Administración que reconoce VRF en los ejemplos de la configuración del ASR Introducción Este documento describe el uso del ruteo virtual y de la Administración (que reconoce VRF) Expedición-enterada en las 1000 Series del router de los servicios de la agregación de Cisco (ASR1K) con la interfaz de administración (GigabitEthernet0). La información es también aplicable a cualquier otra interfaz en un VRF, a menos que esté especificada explícitamente de otra manera. Los diversos protocolos de acceso para los escenarios de la conexión del a--cuadro y de--cuadro se describen. Contribuido por Atri Basu, Rudresh Veerappaji, y Wen Zhang, ingenieros de Cisco TAC. Prerrequisitos Requisitos Cisco recomienda que tenga conocimiento sobre estos temas: Protocolos de la Administración, tales como SSH, Telnet, y HTTP Protocolos de la transferencia de archivos, tales como protocolo de la Copia segura (SCP), TFTP, y FTP VRF Componentes Utilizados La información que contiene este documento se basa en las siguientes versiones de software y hardware. Versión 3.5S del ® XE del Cisco IOS (15.2(1)S) o versiones posteriores del Cisco IOS XE Nota: SCP que reconoce VRF requiere por lo menos esta versión, mientras que otros protocolos descritos en este documento trabajan con las versiones anteriores también. ASR1K La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, aseegurele entender el impacto potencial del comando any usado. Antecedentes Interfaz de administración: El propósito de una interfaz de administración es permitir que los usuarios realicen las tareas de administración en el router. Es básicamente una interfaz que no debe, y no puede a menudo, tráfico delantero del dataplane. Si no, puede ser utilizado para el Acceso Remoto al router, a menudo vía Telnet y el Secure Shell (SSH), y realizar la mayoría de las tareas de administración en el router. La interfaz es la más útil antes de que un router comience a rutear, o de los escenarios de Troubleshooting cuando las interfaces compartidas del adaptador de puerto (SPA) están inactivas. En ASR1K, la interfaz de administración está en un valor por defecto VRF nombrado Mgmt-intf. El comando de la interfaz de origen del <protocol> del IP se utiliza en este documento extensivamente (donde la palabra clave del <protocol> puede ser SSH, FTP, TFTP). Este comando se utiliza para especificar la dirección IP de una interfaz que se utilizará como la dirección de origen cuando el ASR es el dispositivo del cliente en una conexión (por ejemplo, la conexión se inicia del tráfico ASR o de--cuadro). Esto también significa que si el ASR no es el iniciador de la conexión, el comando de la interfaz de origen del <protocol> del IP es no corresponde, y el ASR no utiliza esta dirección IP para el tráfico de la contestación; en lugar, utiliza la dirección IP de la interfaz más cercana al destino. Este comando le permite al tráfico de origen (para los protocolos soportados) de una interfaz que reconoce VRF. Protocolos de la Administración Nota: Utilice la herramienta de búsqueda de comandos (clientes registrados solamente) para obtener más información sobre los comandos usados en este artículo. SCP Para utilizar al cliente de SCP mantenga en un ASR de una interfaz VRF-habilitada, utilizan esta configuración. Configurar El comando de la interfaz de origen del ssh del IP se utiliza para señalar la interfaz de administración al mgmt-intf VRF para ambo SSH y servicios del cliente de SCP, puesto que SCP utiliza SSH. No hay otra opción en el comando del scp de la copia de especificar el VRF. Por lo tanto, usted debe utilizar este comando de la interfaz de origen del ssh del IP. La misma lógica solicita cualquier otra la interfaz VRFhabilitada. ASR(config)#ip ssh source-interface GigabitEthernet0 Nota: En la plataforma ASR1k, SCP que reconoce VRF no trabaja hasta la versión XE3.5S (15.2(1)S). Verificación Utilice estos comandos para verificar la configuración. ASR#show vrf Name Mgmt-intf ASR# Default RD <not set> Protocols ipv4,ipv6 Interfaces Gi0 Para copiar un archivo del ASR a un dispositivo remoto con el SCP, ingrese este comando: ASR#copy running-config scp://[email protected]/router.cfg Address or name of remote host [10.76.76.160]? Destination username [guest]? Destination filename [router.cfg]? Writing router.cfg Password: ! Sink: C0644 2574 router.cfg 2574 bytes copied in 20.852 secs (123 bytes/sec) ASR# Para copiar un archivo de un dispositivo remoto al ASR con el SCP, ingrese este comando: ASR#copy scp://[email protected]/router.cfg bootflash: Destination filename [router.cfg]? Password: Sending file modes: C0644 2574 router.cfg ! 2574 bytes copied in 17.975 secs (143 bytes/sec) TFTP Para utilizar al cliente TFTP mantenga en un ASR1k de una interfaz VRF-habilitada, utilizan esta configuración. Configurar La opción de interfaz de origen de tftp del IP se utiliza para señalar la interfaz de administración al mgmt-intf VRF. No hay otra opción en el comando copy tftp de especificar el VRF. Por lo tanto, usted debe utilizar este comando ip tftp source-interface. La misma lógica solicita cualquier otra la interfaz VRF-habilitada. ASR(config)#ip tftp source-interface GigabitEthernet0 Verificación Utilice estos comandos para verificar la configuración. ASR#show vrf Name Mgmt-intf ASR# Default RD <not set> Protocols ipv4,ipv6 Para copiar un archivo del ASR al servidor TFTP, ingrese este comando: ASR#copy running-config tftp Address or name of remote host [10.76.76.160]? Destination filename [ASRconfig.cfg]? !! 2658 bytes copied in 0.335 secs (7934 bytes/sec) ASR# Para copiar un archivo del servidor TFTP al bootflash ASR, ingrese este comando: Interfaces Gi0 ASR#copy tftp://10.76.76.160/ASRconfig.cfg bootflash: Destination filename [ASRconfig.cfg]? Accessing tftp://10.76.76.160/ASRconfig.cfg... Loading ASRconfig.cfg from 10.76.76.160 (via GigabitEthernet0): ! [OK - 2658 bytes] 2658 bytes copied in 0.064 secs (41531 bytes/sec) ASR# FTP Para utilizar el FTP cliente mantenga en un ASR de una interfaz VRF-habilitada, utilizan esta configuración. Configurar Ip ftp la opción de interfaz de origen se utiliza para señalar la interfaz de administración al mgmt-intf VRF. No hay otra opción en el comando ftp de la copia de especificar el VRF. Por lo tanto, usted debe utilizar el comando ip ftp source-interface. La misma lógica solicita cualquier otra la interfaz VRF-habilitada. ASR(config)#ip ftp source-interface GigabitEthernet0 Verificación Utilice estos comandos para verificar la configuración. ASR#show vrf Name Mgmt-intf Default RD <not set> Protocols ipv4,ipv6 Interfaces Gi0 Para copiar un archivo del ASR a un servidor FTP, ingrese este comando: ASR#copy running-config ftp://username:[email protected]/ASRconfig.cfg Address or name of remote host [10.76.76.160]? Destination filename [ASRconfig.cfg]? Writing ASRconfig.cfg ! 2616 bytes copied in 0.576 secs (4542 bytes/sec) ASR# Para copiar un archivo del servidor FTP al bootflash ASR, ingrese este comando: ASR#copy ftp://username:[email protected]/ASRconfig.cfg bootflash: Destination filename [ASRconfig.cfg]? Accessing ftp://*****:*****@10.76.76.160/ASRconfig.cfg... Loading ASRconfig.cfg ! [OK - 2616/4096 bytes] 2616 bytes copied in 0.069 secs (37913 bytes/sec) ASR# Protocolos de Acceso de administración Acceso regular SSH Hay dos opciones usadas para funcionar con el servicio del cliente SSH en el ASR (de--cuadro de SSH). Una opción es especificar el nombre VRF en el comando ssh sí mismo, así que usted puede tráfico de SSH de la fuente de un VRF determinado. ASR#ssh -vrf Mgmt-intf -l cisco 10.76.76.161 Password: Router>en Password: Router# La otra opción es utilizar el tráfico de SSH de la fuente de la opción de interfaz de origen del ssh del IP para de una interfaz VRF-habilitada determinada. ASR(config)#ip ssh source-interface GigabitEthernet0 ASR# ASR#ssh -l cisco 10.76.76.161 Password: Router>en Password: Router# Para utilizar el servicio del servidor SSH (a--cuadro de SSH), siga el procedimiento para habilitar SSH en cualquier otro router del Cisco IOS. Refiera a Telnet y a la descripción de SSH para la sección de los 1000 Series Router de Cisco ASR de la guía de configuración de software del Routers de servicios de agregación Cisco ASR de la serie 1000 para más información. Telnet Hay dos opciones usadas para funcionar con el servicio del cliente Telnet en el ASR (de--cuadro de Telnet). Una opción es especificar el interace o el VRF en el comando telnet sí mismo de la fuente como se muestra aquí: ASR#telnet 10.76.76.160 /source-interface GigabitEthernet 0 /vrf Mgmt-intf Trying 10.76.76.160 ... Open User Access Verification Username: cisco Password: Router>en Password: Router# La otra opción es utilizar el comando ip telnet source-interface. Usted todavía debe especificar el nombre VRF en el siguiente paso con el comando telnet, como se muestra aquí: ASR(config)#ip telnet source-interface GigabitEthernet0 ASR# ASR#telnet 10.76.76.160 /vrf Mgmt-intf Trying 50.50.50.3 ... Open User Access Verification Username: cisco Password: Router>en password: Router# Para utilizar el servicio del servidor Telnet (a--cuadro de Telnet), siga el procedimiento para habilitar Telnet en cualquier otro router. Refiera a Telnet y a la descripción de SSH para la sección de los 1000 Series Router de Cisco ASR de la guía de configuración de software del Routers de servicios de agregación Cisco ASR de la serie 1000 para más información. HTTP La interfaz del Web User de la herencia que está disponible para todo el Routers está también disponible para el ASR1K. Habilite el HTTP o el HTTPS (para el servidor seguro) en el ASR tal y como se muestra en de esta sección. Para habilitar el a--cuadro del acceso de la herencia HTTP mantenga (el de--cuadro HTTP o el servicio del cliente HTTP no está disponible) y utilice el acceso a GUI basado en web, utilizan esta configuración que utilice la autenticación local (usted podría también utilizar una autenticación externa, un servidor de la autorización, y de las estadísticas (AAA)). ASR(config)#ip http ASR(config)#ip http authentication local ASR(config)#username <> password <> Aquí está la configuración para habilitar el servidor seguro HTTP (HTTPS): ASR(config)#ip http secure-server ASR(config)#ip http authentication local ASR(config)#username <> password <> Hojee a la dirección IP de una interfaz en el ASR, y inicie sesión con la cuenta de usuario que usted creó. Aquí está un tiro de pantalla: Acceso persistente Esta sección es aplicable solamente para las conexiones del a--cuadro Telnet/SSH/HTTP. Con SSH persistente y Telnet persistente, usted puede configurar una correspondencia del transporte que defina el tratamiento de SSH entrante o del tráfico de Telnet en la interfaz Ethernet de administración. Esto crea tan la capacidad de acceder al router vía el modo de diagnóstico incluso cuando el proceso del Cisco IOS no es activo. Para más información sobre el modo de diagnóstico, refiera a la comprensión la sección del modo de diagnóstico de la guía de configuración de software del Routers de servicios de agregación Cisco ASR de la serie 1000. Nota: SSH persistente o Telnet persistente se puede configurar solamente en la interfaz de administración, GigabitEthernet0. Nota: Cuando SSH persistente o Telnet persistente se habilita en la interfaz de administración, GigabitEthernet0, usted puede iniciar sesión solamente al modo de diagnóstico y no privilegiar el modo a través de esa conexión. Se configuran las conexiones persistentes pues una opción de diagnóstico del acceso del último-centro turístico para los escenarios por ejemplo cuando el proceso del Cisco IOS en el router es no más activo. Por lo tanto, asegúrese de que usted tenga SSH regular (o Telnet) configurado en las otras interfaces de modo que usted pueda iniciar sesión vía SSH o Telnet para el acceso del privilegio para la configuración y el troubleshooting. SSH persistente Cree una correspondencia del transporte para permitir SSH persistente tal y como se muestra en de la siguiente sección: Configurar ASR(config)#crypto key generate rsa label ssh-keys modulus 1024 The name for the keys will be: ssh-keys % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable... [OK] (elapsed time was 1 seconds) ASR# ASR(config)#transport-map type persistent ssh persistent-ssh-map ASR(config-tmap)#rsa keypair-name ssh-keys ASR(config-tmap)#transport interface GigabitEthernet0 ASR(config-tmap)#banner wait X Enter TEXT message. End with the character 'X'. --Waiting for vty line-X ASR(config-tmap)# ASR(config-tmap)# banner diagnostic X Enter TEXT message. End with the character 'X'. --Welcome to Diagnostic Mode-c ASR(config-tmap)#connection wait allow interruptible ASR(config-tmap)#exit ASR(config)#transport type persistent ssh input persistent-ssh *Jul 10 15:31:57.102: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd: Server persistent ssh has been notified to start Ahora usted debe habilitar la autenticación local para SSH persistente. Esto se puede hacer con el comando aaa new-model o sin él. Ambos escenarios se describen aquí. (En ambos casos, asegúrese de que usted tenga una cuenta del contraseña/nombre de usuario local en el router). Usted puede elegir que la configuración basó encendido si usted tiene AAA habilitado en el ASR. 1. Con el AAA habilitado: ASR(config)#aaa new-model ASR(config)#aaa authentication login default local ASR(config)#line vty 0 4 ASR(config-line)#login authentication default 2. Sin el AAA habilitado: ASR(config)#line vty 0 4 ASR(config-line)#login local Verificación SSH al ASR con la dirección IP de la interfaz VRF-habilitada Gigabitethernet0. Una vez que se ingresa la contraseña, usted debe ingresar la secuencia de interrupción (Ctrl-c o Ctrl-Shift-6). management-station$ ssh -l cisco 10.106.47.139 [email protected]'s password: --Waiting for vty line---Welcome to Diagnostic Mode-ASR(diag)# Nota: Ingrese la secuencia de interrupción (Ctrl-c o Ctrl-Shift-6) cuando --Para línea del vty que espera-- visualizaciones en el terminal para ingresar al modo de diagnóstico. Telnet persistente Configurar Con la lógica similar según lo descrito en la sección anterior para SSH, cree una correspondencia del transporte para Telnet persistente como se muestra aquí: ASR(config)#transport-map type persistent telnet persistent-telnet ASR(config-tmap)#banner diagnostic X Enter TEXT message. End with the character 'X'. --Welcome to Diagnostic Mode-X ASR(config-tmap)#banner wait X Enter TEXT message. End with the character 'X'. --Waiting for IOS Process-X ASR(config-tmap)#connection wait allow interruptible ASR(config-tmap)#transport interface gigabitEthernet 0 ASR(config-tmap)#exit ASR(config)#transport type persistent telnet input persistent-telnet *Jul 10 15:26:56.441: %UICFGEXP-6-SERVER_NOTIFIED_START: R0/0: psd: Server persistent telnet has been notified to start Como se debate en la sección más reciente para SSH, hay dos maneras de configurar la autenticación local como se muestra aquí: 1. Con el AAA habilitado: ASR(config)#aaa new-model ASR(config)#aaa authentication login default local ASR(config)#line vty 0 4 ASR(config-line)#login authentication default 2. Sin el AAA: ASR(config)#line vty 0 4 ASR(config-line)#login local Verificación Telnet a la dirección IP de la interfaz GigabitEthernet0. Después de que usted ingrese las credenciales, ingrese la secuencia de interrupción, y la espera por pocos segundos (puede ser que tarde a veces un rato) para registrar en el modo de diagnóstico. Management-station$ telnet 10.106.47.139 Trying 10.106.47.139... Connected to 10.106.47.139. Escape character is '^]'. Username: cisco Password: --Waiting for IOS Process---Welcome to Diagnostic Mode-ASR(diag)# Nota: Ingrese el Ctrl+C de la secuencia de interrupción o el Ctrl+Shift+6, y espere pocos segundos. Fecha --Para proceso IOS que espera-- las visualizaciones en la terminal, usted puede ingresar al modo de diagnóstico. HTTP persistente Para habilitar el a--cuadro persistente del acceso HTTP (el de--cuadro o el cliente HTTP HTTP mantiene no está disponible) y utilizar el nuevo acceso a GUI basado en web, utilice esta configuración que utilice la autenticación local (usted podría también utilizar un servidor de AAA externo). Configurar En estas configuraciones, el HTTP-WebUI y el https-WebUI son los nombres de las transporte-correspondencias. ASR(config)#ip http serverASR(config)#ip http authentication local ASR(config)#username <> password <> ASR(config)#transport-map type persistent webui http-webui ASR(config-tmap)#server ASR(config-tmap)#exit ASR(config)#transport type persistent webui input http-webui Aquí está la configuración usada para habilitar el servidor seguro HTTP (HTTPS). ASR(config)#ip http secure-serverASR(config)#ip http authentication local ASR(config)#username <> password <> ASR(config)#transport-map type persistent webui https-webui ASR(config-tmap)#secure-server ASR(config-tmap)#exit ASR(config)#transport type persistent webui input https-webui Verificación Hojee a la dirección IP de una interfaz en el ASR. Inicie sesión con el nombre de usuario/la contraseña que usted creó para poner en marcha el Home Page. Visualizaciones de información relacionada de la salud y de la supervisión, junto con un WebUI IOS donde usted puede los comandos apply. Aquí está un tiro de pantalla del homepage: Troubleshooting Actualmente, no hay información específica de troubleshooting disponible para esta configuración. Información Relacionada Puerto de la consola, Telnet, y dirección de SSH Comprensión del modo de diagnóstico © 1992-2013 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 19 Octubre 2013 http://www.cisco.com/cisco/web/support/LA/111/1119/1119094_116093-configure-vrf-aware-scp.html