ルータ : Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ

ASR 設定例の VRF わかっている管理

2013 年 10 月 19 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2013 年 9 月 24 日) | フィードバック

概要

この資料はマネージメントインターフェイス(GigabitEthernet0)との Cisco 集約 サービス ルータ 1000 シリーズ(ASR1K)のバーチャルルーティングおよびフォワーディングわかっている(VRF わかっている)管理の使用を記述したものです。 情報は明示的に別の方法で規定 されて VRF の他のどのインターフェイスにもまた適当ではないです。 にボックスおよびからボックス両方接続シナリオのためのさまざまなアクセスプロトコルは記述されています。

Atri Basu、Rudresh Veerappaji、および Wen チャンによって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • 管理プロトコルは、SSH のような、HTTP Telnet で接続し
  • Secure Copy Protocol (SCP)、TFTP および FTP のようなファイル 転送 プロトコル、
  • VRF

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS ® XE バージョン 3.5S (15.2(1)S)またはそれ以降 Cisco IOS XE バージョン

    : VRF わかっている SCP はこの資料に説明がある他のプロトコルが前のバージョンを同様に使用する一方、少なくともこのバージョンを必要とします。

  • ASR1K

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークがライブである場合、使用されるあらゆるコマンドの潜在的影響を理解するために確かめて下さい。

背景説明

マネージメントインターフェイス: マネージメントインターフェイスの目的はルータの管理タスクを行うことをユーザを許可することです。 のは基本的にべきなで、頻繁に、前方 dataplane トラフィックできませんインターフェイス。 さもなければ、それは Telnet およびセキュア シェル(SSH)によってルータへのリモート アクセスに、頻繁に使用し、ルータのほとんどの管理タスクを行うことができます。 インターフェイスは共有ポート アダプタ(SPA)インターフェイスが非アクティブのときルータがルーティングし始めるまたは前にトラブルシューティンングのシナリオで役立ちます。 ASR1K で、マネージメントインターフェイスは Mgmt-intf と指名されるデフォルト VRF にあります。

IP <protocol> ソースインターフェイス コマンドはこの資料でよく使用されます(<protocol> キーワードが SSH である場合もあるところ FTP、TFTP)。 このコマンドは ASR が接続のクライアントデバイスのとき送信元アドレスとして使用されるべきインターフェイスの IP アドレスを規定 するために使用されます(たとえば、接続は ASR またはからボックス トラフィックから開始されます)。 これはまた ASR が接続の発信側でなければ、IP <protocol> ソースインターフェイス コマンドは適用されないである、ASR は応答トラフィックのためにこの IP アドレスを使用しませんことを意味し; その代り、それは宛先に最も密接なインターフェイスの IP アドレスを使用します。 このコマンドは VRF わかっているインターフェイスからのソーストラフィックに(サポートされるプロトコルのために)可能にします。

管理プロトコル

: この技術情報で使用されるコマンドに関する詳細を得るために Command Lookup Tool登録 ユーザだけ)を使用して下さい。

SCP

VRF 有効に された インターフェイスからの ASR の SCP クライアント サービスを利用するために、この設定を使用して下さい。

設定

IP ssh ソースインターフェイス コマンドは SCP が SSH を使用するので SSH および SCP 両方クライアント サービスのための Mgmt-intf VRF をマネージメントインターフェイスを指すために使用されます。 VRF を規定 するコピー SCP コマンドにその他のオプションがありません。 従って、この IP ssh ソースインターフェイス コマンドを使用して下さい。 同じロジックは他のどのをも VRF 有効に された インターフェイスを加えます。

ASR(config)#ip ssh source-interface GigabitEthernet0

: ASR1k プラットフォームで、VRF わかっている SCP はバージョン XE3.5S (15.2(1)S)まではたらきません。

確認

設定を確認するためにこれらのコマンドを使用して下さい。

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0
ASR#

ファイルを ASR から SCP のリモートデバイスにコピーするために、このコマンドを入力して下さい:

ASR#copy running-config scp://guest@10.76.76.160/router.cfg
Address or name of remote host [10.76.76.160]?
Destination username [guest]?
Destination filename [router.cfg]?
Writing router.cfg Password:
!
Sink: C0644 2574 router.cfg
2574 bytes copied in 20.852 secs (123 bytes/sec)
ASR#

ファイルをリモートデバイスから SCP の ASR にコピーするために、このコマンドを入力して下さい:

ASR#copy scp://guest@10.76.76.160/router.cfg bootflash:
Destination filename [router.cfg]?
Password:
Sending file modes: C0644 2574 router.cfg
!
2574 bytes copied in 17.975 secs (143 bytes/sec)

TFTP

VRF 有効に された インターフェイスからの ASR1k の TFTP クライアント サービスを利用するために、この設定を使用して下さい。

設定

ip tftp source-interface オプションは Mgmt-intf VRF をマネージメントインターフェイスを指すために使用されます。 VRF を規定 する copy tftp コマンドにその他のオプションがありません。 従って、この ip tftp source-interface コマンドを使用して下さい。 同じロジックは他のどのをも VRF 有効に された インターフェイスを加えます。

ASR(config)#ip tftp source-interface GigabitEthernet0

確認

設定を確認するためにこれらのコマンドを使用して下さい。

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0
ASR#

ファイルを ASR から TFTPサーバにコピーするために、このコマンドを入力して下さい:

ASR#copy running-config tftp
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
!!
2658 bytes copied in 0.335 secs (7934 bytes/sec)
ASR#

ファイルを TFTPサーバから ASR ブートフラッシュにコピーするために、このコマンドを入力して下さい:

ASR#copy tftp://10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing tftp://10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg from 10.76.76.160 (via GigabitEthernet0): !
[OK - 2658 bytes]

2658 bytes copied in 0.064 secs (41531 bytes/sec)
ASR#

FTP

VRF 有効に された インターフェイスからの ASR の FTPクライアント サービスを利用するために、この設定を使用して下さい。

設定

ip ftp source-interface オプションは Mgmt-intf VRF をマネージメントインターフェイスを指すために使用されます。 VRF を規定 するコピー FTP コマンドにその他のオプションがありません。 従って、ip ftp source-interface コマンドを使用して下さい。 同じロジックは他のどのをも VRF 有効に された インターフェイスを加えます。

ASR(config)#ip ftp source-interface GigabitEthernet0

確認

設定を確認するためにこれらのコマンドを使用して下さい。

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0

ファイルを ASR から FTP サーバにコピーするために、このコマンドを入力して下さい:

ASR#copy running-config ftp://username:password@10.76.76.160/ASRconfig.cfg
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
Writing ASRconfig.cfg !
2616 bytes copied in 0.576 secs (4542 bytes/sec)
ASR#

ファイルを FTP サーバから ASR ブートフラッシュにコピーするために、このコマンドを入力して下さい:

ASR#copy ftp://username:password@10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing ftp://*****:*****@10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg !
[OK - 2616/4096 bytes]

2616 bytes copied in 0.069 secs (37913 bytes/sec)
ASR#

管理アクセス プロトコル

規則的なアクセス

SSH

ASR (SSH からボックス)の SSH クライアント サービスを実行するために使用される 2 つのオプションがあります。 1 つのオプションは ssh コマンドの VRF名自体を規定 することです従って特定の VRF から SSH トラフィックのソースをたどることができます。

ASR#ssh -vrf Mgmt-intf -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

その他のオプションは特定の VRF 有効に された インターフェイスから SSH トラフィックのソースをたどるために IP ssh インターフェイス オプションを使用することです。

ASR(config)#ip ssh source-interface GigabitEthernet0
ASR#
ASR#ssh -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

SSH サーバサービス(SSH にボックス)を利用するために、他のどの Cisco IOS ルータの SSH も有効に するためにプロシージャに従って下さい。 詳細については Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ ソフトウェア コンフィギュレーション ガイドCisco ASR 1000 シリーズ・ルータ セクションのための Telnet および SSH 外観を参照して下さい。

Telnet

ASR (Telnet からボックス)の Telnet クライアント サービスを実行するために使用される 2 つのオプションがあります。 1 つのオプションはここに示されているように telnet コマンドのソース interace か VRF 自体を規定 することです:

ASR#telnet 10.76.76.160 /source-interface GigabitEthernet 0 /vrf Mgmt-intf
Trying 10.76.76.160 ... Open

User Access Verification

Username: cisco
Password:

Router>en
Password:
Router#

その他のオプションは ip telnet source-interface コマンドを使用することです。 まだここに示されているように telnet コマンドで次 の ステップの VRF名を、規定 して下さい:

ASR(config)#ip telnet source-interface GigabitEthernet0
ASR#
ASR#telnet 10.76.76.160 /vrf Mgmt-intf
Trying 50.50.50.3 ... Open

User Access Verification

Username: cisco
Password:

Router>en
password:
Router#

Telnet サーバサービス(Telnet にボックス)を利用するために、他のどのルータの Telnet も有効に するためにプロシージャに従って下さい。 詳細については Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ ソフトウェア コンフィギュレーション ガイドCisco ASR 1000 シリーズ・ルータ セクションのための Telnet および SSH 外観を参照して下さい。

HTTP

すべてのルータで利用できるレガシー Web ユーザ ユーザー・インターフェースは ASR1K にまた利用できます。 このセクションに示すように ASR の HTTP か HTTPS を(セキュアサーバのために)有効に して下さい。

レガシー HTTP アクセスにボックスを(HTTP からボックスか HTTP クライアント サービスは利用できません)保守し、有効に するためにローカル認証(また外部認証、許可および会計(AAA)をサーバを使用する可能性があります)使用する Webベース GUIアクセスを、使用しますこの設定を使用して下さい。

ASR(config)#ip http
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

HTTP セキュアサーバ(HTTPS)をイネーブルに設定する設定はここにあります:

ASR(config)#ip http secure-server
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

ASR のインターフェイスの IP アドレス、および作成したユーザアカウントのログインに参照して下さい。 スクリーン・ ショットはここにあります:

耐久性があるアクセス

このセクションはにボックス Telnet/SSH/HTTP 接続にだけ適当です。

耐久性がある SSH および耐久性がある Telnet を使うと、管理イーサネット インターフェイスの着信 SSH または Telnetトラフィックの相違を定義する転送する マップを設定できます。 従ってこれは Cisco IOS プロセスが非アクティブである時でさえ診断 モードによってルータにアクセスする機能を作成します。 診断 モードに関する詳細については、理解を Cisco ASR 1000 シリーズ アグリゲーション サービス ルータ ソフトウェア コンフィギュレーション ガイドの診断 モード セクション参照して下さい。

: 耐久性がある SSH か耐久性がある Telnet はマネージメントインターフェイスで GigabitEthernet0 しか設定することができません。

: 耐久性がある SSH か耐久性がある Telnet がマネージメントインターフェイスで有効に なるとき、GigabitEthernet0、診断 モードにログインだけおよびモードにその接続を通して特権を与えらないためにできます。 永続的な接続はシナリオのための最終的な診断アクセス オプションでルータの Cisco IOS プロセスがもはやアクティブなときのような設定されます。 従って SSH によってログインか設定およびトラブルシューティングの特権 アクセスのための Telnet できるように他のインターフェイスで設定される規則的な SSH (か Telnet が)あることを、確認して下さい。

耐久性がある SSH

次の セクションに示すように耐久性がある SSH を許可するために転送する マップを作成して下さい:

設定

ASR(config)#crypto key generate rsa label ssh-keys modulus 1024
The name for the keys will be: ssh-keys

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

ASR#
ASR(config)#transport-map type persistent ssh
persistent-ssh-map

ASR(config-tmap)#rsa keypair-name ssh-keys
ASR(config-tmap)#transport interface GigabitEthernet0
ASR(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for vty line--
X
ASR(config-tmap)#
ASR(config-tmap)# banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
c
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#exit
ASR(config)#transport type persistent ssh input persistent-ssh
*Jul 10 15:31:57.102: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd: 
Server persistent ssh has been notified to start

この場合耐久性がある SSH のためのローカル認証を有効に して下さい。 これは aaa new-model コマンドでまたはそれなしですることができます。 シナリオの両方はここに解説されています。 ルータのローカルユーザネーム/パスワード アカウントがあることを) (いずれにしても、確認して下さい。

ASR で有効に なる AAA があるかどうか設定が基づかせていた選択できます。

  1. 有効に されて AAA が:
    ASR(config)#aaa new-model
    ASR(config)#aaa authentication login default local
    ASR(config)#line vty 0 4
    ASR(config-line)#login authentication default
  2. 有効に なる AAA なし:
    ASR(config)#line vty 0 4
    ASR(config-line)#login local

確認

VRF 有効に された Gigabitethernet0 インターフェイスの IP アドレスの ASR への SSH。 パスワードが入力されれば、ブレークシーケンスを入力して下さい(Ctrl-CCtrl-Shift-6)。

management-station$ ssh -l cisco 10.106.47.139
cisco@10.106.47.139's password:

--Waiting for vty line--

--Welcome to Diagnostic Mode--
ASR(diag)#

: ブレークシーケンスを(Ctrl-CCtrl-Shift-6)時入力して下さい --VTY 待っている行-- ターミナルのディスプレイ 診断 モードを開始するため。

耐久性がある Telnet

設定

SSH のための前のセクションに記述されているように同じようなロジックによって、ここに示されているように耐久性がある Telnet のための転送する マップを作成して下さい:

ASR(config)#transport-map type persistent telnet persistent-telnet
ASR(config-tmap)#banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
X
ASR(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for IOS Process--
X
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#transport interface gigabitEthernet 0
ASR(config-tmap)#exit
ASR(config)#transport type persistent telnet input persistent-telnet
*Jul 10 15:26:56.441: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd:
Server persistent telnet has been notified to start

SSH のための最後のセクションに記述されているように、ここに示されているようにローカル認証を設定する 2 つの方法があります:

  1. 有効に されて AAA が:
    ASR(config)#aaa new-model 
    ASR(config)#aaa authentication login default local
    ASR(config)#line vty 0 4
    ASR(config-line)#login authentication default
  2. AAA なし:
    ASR(config)#line vty 0 4
    ASR(config-line)#login local

確認

GigabitEthernet0 インターフェイスの IP アドレスへの Telnet。 資格情報を入力した後、診断 モードにログイン する数秒(時々しばらく時間がかかるかもしれません)のためのブレークシーケンスおよび待機を入力して下さい。

Management-station$ telnet 10.106.47.139
Trying 10.106.47.139...
Connected to 10.106.47.139.
Escape character is '^]'.
Username: cisco
Password:

--Waiting for IOS Process--


--Welcome to Diagnostic Mode--
ASR(diag)#

: ブレークシーケンス Ctrl+CCtrl+Shift+6 を入力し、数秒を待って下さい。 When --待っている IOSプロセス-- ターミナルのディスプレイ、診断 モードを開始できます。

耐久性がある HTTP

耐久性がある HTTP アクセスにボックスを(HTTP からボックスか HTTP クライアント サービスは利用できません)有効に し、ローカル認証(また外部 AAAサーバを使用する可能性があります)を利用する新しい Webベース GUIアクセスを使用するために、この設定を使用して下さい。

設定

これらのコンフィギュレーションでは、httpwebui および https-webui は転送する MAP の名前です。

ASR(config)#ip http serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui http-webui
ASR(config-tmap)#server
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input http-webui

HTTP セキュアサーバ(HTTPS)をイネーブルに設定するために使用される設定はここにあります。

ASR(config)#ip http secure-serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui https-webui
ASR(config-tmap)#secure-server
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input https-webui

確認

ASR のインターフェイスの IP アドレスに参照して下さい。 ホームページを起動させるために作成した username/password のログイン。 apply コマンドできる IOS WebUI と共に健康およびモニタリング 関連情報 ディスプレイ。 ホームページのスクリーン・ ショットはここにあります:

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連情報


Cisco サポート コミュニティ - 特集対話

Cisco サポート コミュニティでは、フォーラムに参加して情報交換することができます。現在、このドキュメントに関連するトピックについて次のような対話が行われています。


Document ID: 116093