URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 715
[ Назад ]

Исходное сообщение
"Cтранное поведение DMVPN"

Отправлено progid , 25-Апр-13 15:41 
Чтобы было хоть немного понятнее, сразу прилагаю схему:

http://piccy.info/view3/4489902/99960efe350b3ad07b73c2ee18dd.../

Настроил в GNS3 DMVPN между одним hub-маршрутизатором и двумя spoke-маршрутизаторами - все динамические туннели поднялись. Далее настроил OSPF - все маршруты раздались успешно. После этого на hub была такая информация:

hub#sh ip nhrp

172.16.0.2/32 via 172.16.0.2, Tunnel0 created 00:09:50, expire 01:50:14
  Type: dynamic, Flags: registered
  NBMA address: 192.168.2.2
172.16.0.3/32 via 172.16.0.3, Tunnel0 created 00:10:18, expire 01:50:31
  Type: dynamic, Flags: registered
  NBMA address: 192.168.3.2

hub#sh ip nhrp br

   Target             Via            NBMA           Mode   Intfc   Claimed
172.16.0.2/32      172.16.0.2      192.168.2.2     dynamic  Tu0     <   >
172.16.0.3/32      172.16.0.3      192.168.3.2     dynamic  Tu0     <   >

hub#sh ip ospf nei

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.0.0.253        0   FULL/DROTHER    00:01:40    172.16.0.3      Tunnel0
10.0.0.254        0   FULL/DROTHER    00:01:54    172.16.0.2      Tunnel0

После того, как я настроил IPsec-профиль и повесил его на туннельный интерфейс hub-роутера, естественно все легло: и NHRP и OSPF - каждый роутер остался обособленным и между собой пингались только WAN-интерфейсы. Я повесил такой же IPsec-профиль на одном из spoke-роутеров, но ничего не заработало и, кажется дело тут не в IPsec! (Кстати я использовал аутентификацию по сертификатам) Когда я снял профили с обоих туннелей, ничего так и не восстановилось, а на роутерах появилось такое:

(hub-маршрутизатор)

hub#sh ip nhrp

172.16.0.2/32, Tunnel0 created 00:00:47, expire 00:02:17
  Type: incomplete, Flags: negative
  Cache hits: 6
172.16.0.3/32, Tunnel0 created 00:00:48, expire 00:02:16
  Type: incomplete, Flags: negative
  Cache hits: 6

hub#sh ip nhrp br

   Target             Via            NBMA           Mode   Intfc   Claimed
172.16.0.2/32      172.16.0.2      incomplete
172.16.0.3/32      172.16.0.3      incomplete

hub#sh ip ospf nei

Neighbor ID     Pri   State           Dead Time   Address         Interface
10.0.0.253        0   INIT/DROTHER    00:01:58    172.16.0.3      Tunnel0
10.0.0.254        0   INIT/DROTHER    00:01:51    172.16.0.2      Tunnel0

(spoke-маршрутизатор)

spoke_1#sh ip nhrp
  
172.16.0.1/32 via 172.16.0.1, Tunnel0 created 00:05:42, never expire
  Type: static, Flags: used
  NBMA address: 192.168.1.2

spoke_1#sh ip ospf nei
(пусто)

И так длится до тех пор, пока не передернуть туннельные интерфейсы на spoke-роутерах. Тогда все завязывается заново как надо.
Такой расклад меня не устраивает, но что делать уже и не знаю. Если повесить IPsec везде и передернуть интерфейсы, то ничего не завязывается. Подозреваю что проблема в NHRP - если его прервать IPsec'ком, а затем вернуть как было, то он заново завязываться уже не хочет. Отсюда не строятся туннели с хабом и поэтому не раздаются маршруты через OSPF.

ВОПРОС: Как починить? В чем проблема?

Нужные вырезки конфигов прилагаю:

       HUB-МАРШРУТИЗАТОР

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname hub
!
boot-start-marker
boot-end-marker
!
no logging console
!
no aaa new-model
memory-size iomem 5
ip cef
!
no ip domain lookup
ip domain name cisconet.com
ip host hub 10.97.130.1
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
crypto pki server hub
grant auto
!
crypto pki trustpoint hub
enrollment url http://hub:80
revocation-check crl
rsakeypair hub
!
crypto pki trustpoint self
enrollment url http://hub:80
serial-number
revocation-check crl
!
crypto pki certificate chain hub
certificate ca 01 nvram:hub#1CA.cer
crypto pki certificate chain self
certificate 02 nvram:hub#2.cer
certificate ca 01 nvram:hub#1CA.cer
!
archive
log config
  hidekeys
!
crypto isakmp policy 10
!
crypto ipsec transform-set secure esp-3des
mode transport
!
crypto ipsec profile protect
set transform-set secure
!
ip ssh version 1
!
interface Loopback0
ip address 10.0.0.255 255.255.255.255
!
interface Tunnel0
ip address 172.16.0.1 255.255.255.248
no ip redirects
ip mtu 1416
ip nhrp authentication password
ip nhrp map multicast dynamic
ip nhrp network-id 125
no ip route-cache cef
no ip route-cache
no ip mroute-cache
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 10
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 125
!
interface FastEthernet0/0
ip address 192.168.1.2 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.97.130.1 255.255.255.248
duplex auto
speed auto
!
router ospf 1
router-id 10.0.0.255
log-adjacency-changes
network 10.0.0.255 0.0.0.0 area 1
network 10.97.130.0 0.0.0.7 area 1
network 172.16.0.0 0.0.0.7 area 1
!
ip forward-protocol nd
ip route 192.168.0.0 255.255.0.0 192.168.1.1
!
!
ip http server
no ip http secure-server
!
control-plane
!
ntp master 1
!
end

       SPOKE-МАРШРУТИЗАТОР

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname spoke_1
!
boot-start-marker
boot-end-marker
!
no logging console
!
no aaa new-model
memory-size iomem 5
ip cef
!
no ip domain lookup
ip domain name cisconet.com
ip host hub 10.97.130.1
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
crypto pki trustpoint hub
enrollment url http://hub:80
serial-number
revocation-check crl
!
crypto pki certificate chain hub
certificate 03 nvram:hub#3.cer
certificate ca 01 nvram:hub#1CA.cer
!
archive
log config
  hidekeys
!
crypto isakmp policy 10
!
crypto ipsec transform-set secure esp-3des
mode transport
!
crypto ipsec profile protect
set transform-set secure
!
ip ssh version 1
!
interface Loopback0
ip address 10.0.0.254 255.255.255.255
!
interface Tunnel0
ip address 172.16.0.2 255.255.255.248
no ip redirects
ip mtu 1416
ip nhrp authentication password
ip nhrp map 172.16.0.1 192.168.1.2
ip nhrp map multicast 192.168.1.2
ip nhrp network-id 125
ip nhrp nhs 172.16.0.1
ip nhrp registration no-unique
no ip route-cache cef
no ip route-cache
no ip mroute-cache
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 125
!
interface FastEthernet0/0
ip address 192.168.2.2 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.97.130.9 255.255.255.248
duplex auto
speed auto
!
router ospf 1
log-adjacency-changes
network 10.0.0.254 0.0.0.0 area 1
network 10.97.130.8 0.0.0.7 area 1
network 172.16.0.0 0.0.0.7 area 1
!
ip forward-protocol nd
ip route 192.168.0.0 255.255.0.0 192.168.2.1
!
no ip http server
no ip http secure-server
!
control-plane
!
ntp clock-period 17179869
ntp server 10.97.130.1
!
end

Очень прошу помочь! Заранее спасибо


Содержание

Сообщения в этом обсуждении
"Cтранное поведение DMVPN"
Отправлено Merridius , 25-Апр-13 17:13 
>[оверквотинг удален]
> no ip http server
> no ip http secure-server
> !
> control-plane
> !
> ntp clock-period 17179869
> ntp server 10.97.130.1
> !
> end
> Очень прошу помочь! Заранее спасибо

Вот вроде ваш случай.
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...

Основное что заметил, то что ipsec вешается на туннель (tunnel protection ipsec profile)
  


"Cтранное поведение DMVPN"
Отправлено progid , 25-Апр-13 17:58 
> Вот вроде ваш случай.
> http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
> Основное что заметил, то что ipsec вешается на туннель (tunnel protection ipsec
> profile)

Ну там написано как настроить, правда от этого легче не становится. Кстати заметил еще одну особенность. Можно даже не использовать айписек а просто сделать на хабе clear ip nhrp - все туннели оборвутся и больше не поднимутся. И что делать? или я чего то не понимаю?

Кстати я привел конфиги там где профиль ipsec не повешен на туннель.

Только что пошерстил форум циско. Там нашел такую же проблему и без решения.
Если кратко, то после перезагрузки хаба ни один туннель уже не востанавливается, пока не перезагрузить споки. Вот в чем проблема.


"Cтранное поведение DMVPN"
Отправлено alecx , 23-Май-13 17:54 
>[оверквотинг удален]
> Ну там написано как настроить, правда от этого легче не становится. Кстати
> заметил еще одну особенность. Можно даже не использовать айписек а просто
> сделать на хабе clear ip nhrp - все туннели оборвутся и
> больше не поднимутся. И что делать? или я чего то не
> понимаю?
> Кстати я привел конфиги там где профиль ipsec не повешен на туннель.
> Только что пошерстил форум циско. Там нашел такую же проблему и без
> решения.
> Если кратко, то после перезагрузки хаба ни один туннель уже не востанавливается,
> пока не перезагрузить споки. Вот в чем проблема.

ip nhrp holdtime вас спасет