تكوين نفق SD-WAN IPsec SIG والتحقق منه باستخدام Zscaler

خيارات التنزيل

  • PDF     (610.3 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:١١ يونيو ٢٠٢٦
معرّف المستند:221655

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يصف هذا المستند خطوات التكوين والتحقق من أنفاق SD-WAN IPsec SIG باستخدام Zscaler. 

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

  • عبارة إنترنت الأمان (SIG).
  • كيفية عمل أنفاق IPsec، المرحلة 1، والمرحلة 2 على Cisco IOS®.

متطلبات إضافية

  • يجب تمكين NAT على واجهة النقل التي تواجه الإنترنت.

  • يجب إنشاء خادم DNS على VPN 0، ويجب حل عنوان URL الأساسي ل Zscaler باستخدام خادم DNS هذا. وهذا مهم لأنه إذا لم يتم حل هذا الأمر، يمكن أن تفشل مكالمات API وعمليات التحقق من سلامة الطبقة 7. وبشكل افتراضي، أستخدم خادم DNS هذا

  • يجب أن يضمن NTP (بروتوكول وقت الشبكة) دقة وقت موجه Cisco Edge، ولا يمكن فشل إستدعاءات API.

  • يجب تكوين مسار خدمة يشير إلى SIG في قالب ميزة Service-VPN أو CLI: ip sdwan route vrf 1 0.0.0.0/0 service sig

المكونات المستخدمة

يستند هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

  •  موجه Cisco Edge، الإصدار 17.6.6a
  •  vManage، الإصدار 20.9.4

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

خيارات تصميم الشبكة

الأنواع المختلفة لعمليات النشر في هذه القائمة هي إعداد مجموعة نشط/إحتياطي. يمكن نشر تضمين النفق إما باستخدام GRE أو IPsec.

  • زوج نفق واحد نشط/إحتياطي
  • زوج نفق واحد نشط/نشط
  • زوج نفق نشط/إحتياطي متعدد
  • زوج نفق نشط/نشط متعدد
note-icon

ملاحظة: على موجهات SD-WAN Cisco Edge، يمكنك إستخدام واجهة نقل واحدة أو أكثر متصلة بالإنترنت لكي تعمل البرامج بشكل فعال.

التكوينات

متابعة تكوين هذه القوالب:

  • قالب ميزة بيانات اعتماد عبارة إنترنت الأمان (SIG):
    • أنت تتطلب واحدا لجميع موجهات Cisco Edge. يجب إنشاء معلومات لنشر الحقول الضرورية للقالب على مدخل Zscaler.
  • قالب ميزة عبارة إنترنت الأمان (SIG):
    • تحت قالب الميزة هذا، تقوم بتكوين أنفاق IPsec، وضمان النشر عالي التوفر (HA) في الوضع النشط/النشط أو النشط/وضع الاستعداد، وتحديد إدخال مركز البيانات Zscaler إما تلقائيا أو يدويا.


1. لإنشاء قالب بيانات اعتماد Zscaler، انتقل إلى التكوين > القالب > قالب الميزة > إضافة قالب.

2. حدد طراز الجهاز الذي ستقوم باستخدامه لهذا الغرض وابحث عن SIG. عندما تقوم بإنشائه لأول مرة، يظهر النظام بيانات اعتماد Zscaler التي يجب إنشاؤها أولا، مثل هذا المثال:

3. يجب تحديد Zscaler كموفر SIG والنقر فوق النقر هنا لإنشاء - قالب بيانات اعتماد SIG من Cisco.

Sig Credentials Templateقالب بيانات اعتماد SIG

4. تتم إعادة توجيهك إلى قالب بيانات الاعتماد. ويجب عليك إدخال قيم لكل الحقول:

  • اسم القالب
  • الوصف
  • موفر SIG (محدد تلقائيا من الخطوة السابقة)
  • منظمة
  • عنوان URL الخاص بقاعدة الشركاء
  • Username
  • كلمة المرور
  • مفتاح واجهة برمجة التطبيقات للشركاء

5. انقر فوق حفظ.

6. تتم إعادة توجيهك إلى قالب عبارة الإنترنت الآمنة (SIG). يتيح لك هذا القالب تكوين العناصر اللازمة ل SD-WAN IPsec SIG باستخدام Zscaler.

في القسم الأول من القالب، قم بتوفير اسم ووصف. يتم تمكين المتعقب الافتراضي تلقائيا ويستخدم عنوان URL لواجهة برمجة التطبيقات من أجل التحقق من سلامة Zscaler من الطبقة 7.

7. في Cisco IOS XE، أنت ينبغي ثبتت عنوان ل المتتبع. أي عنوان IP خاص داخل النطاق /32 مقبول. يمكن إستخدام عنوان IP الذي قمت بتعيينه بواسطة واجهة Loopback 65530، والتي يتم إنشاؤها تلقائيا لإجراء فحوصات سلامة Zscaler.

8. تحت قسم التكوين، يمكنك إنشاء أنفاق IPsec بالنقر فوق إضافة نفق. في الإطار المنبثق الجديد، قم بعمل التحديدات بناء على متطلباتك.
9. في هذا المثال، تم إنشاء الواجهة IPsec1 باستخدام واجهة WAN GigabitEthernet1 كمصدر نفق. إنه يشكل اتصال مع مركز بيانات Zcaler الرئيسي. يوصى بالإبقاء على قيم الخيارات المتقدمة كقيم افتراضية. 


IPsec Interface Configتكوين واجهة IPsec   

الإتاحة العالية

في هذا القسم، أختر ما إذا كان التصميم نشطا/نشطا/في وضع الاستعداد، وحدد واجهة IPsec النشطة.

هذا مثال على تصميم نشط/نشط ويتم تحديد جميع الواجهات تحت نشط، مما يترك النسخ الاحتياطي بلا شيء.

Active/Active Designتصميم نشط/نشط

يعرض هذا المثال التصميم النشط/الاحتياطي ويتم تحديد IPsec1 و IPsec11 كواجهات نشطة، بينما يتم تعيين IPsec2 و IPsec12 كواجهات إحتياطية.

Active/Standby Designالتصميم النشط/الاحتياطي

إعدادات متقدمة

1. في هذا القسم، تتمثل التكوينات الأكثر أهمية في مركز البيانات الرئيسي ومركز البيانات الثانوي. يوصى بتكوين كلا التكوينات بشكل تلقائي أو يدوي، ولكن لا يوصى بتكوينهما كمختلطين. إذا أخترت تكوينها يدويا، فحدد عنوان URL الصحيح من مدخل Zscaler استنادا إلى عنوان URL الخاص بقاعدة الشركاء.

Auto or Manually Data Centersمراكز البيانات يدويا أو تلقائيا

2. انقر فوق حفظ عندما تنتهي.

3. بمجرد الانتهاء من تكوين قوالب SIG، يجب تطبيقها ضمن قالب الجهاز. بهذه الطريقة، يتم دفع التكوين إلى موجهات Cisco Edge.

4. الخطوة التالية، انتقل إلى التكوين>قوالب>قالب الجهاز، عند النقاط الثلاث انقر فوق تحرير.

5. تحت شبكة VPN للنقل والإدارة، أضف قالب عبارة الإنترنت الآمنة.

6. على بوابة الإنترنت الآمنة من Cisco، حدد قالب ميزة SIG الصحيح من القائمة المنسدلة.

Add SIG Template on Device Templateإضافة قالب SIG على قالب الجهاز

7. تحت قوالب إضافية في بيانات اعتماد Cisco SIG، حدد قالب بيانات اعتماد Cisco SIG الصحيح من القائمة المنسدلة:


Credential SIG Templateقالب SIG لبيانات الاعتماد

8. انقر فوق تحديث (إذا كان قالب الجهاز الخاص بك عبارة عن قالب نشط، أستخدم الخطوات القياسية لدفع التكوينات على قالب نشط).

التحقق من الصحة

1. يمكن إكمال التحقق من الصحة أثناء معاينة التكوين أثناء الضغط على التغييرات، ما يجب ملاحظته هو:

secure-internet-gateway
     zscaler organization <removed>
     zscaler partner-base-uri <removed>
     zscaler partner-key <removed>
     zscaler username <removed>
     zscaler password <removed>
    !

2. من هذا المثال، يمكنك أن ترى أن التصميم نشط/في وضع الاستعداد:

ha-pairs
  interface-pair Tunnel100001 active-interface-weight 1 Tunnel100002 backup-interface-weight 1
  interface-pair Tunnel100011 active-interface-weight 1 Tunnel100012 backup-interface-weight 1  

3. تتم إضافة تكوينات إضافية مثل ملفات وسياسات التشفير ikev2، وتبدأ الواجهات المتعددة مع Tunnel1xxxxx، وتعريف VRF 65530، ومسار IP sdwan vrf 1 0.0.0.0/0 service sig. جميع هذه التغييرات هي جزء من أنفاق SIG ل IPsec باستخدام Zscaler.

يوضح هذا المثال كيفية ظهور تكوين واجهة النفق:

interface Tunnel100001
     no shutdown
     ip unnumbered       GigabitEthernet1
     no ip clear-dont-fragment
     ip mtu              1400
     tunnel source GigabitEthernet1
     tunnel destination dynamic
     tunnel mode ipsec ipv4
     tunnel protection ipsec profile if-ipsec1-ipsec-profile
     tunnel vrf multiplexing

4. بعد دفع التكوينات بنجاح على موجهات Cisco Edge، يمكنك تشغيل الأوامر للتحقق مما إذا كانت الأنفاق متوفرة:

Router#show sdwan secure-internet-gateway zscaler tunnels
                                                                                                                                                         HTTP
TUNNEL IF                                             TUNNEL                                            LOCATION                                         RESP  
NAME          TUNNEL NAME                             ID        FQDN           TUNNEL FSM STATE         ID        LOCATION FSM STATE   LAST HTTP REQ     CODE  
--------------------------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001  site<removed>Tunnel100001             <removed>   <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200   
Tunnel100002  site<removed>Tunnel100002              <removed>  <removed>     add-vpn-credential-info  <removed>  location-init-state  get-data-centers  200

5. إذا لم يظهر لديك رمز إعادة توجيه HTTP رقم 200، فهذا يعني أنك تواجه مشكلة مع كلمة المرور أو مفتاح الشريك. 
6. للتحقق من حالة الواجهة، أستخدم هذا الأمر:

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
GigabitEthernet3       10.2.20.77      YES other  up            up      
GigabitEthernet4       10.2.248.43     YES other  up            up      
Sdwan-system-intf      10.10.10.221    YES unset  up            up      
Loopback65528          192.168.1.1     YES other  up            up      
Loopback65530          192.168.0.2     YES other  up            up   <<< This is the IP that you used on Tracker SIG Feature template      
NVI0                   unassigned      YES unset  up            up      
Tunnel2                10.2.58.221     YES TFTP   up            up      
Tunnel3                10.2.20.77      YES TFTP   up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            up      
Tunnel100002           10.2.58.221     YES TFTP   up            up

7. للتحقق من حالة المتعقب، قم بتشغيل الأوامر show endpoint-tracker وshow endpoint-tracker records. هذا يساعدك على تأكيد عنوان URL الذي يستخدمه المتعقب:

Router#show endpoint-tracker 
Interface              Record Name            Status          RTT in msecs    Probe ID        Next Hop       
Tunnel100001           #SIGL7#AUTO#TRACKER    Up              194             44              None           
Tunnel100002           #SIGL7#AUTO#TRACKER    Up              80              48              None   
Router#show endpoint-tracker records 
Record Name            Endpoint                            EndPoint Type   Threshold(ms)    Multiplier   Interval(s)     Tracker-Type   
#SIGL7#AUTO#TRACKER    http://gateway..net/vpnt API_URL         1000             2            30              interface  

8. عمليات التحقق الأخرى التي يمكنك إستخدامها هي:

  • تأكد من أن الموجهات على VRF تشير إلى أنفاق IPsec وقم بتشغيل هذا الأمر:

    show ip route vrf 1 

عبارة المحاولة الأخيرة هي 0.0.0.0 إلى الشبكة 0.0.0.0

S* 0.0.0.0/0 [2/65535]، Tunnel100002
                    [2/65535]، النفق 100001
10.0.0.0/8 عبارة عن شبكات فرعية مختلفة و 4 شبكات فرعية وأقنعة

9. لمزيد من التحقق، يمكنك إختبار الاتصال باتجاه الإنترنت وإكمال مسار تتبع للتحقق من حركة مرور البيانات:

Router#ping vrf 1 cisco.com
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to <removed>, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 406/411/417 ms
Router1#traceroute vrf 1 cisco.com
Type escape sequence to abort.
Tracing the route to redirect-ns.cisco.com (<removed>)
VRF info: (vrf in name/id, vrf out name/id)
1 * * * 
2  195 msec 193 msec 199 msec
3  200 msec
   199 msec * 
.....

10. يمكنك التحقق من واجهات IPsec من واجهة المستخدم الرسومية (GUI) vManage من خلال الانتقال إلى المراقبة>الجهاز أو الشاشة>الشبكة (للشفرات 20.6 والإصدارات الأولى).

  • حدد الموجه الخاص بك وانتقل إلى التطبيقات> الواجهات.
  • حدد Tunnel100001 وTunnel100002 لعرض حركة المرور في الوقت الفعلي أو تخصيصها لكل إطار زمني مطلوب:  

Monitoring IPsec Tunnelsمراقبة أنفاق IPsec

استكشاف الأخطاء وإصلاحها

إذا لم يكن نفق SIG قيد التشغيل، راجع الخطوات التالية لاستكشاف الأخطاء وإصلاحها:

الخطوة 1: تحقق من الأخطاء عن طريق تشغيل الأمر show sdwan secure-internet-gateway zscaler tuner. من الإخراج، إذا لاحظت رمز RESP HTTP 401، فإنه يشير إلى وجود مشكلة في المصادقة. يمكنك التحقق من القيم الموجودة في "قالب بيانات اعتماد SIG" لعرض ما إذا كانت كلمة المرور أو مفتاح الشريك صحيحة.

Router#show sdwan secure-internet-gateway zscaler tunnels 
                                                                                                                                    HTTP 
TUNNEL IF                                   TUNNEL                                 LOCATION                                         RESP 
NAME TUNNEL             NAME                ID        FQDN   TUNNEL FSM STATE      ID        LOCATION FSM STATE   LAST HTTP REQ     CODE 
----------------------------------------------------------------------------------------------------------------------------------------------
Tunnel100001   site<removed>Tunnel100001   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100002   site<removed>Tunnel100002   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100011   site<removed>Tunnel100011   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401 
Tunnel100012   site<removed>Tunnel100012   0                 tunnel-st-invalid  <removed>  location-init-state   req-auth-session      401


الخطوة 2. لمزيد من تصحيح الأخطاء، قم بتمكين هذه الأوامر والبحث عن رسائل السجل المتعلقة ب SIG أو HTTP أو Tracker:

  • debug platform software sdwan ftm sig
  • debug platform sdwan sig 
  • debug platform software sdwan tracker
  • debug platform software sdwan ftm rtm-events

من cisco ios ® صيغة IOS-XE 17.11+، <debug platform> كان قد تم ترحيله إلى <set platform trace>

set platform software trace ftmd r0 ftmd-sig [debug | verbose]

set platform software trace ios r0 sdwanRP-sig debug

set platform software trace ios r0 sdwanRP-tracker debug

set platform software trace ftmd r0 ftmd-rtm [debug | verbose]

1. هذا مثال على المخرجات من أوامر تصحيح الأخطاء:

Router#show logging | inc SIG
Jan 31 19:39:38.666: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:39:38.669: ENDPOINT TRACKER: endpoint tracker SLA already unconfigured: #SIGL7#AUTO#TRACKER
Jan 31 19:59:18.240: SDWAN INFO: Tracker entry Tunnel100001/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.263: SDWAN INFO: Tracker entry Tunnel100002/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.274: SDWAN INFO: Tracker entry Tunnel100011/#SIGL7#AUTO#TRACKER state => DOWN
Jan 31 19:59:18.291: SDWAN INFO: Tracker entry Tunnel100012/#SIGL7#AUTO#TRACKER state => DOWN

2. قم بتشغيل الأمر show ip interface brief وفحص بروتوكول واجهة الأنفاق وتحقق مما إذا كانت هذه العناصر تظهر إلى أعلى أو إلى أسفل.  

Router#show ip interface brief 
Interface              IP-Address      OK? Method Status    Protocol
GigabitEthernet1       10.2.234.146    YES DHCP   up            up      
GigabitEthernet2       10.2.58.221     YES other  up            up      
Tunnel100001           10.2.58.221     YES TFTP   up            down
Tunnel100002           10.2.58.221     YES TFTP   up            down

3. بعد تأكيد عدم وجود مشاكل في بيانات اعتماد Zscaler، قم بإزالة واجهة SIG من قالب الجهاز ودفعها إلى الموجه. بمجرد اكتمال الدفع، قم بتطبيق قالب SIG وأعادته إلى الموجه. تفرض هذه الطريقة إعادة إنشاء الأنفاق من البداية.

معلومات ذات صلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
2.0
11-Jun-2026
التدقيق الإملائي والنحوي وهيكل الجملة والمسافات والنص البديل والعنوان وعناوين الربط URL المحدثة.
1.0
08-Feb-2024
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Eris Bleta
    Cisco Escalation Engineer

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات