Вопрос фазы DMVPN Cisco 3

10

Я надеялся, что кто-то сможет пролить свет на проблему, с которой я столкнулся. У меня есть лаборатория, которую я создал, которая является мультирегиональной сетью Hub and Spoke. Есть 5 региональных узлов, а также один центральный узел. Каждый регион имеет 4 спицы.

Моя проблема возникает, когда я пытаюсь использовать фазу 3 для DMVPN. Я думаю, что знаю, что происходит, я просто не совсем уверен, как это исправить. По сути, я попытаюсь пропинговать компьютер с спицы на центральный концентратор. Первая пара пингов проходит, а затем дальнейшие пинги не проходят. Когда отправляются первые эхо-запросы, они должны проходить через всю сеть (Host-Spoke-Regional Hub-Central Hub). Когда сопоставления NHRP установлены, он пытается перейти в двухточечное соединение для этого соединения и разрывает сеть, поскольку туннели находятся в разных подсетях. Вот соответствующая информация о сети:

Все маршрутизаторы работают EIGRP (AS 1). Все соседи созданы правильно, а таблица маршрутизации заполнена, как я и ожидал.

Сеть регионального к центральному концентратору - туннель 0. 172.16.0.0/24.

Сеть между регионами и спицами - это туннель 1. 172.16.1.0/24.

Все внешние интерфейсы находятся в сети 192.168.1.0/24.

Внутренние интерфейсы следуют следующей схеме: 10.region.spoke.0 / 24 (Central - 10.0.0.0/24, Regional Hubs - 10.region.0.0 / 24).

Любое понимание, которое вы можете предоставить, очень ценится.

cisco Райан
источник
Вам помог какой-нибудь ответ? Если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:

1

Итак, мы получили CenterHubx1-> RegionHubx5-> Spokesx4-> Компьютер

Компьютер пингует -> Hub, выполняет поиск nhrp на Spoke, устанавливает новый туннель для CenterHub.

Проблема Спойл vpn в подсети 172.16.1 / 24 и концентраторе 172.16.0 / 24

Луч не должен пытаться установить прямое соединение с CenterHub, только с другими спицами своего RegionHub.

Чтобы предотвратить это, используйте разные идентификаторы сети NHRP для разных туннельных подсетей.

Quote:

Идентификатор сети NHRP используется для определения домена NHRP для интерфейса NHRP

Pieter
источник
Спасибо за ответ. Использование разных сетевых идентификаторов позволяет проходить трафику, но он побеждает фазу 3 (межзвенный трафик должен проходить через концентратор, а не через сеть). Мне удалось решить мою проблему с помощью PBR, но это решение плохо масштабируется.
Райан
Таким образом, вам требуется возможность настроить динамический туннель между любыми устройствами. Я могу придумать два варианта. A. Вы пытались поместить все vpn в одну подсеть - грязный B. ip un-numberd и ospf для подключения к LB
Pieter
Да, это был другой способ, которым я решил это. Я спроектировал топологию, чтобы все иерархические туннели находились в одной подсети. Не совсем то, как была разработана фаза 3, но она позволяет масштабировать сеть лучше, чем другие развертывания DMVPN.
Райан
0

Проблема может быть в ключах GRE.

Все туннели на маршрутизаторах-концентраторах ДОЛЖНЫ иметь один и тот же ключ GRE (в противном случае луч не может отправить пакет на неподключенный концентратор - продумайте его), что означает, что вы ДОЛЖНЫ иметь несколько IP-адресов на маршрутизаторах-концентраторах для завершения туннелей GRE ( потому что вы не можете различить их по ключам GRE).

ioshints
источник