отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

DMVPN.Cisco7604 + 7600-SSC-400/SPA-IPSEC-2G

Всем привет.

 

     У меня появилась задача поднять на Cisco 7604 DMVPN HUB. Так как в ней имелся модуль 7600-SSC-400, хотелось бы шифровать им.

Настроил, на первый взгляд все заработало, и spoke все подключились, и eigrp ходит, и пакеты бегают.

Но как понять, действительно-ли трафик шифруется с помощью модуля 7600-SSC-400, или все же софтверно?

<!--break-->

 

Видел в мануалах много разных команд проверки, одна из которых "sh cry vlan"

Вот что кажет у меня:

#sh cry vlan
Interface Tunnel102 on IPSec Service Module port GigabitEthernet2/0/1 connected to Vlan1023 with crypto map set

А на сколько я понял, должно быть что-то типо следующего:

#sh cry vlan
Interface Tunnel102 on IPSec Service Module port GigabitEthernet2/0/1 connected to Vlan1023 with crypto map set
   Tunnel102 is accelerated via IPSec SM in subslot 2/0

 

     Собственно вопрос, означает-ли, что если у меня в выводе крманды "sh cry vlan" остутствует строчка "Tunnel102 is accelerated via IPSec SM in subslot 2/0" , то трафик у меня шифруется софтверно?

 

Привожу кусок конфигурации:

crypto engine mode vrf
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp key cisco address a.b.c.d
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10 5 periodic
crypto isakmp aggressive-mode disable
!
!
crypto ipsec transform-set dmvpn_3des esp-3des esp-md5-hmac
 mode transport
!
crypto ipsec profile DMVPN_3DES
 set transform-set dmvpn_3des
 set pfs group2

!

interface Tunnel102
 bandwidth 100000
 ip address X.X.X.X 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip authentication mode eigrp 1 md5
 ip authentication key-chain eigrp 1 EIGRP-KEY
 ip hold-time eigrp 1 30
 no ip next-hop-self eigrp 1
 no ip split-horizon eigrp 1
 ip flow ingress
 ip nhrp authentication *****
 ip nhrp map multicast dynamic
 ip nhrp network-id ***
 ip nhrp holdtime 300
 ip nhrp registration no-unique
 ip nhrp registration timeout 10
 delay 100
 tunnel source Y.Y.Y.Y
 tunnel mode gre multipoint
 tunnel protection ipsec profile DMVPN_3DES
 crypto engine gre vpnblade
 crypto engine slot 2/0 inside

!

interface GigabitEthernet4/2
 ip address Y.Y.Y.Y 255.255.255.0
 ip access-group ACL in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 ip tcp adjust-mss 1360
 speed 100
 duplex full
 no cdp enable
 crypto engine slot 2/0 outside

 

Теги (1)
12 ОТВЕТ.

Покажите, пожалуйста:show

Покажите, пожалуйста:

show crypto engine connections active 

show crypto engine configuration

show crypto engine brief 

Из вывода многое станет ясно, мне кажется.

New Member

#sh cry engine connections

#sh cry engine connections active
Crypto Engine Connections

   ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
27483  IPsec   3DES+MD5                  0        0        0 Y.Y.Y.Y
27484  IPsec   3DES+MD5                  0        0        0 Y.Y.Y.Y
27485  IPsec   3DES+MD5                  0        0        0 Y.Y.Y.Y
27486  IPsec   3DES+MD5                  0        0        0 Y.Y.Y.Y
70236  IKE     SHA+3DES                  0        0        0 Y.Y.Y.Y
70237  IKE     SHA+3DES                  0        0        0 Y.Y.Y.Y
70238  IKE     SHA+3DES                  0        0        0 Y.Y.Y.Y
70239  IKE      SHA+3DES                  0        0        0 Y.Y.Y.Y

 

#sh crypto engine configuration

crypto engine name:  Cisco VPN Software Implementation
        crypto engine type:  software
             serial number:  00000000
       crypto engine state:  installed
     crypto engine in slot:  N/A
                  platform:  Cisco Software Crypto Engine
        crypto lib version:  22.0.0

 

#sh crypto engine brief

crypto engine name:  Cisco VPN Software Implementation
        crypto engine type:  software
             serial number:  00000000
       crypto engine state:  installed
     crypto engine in slot:  N/A

И до кучи еще:

#sh crypto eli
Hardware Encryption : ACTIVE
 Number of hardware crypto engines = 1

 CryptoEngine SPA-IPSEC-2G[2/0] details: state = Active
 Capability    : DES, 3DES, AES, RSA

 IKE-Session   :    24 active, 16383 max, 0 failed
 DH            :     0 active,  9999 max, 0 failed
 IPSec-Session :    28 active, 65534 max, 0 failed

 

 

Сравните количество Ipsec

Сравните количество Ipsec сессий с sh crypto session brief , мне кажется у Вас все хорошо.

New Member

Забавно, но ipsec сессий у

Забавно, но ipsec сессий у меня на две больше чем показывает вывод команды "sh cry session brief"
 

Это нормально?

Вот для примера 3825:

Вот для примера 3825:

sh crypto engine brief 
        crypto engine name:  Virtual Private Network (VPN) Module
        crypto engine type:  hardware
                     State:  Enabled
                  Location:  onboard 0
              Product Name:  Onboard-VPN
                FW Version:  01100200
              Time running:  138920 seconds
               Compression:  Yes
                       DES:  Yes
                     3 DES:  Yes
                   AES CBC:  Yes (128,192,256)
                  AES CNTR:  No
     Maximum buffer length:  4096
          Maximum DH index:  0500
          Maximum SA index:  0500
        Maximum Flow index:  1000
      Maximum RSA key size:  2048

        crypto engine name:  Cisco VPN Software Implementation
        crypto engine type:  software
             serial number:  ХХХХХХХХ
       crypto engine state:  installed
     crypto engine in slot:  N/A

 

sh crypto engine configuration

        crypto engine name:  Virtual Private Network (VPN) Module
        crypto engine type:  hardware
                     State:  Enabled
                  Location:  onboard 0
              Product Name:  Onboard-VPN
                FW Version:  01100200
              Time running:  139326 seconds
               Compression:  Yes
                       DES:  Yes
                     3 DES:  Yes
                   AES CBC:  Yes (128,192,256)
                  AES CNTR:  No
     Maximum buffer length:  4096
          Maximum DH index:  0500
          Maximum SA index:  0500
        Maximum Flow index:  1000
      Maximum RSA key size:  2048

        crypto lib version:  20.0.0

     crypto engine in slot:  0
                  platform:  VPN hardware accelerator
        crypto lib version:  20.0.0
sh crypto eli
Hardware Encryption : ACTIVE
 Number of hardware crypto engines = 1

 CryptoEngine Onboard VPN details: state = Active
 Capability    : IPPCP, DES, 3DES, AES, IPv6, FAILCLOSE

 IPSec-Session :    14 active,  1000 max, 0 failed

Видим 14 ipsec-сессий (7, если считать encrypt+decrypt для одного пира)

sh crypto engine connections active 
Crypto Engine Connections

   ID  Type    Algorithm           Encrypt  Decrypt LastSeqN IP-Address
 1146  IKE     MD5+3DES                  0        0        0 x.x.x.x
 1147  IKE     SHA+AES                   0        0        0 x.x.x.x
 1148  IKE     SHA+AES                   0        0        0 x.x.x.x
 1149  IKE     MD5+3DES                  0        0        0 x.x.x.x
 1150  IKE     SHA+AES                   0        0        0 x.x.x.x
 1151  IKE     MD5+3DES                  0        0        0 x.x.x.x
 1152  IKE     MD5+3DES                  0        0        0 x.x.x.x
 1155  IKE     SHA+AES                   0        0        0 x.x.x.x
 1156  IKE     SHA+AES                   0        0        0 x.x.x.x
 2811  IPsec   AES+SHA                   0    76610    77028 x.x.x.x
 2812  IPsec   AES+SHA               88366        0        0 x.x.x.x
 2815  IPsec   AES+SHA                   0   294596   295774 x.x.x.x
 2816  IPsec   AES+SHA              271543        0        0 x.x.x.x
 2817  IPsec   AES+SHA                   0    26281    26416 x.x.x.x
 2818  IPsec   AES+SHA               33530        0        0 x.x.x.x
 2819  IPsec   AES+SHA                   0    38734    39012 x.x.x.x
 2820  IPsec   AES+SHA               42998        0        0 x.x.x.x
 2821  IPsec   AES+SHA                   0      845      854 x.x.x.x
 2822  IPsec   AES+SHA                2200        0        0 x.x.x.x
 2823  IPsec   AES+SHA                   0      791      797 x.x.x.x
 2824  IPsec   AES+SHA                 763        0        0 x.x.x.x
 2825  IPsec   3DES+MD5                  0    31748    31866 x.x.x.x
 2826  IPsec   3DES+MD5              34022        0        0 x.x.x.x

А вот здесь действительно интересно, откуда-то берутся "двойные" сессии, но если их убрать, в результате получатся те же 7 (encrypt+decrypt)

sh crypto session brief 
Status: A- Active, U - Up, D - Down, I - Idle, S - Standby, N - Negotiating 
        K - No IKE
ivrf = (none)
           Peer     I/F        Username          Group/Phase1_id   Uptime Status
  A.B.242.58 Tu101 T                            A.B.242.58    1d06h    UA
  A.B.242.58 Tu101 T                            A.B.242.58    1d06h    UA !!!НЕ СЧИТАЕМ!!!
     C.D.0.46 Tu101 T                               C.D.0.46    1d05h    UA
  E.F.32.140 Tu101 T                            10.101.128.38 04:40:11    UA
     C.D.0.54 Tu101 T                               C.D.0.54 01:02:10    UA
 G.H.140.240 Tu101 T                             10.136.21.18    1d06h    UA
 G.H.140.240 Tu101 T                             10.136.21.18    1d06h    UA !!!НЕ СЧИТАЕМ!!!
  I.K.167.92 Tu101 T                            I.K.167.92    1d06h    UA
  I.K.167.93 Tu101 T                            I.K.167.93    1d06h    UA
New Member

Что касается 3800 у меня

Что касается 3800 у меня выводы команд похожи, тут как бы все понятно.

 

А вот на 7600 не понятно + я еще заметил, что в выводе "sh cry engine connections active" в столбцах "Encrypt" и "Decrypt" сплошные нули по сравнению с той же 3800. Получается вообще ничего не шифруется...так что-ли?

В таком случае да, на мой

В таком случае да, на мой взгляд, есть проблема. М.б. что-нибудь ребята из TAC скажут?

New Member

Еще вот мысли появились...

Еще вот мысли появились...

 

Что конкретно показывает команда "show crypto engine connections active"?

Если я правильно помню, она показывает активные сессии конкретного крипто движка. Какого именно - показывается в выводе команды "show crypto engine brief".

 

Это так?

 

Если так, то в случае 3800 - команда "show crypto engine brief" показывает, что есть два движка - один софтверный, второй хардверный, он же и активный.

Соответственно, команда "show crypto engine connections active" показывает активные сесси которые обрабатывает этот хардверный движок.

 

В случае с 7600, команда "show crypto engine brief" показывает только один софтверный движок. И раз у меня в сессиях все по нулям, значит не он обрабатывает их...

Вот например тут есть количество обработанных пакетов:

#show crypto session detail
Crypto session current status
Code: C - IKE Configuration mode, D - Dead Peer Detection
K - Keepalives, N - NAT-traversal, T - cTCP encapsulation
X - IKE Extended Authentication, F - IKE Fragmentation
Interface: Tunnel102
Uptime: 2w1d
Session status: UP-ACTIVE
Peer: Y.Y.Y.3 port 500 fvrf: (none) ivrf: (none)
      Phase1_id: Y.Y.Y.3
      Desc: (none)
  IKEv1 SA: local Y.Y.Y.254/500 remote Y.Y.Y.3/500 Active
          Capabilities:D connid:70308 lifetime:19:15:44
  IKEv1 SA: local Y.Y.Y.254/500 remote Y.Y.Y.3/500 Active
          Capabilities:D connid:70307 lifetime:19:15:44
  IPSEC FLOW: permit 47 host Y.Y.Y.254 host Y.Y.Y.3
        Active SAs: 2, origin: crypto map
        Inbound:  #pkts dec'ed 328018 drop 0 life (KB/Sec) 4411336/2955
        Outbound: #pkts enc'ed 363283 drop 0 life (KB/Sec) 4255647/2955
Cisco Employee

Насколько я помню, все

Насколько я помню, все правильно. В документации речь идет не об IPsec, а о том, кто выполняет инкапсуляцию в GRE или mGRE. В данном сл. это делает Sup, т.к. модуль это делать для сл. mGRE, насколько я помню, не умеет. Инкапсуляцию в IPsec с шифрованием и аутентификацией HMAC делает модуль, поскольку на этой платформе это не умеет делать никто, кроме него, в т.ч. и software crypto engine (для сл. транзитного трафика). И потом, если бы что-то было не так, то по загрузке CPU давно бы заметили.

 

Cisco Employee

P.S. "show crypto engine"

P.S. "show crypto engine" вообще может показывать что угодно или не показывать ничего или вообще отсутствовать на подобных платформах. Вот на ASR1k ее вообще в конце-концов убрали как класс. На SPA-IPSEC-2G поддерживается только "show crypto engine accelerator statistic" - на 6500 с SXH, на 7600 - с SRA. И "show crypto eli".

 

New Member

Так, теперь все становится на

Так, теперь все становится на свои места.

 

Действительно, модуль может обрабатывать только p-pGRE туннели... в моем случае, mGRE обрабатывается PFC.

 

Получается, что инкапсуляция mGRE происходит на PFC, а шифруется все на модуле?

 

Cisco Employee

Ну да. 

Ну да.

 

129
Просмотры
0
Полезный материал
12
Ответы
СоздатьДля создания публикации, пожалуйста в систему