Маршрутизаторы : Сервисные маршрутизаторы агрегации Cisco ASR серии 1000

Осведомленный о VRF менеджмент на примерах конфигурации ASR

19 октября 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (24 сентября 2013) | Отзыв

Введение

Этот документ описывает использование Виртуальной маршрутизации и Осведомленного о пересылке (Осведомленного о VRF) управления на Маршрутизаторе Cisco Aggregation Services 1000 Серий (ASR1K) с интерфейсом управления (GigabitEthernet0). Информация также применима к любому другому интерфейсу в VRF, если явно не задано в противном случае. Описаны различные протоколы доступа и для сценариев соединения от коробки и для к коробке.

Внесенный Atri Basu, Rudresh Veerappaji, и Вэнь Чжаном, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Компания Cisco рекомендует предварительно ознакомиться со следующими предметами:

  • Протоколы управления, такие как SSH, Telnet, и HTTP
  • Протоколы передачи файлов, такие как Безопасный протокол копирования (SCP), TFTP, и FTP
  • VRF

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Cisco IOS® XE Version 3.5S (15.2 (1) S) или более поздние Версии Cisco IOS XE

    Примечание. Осведомленный о VRF SCP требует, по крайней мере, этой версии, тогда как другие протоколы, описанные в этом документе, работают с предыдущими версиями также.

  • ASR1K

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. Если ваша сеть является оперативной, удостоверьтесь, что вы понимаете потенциальное воздействие любой используемой команды.

Общие сведения

Управляющий интерфейс Цель интерфейса управления состоит в том, чтобы позволить пользователям выполнять задачи управления на маршрутизаторе. Это - в основном интерфейс, который не должен, и часто не может, передать dataplane трафик. В противном случае это может использоваться для удаленного доступа к маршрутизатору, часто через Telnet и "Безопасную оболочку" (SSH), и выполнять большинство задач управления на маршрутизаторе. Интерфейс является самым полезным прежде, чем маршрутизатор начнет направлять, или в сценариях устранения неполадок, когда интерфейсы Разделенного адаптера порта (SPA) неактивны. На ASR1K интерфейс управления находится в VRF по умолчанию, названном Mgmt-intf.

Команда source-interface <protocol> ip  используется в этом документе экстенсивно (где ключевое слово <protocol> может быть SSH, FTP, TFTP). Эта команда используется, чтобы задать IP-адрес интерфейса, который будет использоваться как адрес источника, когда ASR является устройством клиента в соединении (например, соединение инициируется от ASR или трафика от коробки). Это также означает, что, если ASR не является инициатором соединения, команда source-interface <protocol> ip не применима, и ASR не использует этот IP-адрес для трафика ответа; вместо этого, это использует IP-адрес самого близкого интерфейса назначению. Эта команда позволяет вам исходному трафику (для поддерживаемых протоколов) от Осведомленного о VRF интерфейса.

Протоколы управления:

Примечание. Используйте Средство поиска команд Command Lookup Tool (только зарегистрированные клиенты), чтобы получить дополнительные сведения о командах, используемых в этой статье.

SCP

Чтобы использовать службу клиента SCP на ASR от поддерживающего VRF интерфейса, используйте эту конфигурацию.

Настройка

Команда ip ssh source-interface используется, чтобы указать Интерфейс управления к VRF Mgmt-intf и для SSH и для служб клиента SCP, так как SCP использует SSH. Нет никакой другой опции в команде scp копии для задавания VRF. Поэтому, необходимо использовать эту команду ip ssh source-interface. Та же логика просит любой другой поддерживающий VRF интерфейс.

ASR(config)#ip ssh source-interface GigabitEthernet0

Примечание. На платформе ASR1k Осведомленный о VRF SCP не работает до Версии XE3.5S (15.2 (1) S).

Проверка

Используйте эти команды, чтобы проверить конфигурацию.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0
ASR#

Чтобы скопировать файл с ASR на удаленное устройство с SCP, введите эту команду:

ASR#copy running-config scp://guest@10.76.76.160/router.cfg
Address or name of remote host [10.76.76.160]?
Destination username [guest]?
Destination filename [router.cfg]?
Writing router.cfg Password:
!
Sink: C0644 2574 router.cfg
2574 bytes copied in 20.852 secs (123 bytes/sec)
ASR#

Чтобы скопировать файл от удаленного устройства до ASR с SCP, введите эту команду:

ASR#copy scp://guest@10.76.76.160/router.cfg bootflash:
Destination filename [router.cfg]?
Password:
Sending file modes: C0644 2574 router.cfg
!
2574 bytes copied in 17.975 secs (143 bytes/sec)

TFTP

Чтобы использовать службу клиента TFTP на ASR1k от поддерживающего VRF интерфейса, используйте эту конфигурацию.

Настройка

Опция ip tftp source-interface используется, чтобы указать Интерфейс управления к VRF Mgmt-intf. Нет никакой другой опции в команде copy tftp для задавания VRF. Поэтому, необходимо использовать эту команду ip tftp source-interface. Та же логика просит любой другой поддерживающий VRF интерфейс.

ASR(config)#ip tftp source-interface GigabitEthernet0

Проверка

Используйте эти команды, чтобы проверить конфигурацию.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0
ASR#

Чтобы скопировать файл от ASR до сервера TFTP, введите эту команду:

ASR#copy running-config tftp
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
!!
2658 bytes copied in 0.335 secs (7934 bytes/sec)
ASR#

Чтобы скопировать файл от сервера TFTP до загрузочной флэш-памяти ASR, введите эту команду:

ASR#copy tftp://10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing tftp://10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg from 10.76.76.160 (via GigabitEthernet0): !
[OK - 2658 bytes]

2658 bytes copied in 0.064 secs (41531 bytes/sec)
ASR#

FTP

Чтобы использовать службу клиента FTP на ASR от поддерживающего VRF интерфейса, используйте эту конфигурацию.

Настройка

Опция ip ftp source-interface используется, чтобы указать  Интерфейс управления к VRF Mgmt-intf. Нет никакой другой опции в команде copy ftp для задавания VRF. Поэтому, необходимо использовать команду ip ftp source-interface. Та же логика просит любой другой поддерживающий VRF интерфейс.

ASR(config)#ip ftp source-interface GigabitEthernet0

Проверка

Используйте эти команды, чтобы проверить конфигурацию.

ASR#show vrf
Name Default RD Protocols Interfaces
Mgmt-intf <not set> ipv4,ipv6 Gi0

Чтобы скопировать файл от ASR до сервера FTP, введите эту команду:

ASR#copy running-config ftp://username:password@10.76.76.160/ASRconfig.cfg
Address or name of remote host [10.76.76.160]?
Destination filename [ASRconfig.cfg]?
Writing ASRconfig.cfg !
2616 bytes copied in 0.576 secs (4542 bytes/sec)
ASR#

Чтобы скопировать файл от сервера FTP до загрузочной флэш-памяти ASR, введите эту команду:

ASR#copy ftp://username:password@10.76.76.160/ASRconfig.cfg bootflash:
Destination filename [ASRconfig.cfg]?
Accessing ftp://*****:*****@10.76.76.160/ASRconfig.cfg...
Loading ASRconfig.cfg !
[OK - 2616/4096 bytes]

2616 bytes copied in 0.069 secs (37913 bytes/sec)
ASR#

Протоколы управляющего доступ

Обычный доступ

SSH

Существует две опции, используемые, Чтобы выполнить службу Клиента SSH на ASR (SSH от коробки). Одна опция должна задать Имя VRF в команде ssh непосредственно, таким образом, вы можете исходный трафик SSH от определенного VRF.

ASR#ssh -vrf Mgmt-intf -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

Другая опция должна использовать опцию ip ssh source-interface чтобы для исходного трафика SSH от определенного поддерживающего VRF интерфейса.

ASR(config)#ip ssh source-interface GigabitEthernet0
ASR#
ASR#ssh -l cisco 10.76.76.161
Password:
Router>en
Password:
Router#

Чтобы использовать службу сервера SSH (SSH к коробке), выполните процедуру для включения SSH на любом другом маршрутизаторе Cisco IOS. Обратитесь к Telnet и Обзору SSH для раздела маршрутизаторов серии 1000 ASR Cisco ASR Cisco 1000 Руководств по конфигурации программного обеспечения Маршрутизаторов Series Aggregation Services для получения дополнительной информации.

Telnet

Существует две опции, используемые, чтобы выполнить службу Клиента Telnet на ASR (Telnet от коробки). Одна опция должна задать исходный межace или VRF в команде telnet непосредственно как показано здесь:

ASR#telnet 10.76.76.160 /source-interface GigabitEthernet 0 /vrf Mgmt-intf
Trying 10.76.76.160 ... Open

User Access Verification

Username: cisco
Password:

Router>en
Password:
Router#

Другая опция должна использовать команду ip telnet source-interface. Все еще необходимо задать Имя VRF в следующем шаге с командой telnet, как показано здесь:

ASR(config)#ip telnet source-interface GigabitEthernet0
ASR#
ASR#telnet 10.76.76.160 /vrf Mgmt-intf
Trying 50.50.50.3 ... Open

User Access Verification

Username: cisco
Password:

Router>en
password:
Router#

Чтобы использовать службу сервера Telnet (Telnet к коробке), выполните процедуру для включения Telnet на любом другом маршрутизаторе. Обратитесь к Telnet и Обзору SSH для раздела маршрутизаторов серии 1000 ASR Cisco ASR Cisco 1000 Руководств по конфигурации программного обеспечения Маршрутизаторов Series Aggregation Services для получения дополнительной информации.

HTTP

Прежний интерфейс веба - пользователя, который доступен для всех маршрутизаторов, также доступен для ASR1K. Включите HTTP или HTTPS (для защищенного сервера) на ASR как показано в этом разделе.

Чтобы включить службу доступа прежнего HTTP к коробке (HTTP от коробки, или служба клиента HTTP не доступна), и используйте находящийся на web доступ к ГИП, используйте эту конфигурацию, которая использует локальную проверку подлинности (вы могли также использовать внешнюю проверку подлинности, Авторизацию, и Бухгалтерский (AAA) сервер).

ASR(config)#ip http
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

Вот конфигурация для включения защищенного сервера HTTP (HTTPS):

ASR(config)#ip http secure-server
ASR(config)#ip http authentication local
ASR(config)#username <> password <>

Перейдите к IP-адресу интерфейса на ASR, и войдите с учетной записью пользователя, которую вы создали. Вот снимок экрана:

Персистентный доступ

Этот раздел применим только для TELNET/SSH/СОЕЕИНЕНИЙ HTTP к коробке.

С персистентным SSH и персистентным Telnet, можно настроить транспортную карту, которая определяет обработку входящего SSH или трафика Telnet на Интерфейсе управления Ethernet. Таким образом, это создает возможность обратиться к маршрутизатору через режим диагностики, даже когда процесс Cisco IOS не активен. Для получения дополнительной информации по режиму диагностики обратитесь к Общим сведениям раздела Режима диагностики ASR Cisco 1000 Руководств по конфигурации программного обеспечения Маршрутизаторов Series Aggregation Services.

Примечание. Персистентный SSH или персистентный Telnet могут только быть настроены на Интерфейсе управления, GigabitEthernet0.

Примечание. Когда персистентный SSH или персистентный Telnet включены на Интерфейсе управления, GigabitEthernet0, можно только войти к режиму диагностики а не к привилегированному режиму через то соединение. Постоянные соединения настроены как последнее прибежище опция доступа для диагностического контроля для сценариев такой как тогда, когда процесс Cisco IOS на маршрутизаторе больше не активен. Поэтому, гарантируйте, что у вас есть обычный SSH (или Telnet) настроенный на других интерфейсах так, чтобы можно было регистрировать на пути SSH или Telnet для доступа привилегии для конфигурации и устранения неполадок.

Персистентный SSH

Создайте транспортную карту, чтобы позволить персистентный SSH как показано в следующем разделе:

Настройка

ASR(config)#crypto key generate rsa label ssh-keys modulus 1024
The name for the keys will be: ssh-keys

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

ASR#
ASR(config)#transport-map type persistent ssh
persistent-ssh-map

ASR(config-tmap)#rsa keypair-name ssh-keys
ASR(config-tmap)#transport interface GigabitEthernet0
ASR(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for vty line--
X
ASR(config-tmap)#
ASR(config-tmap)# banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
c
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#exit
ASR(config)#transport type persistent ssh input persistent-ssh
*Jul 10 15:31:57.102: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd: 
Server persistent ssh has been notified to start

Теперь необходимо включить локальную проверку подлинности для персистентного SSH. Это может быть сделано или с командой aaa new-model или без него. Оба из сценариев описаны здесь. (В любом случае гарантируйте, что у вас есть учетная запись локальной базы данных имя пользователя/пароль на маршрутизаторе).

Можно выбрать, какая конфигурация на основе того, включили ли вам AAA на ASR.

  1. С включенным AAA:
    ASR(config)#aaa new-model
    ASR(config)#aaa authentication login default local
    ASR(config)#line vty 0 4
    ASR(config-line)#login authentication default
  2. Без включенного AAA:
    ASR(config)#line vty 0 4
    ASR(config-line)#login local

Проверка

SSH к ASR с IP-адресом поддерживающего VRF интерфейса Gigabitethernet0. Как только пароль введен, необходимо ввести последовательность прерывания (Ctrl-C или Ctrl-Shift-6).

management-station$ ssh -l cisco 10.106.47.139
cisco@10.106.47.139's password:

--Waiting for vty line--

--Welcome to Diagnostic Mode--
ASR(diag)#

Примечание. Введите последовательность прерывания (Ctrl-C или Ctrl-Shift-6), когда - Ждущий линии VTY - отображает на терминале, чтобы ввести режим диагностики.

Персистентный Telnet

Настройка

С подобной логикой как описано в предыдущем разделе для SSH, создайте транспортную карту для персистентного Telnet как показано здесь:

ASR(config)#transport-map type persistent telnet persistent-telnet
ASR(config-tmap)#banner diagnostic X
Enter TEXT message. End with the character 'X'.
--Welcome to Diagnostic Mode--
X
ASR(config-tmap)#banner wait X
Enter TEXT message. End with the character 'X'.
--Waiting for IOS Process--
X
ASR(config-tmap)#connection wait allow interruptible
ASR(config-tmap)#transport interface gigabitEthernet 0
ASR(config-tmap)#exit
ASR(config)#transport type persistent telnet input persistent-telnet
*Jul 10 15:26:56.441: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd:
Server persistent telnet has been notified to start

Как обсуждено в последнем разделе для SSH, существует два способа настроить локальную проверку подлинности как показано здесь:

  1. С включенным AAA:
    ASR(config)#aaa new-model 
    ASR(config)#aaa authentication login default local
    ASR(config)#line vty 0 4
    ASR(config-line)#login authentication default
  2. Без AAA:
    ASR(config)#line vty 0 4
    ASR(config-line)#login local

Проверка

Telnet к IP-адресу интерфейса GigabitEthernet0. После ввода учетных данных введите последовательность прерывания, и ждите в течение нескольких секунд (иногда, она могла бы требовать времени) регистрировать в режим диагностики.

Management-station$ telnet 10.106.47.139
Trying 10.106.47.139...
Connected to 10.106.47.139.
Escape character is '^]'.
Username: cisco
Password:

--Waiting for IOS Process--


--Welcome to Diagnostic Mode--
ASR(diag)#

Примечание. Введите последовательность прерывания Ctrl+C или Ctrl+Shift+6, и ждите в течение нескольких секунд. Когда - Ждущий Процесса IOS - отображает на терминале, вы в состоянии ввести режим диагностики.

Персистентный HTTP

Чтобы включить персистентный доступ HTTP к коробке (HTTP от коробки, или служба клиента HTTP не доступна), и используйте новый находящийся на web доступ к ГИП, используйте эту конфигурацию, которая использует локальную проверку подлинности (вы могли также использовать внешний сервер AAA (проверка подлинности, авторизация и учет)).

Настройка

В этих конфигурациях http-webui и https-webui являются названиями транспортных карт.

ASR(config)#ip http serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui http-webui
ASR(config-tmap)#server
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input http-webui

Вот конфигурация, используемая, чтобы включить защищенный сервер HTTP (HTTPS).

ASR(config)#ip http secure-serverASR(config)#ip http authentication local
ASR(config)#username <> password <>
ASR(config)#transport-map type persistent webui https-webui
ASR(config-tmap)#secure-server
ASR(config-tmap)#exit
ASR(config)#transport type persistent webui input https-webui

Проверка

Перейдите к IP-адресу интерфейса на ASR. Войдите с именем пользователя/паролем, которое вы создали, чтобы запустить домашнюю страницу. Состояние и контролирующий показы дополнительных сведений, вместе с WebUI IOS, где можно применить команды. Вот снимок экрана домашней страницы:

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении неполадок.

Дополнительные сведения


Сообщество Cisco Support - Избранные темы

Сообщество Cisco Support - это форум, на котором вы можете задавать свои вопросы и отвечать на вопросы других, предлагать решения и сотрудничать с коллегами. Вот несколько последних и важных тем, представленных на нашем форуме.


Document ID: 116093