Новые ответы

Мутный трабл с DMVPN,

gagner, 26-Авг-09, 11:22 [смотреть все]

Добрый день, многоуважаемый All.
Необходимо включить несколько 871 цисок через интернет. Для этого на двух рутерах в центре подняты туннели DMVPN и к ним цепляются заначенные spoke-точки (т.е. на каждом споке поднято 2 туннеля в центр + оспф). В принципе схема и конфиг отработаны на провайдерских IP VPN'ах, отличия проблемного включения - нат и произвольно включенный интернет.
конфиг на на хабах абсолютно идентичен (проверено построчно, разница только в адресах) и выглядит так:
interface Tunnel2
ip address 192.168.0.1 255.255.255.128
no ip redirects
ip mtu 1400
ip nhrp authentication ZZZ
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip virtual-reassembly
ip tcp adjust-mss 1460
ip ospf network broadcast
ip ospf priority 3
tunnel source X.X.X.X
tunnel mode gre multipoint
tunnel key 1000
tunnel protection ipsec profile PROFILE
Туннели на споках так же настроены одинаково:
interface Tunnel0
ip address 192.168.0.7 255.255.255.128
ip mtu 1400
ip nhrp authentication ZZZ
ip nhrp map 192.168.0.1 X.X.X.X
ip nhrp network-id 1
ip nhrp nhs 192.168.0.1
ip virtual-reassembly
ip ospf network broadcast
ip ospf priority 0
tunnel source Fa4
tunnel destination X.X.X.X
tunnel key 1000
tunnel protection ipsec profile PROFILE

Если бы оно вообще не работало - было бы еще не плохо... )) но туннели на один из цетральных рутеров поднимаются влет, а вот на второй категорически на желают. и с рутингом/фаерволом это никак не связано: если убрать с интерфейсов проблемного туннеля крипто-профиль, то на центральном рутере по sh ip nhrp br появляется вот такая вот запись:
   Target             Via            NBMA           Mode   Intfc   Claimed
192.168.0.7/32    192.168.0.7       Y.Y.Y.Y        dynamic  Tu2     10.0.0.A
где 10.0.0.A - фактический адрес 871 циски в локалке за натом, а Y.Y.Y.Y - внешний адрес, которым она натится. При этом пинги не ходят, ospf не срастается.
На втором рутере записи выглядят немного иначе:
192.168.0.135/32  192.168.0.135  10.0.0.А       dynamic  Tu2     <   >

Почему может возникать такая фигня? Куда смотреть? Спасибо.

Ответить | Сообщить модератору

Мутный трабл с DMVPN, vnn, 12:38 , 26-Авг-09 (1)

>конфиг на на хабах абсолютно идентичен (проверено построчно, разница только в адресах)
>и выглядит так:
Так конфиг на хабах не должен быть идентичным. На "запасном" хабе добавляются строчки:
Tunnel2
  ip nhrp map 192.168.0.1 X.X.X.X
  ip nhrp map multicast X.X.X.X
  ip nhrp nhs 192.168.0.1
На споке также должна быть привязка ко второму хабу:
Tunnel0
  ip nhrp map 192.168.0.2 Y.Y.Y.Y
  ip nhrp map multicast Y.Y.Y.Y
  ip nhrp nhs 192.168.0.2
192.168.0.2 - туннельный адрес второго хаба, Y.Y.Y.Y - его внешний адрес.
Ответить | Сообщить модератору

Мутный трабл с DMVPN, gagner, 16:17 , 26-Авг-09 (2)
у меня все-таки не совсем предлагаемая вами схема: на споках прописаны 2(!) независимых туннеля в сторону хабов. и хабы не зависимы. резервирование - за счет оспф.
Ответить | Сообщить модератору
Мутный трабл с DMVPN, johnrz, 13:21 , 27-Авг-09 (3)
http://sysadmins.ru/topic240683.html
Ответить | Сообщить модератору

Мутный трабл с DMVPN, gagner, 22:07 , 12-Мрт-10 (4)
ммм, надо бы сказать, что конфиг, приведенный в начальном посте полностью рабочий.
мой трабл заключался в описании диапазона адресов для крипто-кея. ))
Ответить | Сообщить модератору