hãy thực hiện các bước sau. Cấu hình này giả định VRF Blue đã được cấu hình.

      Lệnh hoặc Hành động Mục đích
    Bước 1 enable

    Ví dụ:

     

    Router> enable

    Bật chế độ EXEC đặc quyền

    • Nhập mật khẩu của bạn nếu được nhắc
    Bước 2 configure terminal

    Ví dụ:

     

    Router# configure terminal

    Vào chế độ cấu hình chung
    Bước 3 interface type number

    Ví dụ:

     

    Router(config)# interface tunnel 0

    Cấu hình một kiểu giao diện và vào chế độ cấu hình giao diện
    Bước 4 ip vrf forwarding vrf-name

    Ví dụ:

     

    Router(config-if)# ip vrf forwarding Blue

    Cho phép chuyển tiếp các gói clear-text data IP vào VRF.

    Cấu Hình Chuyển Tiếp Gói Encrypted Tunnel Thành VRF Trên Router Cisco

    Để định cấu hình chuyển tiếp các gói Encrypted Tunnel vào VRF trên Router Cisco, hãy thực hiện các bước sau. Cấu hình này giả định VRF Red đã được cấu hình.

      Lệnh hoặc Hành động Mục đích
    Bước 1 enable

    Ví dụ:

     

    Router> enable

    Bật chế độ EXEC đặc quyền.

    • Nhập mật khẩu của bạn nếu được nhắc
    Bước 2 configure terminal

    Ví dụ:

     

    Router# configure terminal

    Vào chế độ cấu hình chung
    Bước 3 interface type number

    Ví dụ:

     

    Router(config)# interface tunnel 0

    Cấu hình một kiểu giao diện và vào chế độ cấu hình giao diện
    Bước 4 tunnel vrf vrf-name

    Ví dụ:

     

    Router(config-if)# tunnel vrf RED

    Liên kết một phiên bản VPN VRF với một đích đến, giao diện hoặc giao diện phụ của tunnel cụ thể và cho phép chuyển tiếp các gói tunnel được mã hóa vào một VRF

    Cấu Hình Traffic Segmentation Trong DMVPN Trên Router Cisco

    Thực hiện các tác vụ sau để thực hiện cấu hình phân đoạn lưu lượng trong DMVPN trên Router Cisco

    Bật MPLS Trên VPN Tunnel

    Vì việc phân đoạn lưu lượng trong DMVPN tunnel phụ thuộc vào MPLS, nên bạn phải định cấu hình MPLS cho từng phiên bản VRF trong đó lưu lượng sẽ được phân đoạn.

      Lệnh hoặc Hành động Mục đích
    Bước 1

    enable

    Ví dụ:

     Router> enable

    Bật chế độ đặc quyền EXEC

    • Nhập mật khẩu của bạn nếu được nhắc
    Bước 2

    configure terminal

    Ví dụ:

     Router# configure terminal

    Vào chế độ cấu hình chung

    Bước 3

    interface type number

    Ví dụ:

     Router(config)# interface tunnel 0

    Cấu hình một kiểu giao diện và vào chế độ cấu hình giao diện

    Bước 4

    mpls ip

    Ví dụ:

     Router(config-if)# mpls ip

    Cho phép gắn thẻ MPLS cho các gói trên giao diện tunnel được chỉ định

    Cấu Hình Multiprotocol BGP Trên Hub Router

    Bạn phải cấu hình multiprotocol iBGP (MP-iBGP) để cho phép quảng cáo các tiền tố và nhãn VPNv4 được áp dụng cho lưu lượng VPN. Sử dụng BGP để định cấu hub làm Route Reflector. Để buộc tất cả lưu lượng truy cập được định tuyến qua hub, hãy định cấu hình BGP Route Reflector để thay đổi bước tiếp theo thành chính nó khi nó quảng cáo tiền tố VPNv4 cho các route reflector client.

      Lệnh hoặc Hành động Mục đích
    Bước 1

    enable

    Ví dụ:

     Router> enable

    Bật chế độ EXEC đặc quyền

    • Nhập mật khẩu của bạn nếu được nhắc
    Bước 2

    configure terminal

    Ví dụ:

     Router# configure terminal

    Vào chế độ cấu hình chung

    Bước 3

    router bgp autonomous-system-number

    Ví dụ:

     Router(config)# router bgp 1

    Cho phép cấu hình quy trình định tuyến BGP

    Bước 4

    neighbor ipaddress remote-as as  number

    Ví dụ:

     Router(config-router)# neighbor 10.0.0.11 remote-as 1

    Thêm một mục vào BGP hoặc bảng multiprotocol BGP neighbor.

    Bước 5

    neighbor ipaddress update-source interface

    Ví dụ:

     Router(config-router)# neighbor 10.10.10.11 update-source Tunnel1

    Cấu hình phần mềm Cisco IOS XE để cho phép các phiên BGP sử dụng bất kỳ giao diện hoạt động nào cho các kết nối TCP.

    Bước 6

    address-family vpnv4

    Ví dụ:

     Router(config)# address-family vpnv4

    Vào chế độ cấu hình address family để cấu hình phiên định tuyến bằng các tiền tố địa chỉ VPNv4.

    Bước 7

    neighbor ipaddress activate

    Ví dụ:

     Router(config-router-af)# neighbor 10.0.0.11 activate

    Cho phép trao đổi thông tin với BGP neighbor.

    Bước 8

    neighbor ipaddress send-community extended

    Ví dụ:

     Router(config-router-af)# neighbor 10.0.0.11 send-community extended

    Chỉ định rằng các thuộc tính cộng đồng mở rộng sẽ được gửi tới một BGP lân cận.

    Bước 9

    neighbor ipaddress route-reflector-client

    Ví dụ:

     Router(config-router-af)# neighbor 10.0.0.11 route-reflector-client

    Cấu hình router làm BGP Route Reflector và cấu hình neighbor được chỉ định làm client của nó.

    Bước 10

    neighbor ipaddress route-map nexthop out

    Ví dụ:

     Router(config-router-af)# neighbor 10.0.0.11 route-map nexthop out

    Buộc tất cả lưu lượng truy cập được định tuyến qua hub

    Bước 11

    exit

    Ví dụ:

     Router(config-router-af)# exit

    Thoát khỏi chế độ cấu hình address family cho VPNv4.

    Bước 12

    address-family ipv4 vrf-name

    Ví dụ:

     Router(config)# address-family ipv4 red

    Vào chế độ cấu hình address family để cấu hình phiên định tuyến bằng các tiền tố địa chỉ IPv4 tiêu chuẩn.

    Bước 13

    redistribute connected

    Ví dụ:

     Router(config-router-af)# redistribute connected

    Phân phối lại các route được thiết lập tự động nhờ bật IP trên giao diện từ một miền định tuyến sang miền định tuyến khác.

    Bước 14

    route-map map-tag [permit | deny ] [sequence-number ]

    Ví dụ:

     Router(config-router-af)# route-map cisco permit 10

    Nhập chế độ cấu hình route map để cấu hình next-hop sẽ được giới thiệu tới các spoke.

    Bước 15

    set ip next-hop ipaddress

    Ví dụ:

     Router(config-route-map)# set ip next-hop 10.0.0.1

    Đặt hop tiếp theo làm hub.

    Cấu Hình Multiprotocol BGP Trên Spoke Router

      Lệnh hoặc Hành động Mục đích
    Bước 1

    enable

    Ví dụ:

     Router> enable

    Bật chế độ đặc quyền EXEC

    • Nhập mật khẩu của bạn nếu được nhắc
    Bước 2

    configure terminal

    Ví dụ:

     Router# configure terminal

    Vào chế độ cấu hình chung

    Bước 3

    router bgp autonomous-system-number

    Ví dụ:

     Router(config)# router bgp 1

    Vào chế độ cấu hình BGP

    Bước 4

    neighbor ipaddress remote-as as  number

    Ví dụ:

     Router(config-router)# neighbor 10.0.0.1 remote-as 1

    Thêm một mục vào BGP hoặc bảng multiprotocol BGP neighbor.

    Bước 5

    neighbor ipaddress update-source interface

    Ví dụ:

     Router(config-router)# neighbor 10.10.10.1 update-source Tunnel1

    Cấu hình phần mềm Cisco IOS XE để cho phép các phiên BGP sử dụng bất kỳ giao diện hoạt động nào cho các kết nối TCP.

    Bước 6

    address-family vpnv4

    Ví dụ:

     Router(config)# address-family vpnv4

    Vào chế độ cấu hình address family để định cấu hình phiên định tuyến bằng các tiền tố địa chỉ VPNv4.

    Bước 7

    neighbor ipaddress activate

    Example:

     Router(config-router-af)# neighbor 10.0.0.1 activate

    Cho phép trao đổi thông tin với BGP lân cận.

    Bước 8

    neighbor ipaddress send-community extended

    Ví dụ:

     Router(config-router-af)# neighbor 10.0.0.1 send-community extended

    Chỉ định rằng các thuộc tính cộng đồng mở rộng sẽ được gửi tới một BGP lân cận.

    Bước 9

    exit

    Ví dụ:

     Router(config-router-af)# exit

    Thoát khỏi chế độ cấu hình address family.

    Bước 10

    address-family ipv4 vrf-name

    Ví dụ:

     Router(config)# address-family ipv4 red

    Vào chế độ cấu hình để định cấu hình phiên định tuyến bằng các tiền tố địa chỉ IPv4 tiêu chuẩn.

    Bước 11

    redistribute connected

    Ví dụ:

     Router(config-router-af)# redistribute connected

    Phân phối lại các route được thiết lập tự động nhờ bật IP trên giao diện từ một miền định tuyến sang miền định tuyến khác

    Bước 12

    exit

    Ví dụ:

     Router(config-router-af)# exit

    Thoát khỏi chế độ cấu hình address family

    Note 

    Lặp lại các bước từ 10 đến 12 cho mỗi VRF.

    Khắc Phục Sự Cố Dynamic Multipoint VPN Trên Router Cisco

    Sau khi cấu hình Dynamic Multipoint VPN trên Router Cisco, hãy thực hiện các bước tùy chọn sau trong tác vụ này để xác minh rằng DMVPN đang hoạt động chính xác, để xóa số liệu thống kê hoặc phiên DMVPN hoặc để gỡ lỗi DMVPN. Các lệnh này có thể được sử dụng theo bất kỳ thứ tự nào.

    Bước 1

    clear dmvpn session

    Lệnh này xóa các phiên DMVPN. Ví dụ sau chỉ xóa các phiên DMVPN động cho tunnel đã chỉ định.

    Ví dụ:

    Router# clear dmvpn session interface tunnel 5

    Ví dụ sau xóa tất cả các phiên DMVPN, cả tĩnh và động, đối với tunnel đã chỉ định.

    Ví dụ:

    Router# clear dmvpn session interface tunnel 5 static

    Bước 2

    clear dmvpn statistics

    Lệnh này được sử dụng để xóa các bộ đếm liên quan đến DMVPN. Ví dụ sau đây cho thấy cách xóa bộ đếm phiên liên quan đến DMVPN cho giao diện tunnel được chỉ định.

    Ví dụ:

    Router#
     clear dmvpn statistics interface tunnel 5

    Bước 3

    debug dmvpn

    Lệnh này được sử dụng để gỡ lỗi các phiên DMVPN. Bạn có thể bật hoặc tắt gỡ lỗi DMVPN dựa trên một điều kiện cụ thể. Có ba cấp độ gỡ lỗi DMVPN, được liệt kê theo thứ tự chi tiết từ thấp nhất đến cao nhất:

    • Error level
    • Detail level
    • Packet level

    Ví dụ sau đây cho thấy cách bật tính năng gỡ lỗi DMVPN có điều kiện hiển thị tất cả các bản sửa lỗi cho NHRP, socket, bảo vệ tunnel và thông tin về crypto.

    Ví dụ:

    Router# debug dmvpn error all

    Bước 4

    debug dmvpn condition

    Lệnh này hiển thị thông tin phiên DMVPN gỡ lỗi có điều kiện. Ví dụ sau đây cho thấy cách bật gỡ lỗi có điều kiện cho một giao diện tunnel cụ thể.

    Ví dụ:

    Router# debug dmvpn condition interface tunnel 5

    Bước 5

    debug nhrp condition

    Lệnh này bật hoặc tắt gỡ lỗi dựa trên một điều kiện cụ thể. Ví dụ sau đây cho thấy cách bật gỡ lỗi NHRP có điều kiện.

    Ví dụ:

    Router# 
    debug nhrp condition

    Bước 6

    debug nhrp error

    Lệnh này hiển thị thông tin về hoạt động lỗi NHRP. Ví dụ sau đây cho thấy cách bật gỡ lỗi cho các thông báo lỗi NHRP.

    Ví dụ:

    Router# 
    debug nhrp error

    Bước 7

    logging dmvpn

    Lệnh này được sử dụng để kích hoạt DMVPN system logging. Ví dụ sau đây cho thấy cách bật DMVPN system logging với tốc độ 1 tin nhắn cứ sau 20 giây.

    Ví dụ:

    Router(config)# 
    logging dmvpn rate-limit 20

    Ví dụ sau đây hiển thị nhật ký hệ thống mẫu với các thông báo DMVPN.

    Ví dụ:

    %DMVPN-7-CRYPTO_SS: Tunnel101-192.0.2.1 socket is UP
    %DMVPN-5-NHRP_NHS: Tunnel101 192.0.2.251 is UP
    %DMVPN-5-NHRP_CACHE: Client 192.0.2.2 on Tunnel1 Registered.
    %DMVPN-5-NHRP_CACHE: Client 192.0.2.2 on Tunnel101 came UP.
    %DMVPN-3-NHRP_ERROR: Registration Request failed for 192.0.2.251 on Tunnel101

    Bước 8

    show crypto ipsec sa

    Lệnh này hiển thị các cài đặt được sử dụng bởi các SA hiện tại. Ví dụ đầu ra sau đây chỉ hiển thị trạng thái IPsec SA của thiết bị đang hoạt động.

    Ví dụ:

    Router# 
    show crypto ipsec sa active
    interface: gigabitethernet0/0/0
        Crypto map tag: to-peer-outside, local addr 209.165.201.3
       protected vrf: (none
       local  ident (addr/mask/prot/port): (192.168.0.1/255.255.255.255/0/0) 
       remote ident (addr/mask/prot/port): (172.16.0.1/255.255.255.255/0/0)
       current_peer 209.165.200.225 port 500
         PERMIT, flags={origin_is_acl,}
        #pkts encaps: 3, #pkts encrypt: 3, #pkts digest: 3
        #pkts decaps: 4, #pkts decrypt: 4, #pkts verify: 4
        #pkts compressed: 0, #pkts decompressed: 0
        #pkts not compressed: 0, #pkts compr. failed: 0
        #pkts not decompressed: 0, #pkts decompress failed: 0
        #send errors 0, #recv errors 0
         local crypto endpt.: 209.165.201.3, remote crypto endpt.: 209.165.200.225
         path mtu 1500, media mtu 1500
         current outbound spi: 0xD42904F0(3559458032)
         inbound esp sas:
          spi: 0xD3E9ABD0(3555306448)
            transform: esp-3des ,
            in use settings ={Tunnel, }
            conn id: 2006, flow_id: 6, crypto map: to-peer-outside
            sa timing: remaining key lifetime (k/sec): (4586265/3542)
            HA last key lifetime sent(k): (4586267)
            ike_cookies: 9263635C CA4B4E99 C14E908E 8EE2D79C
            IV size: 8 bytes
            replay detection support: Y
            Status: ACTIVE

    Bước 9

    show crypto isakmp sa

    Lệnh này hiển thị tất cả các IKE SA ngang hàng hiện tại. Ví dụ: đầu ra mẫu sau đây được hiển thị sau khi đàm phán IKE đã hoàn tất thành công giữa hai peer.

    Ví dụ:

    Router# show crypto isakmp sa
    dst             src             state           conn-id    slot
    172.17.63.19    172.16.175.76   QM_IDLE               2       0
    172.17.63.19    172.17.63.20    QM_IDLE               1       0
    172.16.175.75   172.17.63.19    QM_IDLE               3       0

    Bước 10

    show crypto map

    Lệnh này hiển thị cấu hình crypto map. Đầu ra mẫu sau đây được hiển thị sau khi crypto map đã được định cấu hình.

    Ví dụ:

    Router# show crypto map
    Crypto Map "Tunnel5-head-0" 10 ipsec-isakmp
            Profile name: vpnprof
            Security association lifetime: 4608000 kilobytes/3600 seconds
            PFS (Y/N): N
            Transform sets={trans2, }
    Crypto Map "Tunnel5-head-0" 20 ipsec-isakmp
            Map is a PROFILE INSTANCE.
            Peer = 172.16.175.75
            Extended IP access list 
                access-list permit gre host 172.17.63.19 host 172.16.175.75
            Current peer: 172.16.175.75
            Security association lifetime: 4608000 kilobytes/3600 seconds
            PFS (Y/N): N
            Transform sets={trans2, }
    Crypto Map "Tunnel5-head-0" 30 ipsec-isakmp
            Map is a PROFILE INSTANCE.
            Peer = 172.17.63.20
            Extended IP access list 
                access-list permit gre host 172.17.63.19 host 172.17.63.20
            Current peer: 172.17.63.20
            Security association lifetime: 4608000 kilobytes/3600 seconds
            PFS (Y/N): N
            Transform sets={trans2, }
    Crypto Map "Tunnel5-head-0" 40 ipsec-isakmp
            Map is a PROFILE INSTANCE.
            Peer = 172.16.175.76
            Extended IP access list 
                access-list permit gre host 172.17.63.19 host 172.16.175.76
            Current peer: 172.16.175.76
            Security association lifetime: 4608000 kilobytes/3600 seconds
            PFS (Y/N): N
            Transform sets={trans2, }
            Interfaces using crypto map Tunnel5-head-0:

    Tunnel5

    Bước 11

    show dmvpn

    Lệnh này hiển thị phiên DMVPN-specific. Mẫu sau đây hiển thị đầu ra tóm tắt ví dụ.

    Ví dụ:

    Router# show dmvpn
    Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
            N - NATed, L - Local, X - No Socket
            # Ent --> Number of NHRP entries with same NBMA peer
    ! The line below indicates that the sessions are being displayed for Tunnel1. 
    ! Tunnel1 is acting as a spoke and is a peer with three other NBMA peers.
    Tunnel1, Type: Spoke, NBMA Peers: 3,
     # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
     ----- --------------- --------------- ----- -------- -----
         2      192.0.2.21     192.0.2.116   IKE     3w0d D    
         1     192.0.2.102      192.0.2.11  NHRP 02:40:51 S    
         1     192.0.2.225      192.0.2.10    UP     3w0d S    
    Tunnel2, Type: Spoke, NBMA Peers: 1, 
     # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
     ----- --------------- --------------- ----- -------- -----
         1        192.0.2.25      192.0.2.171   IKE    never S 

    Bước 12

    show ip nhrp traffic

    Lệnh này hiển thị thống kê NHRP. Ví dụ sau hiển thị đầu ra cho một đường hầm cụ thể (tunnel7)

    Ví dụ:

    Router# s
    how ip nhrp traffic interface tunnel7
    Tunnel7: Max-send limit:10000Pkts/10Sec, Usage:0%
       Sent: Total 79
             18 Resolution Request  10 Resolution Reply  42 Registration Request
             0 Registration Reply    3 Purge Request      6 Purge Reply 
             0 Error Indication      0 Traffic Indication 
       Rcvd: Total 69
             10 Resolution Request  15 Resolution Reply  0 Registration Request 
             36 Registration Reply   6 Purge Request     2 Purge Reply 
             0 Error Indication      0 Traffic Indication

    ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

    ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

    ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

    Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

    Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

    Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

    Bài viết liên quan

    Nhập Email để nhận ngay báo giá sản phẩm

      • Kết Nối Với Chúng Tôi