يصف هذا المستند الخطوات المطلوبة لتكوين نفق VPN IPSec واستكشاف أخطائه وإصلاحها بين Cisco Secure Access و Cisco IOS XE باستخدام BGP و ECMP.
في مثال المختبر هذا، يوضح هذا السيناريو أن الشبكة 192.168.150.0/24 بها مقطع شبكة LAN خلف جهاز Cisco IOS XE، و192.168.200.0/24 بها تجمع IP مستخدم بواسطة RAPN مع المستخدمين الذين يتصلون بمنفذ آمن.
الهدف الطرفي هو إستخدام ECMP على أنفاق VPN بين جهاز Cisco IOS XE ومحطة الاستقبال والبث الخاصة بالوصول الآمن. لفهم المخطط بشكل أفضل، ارجع إلى المخطط:

ملاحظة: هذا مثال على تدفق الحزم يمكنك تطبيق نفس المبادئ على أي تدفق (تدفقات) آخر، وتأمين الوصول إلى الإنترنت من الشبكة الفرعية 192.168.150.0/24 خلف موجه Cisco IOS XE.
يوصى بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
وتحتوي أنفاق الشبكة في الوصول الآمن على حد للنطاق الترددي يصل إلى 1 جيجابت في الثانية لكل نفق واحد. إذا كان عرض النطاق الترددي للإنترنت من الخادم/الخادم أعلى من 1 جيجابت في الثانية وتريد إستخدامه بالكامل، فيجب تكوين أنفاق متعددة باستخدام نفس مركز بيانات الوصول الآمن من خلال تجميعها في مجموعة ECMP واحدة.
عند إنهاء عدة أنفاق باستخدام مجموعة نفق شبكة واحدة (ضمن تيار مستمر واحد للوصول الآمن)، فإنها بشكل افتراضي تشكل مجموعة ECMP من منظور وحدة الاستقبال والبث الخاصة بالوصول الآمن. بمجرد أن تقوم وحدة الاستقبال والبث الآمنة بإرسال حركة مرور البيانات نحو جهاز VPN المحلي، فإنها تقوم بموازنة التحميل بين الأنفاق (بافتراض تلقي المسارات الصحيحة من أقران BGP).
للحصول على نفس الوظائف مع جهاز شبكة VPN المحلي، يجب تكوين واجهات VTI متعددة على موجه واحد، وضمان تطبيق تكوينات التوجيه المناسبة. وتغطي هذه المقالة هذه السيناريوهات مع شرح لكل خطوة.
هناك تكوينات خاصة يجب تطبيقها على جانب الوصول الآمن لتكوين مجموعة ECMP من أنفاق شبكات VPN متعددة باستخدام بروتوكول BGP.
تكوين مجموعة نفق الشبكة:



يغطي هذا القسم تكوين CLI الذي يجب تطبيقه على موجه Cisco IOS XE. لتكوين أنفاق IKEv2 بشكل صحيح، جوار BGP، وموازنة حمل ECMP عبر واجهات النفق الظاهرية.
يتم شرح كل قسم ويتم ذكر معظم التنبيهات الشائعة.
تكوين نهج IKEv2 واقتراح IKEv2، تحدد هذه المعلمات الخوارزميات التي يتم إستخدامها ل IKE SA (المرحلة 1):
crypto ikev2 proposal sse-proposal
encryption aes-gcm-256
prf sha256
group 19 20
crypto ikev2 policy sse-pol
proposal sse-proposal
ملاحظة: ارجع إلى المعلمات المقترحة والمثالية التي تم وضع علامة عليها بالأسود في دليل SSE لمعلمات IPsec المدعومة.
قم بتعريف حلقة المفاتيح IKEv2 التي توضح عنوان IP لنقطة الاستقبال والبث المشترك مسبقا المستخدم للمصادقة باستخدام وحدة الاستقبال والبث ل SSE:
crypto ikev2 keyring sse-keyring
peer sse
address 35.179.86.116
pre-shared-key local <boring_generated_password>
pre-shared-key remote <boring_generated_password>
يحدد هذا النوع من هوية IKE المراد إستخدامها، والذي يطابق النظير البعيد، والذي يقوم الموجه المحلي لهوية IKE بإرساله إلى النظير. تعد هوية IKE الخاصة بوحدة الاستقبال والبث الخاصة ب SSE من نوع عنوان IP وتساوي IP العام الخاص بوحدة الاستقبال والبث الخاصة ب SSE.
تحذير: لإنشاء أنفاق متعددة مع نفس مجموعة نفق الشبكة على جانب SSE، يجب أن تستخدم جميعها نفس هوية IKE المحلية. ولا يدعم Cisco IOS XE مثل هذه السيناريوهات، حيث يتطلب زوج فريد من هويات IKE المحلية والبعيدة لكل نفق. وللتغلب على هذا التحديد، تم تحسين وحدة الاستقبال والبث الخاصة ب SSE لقبول معرف IKE بتنسيق: <tunneld_id>+<suffix>@<org><hub>.sse.cisco.com
كما تمت مناقشته في سيناريو المعمل، تم تعريف معرف النفق على أنه: cat8k-dmz. في السيناريو العادي، يمكنك تكوين الموجه لإرسال هوية IKE المحلية ك: cat8k-dmz@8195165-622405748-sse.cisco.com.
ومع ذلك، لإنشاء أنفاق متعددة باستخدام مجموعة نفق الشبكة نفسها، معرفات IKE المحلية التي سيتم إستخدامها: cat8k-dmz+tunnel1@8195165-622405748-sse.cisco.com وcat8k-dmz+tunnel2@8195165-622405748-sse.cisco.com.
اللاحقة المضافة إلى كل سلسلة: (النفق 1 والنفق 2).
ملاحظة: كما ذكر سابقا. هويات IKE المحلية هي أمثلة تستخدم في سيناريو هذا المختبر. يمكنك تحديد أي لاحقة تريدها، فقط تأكد من استيفاء المتطلبات.
crypto ikev2 profile sse-ikev2-profile-tunnel1
match identity remote address 35.179.86.116 255.255.255.255
identity local email cat8k-dmz+tunnel1@8195165-622405748-sse.cisco.com
authentication remote pre-share
authentication local pre-share
keyring local sse-keyring
dpd 10 2 periodic
crypto ikev2 profile sse-ikev2-profile-tunnel2
match identity remote address 35.179.86.116 255.255.255.255
identity local email cat8k-dmz+tunnel2@8195165-622405748-sse.cisco.com
authentication remote pre-share
authentication local pre-share
keyring local sse-keyring
dpd 10 2 periodic
قم بتكوين مجموعة تحويل IPSec. يحدد هذا الإعداد الخوارزميات المستخدمة لاقتران أمان IPsec (المرحلة 2):
crypto ipsec transform-set sse-transform esp-gcm 256
mode tunnel
تشكيل توصيفات IPSec التي تربط توصيفات IKEv2 بمجموعات تحويل:
crypto ipsec profile sse-ipsec-profile-1
set transform-set sse-transform
set ikev2-profile sse-ikev2-profile-tunnel1
crypto ipsec profile sse-ipsec-profile-2
set transform-set sse-transform
set ikev2-profile sse-ikev2-profile-tunnel2
يغطي هذا القسم تكوينات واجهات النفق الظاهرية وواجهات الاسترجاع المستخدمة كمصادر للنفق. في سيناريو المعمل الذي تمت مناقشته سابقا، يجب عليك إنشاء واجهات VTI مع نظير واحد باستخدام نفس عنوان IP العام. أيضا، ال cisco ios XE يتلقى أداة فقط واحد مخرج قارن GigabitEthernet1. ال cisco ios XE لا يساند تشكيل من أكثر من واحد VTI مع ال نفسه نفق مصدر وغاية.
وللتغلب على هذا التحديد، يمكنك إستخدام واجهات الاسترجاع وتعريفهم كمصدر نفق في VTI المقابلة.
هناك بعض الخيارات لتحقيق اتصال IP بين الاسترجاع وعنوان IP العام ل SSE:
في هذا السيناريو، ناقشت الخطوات التالية بالتفصيل الخيار الثاني.
قم بتكوين واجهتي إسترجاع وإضافة الأمر "ip nat inside" تحت كل منهما.
interface Loopback1
ip address 10.1.1.38 255.255.255.255
ip nat inside
end
interface Loopback2
ip address 10.1.1.70 255.255.255.255
ip nat inside
end
تعريف قائمة التحكم في الوصول إلى NAT الديناميكية وبيان الحمل الزائد ل NAT:
ip access-list extended NAT
10 permit ip 10.1.1.0 0.0.0.255 any
ip nat inside source list NAT interface GigabitEthernet1 overload
تكوين واجهات النفق الظاهري:
interface Tunnel1
ip address 169.254.0.10 255.255.255.252
tunnel source Loopback1
tunnel mode ipsec ipv4
tunnel destination 35.179.86.116
tunnel protection ipsec profile sse-ipsec-profile-1
end
!
interface Tunnel2
ip address 169.254.0.14 255.255.255.252
tunnel source Loopback2
tunnel mode ipsec ipv4
tunnel destination 35.179.86.116
tunnel protection ipsec profile sse-ipsec-profile-2
end
ملاحظة: كما هو موضح في سيناريو المعمل، فإن عناوين IP التي تم تعيينها إلى VTIs هي من الشبكات الفرعية غير المتداخلة 169.254.0.0/24. يمكنك إستخدام مساحات الشبكات الفرعية الأخرى، ومع ذلك، هناك متطلبات معينة متعلقة ب BGP، والتي تتطلب مساحة عنوان.
ويغطي هذا القسم خطوات التكوين المطلوبة لإنشاء منطقة جوار BGP باستخدام وحدة الاستقبال والبث الخاصة ببروتوكول SSE. تقوم عملية BGP على وحدة الاستقبال والبث الخاصة ب SSE بالإصغاء على أي IP من الشبكة الفرعية 169.254.0.0/24. لإنشاء تجميع BGP عبر كل من شبكات VTI، وهناك جاران للتعريف 169.254.0.9 (Tunnel1) و169.254.0.13 (Tunnel2). يجب أيضا تحديد قيمة AS البعيدة التي تم رؤيتها في لوحة معلومات SSE.
بدءا من نوفمبر 2025، يجب أن تستخدم جميع مؤسسات Secure Access التي تم إنشاؤها حديثا بروتوكول ASN العام 32644 بشكل افتراضي لتقسيم BGP في مجموعات أنفاق الشبكة. يمكن للمنظمات الموجودة التي تم إنشاؤها قبل نوفمبر 2025 الاستمرار في إستخدام ASN 64512 الخاص الذي كان محجوزا سابقا لأقران BGP للوصول الآمن.
router bgp 65000
bgp log-neighbor-changes
neighbor 169.254.0.9 remote-as 32644
neighbor 169.254.0.9 ebgp-multihop 255
neighbor 169.254.0.13 remote-as 32644
neighbor 169.254.0.13 ebgp-multihop 255
!
address-family ipv4
network 192.168.150.0
neighbor 169.254.0.9 activate
neighbor 169.254.0.13 activate
maximum-paths 2
ملاحظة: يجب أن تكون المسارات التي يتم تلقيها من كلا النظرين هي نفسها تماما. بشكل افتراضي، يقوم الموجه بتثبيت موجه واحد فقط في جدول التوجيه. للسماح بتثبيت أكثر من مسار متكرر واحد في جدول التوجيه (وتمكين ECMP)، يجب تكوين الحد الأقصى للمسارات <عدد المسارات>".
يجب أن ترى نفقين أساسيين في لوحة معلومات SSE:

تحقق من أن كلا النفقين في حالة الاستعداد من جانب Cisco IOS XE:
wbrzyszc-cat8k#show crypto ikev2 sa
IPv4 Crypto IKEv2 SA
Tunnel-id Local Remote fvrf/ivrf Status
1 10.1.1.70/4500 35.179.86.116/4500 none/none READY
Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/255 sec
CE id: 0, Session-id: 6097
Local spi: A15E8ACF919656C5 Remote spi: 644CFD102AAF270A
Tunnel-id Local Remote fvrf/ivrf Status
6 10.1.1.38/4500 35.179.86.116/4500 none/none READY
Encr: AES-GCM, keysize: 256, PRF: SHA256, Hash: None, DH Grp:20, Auth sign: PSK, Auth verify: PSK
Life/Active Time: 86400/11203 sec
CE id: 0, Session-id: 6096
Local spi: E18CBEE82674E780 Remote spi: 39239A7D09D5B972
تحقق من تشغيل منطقة جوار BGP باستخدام كلا نظاميهما:
wbrzyszc-cat8k#show ip bgp summary
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
169.254.0.9 4 32644 17281 18846 160 0 0 5d23h 15
169.254.0.13 4 32644 17281 18845 160 0 0 5d23h 15
دققت المسحاج تخديد يعلم ممر مناسب من BGP (وهناك على الأقل إثنان خطوة تالي ركبت في يوجه طاولة):
wbrzyszc-cat8k#show ip route 192.168.200.0
Routing entry for 192.168.200.0/25, 2 known subnets
B 192.168.200.0 [20/0] via 169.254.0.13, 5d23h
[20/0] via 169.254.0.9, 5d23h
B 192.168.200.128 [20/0] via 169.254.0.13, 5d23h
[20/0] via 169.254.0.9, 5d23h
wbrzyszc-cat8k#show ip cef 192.168.200.0
192.168.200.0/25
nexthop 169.254.0.9 Tunnel1
nexthop 169.254.0.13 Tunnel2
ابدأ حركة المرور وتحقق من إستخدام كلا النفقين وتشاهد عمليات التضمين وعدادات الكبح تتزايد لكليهما:
wbrzyszc-cat8k#show crypto ipsec sa | i peer|caps
current_peer 35.179.86.116 port 4500
#pkts encaps: 1881087, #pkts encrypt: 1881087, #pkts digest: 1881087
#pkts decaps: 1434171, #pkts decrypt: 1434171, #pkts verify: 1434171
current_peer 35.179.86.116 port 4500
#pkts encaps: 53602, #pkts encrypt: 53602, #pkts digest: 53602
#pkts decaps: 208986, #pkts decrypt: 208986, #pkts verify: 208986
إختياريا، أنت يستطيع جمعت ربط على كلا قارن VTI أن يضمن حركة مرور يكون وزن بين VTIs. ارجع إلى تكوين الحزمة المضمنة والتقاط عليها على دليل البرامج لتكوين التقاط الحزمة المضمنة على أجهزة Cisco IOS XE. في المثال، كان المضيف الموجود خلف موجه IOS XE من CiSCO باستخدام مصدر IP: 192.168.150.1 يقوم بإرسال طلبات ICMP إلى عناوين IP متعددة من الشبكة الفرعية 192.168.200.0/24. وكما ترى، يتم موازنة حمل طلبات ICMP بالتساوي بين الأنفاق.
wbrzyszc-cat8k#show monitor capture Tunnel1 buffer brief
----------------------------------------------------------------------------
# size timestamp source destination dscp protocol
----------------------------------------------------------------------------
0 114 0.000000 192.168.150.1 -> 192.168.200.2 0 BE ICMP
1 114 0.000000 192.168.150.1 -> 192.168.200.2 0 BE ICMP
10 114 26.564033 192.168.150.1 -> 192.168.200.5 0 BE ICMP
11 114 26.564033 192.168.150.1 -> 192.168.200.5 0 BE ICMP
wbrzyszc-cat8k#show monitor capture Tunnel2 buffer brief
----------------------------------------------------------------------------
# size timestamp source destination dscp protocol
----------------------------------------------------------------------------
0 114 0.000000 192.168.150.1 -> 192.168.200.1 0 BE ICMP
1 114 2.000000 192.168.150.1 -> 192.168.200.1 0 BE ICMP
10 114 38.191000 192.168.150.1 -> 192.168.200.3 0 BE ICMP
11 114 38.191000 192.168.150.1 -> 192.168.200.3 0 BE ICMP
ملاحظة: هناك آليات متعددة لموازنة حمل ECMP على موجهات Cisco IOS XE. بشكل افتراضي، يتم تمكين موازنة الحمل لكل وجهة، وهو ما يضمن حركة المرور إلى نفس الوجهة التي تأخذ IP دائما نفس المسار. يمكنك تكوين موازنة الحمل لكل حزمة، وهو ما يقوم بموازنة حركة مرور البيانات بشكل عشوائي حتى ل IP الوجهة نفسها.
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
3.0 |
10-Jul-2026
|
تم تحديث العنوان، المقدمة، التدقيق الإملائي، القواعد، هيكل الجملة، المسافات، النص البديل، وتنبيهات CCW. |
1.0 |
21-Oct-2024
|
الإصدار الأولي |