Kategoria: Sieć rozległa WAN

(K) Konfiguracja protokołu PPPoE Serwer**
Konfiguracja PPPoE po stronie ISP

Konfiguracja puli adresów IP, przydzielanych klientom usługi PPPoE

(config)# ip local pool nazwa-puli adres-IP-początkowy adres-IP-końcowy

Konfiguracja grupy BBA

(config)# bba-group pppoe {nazwa-grupy / global(Wartość domyślna)}(global)
(config)# virtual-template ID-template

Konfiguracja klienta usługi PPPoE

(config)# username login password hasło

Konfiguracja interfejsu wirtualnego

(config)# interface virtual-template ID-template
(config-if)# ip address sieć maska
(config-if)# peer default ip address pool nazwa-puli
(config-if)# ppp authentication chap callin

Konfiguracja interfejsu fizycznego

(config)# interface interfejs
(config-if)# no ip address
(config-if)# pppoe enabled group {nazwa-grupy / global}(global)
(config-if)# [no] shutdown

Pozostałe tematy związane z protokołem PPP oraz PPPoE
4 grudnia 2019
(K) Konfiguracja protokołu IPsec over DMVPN*
Konfiguracja polisy isakmp

(config)# [no] crypto isakmp enable
Wyłącza / Włącza

(config)# crypto isakmp policy 1-10000(ID)
Tworzy nową polisę ISAKMP o określonym numerze ID.

(config-isakmp)# encryption {des / 3des / aes {128 / 192 / 256}}
Określa wykorzystywany algorytm szyfrujący

(config-isakmp)# authentication {pre-share / rsa-encr / rsa-sig}
Określa metodę autentykacji.
* pre-share –
* rsa-encr –
* rsa-sig –

(config-isakmp)# group {1 / 2 / 5 / 15 / 16 / 19 / 20 / 21 / 24}
Określa numer grupy DH (Diffie-Hellman).

(config-isakmp)# hash {md5 / sha / sha256 / sha384 / sha512}
Określa algorytm haszujący (HASH).

(config-isakmp)# lifetime 60-86400(sekundy)(86400)
Określa czas życia połączenia IPsec.

Konfiguracja kluczy isakmp

Konfiguracja pojedynczego klucza keyring

(config)# crypto isakmp key klucz address {adres-IP / 0.0.0.0 0.0.0.0 / nazwa-DNS}
Określa adres IP bądź nazwę DNS sąsiedniego urządzenia, wraz z wstępnie współdzielonym kluczem (Preshared Keys). Adres 0.0.0.0 0.0.0.0 oznacza że podane hasło będzie przypisane do wszystkich połączeń IPsec.

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations), w tym informacje o pozostałym czasie życia klucza.

Konfiguracja wielu kluczy keyring

(config)# crypto keyring nazwa-keyring
Tworzy nowy zestaw kluczy KeyRing.

(conf-keyring)# local-address interfejs*
Określa źródłowy adres IP (Przypisany do wskazanego interfejsu).

(conf-keyring)# pre-shared-key address {adres-IP / 0.0.0.0 0.0.0.0} key klucz
Definicje wstępnie współdzielony klucz.

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations), w tym informacje o pozostałym czasie życia klucza.

Konfiguracja transform-set

(config)# crypto ipsec transform-set nazwa-set {ah-sha-hmac / ah-sha256-hmac / ah-sha384-hmac / ah-sha512-hmac / esp-3des / esp-des / esp-aes / esp-sha-hmac / esp-sha256-hmac / esp-sha384-hmac / esp-sha512-hmac} {ah-md5-hmac / ah-sha-hmac / ah-sha256-hmac / ah-sha384-hmac / ah-sha512-hmac / esp-3des / esp-aes / esp-des}

(config)# mode {transport / tunnel}
Określa rodzaj połączenia IPsec (Tunnel Mode / Transport Mode).

Komendy Show, Debug, Clear

Komendy show running-config

# show running-config | section crypto isakmp
Wyświetla konfigurację polisy ISAKMP.

# show running-config | section crypto isakmp|crypto ipsec|crypto map|ip access-list
Wyświetla konfiguracje IPsec.

Komendy show IKE Phase 1

# show crypto isakmp sa
Wyświetla

# show crypto isakmp sa active
Wyświetla wszystkie aktywne asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto isakmp sa [detail]
Wyświetla

# show crypto isakmp profile
Wyświetla

# show crypto isakmp policy
Wyświetla skonfigurowane / domyślne polisy ISAKMP.

# show crypto isakmp key
Wyświetla

# show crypto isakmp default policy
Wyświetla

# show crypto isakmp diagnose error count
Wyświetla

Komendy show IKE Phase 2

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations).

# show crypto ipsec sa detail
Wyświetla

# show crypto map
Wyświetla

Inne komendy show

# show crypto session [detail]
Wyświetla wszystkie asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto ipsec security-association lifetime
Wyświetla

# show crypto ipsec security-association idle-time
Wyświetla

# show crypto isakmp sa active
Wyświetla

Komendy debug

# debug crypto isakmp
Debaguje

# debug crypto ipsec
Debaguje

Komendy clear

# clear crypto isakmp
Czyści

# clear crypto sa
Czyści

Pozostałe tematy związane z protokołem IPSec
4 grudnia 2019
(K) Konfiguracja protokołu IPsec over GRE*
Konfiguracja polisy isakmp

(config)# [no] crypto isakmp enable
Wyłącza / Włącza

(config)# crypto isakmp policy 1-10000(ID)
Tworzy nową polisę ISAKMP o określonym numerze ID.

(config-isakmp)# encryption {des / 3des / aes {128 / 192 / 256}}
Określa wykorzystywany algorytm szyfrujący

(config-isakmp)# authentication {pre-share / rsa-encr / rsa-sig}
Określa metodę autentykacji.
* pre-share –
* rsa-encr –
* rsa-sig –

(config-isakmp)# group {1 / 2 / 5 / 15 / 16 / 19 / 20 / 21 / 24}
Określa numer grupy DH (Diffie-Hellman).

(config-isakmp)# hash {md5 / sha / sha256 / sha384 / sha512}
Określa algorytm haszujący (HASH).

(config-isakmp)# lifetime 60-86400(sekundy)(86400)
Określa czas życia połączenia IPsec.

Konfiguracja kluczy isakmp

Konfiguracja pojedynczego klucza keyring

(config)# crypto isakmp key klucz address {adres-IP / 0.0.0.0 0.0.0.0 / nazwa-DNS}
Określa adres IP bądź nazwę DNS sąsiedniego urządzenia, wraz z wstępnie współdzielonym kluczem (Preshared Keys). Adres 0.0.0.0 0.0.0.0 oznacza że podane hasło będzie przypisane do wszystkich połączeń IPsec.

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations), w tym informacje o pozostałym czasie życia klucza.

Konfiguracja wielu kluczy keyring

(config)# crypto keyring nazwa-keyring
Tworzy nowy zestaw kluczy KeyRing.

(conf-keyring)# local-address interfejs*
Określa źródłowy adres IP (Przypisany do wskazanego interfejsu).

(conf-keyring)# pre-shared-key address {adres-IP / 0.0.0.0 0.0.0.0} key klucz
Definicje wstępnie współdzielony klucz.

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations), w tym informacje o pozostałym czasie życia klucza.

Konfiguracja transform-set

(config)# crypto ipsec transform-set nazwa-set {ah-sha-hmac / ah-sha256-hmac / ah-sha384-hmac / ah-sha512-hmac / esp-3des / esp-des / esp-aes / esp-sha-hmac / esp-sha256-hmac / esp-sha384-hmac / esp-sha512-hmac} {ah-md5-hmac / ah-sha-hmac / ah-sha256-hmac / ah-sha384-hmac / ah-sha512-hmac / esp-3des / esp-aes / esp-des}

(config)# mode {transport / tunnel}
Określa rodzaj połączenia IPsec (Tunnel Mode / Transport Mode).

Komendy Show, Debug, Clear

Komendy show running-config

# show running-config | section crypto isakmp
Wyświetla konfigurację polisy ISAKMP.

# show running-config | section crypto isakmp|crypto ipsec|crypto map|ip access-list
Wyświetla konfiguracje IPsec.

Komendy show IKE Phase 1

# show crypto isakmp sa
Wyświetla

# show crypto isakmp sa active
Wyświetla wszystkie aktywne asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto isakmp sa [detail]
Wyświetla

# show crypto isakmp profile
Wyświetla

# show crypto isakmp policy
Wyświetla skonfigurowane / domyślne polisy ISAKMP.

# show crypto isakmp key
Wyświetla

# show crypto isakmp default policy
Wyświetla

# show crypto isakmp diagnose error count
Wyświetla

Komendy show IKE Phase 2

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations).

# show crypto ipsec sa detail
Wyświetla

# show crypto map
Wyświetla

Inne komendy show

# show crypto session [detail]
Wyświetla wszystkie asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto ipsec security-association lifetime
Wyświetla

# show crypto ipsec security-association idle-time
Wyświetla

# show crypto isakmp sa active
Wyświetla

Komendy debug

# debug crypto isakmp
Debaguje

# debug crypto ipsec
Debaguje

Komendy clear

# clear crypto isakmp
Czyści

# clear crypto sa
Czyści

Pozostałe tematy związane z protokołem IPSec
4 grudnia 2019
(K) Konfiguracja protokołu IPsec ISAKMP Profil*
IPsec Crypto Map + ISAKMP Profil

Konfiguracja polisy isakmp

(config)# [no] crypto isakmp enable
Wyłącza / Włącza

(config)# crypto isakmp policy 1-10000(ID)
Tworzy nową polisę ISAKMP o określonym numerze ID.

(config-isakmp)# encryption {des / 3des / aes {128 / 192 / 256}}
Określa wykorzystywany algorytm szyfrujący

(config-isakmp)# authentication {pre-share / rsa-encr / rsa-sig}
Określa metodę autentykacji.
* pre-share –
* rsa-encr –
* rsa-sig –

(config-isakmp)# group {1 / 2 / 5 / 15 / 16 / 19 / 20 / 21 / 24}
Określa numer grupy DH (Diffie-Hellman).

(config-isakmp)# hash {md5 / sha / sha256 / sha384 / sha512}
Określa algorytm haszujący (HASH).

(config-isakmp)# lifetime 60-86400(sekundy)(86400)
Określa czas życia połączenia IPsec.

Konfiguracja kluczy isakmp

Konfiguracja pojedynczego klucza keyring

(config)# crypto isakmp key klucz address {adres-IP / 0.0.0.0 0.0.0.0 / nazwa-DNS}
Określa adres IP bądź nazwę DNS sąsiedniego urządzenia, wraz z wstępnie współdzielonym kluczem (Preshared Keys). Adres 0.0.0.0 0.0.0.0 oznacza że podane hasło będzie przypisane do wszystkich połączeń IPsec.

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations), w tym informacje o pozostałym czasie życia klucza.

Konfiguracja wielu kluczy keyring

(config)# crypto keyring nazwa-keyring
Tworzy nowy zestaw kluczy KeyRing.

(conf-keyring)# local-address interfejs*
Określa źródłowy adres IP (Przypisany do wskazanego interfejsu).

(conf-keyring)# pre-shared-key address {adres-IP / 0.0.0.0 0.0.0.0} key klucz
Definicje wstępnie współdzielony klucz.

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations), w tym informacje o pozostałym czasie życia klucza.

Konfiguracja transform-set

(config)# crypto ipsec transform-set nazwa-set {ah-sha-hmac / ah-sha256-hmac / ah-sha384-hmac / ah-sha512-hmac / esp-3des / esp-des / esp-aes / esp-sha-hmac / esp-sha256-hmac / esp-sha384-hmac / esp-sha512-hmac} {ah-md5-hmac / ah-sha-hmac / ah-sha256-hmac / ah-sha384-hmac / ah-sha512-hmac / esp-3des / esp-aes / esp-des}

(config)# mode {transport / tunnel}
Określa rodzaj połączenia IPsec (Tunnel Mode / Transport Mode).

Konfiguracja polisy isakmp

(conf-keyring)# crypto isakmp profile nazwa-profilu
Tworzy nową polisę ISAKMP.

(conf-isa-prof)# keyring nazwa-keyring
Przypisuje do polisy ISAKMP zestaw kluczy KeyRing.

(conf-isa-prof)# match identity address {adres-IP / 0.0.0.0 0.0.0.0}

(conf-isa-prof)# self-identity address

(conf-isa-prof)# local-address interfejs
Określa źródłowy adres IP (Przypisany do wskazanego interfejsu).

Konfiguracja krypto mapy & listy acl

(config)# ip access-list extended ACL

(config-ext-nacl)# permit ip źródłowy-adres-IP dzika-maska docelowy-adres-IP dzika-maska

(config-ext-nacl)# crypto map nazwa-mapy 1-65535(numer sekwencji) ipsec-isakmp

(config-crypto-map)# match address ACL

(config-crypto-map)# set peer adres-IP

(config-crypto-map)# set transform-set nazwa-set

Połączenie krypto mapy z interfejsem

(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# crypto map nazwa-mapy

Komendy Show, Debug, Clear

Komendy show running-config

# show running-config | section crypto isakmp
Wyświetla konfigurację polisy ISAKMP.

# show running-config | section crypto isakmp|crypto ipsec|crypto map|ip access-list
Wyświetla konfiguracje IPsec.

Komendy show IKE Phase 1

# show crypto isakmp sa
Wyświetla

# show crypto isakmp sa active
Wyświetla wszystkie aktywne asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto isakmp sa [detail]
Wyświetla

# show crypto isakmp profile
Wyświetla

# show crypto isakmp policy
Wyświetla skonfigurowane / domyślne polisy ISAKMP.

# show crypto isakmp key
Wyświetla

# show crypto isakmp default policy
Wyświetla

# show crypto isakmp diagnose error count
Wyświetla

Komendy show IKE Phase 2

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations).

# show crypto ipsec sa detail
Wyświetla

# show crypto map
Wyświetla

Inne komendy show

# show crypto session [detail]
Wyświetla wszystkie asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto ipsec security-association lifetime
Wyświetla

# show crypto ipsec security-association idle-time
Wyświetla

# show crypto isakmp sa active
Wyświetla

Komendy debug

# debug crypto isakmp
Debaguje

# debug crypto ipsec
Debaguje

Komendy clear

# clear crypto isakmp
Czyści

# clear crypto sa
Czyści

Pozostałe tematy związane z protokołem IPSec
4 grudnia 2019
(K) Multilink Point to Point Protocol*
Konfiguracja protokołu MLPPP

Konfiguracja protokołu MLPPP (Interfejs wirtualny)

(config)# interface multilink 1-2147483647(ID grupy)
Przechodzi do poziomu konfiguracji wirtualnego interfejsu multilink.

(config)# ip address adres-sieci maska
Przypisuje adres IP, do konfigurowanego interfejsu wirtualnego.

(config-if)# encapsulation ppp
Zmienia domyślną metodę enkapsulacji interfejsu serialowego na PPP.

(config-if)# ppp multilink
Włącza funkcjonalność protokołu MLPPP na konfigurowanym interfejsie multilink.

(config-if)# ppp multilink group 1-2147483647(ID grupy)
Określa grupę MLPPP do której należy konfigurowany interfejs multilink.
Konfiguracja protokołu MLPPP (Interfejsy fizyczne)

(config)# interface serial interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu serialowego.

(config-if)# no ip address
Wyłącza funkcje warstwy trzeciej modelu OSI.

(config-if)# encapsulation ppp
Zmienia domyślną metodę enkapsulacji interfejsu serialowego na PPP.

(config-if)# ppp multilink
Włącza funkcjonalność protokołu MLPPP na konfigurowanym interfejsie serialowym.

(config-if)# ppp multilink group 1-2147483647(ID grupy)
Określa grupę MLPPP do której należy konfigurowany interfejs serialowy.

(config-if)# [no] shutdown
Aktywuje / Dezaktywuje konfigurowany interfejs serialowy.

Konfiguracja interfejsu serialowego musi być taka sama na każdym interfejsie fizycznym, należącym do tego samego połączenia wirtualnego Multilink.

Numer identyfikacyjny grupy „ppp multilink group” oraz numer interfejsu „interface multilink” musi być taki sam na obydwóch urządzeniach.
Komendy SHOW oraz DEBUG

Komendy SHOW

Komendy show PPP

# show controllers interfejs
Wyświetla szczegółowe informacje dotyczące określonego w komendzie interfejsu serialowego (W tym ustawienia DCE, DTE czy skonfigurowane pasmo (Clock rate)).

# show interface serial interfejs
Wyświetla informacje o ustawieniach interfejsu w tym: skonfigurowane pasmo, protokół warstwy drugiej (HDLC, PPP), adres IP oraz status protokołów LCP i NCP.

# show ip interface brief
Wyświetla podstawowe informacje dotyczące statusu oraz konfiguracji adresacji IP względem wszystkich interfejsów (Zarówno fizycznych jak i wirtualnych).

# show interface description
Wyświetla podstawowe informacje dotyczące stanu wszystkich interfejsów sieciowych, wraz z przypisanym opisem [description opis-interfejsu].

# show ppp all
Wyświetla status połączeń PPP, wraz z informacjami o stanie (+, -, *) używanych protokołów.

komendy show MLPPP

# show interface multilink 1-2147483647(ID grupy)
Wyświetla informacje związane o wskazanym w komendzie interfejsie wirtualnym.

# show ppp multilink
Wyświetla informacje o konfiguracji wszystkich wirtualnych interfejsów serialowych (Wskazując interfejsy serialowe należące do jednej grupy „Multilink”).

Komendy DEBUG

# debug ppp authentication
Debaguje wymianę wiadomości uwierzytelniających CHAP, PAP, MSCHAP oraz EAP.

# debug ppp negotiation
Debaguje proces negocjowania połączenia PPP.

# debug ppp multilink {data / events}
Debaguje aktywność interfejsu wirtualnego multilink.

Pozostałe tematy związane z protokołem PPP oraz PPPoE
4 grudnia 2019
(K) Frame Relay Vs protokoły routingu dynamicznego*
Konfiguracja protokołów routingu dynamicznego

Konfiguracja protokołu OSPF względem Frame Relay
```
W przypadku konfiguracji protokołu OSPF na połączeniu Frame Relay należy dostosować rodzaj interfejsu (Point-to-Point, Point-to-Multipoint, Non-broadcast czy Broadcast) do konfigurowanej topologii sieciowej, protokołu Frame Relay.
```
(config)# interface serial interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu serialowego.

(config-if)# encapsulation frame-relay
Zmienia domyślną metodę enkapsulacji interfejsu serialowego na Frame Relay.

(config-if)# ip address adres-IP
Przypisuje adres IP do konfigurowanego interfejsu serialowego.

(config-if)# ip ospf network {non-broadcast / point-to-point / point-to-multipoint / point-to-multipoint non-broadcast / broadcast}
Definiuje rodzaj konfigurowanego interfejsu na NBMA.

(config-if)# [no] shutdown
Aktywuje / Dezaktywuje konfigurowany interfejs serialowy.

(config-if)# router ospf ASN
Przechodzi do poziomu konfiguracji protokołu OSPF.

(config-router)# neighbor adres-IP(Adres sąsiedniego urządzenia)
Statycznie definiuje sąsiednie urządzenie dla protokołu OSPF.

Komendy SHOW oraz CLEAR

Komendy show

# show frame-relay pvc
Wyświetla szczegółowe informacje związane z połączeniami Virtual Circuits.

# show frame-relay pvc | include PVC
Wyświetla status połączeń Virtual Circuits.

# show frame-relay map
Wyświetla mapowanie lokalnego interfejsu oraz wartości DLCI, do adresu IP sąsiedniego urządzenia.

# show frame-relay lmi
Wyświetla wykorzystywany standard testowania połączenia (Keepalive).

Komendy clear frame-relay

# clear frame-relay inarp
Czyści dynamicznie wyuczone mapowanie DLCI do adresów IP (IARP).

Pozostałe tematy związane z protokołem Frame Relay
4 grudnia 2019
(K) Frame Relay Multipoint*
Konfiguracja Multipoint Frame Relay

Przykładowa konfiguracja protokołu Multipoint Frame Relay została opisana w artykule: Multipoint Frame Relay.

Konfiguracja oddziału HQ (multipoint frame relay)

(config)# interface serial interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu serialowego.

(config-if)# encapsulation frame-relay
Zmienia domyślną metodę enkapsulacji interfejsu serialowego na Frame Relay.

(config-if)# frame-relay lmi-type {cisco / ansi / q933a}(cisco)
Określa jaki protokół będzie wykorzystywany w celu testowania dostępności drugiej strony połączenia (Protokoły te działają jak wiadomość Keepalive w warstwie drugiej).

(config-if)# interface serial interfejs.pod-interfejs multipoint
Przechodzi do poziomu konfiguracji pod-interfejsu.

(config-subif)# ip address adres-IP
Przypisuje adres IP, do konfigurowanego pod-interfejsu serialowego.

(config-subif)# bandwidth 1-10000000(Kilobity na sekundę)*
Określa przepustowość łącza w celu informacyjnym dla protokołów routingu dynamicznego czy protokołu QoS.

(config-subif)# frame-relay map ip adres-IP(IP sąsiedniego urządzenia) 16-1007(DLCI lokalne) [broadcast]
Mapuje lokalny interfejs serialowy z drugą stroną połączenia Frame Relay. Opcjonalna komenda „broadcast” umożliwia obsługą protokołów routingu dynamicznego. Komendę należy powtórzyć względem każdego oddziału zdalnego.

(config-subif)# interface serial interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu serialowego.

(config-if)# [no] shutdown
Aktywuje / Dezaktywuje konfigurowany interfejs serialowy.

Konfiguracja oddziału zdalnego (point to point frame relay)

(config)# interface serial interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu serialowego.

(config-if)# encapsulation frame-relay
Zmienia domyślną metodę enkapsulacji interfejsu serialowego na Frame Relay.

(config-if)# frame-relay lmi-type {cisco / ansi / q933a}(cisco)
Określa jaki protokół będzie wykorzystywany w celu testowania dostępności drugiej strony połączenia (Protokoły te działają jak wiadomość Keepalive w warstwie drugiej).

(config-if)# interface serial interfejs.pod-interfejs point-to-point
Przechodzi do poziomu konfiguracji pod-interfejsu.

(config-subif)# ip address adres-IP
Przypisuje adres IP, do konfigurowanego pod-interfejsu serialowego.

(config-subif)# bandwidth 1-10000000(Kilobity na sekundę)*
Określa przepustowość łącza w celu informacyjnym dla protokołów routingu dynamicznego czy protokołu QoS.

(config-subif)# frame-relay interface-dlci 16-1007(DLCI konfigurowanego interfejsu)
Przypisuje określoną w komendzie wartość DLCI, do konfigurowanego pod-interfejsu serialowego.

(config-subif)# interface serial interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu serialowego.

(config-if)# [no] shutdown
Aktywuje / Dezaktywuje konfigurowany interfejs serialowy.

Opcjonalne komendy Frame Relay

(config)# interface serial interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu serialowego.

(config-if)# [no] keepalive
Wyłącza / Włącza funkcją Keepalive (LMI).

(config-if)# [no] frame-relay Inverse-arp
Wyłącza / Włącza protokół Inverse ARP.

Komendy SHOW oraz CLEAR

Komendy show

# show frame-relay pvc
Wyświetla szczegółowe informacje związane z połączeniami Virtual Circuits.

# show frame-relay pvc | include PVC
Wyświetla status połączeń Virtual Circuits.

# show frame-relay map
Wyświetla mapowanie lokalnego interfejsu oraz wartości DLCI, do adresu IP sąsiedniego urządzenia.

# show frame-relay lmi
Wyświetla wykorzystywany standard testowania połączenia (Keepalive).

Komendy clear frame-relay

# clear frame-relay inarp
Czyści dynamicznie wyuczone mapowanie DLCI do adresów IP (IARP).

Pozostałe tematy związane z protokołem Frame Relay
4 grudnia 2019
(T) Teoria protokołu IPsec**
Wstęp do protokołu IPsec

Standaryzacja protokołu IPsec
- RFC 2408 – Definiuje podstawowe założenia protokołu IPsec.
- RFC 2409 – Definiuje protokół IKEv1.
- RFC 4306 – Definiuje protokół IKEv2.
- RFC 3407 – Definiuje protokół IPsec DOI.
- RFC 3947 – Definiuje protokół NAT-T.
- RFC 3948 – Definiuje enkapsulację UDP względem protokołu ESP.
Cechy protokołu IPsec
- Zachowanie poufności / szyfrowanie (Confidentiality) –
- Zachowanie integralności (Data Integrity) –
- Uwierzytelnianie (Authentication) –
- Zapobieganie powtórką (Anti-replay Protection) –
Proces negocjowania połączenia IPsec
- IKEv1 (Internet Key Exchange) (RFC 2409) – Negocjuje a następnie nawiązuje bezpieczne połączenie VPN.
- IKEv2 (Internet Key Exchange) (RFC 4306) –
- ISAKMP (Internet Security Association and Key Management Protocol) –
Negocjacja połączenia IPsec

Metody negocjacji połączenia IPsec

Porównanie AH / ESP / Tunel / Transport Mode
- ESP (Encapsulating Security Payload) – Zapewnia poufność osiąganą za pomocą szyfrowania, uwierzytelnienie drugiej strony połączenia oraz zapewnienia integralność danych.
- AH (Authentication Header) – Zapewnia uwierzytelnienie, zachowanie integralności przesyłanych danych oraz ochronę przed powtórzeniami (Nie zapewniając przy tym szyfrowania). Protokół AH:
  - Zapewnia integralność przesyłanych danych oraz autentykację źródła komunikacji (Provides integrity and origin authentication).
  - Zapewnia autentykację części nagłówka AH (Authenticates portions of the IP header).
  - Zabezpiecza transmisje przed auto-powtarzaniem pakietów (Anti-replay service).
  - Nie zapewnia poufności, szyfrowania (No Confidentiality).
- Tunelowany ESP (Tunneled Encapsulating Security Payload) –
- Tunelowany AH (Tunneled Authentication Header) –
- SA (Security Association) –
- SA lifetime – Wartość czasu w czasie trwania którego, klucze wymienione pomiędzy urządzeniami są akceptowane przez konfigurowane urządzenie. Po upływie określonego w sekundach czasu lifetime, sąsiednie urządzenia muszą ponownie wymienić pomiędzy sobą nowe klucze. Wartość czasu nie musi zgadzać się pomiędzy dwoma urządzeniami, w przypadku niezgodności wykorzystywana będzie najmniejsza wartość skonfigurowana na sąsiednich urządzeniach.
```
Zaleca się stosowanie tych samych wartości czasu SA lifetime.
```
Proces negocjowania połączenia IPsec
- IKE Phase 1 – Negocjuje nawiązanie bezpiecznego, uwierzytelnionego połączenia pomiędzy dwoma urządzeniami. Wykorzystując w tym celu wstępnie współdzielone klucze (Preshared Keys) bądź też certyfikaty cyfrowe (Digital Certificates). Klucze współdzielone są wykorzystywane w mniejszych implementacjach protokołu IPsec, natomiast certyfikaty cyfrowe są stosowane w dużych sieciach wymagających wysokiego poziomu bezpieczeństwa oraz mniejszej komplikacji związanej z konfiguracją. Faza pierwsza wymiany IKE definiuje następujące komponenty wykorzystywane podczas negocjacji protokołu IPSec:
  - DH (Diffie-Hellman) – Protokół wykorzystywany w celu bezpiecznej wymiany klucza współdzielonego.
- Faza pierwsza wymiany IKE działa zgodnie z jednym, z poniższych trybów:
  - Main Mode – Domyślny tryb pracy protokołu IPSec, wymienia pomiędzy urządzeniami trzy dwukierunkowe wiadomości:
    
    Pierwsza wymiana – Określa jakie algorytmy oraz jakie metody haszowania będą wykorzystywane.
    
    Druga wymiana – Wykorzystuje protokół DH w celu wymiany klucza pomiędzy urządzeniami.
    
    Trzecia wymiana – Weryfikuje tożsamość drugiej strony wykorzystując jako wartość identyfikacyjną adres IP sąsiada. Głównym celem trybu Main Mode jest stworzenie bezpiecznego połączenia za pomocą którego będą przesyłane informacje umożliwiające nawiązanie końcowego połączenia IPsec.
  - Aggressive Mode – Szybszy a tym samym mniej bezpieczny tryb pracy protokołu IPsec, prowadzący wymianę klucza bez wcześniejszego zestawienia bezpiecznego połączenia, przez co proces ten jest narażony na podsłuch.
```
W trybie Main Mode wymiana druga jak i trzecia jest szyfrowana, natomiast w trybie Aggressive Mode szyfrowana może być (lecz zgodnie ze standardami RFC nie musi) jedynie ostatnia z wymienianych wiadomości.
```
```
Faza pierwsza wymiany IKE wykorzystuje protokół UDP na porcie 500 (W sytuacji zastosowania protokołu NAT port zostaje zmieniony na 4500). Tymczasem druga Faza dziedziczy port po fazie pierwszej (500 bądź 4500).
```
- IKE Phase 2 – Negocjuje wymianę danych protokołu SA, w celu nawiązania bezpiecznego połączenia IPsec, jak i:
  - Negocjuje parametry protokołu IPsec SA pod ochroną istniejącego tunelu fazy pierwszej.
  - Nawiązuje asocjację protokołu IPsec SA (IPSec security associations).
  - Okresowo renegocjuje połączenie IPsec SA w celu zapewnienia większego poziomu bezpieczeństwa.
  - Opcjonalnie dokonuje dodatkowej wymiany DH.
- Faza druga wymiany IKE stosuje jedynie jeden tryb Quick Mode, aktywowany zaraz po nawiązaniu bezpiecznego połączenia w fazie pierwszej IKE. Umożliwia on wymianę informacji niezbędnych do nawiązania połączenia IPsec.
Algorytmy protokołu IPsec

Metody Autentykacji (Authentication metod)
- Symetric Key Exchange –
- Asymetric Key Exchange –
- PSK (Pre Share Key) –
- RSA (Rivest-Shamir Adelman Algorithm) –
Certyfikaty podpisu cyfrowego
- DSA (Digital Signature Algorithm) –
- ECDSA (Elliptic Curve Digital Signature Algorithm) –
Algorytmy szyfrujące (Encryption Algorithm)
- DES (Data Encryption Standard) –
- AES (Advanced Encryption Standard) –
Algorytmy haszujące (Hash Algorithm)
- SHA (Secure Hash Algorithm) –
- MD5 (Message-Digest Algorithm) –
Wymiana klucza (Diffie-Hellman Group)
- DH (Diffie-Hellman) –
Pozostałe tematy związane z protokołem IPSec
30 sierpnia 2019

(T) Metro Ethernet**

Metro Ethernet

Podstawowe pojęcia

Połączenie Metro Ethernet zwiera w sobie szereg serwisów sieci WAN, opartych na połączeniu Ethernet-owym. Łączy ono urządzenia klienta z urządzeniami dostawcy usług internetowych, umożliwiając komunikację pomiędzy biurami zdalnymi w warstwie drugiej (L2).
W strukturze budowy oraz zasadach działania, Metro Ethernet przypomina duży switch łączący ze sobą biura zdalne.
Technologia Metro Ethernet rozpoczęła swoją obecność na rynku, oferując strukturę ograniczoną do jednego miasta bądź aglomeracji miejskiej zwanej MAN (Metropolitan Areas Network). Jednak obecnie technologia ta wykracza poza pierwotny obszar swojej działalności, oferując usługi WAN między miastami czy krajami, przez co często nazywana jest Carrier Ethernet.
Poszczególne standardy Metro Ethernet są następujące:

Nazwa	Pasmo	Odległość
100Base-LX10	100 Mbps	10 Km
1000Base-LX	1 Gbps	5 Km
1000Base-LX10	1 Gbps	10 Km
1000Base-ZX	1 Gbps	100 Km
10GBase-LR	10 Gbps	10 Km
10GBase-ER	10 Gbps	40 Km

Standardy połączeń Metro Ethernet

Podstawowe zagadnienia

Access Link – Łączy urządzenie brzegowe klienta z dostawcą usług internetowych ISP.
Ethernet Access Link – Łączy urządzenie brzegowe klienta z dostawcą usług internetowych, za pomocą Ethernetu.
UNI (User Network Interface) – Odnosi się do zdarzeń, mających miejsce na połączeniu „Access Link”.
MFE – Definiuje standardy dotyczące technologii Metro Ethernet.

Do połączenia z siecią Metro Ethernet mogą zostać wykorzystane rutery jak i przełączniki.

Standardy Matro Ethernet MEF

VPWS (Virtual Private Wire Service) – Ethernet Line Services E-LINE (Point to Point).
VPLS (Virtual Private LAN Service) – Ethernet LAN Services E-LAN (Full Mesh).
EoMPLS (Ethernet over MPLS).

Metro Ethernet – Standardy

Ethernet Line Services (Point to Point) – (E-line)

Połączenie Merto Ethernet w wersji „Line Services” działa w sposób zbliżony do linii dzierżawionej, Łącząc bezpośrednio ze sobą dwa urządzenia klienta, poprzez linię zwaną EVC (Ethernet Virtual Circuit).
Połączenie Merto Ethernet w wersji „Line Services” posiada następujące cechy:
- Wykorzystuje fizyczne połączenie Ethernet-owe.
- Wykorzystuje adresacje IP w warstwie trzeciej.
- Umożliwia wymianę tras dynamicznych, pomiędzy protokołami routingu.
W przypadku większej liczby biur zdalnych, E-line może tworzyć bardziej rozbudowane topologie sieciowe, łączące wiele odległych od siebie lokalizacji. Przykładowo biuro centralne (CO) może zostać podłączone do sieci łączem o przepustowości 10 Gbps, natomiast sto biur zdalnych otrzymać połączenia o przepustowości 100 Mbps każde. Jako że E-line przypomina połączenia w topologii PPP, każde łącze pomiędzy CO a inny biurem będzie oddzielone od pozostałych za pomocą sieci wirtualnych VLAN, przy zastosowaniu technologii tagowana 802.1Q trunking.

W technologii E-Line każde połączenie Point-to-Point (pomiędzy dwoma ruterami) musi należeć do innej sieci.

Ethernet LAN Services (Full Mesh) – (E-LAN)

E-LAN
działa na zasadzie jednego wielkiego switch-a, łączącego zdalne lokalizację w
jedną domenę rozgłoszeniową.
Sieć
ta może operować jedynie na warstwie drugiej łącząc ze sobą switch-e brzegowe
jak i łączyć rutery w jedną cieć warstwy trzeciej.

Przy połączeniu E-LAN wszystkie rutery brzegowe należą do jednej sieci.

Ethernet Tree Services (Hub and Spoke, Partial Mesh, Point to Multipoint) – (E-Tree)

Sieć E-tree łączy urządzenia w topologii Hub-and-Spoke, dzięki czemu biuro centralne (CO) może wysyłać wiadomości do wszystkich biur zdalnych, natomiast biura zdalne mogą nawiązać łączność jedynie z CO.

Przy połączeniu E-Tree wszystkie rutery brzegowe należą do jednej sieci, jednak bezpośrednia komunikacja zachodzi jedynie pomiędzy niektórymi z nich. W przypadku protokołów Distance-vector funkcja podzielonego horyzontu musi być wyłączona, aby rutery mogły wymieniać trasy routingu pomiędzy sobą.

Każdy musi płacić (Zmiana pasma)

Technologia Ethernet definiuje ograniczoną ilość standardów przepustowości przesyłu danych (np. 10 Mbps, 100 Mbps czy 1000 Mbps), co w niektóry przypadkach może okazać się niewystarczające. Aby rozwiązać ten problem dostawcy ISP stosują technologie CIR na połączeniach EVC, ograniczając przepustowość łącza do np. 200 Mbps. Tym samym klient płaci za taką przepustowość jakiej naprawdę potrzebuje.
Pomimo ustalenia z dostawcą pasma, rutery bądź przełączniki będą pracowały z przepustowością definiowaną przez standard Ethernet. Aby wymusić przestrzeganie ustalonej z dostawcą ISP prędkości, administratorzy stosują jedno z dwóch rozwiązań: QoS Policing bądź Qos Shaping.
QoS Policing – Monitoruje przepustowość łącza po stronie dostawcy ISP, przycinając w razie potrzeby nadmiarowy ruch sieciowy. Zastosowane tego rozwiązania może spowodować znaczące problemy po stronie klienta, ponieważ urządzenie brzegowe nadal będzie pracować z domyślną przepustowością powodując porzucanie dużej liczby pakietów po stronie dostawcy ISP.
QoS Shaping – Monitoruje przepustowość łącza po stronie klienta, nie pozwalając urządzeniu brzegowemu na przesyłanie większej ilości danych niż zostało to ustalone. Funkcja ta w przypadku np. technologii fast Ethernet ograniczonej do 50 Mbps, będzie wysyłała pakiety do osiągnięcia limitu danych w okresie jednej sekundy, po czym przeczeka bezczynnie wstrzymując transmisje danych, co w przypadku powyższego ograniczenia oznaczało by pracę prze ok 0,5 sekundy. Dzięki czemu limit nie zostanie przekroczony a dostawca nie będzie zmuszony do przycięcia nadmiarowego ruchu. W sposób bardziej drastyczny.

Inne tematy WAN

25 sierpnia 2019

(T) MPLS*
Multi Protocol Label Switching

Podstawowe pojęcia
- MPLS (Multi Protocol Label Switching) – Znakuje wychodzące pakiety nagłówkami zwanymi „Label”.
- MPLS bywa nazywany protokołem warstwy 2,5, ponieważ dodaje swój własny nagłówek „Label”, pomiędzy nagłówkami warstwy drugiej a trzeciej.
- Aby dostawca usług Internetowych mógł podłączyć MPLS do sieci klienta musi:
  - Wiedzieć o sieciach IP klienta.
  - Wykorzystywać protokół routingu.
  - Wykorzystywać sieci klienta do podejmowana decyzji podczas wyznaczania trasy.
- Sieć MPLS VPN nie wykorzystuje algorytmów szyfrujących przesyłane dane, osiągając prywatność połączenia poprzez strukturę sieci, w której komunikacja jednego klienta jest nie widoczna dla innych klientów.
- W przeciwieństwie do Metro Ethernet, w przypadku którego, dostawcy usług Internetowych stosowali switch-e łączące biura zdalne klientów, połączenie MPLS wykorzystuje rutery. Zmiana ta jest podyktowana wykorzystaniem warstwy trzeciej, przy podejmowaniu decyzji o wymianie ruchu sieciowego.
- MPLS umożliwia współprace z wieloma innymi standardami warstwy drugiej, takimi jak ATM, Merto Ethernet, Frame Relay czy połączeniami serialowymi. Jest to możliwe ponieważ dochodzące do ruterów dostawcy usług Internetowych ramki, są de-enkapsulowane do warstwy trzeciej.
- MPLS jako pierwszy z protokołów, umożliwił wsparcie dla QoS w sieci WAN. Dzięki czemu np. komunikacja VoIP zyskuje większy priorytet, a tym samym jakość rozmów staje się znacznie większa.
Topologia MPLS

MPLS Layer 3 OSI
- Struktura sieci Metro Ethernet w przeciwieństwie
  do MPLS funkcjonuje na warstwie drugiej, dzięki czemu dostawca usług
  Internetowych nie potrzebuje żadnych informacji na temat adresacji IP klienta. Sytuacja
  ta znacząco różni się w strukturze sieci MPLS funkcjonującej na warstwie
  trzeciej. W tym przypadku ISP musi znać sieci klienta a nawet wykorzystywane
  przez niego protokołu routingu.
- Poszczególne biura zdalne wymieniają między sobą
  informację o sieciach za pomocą protokołów routingu, jednak relacja sąsiedztwa nie są nawiązywane
  pomiędzy ruterami brzegowymi poszczególnych biur klienckich, a pomiędzy CE i PE. Podsumowując:
  - Rutery
    brzegowe CE nie nawiązują relacji sąsiedztwa z innymi
    ruterami brzegowymi CE.
  - Rutery
    brzegowe CE nawiązują relacje sąsiedztwa z ruterami PE znajdującymi się po drugiej stronie „Access Link”.
  - Poszczególne
    rutery PE wymieniają pomiędzy sobą trasy klienckie,
    dzięki czemu każdy ruter CE zna wszystkie niezbędne trasy do sieci
    klienckich.
- Rutery PE wymieniają między sobą trasy za pomocą innego
  niezależnego protokołu routingu (MPBGP). Przekazując je ruterom CE za pomocą redystrybucji, mającej miejsce po
  stronie dostawcy usług Internetowych.
- Protokół MPBGP (Multiprotocol BGP) jest
  wykorzystywany pomiędzy ruterami PE w przypadku kiedy, protokół routingu pomiędzy
  biurami zdalnymi CE a ruterem PE nie jest BGP.
- Protokół MPBGP umożliwia przesyłanie tras
  redystrybuowanych z wielu innych protokołów pochodzących od wielu różnych
  klientów. Jednak dzięki odpowiednim oznaczeniom każde biuro zdalne CE otrzymuje odpowiednie trasy.
OSPF Area Design with MPLS VPN
- W przypadku wykorzystania OSPF jako protokołu
  łączącego rutery CE z PE, MPLS umożliwia stworzenie
  paru rodzajów topologii, których wspólnym mianownikiem jest strefa „Superback Bone” łącząca wszystkie
  rutery PE. W takim przypadku każdy link
  pomiędzy PE a CE może należeć do innej strefy OSPF.
OSPF Area Design with MPLS VPN

Inne tematy WAN
- MPLS (Multiprotocol Label Switching)
- Metro Ethernet
25 sierpnia 2019
(K) Konfiguracja protokołu IPsec Crypto Map*
Konfiguracja IPsec Crypto Map
```
System Cisco IOS posiada szereg zdefiniowanych szablonów polis ISAKMP, które można wyświetlić za pomocą komendy [show crypto isakmp policy] (Po skonfigurowaniu własnej polisy, domyślne polisy nie są już wyświetlane).
```
Konfiguracja polisy isakmp

(config)# [no] crypto isakmp enable
Wyłącza / Włącza

(config)# crypto isakmp policy 1-10000(ID)
Tworzy nową polisę ISAKMP o określonym numerze ID.

(config-isakmp)# encryption {des / 3des / aes {128 / 192 / 256}}
Określa wykorzystywany algorytm szyfrujący

(config-isakmp)# authentication {pre-share / rsa-encr / rsa-sig}
Określa metodę autentykacji.
* pre-share –
* rsa-encr –
* rsa-sig –

(config-isakmp)# group {1 / 2 / 5 / 15 / 16 / 19 / 20 / 21 / 24}
Określa numer grupy DH (Diffie-Hellman).

(config-isakmp)# hash {md5 / sha / sha256 / sha384 / sha512}
Określa algorytm haszujący (HASH).

(config-isakmp)# lifetime 60-86400(sekundy)(86400)
Określa czas życia połączenia IPsec.

Konfiguracja kluczy isakmp

Konfiguracja pojedynczego klucza keyring

(config)# crypto isakmp key klucz address {adres-IP / 0.0.0.0 0.0.0.0 / nazwa-DNS}
Określa adres IP bądź nazwę DNS sąsiedniego urządzenia, wraz z wstępnie współdzielonym kluczem (Preshared Keys). Adres 0.0.0.0 0.0.0.0 oznacza że podane hasło będzie przypisane do wszystkich połączeń IPsec.

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations), w tym informacje o pozostałym czasie życia klucza.

Konfiguracja wielu kluczy keyring

(config)# crypto keyring nazwa-keyring
Tworzy nowy zestaw kluczy KeyRing.

(conf-keyring)# local-address interfejs*
Określa źródłowy adres IP (Przypisany do wskazanego interfejsu).

(conf-keyring)# pre-shared-key address {adres-IP / 0.0.0.0 0.0.0.0} key klucz
Definicje wstępnie współdzielony klucz.

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations), w tym informacje o pozostałym czasie życia klucza.

Konfiguracja transform-set

(config)# crypto ipsec transform-set nazwa-set {ah-sha-hmac / ah-sha256-hmac / ah-sha384-hmac / ah-sha512-hmac / esp-3des / esp-des / esp-aes / esp-sha-hmac / esp-sha256-hmac / esp-sha384-hmac / esp-sha512-hmac} {ah-md5-hmac / ah-sha-hmac / ah-sha256-hmac / ah-sha384-hmac / ah-sha512-hmac / esp-3des / esp-aes / esp-des}

(config)# mode {transport / tunnel}
Określa rodzaj połączenia IPsec (Tunnel Mode / Transport Mode).

Konfiguracja krypto mapy & listy acl

(config)# ip access-list extended ACL

(config-ext-nacl)# permit ip źródłowy-adres-IP dzika-maska docelowy-adres-IP dzika-maska

(config-ext-nacl)# crypto map nazwa-mapy 1-65535(numer sekwencyjny) ipsec-isakmp

(config-crypto-map)# match address ACL

(config-crypto-map)# set peer adres-IP

(config-crypto-map)# set transform-set nazwa-set

Połączenie krypto mapy z interfejsem

(config-if)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# crypto map nazwa-mapy

Komendy Show, Debug, Clear

Komendy show running-config

# show running-config | section crypto isakmp
Wyświetla konfigurację polisy ISAKMP.

# show running-config | section crypto isakmp|crypto ipsec|crypto map|ip access-list
Wyświetla konfiguracje IPsec.

Komendy show IKE Phase 1

# show crypto isakmp sa
Wyświetla

# show crypto isakmp sa active
Wyświetla wszystkie aktywne asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto isakmp sa [detail]
Wyświetla

# show crypto isakmp profile
Wyświetla

# show crypto isakmp policy
Wyświetla skonfigurowane / domyślne polisy ISAKMP.

# show crypto isakmp key
Wyświetla

# show crypto isakmp default policy
Wyświetla

# show crypto isakmp diagnose error count
Wyświetla

Komendy show IKE Phase 2

# show crypto ipsec sa
Wyświetla szczegółowe informacje na temat asocjacji IPSec SA (Internet Protocol Security Security Assosations).

# show crypto ipsec sa detail
Wyświetla

# show crypto map
Wyświetla

Inne komendy show

# show crypto session [detail]
Wyświetla wszystkie asocjacje IKE SA (Internet Key Exchange Security Assosations).

# show crypto ipsec security-association lifetime
Wyświetla

# show crypto ipsec security-association idle-time
Wyświetla

# show crypto isakmp sa active
Wyświetla

Komendy debug

# debug crypto isakmp
Debaguje

# debug crypto ipsec
Debaguje

Komendy clear

# clear crypto isakmp
Czyści

# clear crypto sa
Czyści

Pozostałe tematy związane z protokołem IPSec
25 sierpnia 2019
(Ts) Troubleshooting protokołu IPsec**
Stany komendy [show crypto isakmp sa / show crypto session detail]
- Stany występujące w trybie Main Mode:
  - MM_NO_STATE – Proces ISAKMP został rozpoczęty ale nie mógł być kontynuowany z powodu problemów związanych z łącznością
  - MM_SA_SETUP – Obydwa urządzenia wynegocjowały warunki połączenia.
  - MM_KEY_EXCH – Obydwa urządzenia dokonały wymiany klucza DH, generując przy tym bezpieczne klucze (Secret Keys). Jeżeli stan ten trwa z byt długo, może oznaczać on problemy z poprawnością klucza.
  - MM_KEY_AUTH – Proces ISAKMP został zakończony, stan połączenia zostanie przeniesiony do (QM_IDLE).
- Stany występujące w trybie Aggressive Mode:
  - AG_NO_STATE – Proces ISAKMP został rozpoczęty ale nie mógł być kontynuowany z powodu problemów z łącznością.
  - AG_INIT_EXCH – Urządzenia wymieniły pierwsze pakiety, ale nie zostały jeszcze uwierzytelniony.
  - AG_AUTH – Proces ISAKMP został zakończony, stan połączenia zostanie przeniesiony do (QM_IDLE).
- Stany występujące w trybie Quick Mode:
  - QM_IDLE – Proces ISAKMP SA jest bezczynny jak i uwierzytelniony.
- Status połączenia IPsec:
  - Up-Active – Połączenie IPsec jest podniesione (Up) oraz aktywne (Active), dane są przesyłane.
  - Up-IDLE – Połączenie IPsec jest podniesione (Up), jednak dane nie są przesyłane.
  - Down-Negotiating – Połączenie IPsec jest zamknięte (Down), trwa negocjacja parametrów.
  - Down – Połączenie IPsec jest zamknięte (Down).
Pozostałe tematy związane z protokołem IPSec
25 sierpnia 2019

(T) Wstęp do sieci WAN**

Podstawowe zagadnienia WAN

Droga do domu

CPE (Customer Premises Equipment) – W terminologii telekomunikacyjnej odnosi się do urządzenia znajdującego się pod zwierzchnictwem klienta dostawcy ISP (Na końcu ostatniej mili).
CSU/DSU (Channel Service Unit / Data Service Unit) – Urządzenie sieciowe kontrolujące taktowanie zegar.
Serial Cable – Przewód łączący modem CSU/DSU z interfejsem serialowym routera.
DCE (Data Communications Equipment) – Urządzenie kontrolujące taktowanie zegar na kablu serialowym.
DTE (Data Terminal Equipment) – Urządzenie działające zgodnie z taktowaniem zegara DCE.
Demarcation Point – Granica oddzielającą własność klienta od własności dostawcy ISP.
Local Loop – Kabel miedziany bądź światłowodowy łączący urządzenie CPE z dostawcą ISP.
Central Office (CO) – Centrala Dostawcy ISP, przez którą urządzenie CPE łączy się z Internetem.

Połączenie sieciowe klienta do dostawcy usług Internetowych ISP

Współczesne karty sieciowe WAN firmy Cisco, posiadają zintegrowany moduł CSU/DSU.

Leased Line WAN

Linia dzierżawiona działająca w oparciu o protokół HDLC, umożliwia jednoczesne odbieranie jak i nadawanie sygnałów przez dwa rutery, na zasadzie połączenia symetrycznego (Obydwa urządzenia wysyłają bity z tą samą częstotliwością).
Linia dzierżawiona zapewnia łączność warstwy drugiej, jednak do przesyłania danych konieczne staje się zastosowanie protokołów warstw wyższych, takich jak PPP czy HDLC.
Określenie „linia dzierżawiona” odnosi się do połączenia wydzierżawionego od zewnętrznego dostawcy, w zamian za co klient ponosi comiesięczny koszt utrzymania połączenia. Nad linią tą kontrole sprawuje dostawca ISP.

Zagadnienia warstwy pierwszej modelu OSI

Leased circuit, Circuit – Obydwa wyrażenia są synonimami używanymi w terminologii telekomunikacyjnej, a odnoszą się do sygnałów elektrycznych przesyłany w obwodzie.
Serial link, Serial line – Obydwa wyrażenia są synonimami używanymi w terminologii telekomunikacyjnej, a odnoszą się do sposobu przesyłania bitów przez interfejs serialowy.
Point-to-Point link, Point-to-Point line – Odnosi się do topologii, w której komunikacja zachodzi jedynie pomiędzy dwoma punktami (Niektóre starsze linie dzierżawione umożliwiały połączenie większej ilości urządzeń).

Standardy Pasma

W latach pięćdziesiątych oraz sześćdziesiątych, firma Bell opracowała standard połączenia T-carrier system, określający różne przepustowości połączenia sieciowego (64 Kbps, 1.544 Mbps i 44.736 Mbps). Firma ta opracowała również technologię TDM (Time-Division Multiplexing), umożliwiającą łączenie wielu linii, w jedną bardziej wydajną. Przykładowo popularny standard T1 (1.544 Mbps) powstaje z połączenia 24 linii DS0 (Digital Signal Level 0 = 64 Kbps każda) wraz z jedną dodatkową linią 8 Kbps.

Nazwa linii	Przepustowość linii
DS0	64 Kbps.
Fractional T1	Wielokrotność 64 Kbps (x24).
DS1 (T1)	1,544 Mbps (24 DS0s= 1,535 Mbps + 8 Kbps nadmiarowego).
E1 (Europe)	2,048 Mbps (32 DS0).
Fractional T3	Wielokrotność 1,544 Mbps (x24) = 37,056 Mbps.
DS3 (T3)	44,736 Mbps (28 DS1 + zarzadzanie).
E3 (Europe)	Około 34 Mbps (16 E1 + zarzadzanie).

Standardy linii dzierżawionych w Europie i USA

Połączenie serialowe (warstwa pierwsza)

CPE jest w stanie zrozumieć transmisję warstwy pierwszej, zarówno na poziomie połączenia T-carrier czy TDM po stronie dostawcy, jak i rutera po stronie klienta.
Połączenie serialowe pomiędzy ruterem a urządzeniem CSU/DSU składa się z dwóch części: dyktującego taktowanie zegara DCE (Data Circuit-Terminating Equipment) działającego po stronie CSU oraz podporządkowującemu się taktowaniu DTE (Data Terminal Equipment) po stronie rutera.
Kabel serialowy DCE swoją budową przypomina kabel Ethernetowy Crossover, ponieważ jego przewody są Skrosowane. Natomiast kabel serialowy DTE przypomina przewód prosty.

Połączenie serialowe (warstwa druga)

W warstwie drugiej połączenie serialowe tak samo jak połączenie Ethernet-owe, wykorzystuje adres MAC do przesyłania danych w obrębie jednej sieci. Technologia Ethernet określa wielkość jak i zawartość przesyłanych ramek, natomiast przy połączeniu serialowym istnieją dwa protokoły pełniące podobną funkcję (PPP oraz HDLC).

Połączenie z siecią WAN

Circuit Switching

Łączy ze sobą dwie lokalizację zarezerwowanym
(prywatnym) połączeniem. Przez co niewykorzystywane pasmo jest marnowane.
Połączenie tego typu jest drogie oraz nieefektywne.

Packet Switching

Wykorzystuje wirtualne połączenia umożliwiające
współdzielenie pasma przez wielu klientów, tym samym zmniejszając cenę usługi.

SOHO (Small Office Home Office)

ADSL, DSL, DSLAM

Dostawcy usług telefonicznych (telecos) dzięki technologii DSL zyskali możliwość dostarczania znaczenie bardziej wydajnego połączenia Internetowego, dla swoich klientów. Poprzez istniejącą infrastrukturę telefoniczną.
Połączenie telefoniczna w taki przypadku umożliwia przenoszenie zarówno linii telefonicznych jak i Internetu. Obydwa sygnały są przenoszone jednym kablem do urządzenia DSLAM (DSL Access Multiplexer), który rozdziela połączony sygnał na dwie oddzielne transmisje. Jena trafia do telefonu a druga do modemu DSL.
ADLS (Aysmmetric DSL) wprowadza asymetryczną wymianę danych, dzięki czemu użytkownik może pobierać dane szybciej niż je wysyłać a tym samym płaci mniejsze rachunki za dostępną przepustowość.

Cable TV – CATV, 3G, 4G, LTE

Innym medium dostępu do Internetu jest telewizja kablowa, umożliwiająca tak samo jak w przypadku linii telefonicznych, przenoszenie wielu sygnałów przez jeden kabel.
Wireless Internet – Obnosi się do Internetu rozgłaszanego przez telefonię mobilną.
3G / 4G – Definiuje trzecią jak i czwartą generację połączeń telefonii mobilnej.
LTE (Long-Term Evolution) – Odnosi się do technologii szybszych od 4G.

Pozostałe tematy związane z siecią WAN

Wstęp do sieci WAN

25 sierpnia 2019

(K) Konfiguracja protokołu PPPoE klient**
Podstawowa konfiguracja protokołu PPPoE

Konfiguracja interfejsu wirtualnego

(DIALER I) Konfiguracja dla warstwy trzeciej modelu OSI

(config)# interface dialer dial-pool-number
Przechodzi do konfiguracji interfejsu wirtualnego „Dialer”.

(config-if)# ip address negotiated
Umożliwia dynamiczne przypisanie adresu IP (Zgodnie z wolą dostawcy ISP).

(config-if)# mtu 1492
Ogranicza dopuszczalną (maksymalną) wielkość ramki Ethernetowej, dzięki czemu łączna wielkość przenoszonej zawartości użytecznej, wraz z nagłówkiem protokołu PPPoE oraz nagłówkiem innych warstw, nie przekroczy domyślnej wartości 1500 bajtów (Wartość 1492 jest rekomendowana przez Cisco).

(DIALER II) Konfiguracja dla warstwy pierwszej modelu OSI

(config-if)# dialer pool ID-puli
Łączy interfejs wirtualny „Dialer” z interfejsem fizycznym.

(DIALER III) Konfiguracja dla warstwy drugiej modelu OSI

(config-if)# encapsulation ppp
Zmienia domyślną metodę enkapsulacji (HDLC) interfejsu serialowego na protokół PPP.

(config-if)# ppp chap hostname login
Określa login klienta protokołu PPPoE.

(config-if)# ppp chap password hasło
Określa hasło klienta protokołu PPPoE.

Konfiguracja interfejsu fizycznego

(config)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# no ip address*
Wyłącza funkcję warstwy trzeciej na konfigurowanym interfejsie sieciowym.

(config-if)# pppoe-client dial-pool-number ID-puli
Łączy interfejs fizyczny z interfejsem wirtualnym „Dialer”.

(config-if)# ppp enable
Komenda ta jest automatycznie wpisywana podczas konfiguracji klienta PPP.

(config-if)# [no] shutdown
Aktywuje / Dezaktywuje konfigurowany interfejs sieciowy.

(config)# ip route 0.0.0.0 0.0.0.0 dialer dial-pool-number
Konfiguracja routingu dynamicznego bądź statycznego, powinna wykorzystywać interfejs wirtualny „Dialer”, zamiast fizycznego interfejsu Ethernet-owego.

Opcjonalna konfiguracja protokołu PPPoE

(config)# interface dialer dial-pool-number
Przechodzi do konfiguracji interfejsu wirtualnego „Dialer”.

(config-if)# dialer persistent [delay 1-2147483(Sekundy) / delay initial 1-2147483(Sekundy)(1) / max-attempts 1-2147483647(no)]
Wymusza na połączeniu PPPoE utrzymywanie ciągłej sesji, pomimo braku ruchu sieciowego.
* delay – Określa czas jaki urządzenie sieciowe będzie oczekiwać, zanim ponowi próbę nawiązania połączenia PPPoE.
* delay initial – Określa czas jaki urządzenie sieciowe będzie oczekiwać, przed próbą nawiązania pierwszego połączenia PPPoE.
* max-attempts – Określa ilość prób wznowienia połączenia PPPoE.

(config-if)# dialer idle-timeout 0-2147483(Sekundy)
Określa czas po jakim połączenie PPPoE zostanie zakończone, w przypadku braku ruchu sieciowego (Po użyciu komendy [dialer persistent] wartość Idle-timeout nie będzie brana pod uwagę).

(config-if)# interface interfejs
Przechodzi do poziomu konfiguracji określonego interfejsu sieciowego.

(config-if)# pppoe-client ppp-max-payload 64-1492
Wysyła tagowanie „ppp-max-payload” w pakiecie kontrolnym.

Komendy Show, Clear, Debug

Komendy SHOW

# show pppoe session
Wyświetla informacje o stanie połączenia PPPoE, wskazuje powiązane ze sobą interfejsy (3).

# show interfaces dialer dial-pool-number
Wyświetla informacje o interfejsie wirtualnym „Dialer” wraz z przypisanym do niego interfejsem fizycznym.

# show ip interfaces brief dialer dial-pool-number
Wyświetla skrócone informacje o interfejsie „Dialer”.

# show interfaces virtual-access ID-template configuration
Wyświetla konfiguracje interfejsu “Virtual-access”.

Pozostałe tematy związane z protokołem PPP oraz PPPoE
21 sierpnia 2019
(Ts) Troubleshooting protokołu PPPoE**
Wstęp do troubleshooting-u

Komenda SHOW interfaces dialer ID
- W czasie istnienia sesji protokołu PPPoE, interfejs wirtualny „Dialer Interfejs” jest związany z interfejsem „Virtual Access Interface”. Komenda [show interfaces dialer ID] wyświetla informacje o obydwóch interfejsach wirtualnych.
- Każdy interfejs posiada oddzielny opis wskazujący obopólne przywiązanie.
- Interfejs „Dialer Interfejs” skupia się na warstwie trzeciej modelu OSI. Protokół LCP jest na nim nieaktywny (Closed).
- Interfejs „Virtual Access Interface” skupia się na warstwie drugiej modelu OSI. Protokół LCP jest na nim aktywny (Open), ale nie posiada przypisanego adresu IP.
- Szczegółowy opis komendy [show interfaces dialer ID]:
  - Line protocol is up (Spoofing) – Określa status interfejsu „Dialer”, wartość „Spoofing” odnosi się do faktu że warstwa druga jest obsługiwana przez inny interfejs, w tym przypadku jest to „Virtual Access Interface”.
- Istnieje możliwość wyświetlenia informacji o interfejsie „Virtual Access Interface”, za pomocą komendy [show interfaces virtual-access ID].
Komenda SHOW interfaces virtual-access ID configuration
- Komenda [show interfaces virtual-access ID configuration] wyświetla konfiguracje interfejsu „Virtual Access Interface”, a dane w niej zawarte są częściowo pobierane z ustawień interfejsu „Dialer”.
- Interfejs „Virtual Access Interface” pobiera informacje o ustawieniach wartości MTU oraz danych autoryzacyjnych klienta PPPoE.
Proces Troubleshooting-u
1. Przed rozpoczęciem Troubleshooting-u:
  1. Po wykorzystaniu komendy [no ip address] na interfejsie wirtualnym „Dialer” , interfejs ten będzie widniał jako „line protocol is up (Spoofing)”. Jednak sesja PPPoE nie będzie aktywna co potwierdzi wydruk komendy [show ppp sessions].
2. Status po konfiguracji warstwy pierwszej:
  1. Po wykorzystaniu komendy [dialer pool ID] na interfejsie wirtualnym „Dialer” oraz komendy [pppoe-client dial-pool-number ID / pppoe enabled] względem interfejsu fizycznego (Ethernet), sesja PPPoE zmieni swój tryb pracy na PADISNT. Ponadto w wydruku komendy [show ppp sessions] brakować będzie adresów MAC oraz interfejsu „Virtual Access Interface”.
3. Status po konfiguracji warstwy drugiej (PPP) :
  1. Po dodaniu obsługi protokołu PPP za pomocą komendy [encapsulation ppp] oraz skonfigurowaniu loginu jak i hasła, w wydruku komendy [show ppp sessions] zaczną widnieć dane brakujące w poprzednim punkcje.
4. Status po konfiguracji warstwy trzeciej (IP) :
  1. Ostatnim krokiem jest konfiguracja warstwy trzeciej modelu OSI, czyli adresów IP.
5. Podsumowanie:
  1. Warstwa 1 [show pppoe session interface interfejs] – Komenda ta umożliwia przeanalizowanie współpracujących ze sobą interfejsów (3), ich numerów ID oraz statusu pracy.
  2. Warstwa 2 [show pppoe session interface interfejs] – Jeżeli komenda nie wyświetli informacji o interfejsie „Virtual Access Interface”, może oznaczać to błąd konfiguracji warstwy drugiej bądź błąd autentykacji protokołu CHAP.
  3. Warstwa 2 [show interfaces dialer ID].
  4. Warstwa 3[show interfaces interfejs / show ip interface brief].
  5. Aby uzyskać pewność, że wszystko działa poprawnie należy wykonać trzy kroki:
    Sprawdzić czy status sesji ma wartość (Up).
    Sprawdzić czy wszystkie trzy interfejsy są wyświetlone.
    Sprawdzićvgb adresy MAC.
```
Komenda [show interfaces dialer 2] wyświetla komunikat „line protocol is up (Spoofing)” niezależnie od tego czy PPPoE działa czy nie, dlatego nie należy zawracać uwagi na status (Up).
```
```
Interfejs fizyczny (Ethernet) nie powinien mieć przypisanego adresu IP.
```
Pozostałe tematy związane z protokołem PPP oraz PPPoE
21 sierpnia 2019
(T) Teoria protokołu PPPoE**
Wstęp do protokołu PPPoE

Point-to-Point over Ethernet
- Protokół PPP powstał z myślą o połączeniach serialowych, jednak jego cechy takie jak uwierzytelnianie użytkowników końcowych (klientów), spowodowały jego propagację na inne media takie jak Ethernet czy sieci ATM.
- Protokół PPPoE nawiązuje sesją PPP pomiędzy ruterami z wykorzystaniem adresacji IP, jednak wysyłane pakiety są enkapsulowane nagłówkami Ethernet-owymi (Co oznacza że protokół PPPoE działa jedynie w warstwie drugiej, pozostawiając warstwę trzecią w gestii protokołu PPP).
- Uwierzytelnianie użytkowników protokołu PPPoE, działa jedno-kierunkowo, umożliwiając uwierzytelnianie klienta bez możliwości uwierzytelnienia drugiej strony komunikacji (Czyli Dostawcy usług Internetowych ISP).
Fazy protokołu PPPoE
1. Active Discovery Phase – Klient lokalizuje serwer PPPoE nazywany „Access Concetrator”.
2. PPP Session Phase – Nawiązywana jest sesja pomiędzy klientem a serwerem, opcje protokołu PPP są negocjowane jak i zachodzi proces uwierzytelniania użytkowników końcowych (Klientów protokołu PPPoE).
Zagadnienia związane z protokołem PPPoE
- PPPoE session – Wewnętrzny proces sytemu Cisco IOS, umożliwiający potrzymanie działania protokołu PPPoE.
- Virtual-Address Interface – Dodatkowy wirtualny interfejs stworzony przez system IOS do obsługi sesji PPPoE.
Pakiety protokołu PPPoE
1. Etap pierwszy – Nawiązywanie sesji PPPoE (Discovery Stage / Active Discovery Stage):
  1. PADI (PPPoE Active Discovery Initiation) (Host / Broadcast) – Rozgłoszeni-owa wiadomość inicjująca sesje protokołu PPPoE, mająca na celu zlokalizowanie serwera DSL (Digital Subscriber Line). Zawiera adres MAC klienta.
  2. PADO (PPPoE Active Discovery Offer) (Access Concentrators / Unicast) – Bezpośrednia odpowiedz serwera PPPoE, wysłana do klienta, zawierająca adres MAC klienta otrzymany w wiadomości PADI oraz ofertę nawiązania sesji PPPoE wraz z nazwą serwera. Klient może otrzymać wiele odpowiedzi PADO od różnych serwerów.
  3. PADR (PPPoE Active Discovery Request) (Host / Unicast) – Bezpośrednia odpowiedz klienta, wysłana do serwera PPPoE (Potwierdzająca wybór oferty, oraz informująca o potrzebach klienta).
  4. PADS (PPPoE Active Discovery Session-Confirmation) (Access Concentrators) – Wiadomość potwierdzająca nawiązanie sesji protokołu PPPoE (Stanowiąca odpowiedź na wiadomość PADR).
    
    Jeżeli serwer PPPoE zechce nawiązać sesje, odeśle wiadomość PADS z numerem ID sesji oraz nazwą serwisu.
    
    Jeżeli serwer PPPoE nie zechce nawiązać sesji, odeśle wiadomość PADS z nazwą serwisu (Error) jak i zresetuje wartość ID sesji.
2. Etap drugi – Sesja PPPoE (Session Stage / PPP Session Stage):
  1. Protokół PPP negocjuje nawiązanie sesji PPP za pomocą protokołu kontrolnego LCP (Link Control Protocol).
  2. Protokół PPP przy pomocy protokołu NCP (Network Control Protocol) konfiguruje ustawienia warstwy trzeciej.
3. Etap trzeci – Kończenie sesji PPPoE:
  1. PADT (PPPoE Active Discovery Terminate) (Broadcast) – Wiadomość rozgłoszeni-owa wykorzystywana do kończenia sesji protokołu PPPoE.
Restrykcje związane z protokołem PPPoE
- Klient protokołu PPPoE nie wspiera:
  - Współistnienia serwera oraz klienta PPPoE na jednym urządzeniu.
  - Więcej niż 10 użytkowników na jednej końcówce CPE.
  - Protokołu Multilink PPP (MLP).
  - Protokołu NSF oraz SSO.
  - Funkcji Dial-on-demand.
  - Protokołu EVPN.
  - Protokołu QoS.
  - Protokołu IPv6.
Zasady działania protokołu PPPoE

Proces nawiązywania połączenia PPPoE

PPPoE
1. Fizyczny interfejs Ethernet-owy oraz wirtualny „Dialer”, zostają powiązane w odniesieniu do tej samej puli „Dial”.
2. System IOS rozpoczyna działania mające na celu zaimplementowanie usługi PPPoE jak i protokołu PPP, tworząc tym samym sesję „PPPoE session”. Jest to logiczna sesja przetrzymująca zmienne statusu Point to Point Protocol, CP (Control Protocols). Zarządza ona wysyłaniem jak i odbieraniem wiadomości PPPoE z i od serwera PPPoE.
3. System IOS tworzy nowy wirtualny interfejs (Virtual-Access Interface). Jeżeli protokół PPPoE uzyska status UP, będzie on działał jako interfejs PPPoE utrzymujący większą cześć operacji warstwy drugiej względem protokołu PPPoE.
4. Wszystkie powyższe interfejsy są od siebie odseparowane, jednak współpracują ze sobą w celu potrzymania komunikacji protokołu PPPoE.
```
Podsumowują proces działania protokołu PPPoE, Interfejs fizyczny nadaje oraz odbiera ramki Ethernet-owe, interfejs wirtualny Virtual Access Interface prowadzi komunikację protokołu PPPoE poprzez interfejs fizyczny natomiast ostatni interfejs „Dialer” przesyła pakiety warstwy trzeciej poprzez interfejs dostępowy (Access Interfejs) do interfejsu fizycznego (Ethernet-owego).
```
```
Pod-protokół IPCP umożliwia uzyskanie adresu IP od dostawcy ISP. Jest wykorzystywany na interfejsie „Dialer Interfejs”.
```
```
Sesje PPPoE jest nawiązywana z poziomu interfejsu „Dialer Interfejs”.
```
Konfiguracja protokołu PPPoE

Konfiguracja protokołu PPPoE

Pozostałe tematy związane z protokołem PPP oraz PPPoE
21 sierpnia 2019
(K) Konfiguracja protokołu DMVPN phase II**
Konfiguracja tunelu DMVPN (Phase 2)

# Działanie fazy drugiej protokołu DMVPN zostało opisane w artykule: Fazy protokołu DMVPN.
```
Faza druga protokołu DMVPN umożliwia nawiązanie bezpośredniego połączenia Spoke-to-Spoke. W topologii tej, wszystkie rutery Spoke nawiązują ze sobą bezpośrednią relację sąsiedztwa za pomocą protokołów routingu dynamicznego.
```
Konfiguracja rutera pełniącego rolę HUB-a

Podstawowa konfiguracja rutera HUB

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# ip address adres-IP
Przypisuje adres IP, do konfigurowanego tunelu GRE.

(config-if)# tunnel source {adres-IP / interfejs}
Określa interfejs źródłowy wykorzystywany do enkapsulacji oraz dekapsulacji ruchu sieciowego, kierowanego na interfejs wirtualny. Źródłem tunelu GRE może być zarówno interfejs fizyczny jak i wirtualny (Loopback), który zapewnia osiągalność pomimo awarii jednego z interfejsów fizycznych.
```
Stosowanie interfejsów wirtualnych (Loopback) jako interfejsów źródłowych tunelu GRE, może stwarzać problemy z funkcją QoS.
```
(config-if)# tunnel mode gre multipoint
Określa tryb pracy tunelu GRE na mGRE (Multipoint GRE).

(config-if)# tunnel key 0-4294967295(Klucz)*
Umożliwia identyfikacje konfigurowanego tunelu, w sytuacji współdzielenia jednego interfejsu źródłowego, przez wiele interfejsów wirtualnych (Tuneli GRE). Wartość klucza musi się zgadzać pomiędzy urządzeniami aby mogły one nawiązać ze sobą połączenie wirtualne (Klucz dodaje 4 bajty do nagłówka protokołu GRE).

(config-if)# ip nhrp network-id 1-4294967295
Lokalna wartość identyfikująca określoną chmurę (Cloud) protokołu DMVPN. (Zaleca się stosowanie tej samej wartości Network-ID na wszystkich ruterach należących do tej samej sieci DMVPN).
```
Chodź nie ma technicznej korelacji pomiędzy wartością Network-ID a kluczem tunelu DMVPN, to wartości te powinny być takie same w celu utrzymania przejrzystej konfiguracji, wspomagającej późniejsze wsparcie techniczne dla danej sieci.
```
(config-if)# ip nhrp map multicast dynamic
Umożliwia przenoszenie ruchu multicast poprzez tunel DMVPN.

(config-if)# no ip split-horizon eigrp ASN
Wyłącza funkcję podzielonego horyzontu „split-horizon”, względem protokołu EIGRP.

(config-if)# no ip next-hop-self eigrp ASN
Powoduje że ruter NHS nie będzie siebie traktował jako punktu następnego przeskoku.
```
Tunele mGRE nie wspierają funkcji Keepalive.
```
Opcjonalna konfiguracja rutera HUB

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# bandwidth 1-00000000(Kbps)*
Interfejsy wirtualne nie posiadają koncepcji opóźnień (Latency), ani statycznie przypisanego pasa (Bandwidth). Związku z tym administrator sam powinien określić wartość, która będzie wykorzystywana przez protokoły routingu w procesie poszukiwaniu najlepszej trasy dotarcia do sieci docelowej bądź przez funkcję QoS.

(config-if)# ip mtu 68-17916*
Określa wartość MTU względem konfigurowanego interfejsu sieciowego. Jako że enkapsulacja GRE dodaje do ramki pakietu IP minimum 24 bajty, maksymalna wielkość pakietu może zostać przekroczona a tym samym wymagana będzie fragmentacja. Aby ograniczyć potrzebę fragmentacji, należy skonfigurować niższą wartość MTU, niż ta domyślnie stosowana (1500), w przypadku tuneli DMVPN zaleca się stosowanie wartości 1400.

(config-if)# ip tcp adjust-mss 500-1460(536)*
TCP adjust zapewnia, że ruter dokona edycji segmentu TCP Three-way Handshake jeżeli przekroczy on skonfigurowaną, maksymalną wartość MSS (Maximum Segment Size). W przypadku tuneli DMVPN zaleca się stosowanie wartości 1360, aby pomieścić zawartość nagłówka rozszerzonego o dane protokołu IP, GRE oraz IPsec.

(config-if)# ip nhrp authentication hasło*
Tworzy hasło NHRP, uwierzytelniające strony komunikacji.

(config-if)# ip nhrp registration no-unique*
Blokuje proces domyślnego oznaczania ruterów NHC flagą “Unique”.
```
Każdy ruter NHC zarejestrowany na serwerze NHS, posiada przypisany adres IP tunelu GRE, wraz z odpowiadającym mu adresem sieci NBMA. Wpisy te oznaczone flagą "Unique", są widoczne w wydruku komendy [show ip nhrp adres-IP], związku z tym nie mogą być zmienione, a wszelka ingerencja w skonfigurowany adres NBMA zarejestrowanego rutera NHC, spowoduje wystąpienie błędu [%NHRP-3-PAKREPLY: Recive Registration Reply packet with error - unique address registred already (14)] na ruterze NHC.
```
Opcjonalna konfiguracja rutera HUB pod kontem protokołów routingu dynamicznego

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# no ip split-horizon eigrp ASN
Wyłącza funkcję podzielonego horyzontu „split-horizon”, względem protokołu EIGRP.

(config-if)# ip ospf network point-to-multipoint
Zmienia domyślny rodzaj sieci protokołu OSPF (Point to Point), na sieć rozgłoszeni-ową Broadcast, względem połączenia wirtualnego DMVPN.

Konfiguracja rutera pełniącego rolę SPOKE

Podstawowa konfiguracja rutera SPOKE
```
Konfiguracja rutera NHC (Spoke) w fazie DMVPN Phase 1 jest podobna do konfiguracji rutera NHS (Hub) z wyjątkiem: wykorzystania tunelu GRE zamiast mGRE oraz koniecznego mapowania do przynajmniej jednego z ruterów NHS (Hub-a DMVPN).
```
(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# ip address adres-IP
Przypisuje adres IP, do konfigurowanego tunelu GRE.

(config-if)# tunnel source {adres-IP / interfejs}
Określa interfejs źródłowy wykorzystywany do enkapsulacji oraz dekapsulacji ruchu sieciowego, kierowanego na interfejs wirtualny. Źródłem tunelu GRE może być zarówno interfejs fizyczny jak i wirtualny (Loopback), który zapewnia osiągalność pomimo awarii jednego z interfejsów fizycznych.
```
Stosowanie interfejsów wirtualnych (Loopback) jako interfejsów źródłowych tunelu GRE, może powodować problemy z funkcją QoS.
```
(config-if)# tunnel mode gre multipoint
Określa tryb pracy tunelu GRE na mGRE (Multipoint GRE).

(config-if)# tunnel key 0-4294967295(Klucz)*
Umożliwia identyfikacje konfigurowanego tunelu, w sytuacji współdzielenia jednego interfejsu źródłowego, przez wiele interfejsów wirtualnych (Tuneli GRE). Wartość klucza musi się zgadzać pomiędzy urządzeniami aby mogły one nawiązać ze sobą połączenie wirtualne (Klucz dodaje 4 bajty do nagłówka protokołu GRE).

(config-if)# ip nhrp network-id 1-4294967295
Lokalna wartość identyfikująca określoną chmurę (Cloud) protokołu DMVPN. (Zaleca się stosowanie tej samej wartości Network-ID na wszystkich ruterach należących do tej samej sieci DMVPN).

(config-if)# ip nhrp nhs adres-IP(Adres rutera NHS) nbma adres-IP(Adres NBMA) [multicast]
Określa adres IP, przynajmniej jednego rutera pełniącego rolę NHS. Adres NHS odnosi się do adresu IP skonfigurowanego na interfejsie wirtualnym (GRE), natomiast adres NBMA określa adres IP sieci wielodostęp-owej (Przeważnie będącej siecią publiczną).
* multicast – Umożliwia przenoszenie ruchu multicast poprzez tunel DMVPN, umożliwiając tym samym obsługę protokołów routingu dynamicznego.

# show dmvpn [detail]
Wyświetla szczegółowe informacje dotyczące statusu tuneli wirtualnych (DMVPN) w tym: status tuneli GRE, adres IP (NBMA) adres IP (GRE), tryb pracy Hub/Spoke, ilość podłączonych ruterów NHC (W przypadku rutera NHS) oraz szczegółowe informacje na tematach podłączonych ruterów NHS bądź NHC, w tym tryb pracy wybranego tunelu (Static/Dynamic).

Opcjonalna konfiguracja rutera SPOKE

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# bandwidth 1-00000000(Kbps)*
Interfejsy wirtualne nie posiadają koncepcji opóźnień (Latency), ani statycznie przypisanego pasa (Bandwidth). Związku z tym administrator sam powinien określić wartość, która będzie wykorzystywana przez protokoły routingu w procesie poszukiwaniu najlepszej trasy dotarcia do sieci docelowej bądź przez funkcję QoS.

(config-if)# ip mtu 68-17916*
Określa wartość MTU względem konfigurowanego interfejsu sieciowego. Jako że enkapsulacja GRE dodaje do ramki pakietu IP minimum 24 bajty, maksymalna wielkość pakietu może zostać przekroczona a tym samym wymagana będzie fragmentacja. Aby ograniczyć potrzebę fragmentacji, należy skonfigurować niższą wartość MTU, niż ta domyślnie stosowana (1500), w przypadku tuneli DMVPN zaleca się stosowanie wartości 1400.

(config-if)# ip tcp adjust-mss 500-1460(536)*
TCP adjust zapewnia, że ruter dokona edycji segmentu TCP Three-way Handshake jeżeli przekroczy on skonfigurowaną, maksymalną wartość MSS (Maximum Segment Size). W przypadku tuneli DMVPN zaleca się stosowanie wartości 1360, aby pomieścić zawartość nagłówka rozszerzonego o dane protokołu IP, GRE oraz IPsec.

(config-if)# ip nhrp authentication hasło*
Tworzy hasło NHRP, uwierzytelniające strony komunikacji.

Alternatywna konfiguracja mapowania serwera nhs (SPOKE)
```
Alternatywna konfiguracja mapowania serwera NHS zamiast komendy [ip nhrp nhs adres-IP nbma adres-IP [multicast]], wykorzystuje następującą konfigurację:
```
(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# ip nhrp nhs adres-IP
Określa adres rutera NHS (Hub) przypisując go do konfigurowanego tunelu (GRE).

(config-if)# ip nhrp map adres-IP(Adres rutera NHS) adres-IP(Adres NBMA)
Mapuje adres NBMA rutera NHS do adresu IP tunelu (GRE), należącego do tego samego rutera NHS.

(config-if)# ip nhrp map multicast [adres-IP / dynamic]
Określa adres IP tunelu (GRE), wykorzystywany w komunikacji Multicast.

Dodatkowa konfiguracja rutera SPOKE pod kontem protokołów routingu dynamicznego

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# no ip split-horizon eigrp ASN
Wyłącza funkcję podzielonego horyzontu „split-horizon”, względem protokołu EIGRP.

(config-if)# ip ospf network point-to-multipoint
Zmienia domyślny rodzaj sieci protokołu OSPF (Point to Point), na sieć rozgłoszeni-ową Broadcast, względem połączenia wirtualnego DMVPN.

Komendy Show, Clear, Debug

Komendy SHOW

# show dmvpn [detail]
Wyświetla podstawowe / szczegółowe informacje dotyczące statusu tuneli wirtualnych (DMVPN) w tym: status tuneli GRE, adres IP (NBMA) adres IP (GRE), tryb pracy Hub/Spoke, ilość podłączonych ruterów NHC (W przypadku rutera NHS) oraz szczegółowe informacje na tematach podłączonych ruterów NHS bądź NHC, w tym tryb pracy wybranego tunelu (Static/Dynamic).

# show dmvpn peer {nbma adres-IP(Adres NBMA) [detail] / tunnel adres-IP(Adres GRE) [detail]}
Wyświetla podstawowe / szczegółowe informacje na temat wskazanego w komendzie sąsiada protokołu DMVPN.

# show ip nhrp [brief / detail]
Wyświetla zawartość lokalnej bazy protokołu NHRP, w tym adres IP tunelu (GRE) wraz z przynależącym do niego adresem NBMA oraz interfejsem źródłowym.

# show ip nhrp [purge / redirect / shortcut]
Wyświetla zapisy bazy NHRP odnośnie wiadomości purge, redirect, shortcut.

# show ip nhrp [dynamic / static]
Wyświetla wszystkie statyczne / dynamiczne tunele protokołu DMVPN.

# show ip nhrp nhs
Wyświetla wszystkie tunele prowadzące do ruterów NHS.

# show ip nhrp stats
Wyświetla

# show ip nhrp summary
Wyświetla

# show ip nhrp traffic
Wyświetla

# show ip route next-hop-override
Wyświetla obecnie wykorzystywane adresy następnego przeskoku, dla tras wykorzystujących skrót protokołu NHRP (ip nhrp shortcut).

Komendy CLEAR

# clear dmvpn session [peer adres-IP]
Czyści wszystkie / określone sesje protokołu DMVPN.

# clear dmvpn statistics
Czyści statystyki protokołu DMVPN.

Komendy DEBUG

# debug

# debug

# debug

Pozostałe tematy związane z protokołem DMVPN
12 sierpnia 2019
(K) Konfiguracja protokołu DMVPN phase III**
Konfiguracja tunelu DMVPN (Phase 3)

# Działanie fazy trzeciej protokołu DMVPN zostało opisane w artykule: Fazy protokołu DMVPN.
```
Faza trzecia protokołu DMVPN umożliwia nawiązanie bezpośredniego połączenia Spoke-to-Spoke. W topologii tej, rutery Spoke nie nawiązują ze sobą bezpośrednich relacji sąsiedztwa za pomocą protokołów routingu dynamicznego. Relacja Spoke-to-Spoke jest osiągana za pomocą protokół NHRP, który tworzy w tablicy routingu skróty (Shortcut) umożliwiające bezpośrednią komunikację pomiędzy ruterami Spoke.
```
Konfiguracja rutera pełniącego rolę HUB-a
Podstawowa konfiguracja rutera HUB

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# ip address adres-IP
Przypisuje adres IP, do konfigurowanego tunelu GRE.

(config-if)# tunnel source {adres-IP / interfejs}
Określa interfejs źródłowy wykorzystywany do enkapsulacji oraz dekapsulacji ruchu sieciowego, kierowanego na interfejs wirtualny. Źródłem tunelu GRE może być zarówno interfejs fizyczny jak i wirtualny (Loopback), który zapewnia osiągalność pomimo awarii jednego z interfejsów fizycznych.

Stosowanie interfejsów wirtualnych (Loopback) jako interfejsów źródłowych tunelu GRE, może powodować problemy z funkcją QoS.

(config-if)# tunnel mode gre multipoint
Określa tryb pracy tunelu GRE na mGRE (Multipoint GRE).

(config-if)# tunnel key 0-4294967295(Klucz)*
Umożliwia identyfikacje konfigurowanego tunelu, w sytuacji współdzielenia jednego interfejsu źródłowego, przez wiele interfejsów wirtualnych (Tuneli GRE). Wartość klucza musi się zgadzać pomiędzy urządzeniami aby mogły one nawiązać ze sobą połączenie wirtualne (Klucz dodaje 4 bajty do nagłówka protokołu GRE).

(config-if)# ip nhrp network-id 1-4294967295
Lokalna wartość identyfikująca określoną chmurę (Cloud) protokołu DMVPN. (Zaleca się stosowanie tej samej wartości Network-ID na wszystkich ruterach należących do tej samej sieci DMVPN).

Chodź nie ma technicznej korelacji pomiędzy wartością Network-ID a kluczem tunelu DMVPN, to wartości te powinny być takie same w celu utrzymania przejrzystej konfiguracji, wspomagającej późniejsze wsparcie techniczne dla danej sieci.

(config-if)# ip nhrp map multicast dynamic
Umożliwia przenoszenie ruchu multicast poprzez tunel DMVPN.

Tunele mGRE nie wspierają funkcji Keepalive.

(config-if)# ip nhrp redirect [timeout 2-30(sekundy)]
Aktywuje funkcję redirect.
Opcjonalna konfiguracja rutera HUB

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# bandwidth 1-00000000(Kbps)*
Interfejsy wirtualne nie posiadają koncepcji opóźnień (Latency), ani statycznie przypisanego pasa (Bandwidth). Związku z tym administrator sam powinien określić wartość, która będzie wykorzystywana przez protokoły routingu w procesie poszukiwaniu najlepszej trasy dotarcia do sieci docelowej bądź przez funkcję QoS.

(config-if)# ip mtu 68-17916*
Określa wartość MTU względem konfigurowanego interfejsu sieciowego. Jako że enkapsulacja GRE dodaje do ramki pakietu IP minimum 24 bajty, maksymalna wielkość pakietu może zostać przekroczona a tym samym wymagana będzie fragmentacja. Aby ograniczyć potrzebę fragmentacji, należy skonfigurować niższą wartość MTU, niż ta domyślnie stosowana (1500), w przypadku tuneli DMVPN zaleca się stosowanie wartości 1400.

(config-if)# ip tcp adjust-mss 500-1460(536)*
TCP adjust zapewnia, że ruter dokona edycji segmentu TCP Three-way Handshake jeżeli przekroczy on skonfigurowaną, maksymalną wartość MSS (Maximum Segment Size). W przypadku tuneli DMVPN zaleca się stosowanie wartości 1360, aby pomieścić zawartość nagłówka rozszerzonego o dane protokołu IP, GRE oraz IPsec.

(config-if)# ip nhrp authentication hasło*
Tworzy hasło NHRP, uwierzytelniające strony komunikacji.

(config-if)# ip nhrp registration no-unique*
Blokuje proces domyślnego oznaczania ruterów NHC flagą “Unique”.

Każdy ruter NHC zarejestrowany na serwerze NHS, posiada przypisany adres IP tunelu GRE, wraz z odpowiadającym mu adresem sieci NBMA. Wpisy te oznaczone flagą "Unique", są widoczne w wydruku komendy [show ip nhrp adres-IP], związku z tym nie mogą być zmienione, a wszelka ingerencja w skonfigurowany adres NBMA zarejestrowanego rutera NHC, spowoduje wystąpienie błędu [%NHRP-3-PAKREPLY: Recive Registration Reply packet with error - unique address registred already (14)] na ruterze NHC.
Opcjonalna konfiguracja rutera HUB pod kontem protokołów routingu dynamicznego

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# no ip split-horizon eigrp ASN
Wyłącza funkcję podzielonego horyzontu „split-horizon”, względem protokołu EIGRP.

(config-if)# ip ospf network point-to-multipoint
Zmienia domyślny rodzaj sieci protokołu OSPF (Point to Point), na sieć rozgłoszeni-ową Broadcast, względem połączenia wirtualnego DMVPN.

Konfiguracja rutera pełniącego rolę SPOKE
Podstawowa konfiguracja rutera SPOKE

Konfiguracja rutera NHC (Spoke) w fazie DMVPN Phase 1 jest podobna do konfiguracji rutera NHS (Hub) z wyjątkiem: wykorzystania tunelu GRE zamiast mGRE oraz koniecznego mapowania do przynajmniej jednego z ruterów NHS (Hub-a DMVPN).

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# ip address adres-IP
Przypisuje adres IP, do konfigurowanego tunelu GRE.

(config-if)# tunnel source {adres-IP / interfejs}
Określa interfejs źródłowy wykorzystywany do enkapsulacji oraz dekapsulacji ruchu sieciowego, kierowanego na interfejs wirtualny. Źródłem tunelu GRE może być zarówno interfejs fizyczny jak i wirtualny (Loopback), który zapewnia osiągalność pomimo awarii jednego z interfejsów fizycznych.

Stosowanie interfejsów wirtualnych (Loopback) jako interfejsów źródłowych tunelu GRE, może stwarzać problemy z funkcją QoS.

(config-if)# tunnel mode gre multipoint
Określa tryb pracy tunelu GRE na mGRE (Multipoint GRE).

(config-if)# tunnel key 0-4294967295(Klucz)*
Umożliwia identyfikacje konfigurowanego tunelu, w sytuacji współdzielenia jednego interfejsu źródłowego, przez wiele interfejsów wirtualnych (Tuneli GRE). Wartość klucza musi się zgadzać pomiędzy urządzeniami aby mogły one nawiązać ze sobą połączenie wirtualne (Klucz dodaje 4 bajty do nagłówka protokołu GRE).

(config-if)# ip nhrp network-id 1-4294967295
Lokalna wartość identyfikująca określoną chmurę (Cloud) protokołu DMVPN. (Zaleca się stosowanie tej samej wartości Network-ID na wszystkich ruterach należących do tej samej sieci DMVPN).

(config-if)# ip nhrp nhs adres-IP(Adres rutera NHS) nbma adres-IP(Adres NBMA) [multicast]
Określa adres IP, przynajmniej jednego rutera pełniącego rolę NHS. Adres NHS odnosi się do adresu IP skonfigurowanego na interfejsie wirtualnym (GRE), natomiast adres NBMA określa adres IP sieci wielodostęp-owej (Przeważnie będącej siecią publiczną).
* multicast – Umożliwia przenoszenie ruchu multicast poprzez tunel DMVPN, umożliwiając tym samym obsługę protokołów routingu dynamicznego.

(config-if)# ip nhrp shortcut
Aktywuje funkcję shortcut, umożliwiającą nadpisywanie adresów następnego przeskoku dla tras znajdujących się w tablicy routingu, gdy krótsza trasa zostanie wykryta przez protokół NHRP. Informacje o obecnie wykorzystywanych adresach następnego przeskoku można wyświetlić za pomocą komendy [show ip route next-hop-override].

# show dmvpn [detail]
Wyświetla szczegółowe informacje dotyczące statusu tuneli wirtualnych (DMVPN) w tym: status tuneli GRE, adres IP (NBMA) adres IP (GRE), tryb pracy Hub/Spoke, ilość podłączonych ruterów NHC (W przypadku rutera NHS) oraz szczegółowe informacje na tematach podłączonych ruterów NHS bądź NHC, w tym tryb pracy wybranego tunelu (Static/Dynamic).
Alternatywna konfiguracja mapowania serwera nhs (SPOKE)

Alternatywna konfiguracja mapowania serwera NHS zamiast komendy [ip nhrp nhs adres-IP nbma adres-IP [multicast]], wykorzystuje następującą konfigurację:

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# ip nhrp nhs adres-IP
Określa adres rutera NHS (Hub) przypisując go do konfigurowanego tunelu (GRE).

(config-if)# ip nhrp map adres-IP(Adres rutera NHS) adres-IP(Adres NBMA)
Mapuje adres NBMA rutera NHS do adresu IP tunelu (GRE), należącego do tego samego rutera NHS.

(config-if)# ip nhrp map multicast [adres-IP / dynamic]
Określa adres IP tunelu (GRE), wykorzystywany w komunikacji Multicast.
Opcjonalna konfiguracja rutera SPOKE

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# bandwidth 1-00000000(Kbps)*
Interfejsy wirtualne nie posiadają koncepcji opóźnień (Latency), ani statycznie przypisanego pasa (Bandwidth). Związku z tym administrator sam powinien określić wartość, która będzie wykorzystywana przez protokoły routingu w procesie poszukiwaniu najlepszej trasy dotarcia do sieci docelowej bądź przez funkcję QoS.

(config-if)# ip mtu 68-17916*
Określa wartość MTU względem konfigurowanego interfejsu sieciowego. Jako że enkapsulacja GRE dodaje do ramki pakietu IP minimum 24 bajty, maksymalna wielkość pakietu może zostać przekroczona a tym samym wymagana będzie fragmentacja. Aby ograniczyć potrzebę fragmentacji, należy skonfigurować niższą wartość MTU, niż ta domyślnie stosowana (1500), w przypadku tuneli DMVPN zaleca się stosowanie wartości 1400.

(config-if)# ip tcp adjust-mss 500-1460(536)*
TCP adjust zapewnia, że ruter dokona edycji segmentu TCP Three-way Handshake jeżeli przekroczy on skonfigurowaną, maksymalną wartość MSS (Maximum Segment Size). W przypadku tuneli DMVPN zaleca się stosowanie wartości 1360, aby pomieścić zawartość nagłówka rozszerzonego o dane protokołu IP, GRE oraz IPsec.

(config-if)# ip nhrp authentication hasło*
Tworzy hasło NHRP, uwierzytelniające strony komunikacji.

Dodatkowa konfiguracja rutera SPOKE pod kontem protokołów routingu dynamicznego

(config)# interface tunnel 0-2147483647(tunel-ID)
Tworzy nowy interfejs wirtualny (Tunel GRE).

(config-if)# ip ospf network point-to-multipoint
Zmienia domyślny rodzaj sieci protokołu OSPF (Point to Point), na sieć rozgłoszeni-ową Broadcast, względem połączenia wirtualnego DMVPN.

Komendy Show, Clear, Debug

Komendy SHOW

# show dmvpn [detail]
Wyświetla podstawowe / szczegółowe informacje dotyczące statusu tuneli wirtualnych (DMVPN) w tym: status tuneli GRE, adres IP (NBMA) adres IP (GRE), tryb pracy Hub/Spoke, ilość podłączonych ruterów NHC (W przypadku rutera NHS) oraz szczegółowe informacje na tematach podłączonych ruterów NHS bądź NHC, w tym tryb pracy wybranego tunelu (Static/Dynamic).

# show dmvpn peer {nbma adres-IP(Adres NBMA) [detail] / tunnel adres-IP(Adres GRE) [detail]}
Wyświetla podstawowe / szczegółowe informacje na temat wskazanego w komendzie sąsiada protokołu DMVPN.

# show ip nhrp [brief / detail]
Wyświetla zawartość lokalnej bazy protokołu NHRP, w tym adres IP tunelu (GRE) wraz z przynależącym do niego adresem NBMA oraz interfejsem źródłowym.

# show ip nhrp [purge / redirect / shortcut]
Wyświetla zapisy bazy NHRP odnośnie wiadomości purge, redirect, shortcut.

# show ip nhrp [dynamic / static]
Wyświetla wszystkie statyczne / dynamiczne tunele protokołu DMVPN.

# show ip nhrp nhs
Wyświetla wszystkie tunele prowadzące do ruterów NHS.

# show ip nhrp stats
Wyświetla

# show ip nhrp summary
Wyświetla

# show ip nhrp traffic
Wyświetla

# show ip route next-hop-override
Wyświetla obecnie wykorzystywane adresy następnego przeskoku, dla tras wykorzystujących skrót protokołu NHRP (ip nhrp shortcut).

Komendy CLEAR

# clear dmvpn session [peer adres-IP]
Czyści wszystkie / określone sesje protokołu DMVPN.

# clear dmvpn statistics
Czyści statystyki protokołu DMVPN.

Komendy DEBUG

# debug

# debug

# debug

Pozostałe tematy związane z protokołem DMVPN
12 sierpnia 2019

Kategoria: Sieć rozległa WAN

Konfiguracja PPPoE po stronie ISP

Konfiguracja puli adresów IP, przydzielanych klientom usługi PPPoE

Konfiguracja grupy BBA

Konfiguracja klienta usługi PPPoE

Konfiguracja interfejsu wirtualnego

Konfiguracja interfejsu fizycznego

Pozostałe tematy związane z protokołem PPP oraz PPPoE

Konfiguracja polisy isakmp

Konfiguracja kluczy isakmp

Konfiguracja pojedynczego klucza keyring

Konfiguracja wielu kluczy keyring

Konfiguracja transform-set

Komendy Show, Debug, Clear

Komendy show running-config

Komendy show IKE Phase 1

Komendy show IKE Phase 2

Inne komendy show

Komendy debug

Komendy clear

Pozostałe tematy związane z protokołem IPSec

Konfiguracja polisy isakmp

Konfiguracja kluczy isakmp

Konfiguracja pojedynczego klucza keyring

Konfiguracja wielu kluczy keyring

Konfiguracja transform-set

Komendy Show, Debug, Clear

Komendy show running-config

Komendy show IKE Phase 1

Komendy show IKE Phase 2

Inne komendy show

Komendy debug

Komendy clear

Pozostałe tematy związane z protokołem IPSec

IPsec Crypto Map + ISAKMP Profil

Konfiguracja polisy isakmp

Konfiguracja kluczy isakmp

Konfiguracja pojedynczego klucza keyring

Konfiguracja wielu kluczy keyring

Konfiguracja transform-set

Konfiguracja polisy isakmp

Konfiguracja krypto mapy & listy acl

Połączenie krypto mapy z interfejsem

Komendy Show, Debug, Clear

Komendy show running-config

Komendy show IKE Phase 1

Komendy show IKE Phase 2

Inne komendy show

Komendy debug

Komendy clear

Pozostałe tematy związane z protokołem IPSec

Konfiguracja protokołu MLPPP

Konfiguracja protokołu MLPPP (Interfejs wirtualny)

Konfiguracja protokołu MLPPP (Interfejsy fizyczne)

Komendy SHOW oraz DEBUG

Komendy SHOW

Komendy show PPP

komendy show MLPPP

Komendy DEBUG

Pozostałe tematy związane z protokołem PPP oraz PPPoE

Konfiguracja protokołów routingu dynamicznego

Konfiguracja protokołu OSPF względem Frame Relay

Komendy SHOW oraz CLEAR

Komendy show

Komendy clear frame-relay

Pozostałe tematy związane z protokołem Frame Relay

Konfiguracja Multipoint Frame Relay

Konfiguracja oddziału HQ (multipoint frame relay)

Konfiguracja oddziału zdalnego (point to point frame relay)

Opcjonalne komendy Frame Relay

Komendy SHOW oraz CLEAR

Komendy show

Komendy clear frame-relay

Pozostałe tematy związane z protokołem Frame Relay

Wstęp do protokołu IPsec

Standaryzacja protokołu IPsec

Cechy protokołu IPsec

Proces negocjowania połączenia IPsec

Negocjacja połączenia IPsec

Metody negocjacji połączenia IPsec