Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 14:14



Ответить на тему  [ Сообщений: 24 ] 
Второй туннель второго провайдера на споке. Как? 
Автор Сообщение

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Всем привет.

На хабе два провайдера, два туннеля. На споках один провайдер и тоже два туннеля. Если на хабе отваливается один провайдер, пользователи споков этого не замечают. Классика.

Теперь на одном из споков появился второй провайдер. Вопрос: как правильно настроить спок, чтобы если у него отвалится один провайдер, пользователи ничего не заметят?

Конфиг спока: 1-й провайдер на интерфейсе Dialer1, второй провайдер на интерфейсе FastEthernet0.

Цитата:
crypto isakmp policy 1
encr aes 256
hash md5
authentication pre-share
group 14
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key 111 address xx.xx.xx.xx
crypto isakmp key 111 address yy.yy.yy.yy
crypto isakmp key 222 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set strong esp-3des esp-md5-hmac
crypto ipsec transform-set TRANS_SET esp-aes 256 esp-md5-hmac
mode transport
!
crypto ipsec profile IPSEC_PROF
set transform-set TRANS_SET
!
crypto ipsec profile cisco
set security-association lifetime seconds 120
set transform-set strong
!
!
!
!
!
!
!
interface Tunnel11
description ***PRIMARY DMVPN CLOUD***
ip address 10.1.123.2 255.255.255.224
no ip redirects
ip nhrp authentication cisco
ip nhrp map 10.1.123.1 xx.xx.xx.xx
ip nhrp map multicast xx.xx.xx.xx
ip nhrp network-id 1
ip nhrp nhs 10.1.123.1
delay 1000
tunnel source Dialer1
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile IPSEC_PROF shared
!
interface Tunnel22
description ***BACKUP DMVPN CLOUD***
ip address 10.2.123.6 255.255.255.224
no ip redirects
ip mtu 1440
ip nhrp authentication cisco
ip nhrp map multicast yy.yy.yy.yy
ip nhrp map 10.2.123.1 yy.yy.yy.yy
ip nhrp network-id 2
ip nhrp nhs 10.2.123.1
ip tcp adjust-mss 1393
tunnel source Dialer1
tunnel mode gre multipoint
tunnel key 2
tunnel protection ipsec profile IPSEC_PROF shared
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet0
ip address 172.16.113.26 255.255.255.252
no ip redirects
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet1
description RT
no ip address
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
ip address 192.168.6.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
!
interface Dialer1
description RT
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
ppp authentication chap callin
ppp chap hostname pppoe-297024
ppp chap password 0 zzzzzzz
ppp ipcp dns request
!
!
router eigrp 1
network 10.1.123.0 0.0.0.31
network 192.168.6.0
!
!
router eigrp 2
network 10.2.123.0 0.0.0.31
network 192.168.6.0
!
router nhrp
!
ip forward-protocol nd
no ip http server
no ip http secure-server


ip route 0.0.0.0 0.0.0.0 Dialer1
!

dialer-list 1 protocol ip permit
!
!


03 окт 2018, 02:48
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
https://www.cisco.com/c/en/us/support/d ... vpn-00.pdf


03 окт 2018, 07:38
Профиль ICQ

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
_2e_ писал(а):
https://www.cisco.com/c/en/us/support/docs/security-vpn/dynamic-multi-point-vpn-dmvpn/119022-configure-dmvpn-00.pdf


Спасибо. То, что надо.


03 окт 2018, 09:13
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
По мануалу выше сделал настройку, но по непонятной причине второй туннель не поднимается, то есть вообще никаких попыток.

#show ip route vrf ISP1
Код:
Routing Table: ISP1
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 82.xx.xx.17 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 82.xx.xx.17
      82.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        82.xx.xx.16/28 is directly connected, FastEthernet0
L        82.xx.xx.24/32 is directly connected, FastEthernet0


show ip route vrf ISP2
Код:
Routing Table: ISP2
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, + - replicated route

Gateway of last resort is 31.yy.yy.201 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 31.yy.yy.201
      31.yy.yy.0/8 is variably subnetted, 2 subnets, 2 masks
C        31.yy.yy.200/29 is directly connected, FastEthernet1
L        31.yy.yy.203/32 is directly connected, FastEthernet1

Здесь всё ОК.

А вот здесь какая-то белиберда show crypto session
Код:
Crypto session current status

Interface: Tunnel1
Session status: UP-ACTIVE
Peer: 82.xx.xx.22 port 500
  IKEv1 SA: local 82.xx.xx.24/500 remote 82.xx.xx.22/500 Active
  IPSEC FLOW: permit 47 host 31.yy.yy.203 host 82.xx.xx.22
        Active SAs: 2, origin: crypto map

Interface: Tunnel1
Session status: DOWN
Peer: 31.aa.aa.205 port 500
  IPSEC FLOW: permit 47 host 82.zz.zz.24 host 31.aa.aa.205
        Active SAs: 0, origin: crypto map

Interface: Tunnel0
Session status: DOWN
Peer: 82.xx.xx.22 port 500
  IPSEC FLOW: permit 47 host 31.yy.yy.203 host 82.xx.xx.22
        Active SAs: 0, origin: crypto map

Interface: Tunnel0
Session status: DOWN
Peer: 31.aa.aa.205 port 500
  IPSEC FLOW: permit 47 host 82.zz.zz.24 host 31.aa.aa.205
        Active SAs: 0, origin: crypto map


Так же не понятно, почему команды sh cry isa sa vrf ISP1 и sh cry isa sa vrf ISP2 возвращают пустую строку, а команда sh cry isa sa возвращает результат
Код:
sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
82.xx.xx.22    82.zz.zz.24    QM_IDLE           2011 ACTIVE


Конфиг спока
Код:
Битрейт 1440


SPOKE#sh run
Building configuration...

Current configuration : 3624 bytes
!
! Last configuration change at 23:55:37 UTC Mon Oct 15 2018
!
version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SPOKE
!
boot-start-marker
boot-end-marker
!
vrf definition ISP1
 rd 1:1
 !
 address-family ipv4
 exit-address-family
!
vrf definition ISP2
 rd 2:2
 !
 address-family ipv4
 exit-address-family
!
!
aaa new-model
!
!
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default local
!
!
!
!
!
aaa session-id common
!
!
!
dot11 syslog
ip source-route
!
!
!
!
ip cef
ip domain name corp.xxx.ru
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
license udi pid CISCO1812-J/K9 sn FHK130423M3
vtp version 2
username vpn password 0 123456
!
!
crypto ikev2 diagnose error 50
!
!
ip ssh version 2
!
crypto keyring ISP2 vrf ISP2
  pre-shared-key address 82.xx.xx.22 key xxxxxxxxxx
crypto keyring ISP1 vrf ISP1
  pre-shared-key address 31.yy.yy.205 key xxxxxxxxx
!
crypto isakmp policy 1
 encr aes 256
 hash md5
 authentication pre-share
 group 14
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set TRANS_SET esp-aes 256 esp-md5-hmac
 mode transport
!
crypto ipsec profile IPSEC_PROF
 set transform-set TRANS_SET
!
!
!
!
!
!
!
!
!
interface Loopback10
 ip address 192.168.1.1 255.255.255.0
!
interface Tunnel0
 description Primary mGRE interface source as Primary ISP
 bandwidth 1000
 ip address 10.1.123.50 255.255.255.224
 no ip redirects
 ip mtu 1400
 ip nhrp authentication cisco
 ip nhrp map multicast 31.xx.xx.205
 ip nhrp map 10.1.123.1 31.xx.xx.205
 ip nhrp network-id 1
 ip nhrp holdtime 600
 ip nhrp nhs 10.1.123.1
 ip tcp adjust-mss 1360
 delay 1000
 tunnel source FastEthernet0
 tunnel mode gre multipoint
 tunnel key 1
 tunnel vrf ISP1
 tunnel protection ipsec profile IPSEC_PROF shared
!
interface Tunnel1
 description Secondary mGRE interface source as Primary ISP
 bandwidth 1000
 ip address 10.2.123.50 255.255.255.224
 no ip redirects
 ip mtu 1400
 ip nhrp authentication cisco
 ip nhrp map 10.2.123.1 82.yy.yy.22
 ip nhrp map multicast 82.yy.yy.22
 ip nhrp network-id 2
 ip nhrp holdtime 360
 ip nhrp nhs 10.2.123.1
 ip nhrp shortcut
 ip tcp adjust-mss 1360
 delay 1500
 tunnel source FastEthernet1
 tunnel mode gre multipoint
 tunnel key 2
 tunnel vrf ISP2
 tunnel protection ipsec profile IPSEC_PROF shared
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet0
 description ***RT***
 vrf forwarding ISP1
 ip address 82.zz.zz.24 255.255.255.240
 duplex auto
 speed auto
!
interface FastEthernet1
 description ***BACKUP LINK PODRYAD***
 vrf forwarding ISP2
 ip address 31.aa.aa.203 255.255.255.248
 duplex auto
 speed auto
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
 ip address 172.16.100.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 shutdown
!
!
router eigrp 1
 network 10.1.123.0 0.0.0.31
 network 192.168.1.0
!
!
router eigrp 2
 network 10.2.123.0 0.0.0.31
 network 192.168.1.0
!
router nhrp
!
no ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip route vrf ISP1 0.0.0.0 0.0.0.0 82.zz.zz.17
ip route vrf ISP2 0.0.0.0 0.0.0.0 31.aa.aa.201
!
logging dmvpn
!
!
!
!
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 3
 transport input none
line vty 4
 rotary 9
 transport input ssh
!
end



Если нужен конфиг хаба, напишу. Прошу вас подсказать в чем может быть причина. Спасибо.


16 окт 2018, 03:25
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
MaxRAF писал(а):
Если нужен конфиг хаба, напишу.
кусок про туннели покажите
shared здесь лишнее все таки.
определитесь с фазами dmvpn.
В общем нужен кусок с хаба


16 окт 2018, 09:11
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Туннели хаба

Код:
interface Tunnel1
 description ***PRIMARY DMVPN CLOUD PODRYAD***
 bandwidth 10000
 ip address 10.1.123.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 no ip next-hop-self eigrp 1
 ip nhrp authentication cisco
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 ip tcp adjust-mss 1360
 no ip split-horizon eigrp 1
 delay 1000
 tunnel source GigabitEthernet0/0
 tunnel mode gre multipoint
 tunnel key 1
 tunnel protection ipsec profile IPSEC_PROF

!
Код:
interface Tunnel2
 description ***BACKUP DMVPN CLOUD ROSTELECOM***
 ip address 10.2.123.1 255.255.255.0
 no ip redirects
 ip mtu 1400
 no ip next-hop-self eigrp 2
 ip nhrp authentication cisco
 ip nhrp map multicast dynamic
 ip nhrp network-id 2
 ip tcp adjust-mss 1360
 no ip split-horizon eigrp 2
 tunnel source GigabitEthernet0/1
 tunnel mode gre multipoint
 tunnel key 2
 tunnel vrf ISP2
 tunnel protection ipsec profile IPSEC_PROF


16 окт 2018, 09:32
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
уберите shared
и вот это с туннеля на споке
Код:
ip nhrp shortcut

а еще меня что то маски смущают на туннелях

и вобще - в вашей ситуации vrf излишен. В итоге у вас получается два облака на разных интерфейсах что с одной, что с другой стороны. Это можно и без vrf.


16 окт 2018, 09:40
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Большое спасибо, работает. Но по какой причине поднялись только 3 туннеля из 4-х?
sh cry isa sa
Код:
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
82.xx.xx.22    31.yy.yy.203  QM_IDLE           2015 ACTIVE
82.xx.xx.22    82.zz.zz.24    QM_IDLE           2013 ACTIVE
31.aa.aa.205  31.yy.yy.203  QM_IDLE           2014 ACTIVE


Почему-то начала появляться ошибка каждую минуту
Код:
*Oct 16 07:22:49.583: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=31.yy.yy.203, prot=50, spi=0xFD6462B3(4251214515), srcaddr=31.aa.aa.205

Где, 31.aa.aa.205 - адрес хаба

Как я понял, правильно должно быть так
sh cry isa sa
Код:
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
82.xx.xx.22    31.yy.yy.203  QM_IDLE           2015 ACTIVE
82.xx.xx.22    82.zz.zz.24    QM_IDLE           2013 ACTIVE
31.aa.aa.205  31.yy.yy.203  QM_IDLE           2014 ACTIVE
31.aa.aa.205  82.zz.zz.24 QM_IDLE           2016 ACTIVE


16 окт 2018, 10:10
Профиль

Зарегистрирован: 08 сен 2016, 06:36
Сообщения: 12
На хабе у вас только второй isp в отдельном vrf?
Покажите вывод "sh dmvpn" со спока.


17 окт 2018, 05:08
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
irkmaver писал(а):
На хабе у вас только второй isp в отдельном vrf?
Покажите вывод "sh dmvpn" со спока.


Код:
#sh dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
        N - NATed, L - Local, X - No Socket
        # Ent --> Number of NHRP entries with same NBMA peer
        NHS Status: E --> Expecting Replies, R --> Responding
        UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel0, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
     1  31.xx.xx.205      10.1.123.1  NHRP    1d20h     S

Interface: Tunnel1, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
     1    82.yy.yy.22      10.2.123.1    UP 18:34:12     S


Что скажете?


17 окт 2018, 05:11
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
MaxRAF писал(а):
Что скажете?

все у вас правильно поднялось. Что в конфиге написано, то и получили.
MaxRAF писал(а):
Но по какой причине поднялись только 3 туннеля из 4-х?

никаких трех или четырех туннелей нет. У вас только два туннеля. isakmp не считается. Хотите чтобы в выводе этой команды не было лишних строк, сделайте более конкретные маршруты, например.


17 окт 2018, 08:42
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
aliotru писал(а):
MaxRAF писал(а):
Что скажете?

все у вас правильно поднялось. Что в конфиге написано, то и получили.


В таком случае не понятно, почему на первом State NHRP, а на втором UP.


17 окт 2018, 09:49
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
этого то я и не заметил(((
без шифрования тоже самое?


17 окт 2018, 11:14
Профиль

Зарегистрирован: 16 фев 2018, 18:46
Сообщения: 16
Мне кажется, данная конструкция
router eigrp 1
network 10.1.123.0 0.0.0.31
network 192.168.1.0
!
!
router eigrp 2
network 10.2.123.0 0.0.0.31
network 192.168.1.0
в вашем случае, излишняя. Достаточно этого
router eigrp 1
network 10.1.123.0 0.0.0.31
network 10.2.123.0 0.0.0.31
network 192.168.1.0
eigrp stub connected summary (опционально)


+ можно добавить в каждый туннель

no ip next-hop-self eigrp 1
no ip split-horizon eigrp 1
после изменений на тунелях sh no sh.
и хотелось бы увидеть вывод с хаба и спока.
sh ip ei topo
sh ip ei nei
sh ip nhrp nhs
sh ip nhrp bri
sh cry ips sa


17 окт 2018, 11:27
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Выводы спока

Код:
#sh ip ei topo
EIGRP-IPv4 Topology Table for AS(1)/ID(192.168.1.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status

P 192.168.1.0/24, 1 successors, FD is 128256
        via Connected, Loopback10

Код:
#sh ip ei nei
EIGRP-IPv4 Neighbors for AS(1)

Код:
sh ip nhrp nhs
Legend: E=Expecting replies, R=Responding
Tunnel0:10.1.123.1 RE

Tunnel1:10.2.123.1 RE

Код:
#sh ip nhrp bri
   Target             Via            NBMA           Mode   Intfc   Claimed
10.1.123.1/32        10.1.123.1      31.xx.xx.205  static   Tu0     <   >
10.2.123.1/32        10.2.123.1      82.yy.yy.22    static   Tu1     <   >

Код:
#sh cry ips sa

interface: Tunnel0
    Crypto map tag: Tunnel0-head-0, local addr 82.zz.zz.24

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (82.zz.zz.24/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (31.xx.xx.205/255.255.255.255/47/0)
   current_peer 31.xx.xx.205 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    #pkts decaps: 37, #pkts decrypt: 37, #pkts verify: 37
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 82.zz.zz.24, remote crypto endpt.: 31.xx.xx.205
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0
     current outbound spi: 0xD9E23868(3655481448)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0x5C890C0E(1552485390)
        transform: esp-256-aes esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 55, flow_id: Onboard VPN:55, sibling_flags 80000006, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4541343/137)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0xD9E23868(3655481448)
        transform: esp-256-aes esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 56, flow_id: Onboard VPN:56, sibling_flags 80000006, crypto map: Tunnel0-head-0
        sa timing: remaining key lifetime (k/sec): (4541348/137)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:

interface: Tunnel1
    Crypto map tag: Tunnel1-head-0, local addr 31.aa.aa.203

   protected vrf: (none)
   local  ident (addr/mask/prot/port): (31.aa.aa.203/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (82.yy.yy.22/255.255.255.255/47/0)
   current_peer 82.yy.yy.22 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4
    #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: 31.aa.aa.203, remote crypto endpt.: 82.yy.yy.22
     path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1
     current outbound spi: 0x7683ABFD(1988340733)
     PFS (Y/N): N, DH group: none

     inbound esp sas:
      spi: 0xE1D078B(236783499)
        transform: esp-256-aes esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 59, flow_id: Onboard VPN:59, sibling_flags 80000006, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4393622/195)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:
      spi: 0x7683ABFD(1988340733)
        transform: esp-256-aes esp-md5-hmac ,
        in use settings ={Transport, }
        conn id: 60, flow_id: Onboard VPN:60, sibling_flags 80000006, crypto map: Tunnel1-head-0
        sa timing: remaining key lifetime (k/sec): (4393625/195)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE

     outbound ah sas:

     outbound pcp sas:


18 окт 2018, 03:17
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Выводы хаба
Код:
vl-rib-hub#sh ip ei topo
IP-EIGRP Topology Table for AS(1)/ID(10.1.123.1)

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status

P 192.168.8.0/24, 1 successors, FD is 514560
        via 10.1.123.8 (514560/28160), Tunnel1
P 192.168.9.0/24, 1 successors, FD is 514560
        via 10.1.123.9 (514560/28160), Tunnel1
P 192.168.3.0/24, 1 successors, FD is 514560
        via 10.1.123.3 (514560/28160), Tunnel1
P 192.168.4.0/24, 1 successors, FD is 514560
        via 10.1.123.4 (514560/28160), Tunnel1
P 192.168.5.0/24, 1 successors, FD is 514560
        via 10.1.123.5 (514560/28160), Tunnel1
P 192.168.6.0/24, 1 successors, FD is 514560
        via 10.1.123.2 (514560/28160), Tunnel1
P 192.168.7.0/24, 1 successors, FD is 514560
        via 10.1.123.7 (514560/28160), Tunnel1
P 10.1.123.0/24, 1 successors, FD is 512000
        via Connected, Tunnel1
P 172.16.100.0/24, 1 successors, FD is 28160
        via Connected, Vlan1
IP-EIGRP Topology Table for AS(2)/ID(10.2.123.1)

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status

P 192.168.8.0/24, 0 successors, FD is Inaccessible
        via 10.2.123.8 (26882560/28160), Tunnel2
P 192.168.9.0/24, 0 successors, FD is Inaccessible
        via 10.2.123.9 (26882560/28160), Tunnel2
P 192.168.3.0/24, 0 successors, FD is Inaccessible
        via 10.2.123.3 (26882560/28160), Tunnel2
P 192.168.4.0/24, 0 successors, FD is Inaccessible
        via 10.2.123.4 (26882560/28160), Tunnel2
P 192.168.5.0/24, 0 successors, FD is Inaccessible
        via 10.2.123.5 (26882560/28160), Tunnel2
P 192.168.6.0/24, 0 successors, FD is Inaccessible
        via 10.2.123.6 (26882560/28160), Tunnel2
P 192.168.7.0/24, 0 successors, FD is Inaccessible
        via 10.2.123.7 (26882560/28160), Tunnel2
P 10.2.123.0/24, 1 successors, FD is 26880000
        via Connected, Tunnel2
P 172.16.100.0/24, 1 successors, FD is 28160
        via Connected, Vlan1

Код:
vl-rib-hub#sh ip ei nei
IP-EIGRP neighbors for process 1
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   10.1.123.8              Tu1               13 00:25:55   28   300  0  623
5   10.1.123.4              Tu1               13 01:03:01   38   228  0  883
1   10.1.123.7              Tu1               12 07:29:43   45   270  0  654
6   10.1.123.2              Tu1               11 19:44:30   73   438  0  310
2   10.1.123.5              Tu1               11 1d05h      12   200  0  369
3   10.1.123.9              Tu1               10 1d21h      35   210  0  597
4   10.1.123.3              Tu1               10 1w2d       25   200  0  436
IP-EIGRP neighbors for process 2
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
0   10.2.123.8              Tu2               12 00:20:50   35  4086  0  967
5   10.2.123.4              Tu2               13 06:40:26   46  4086  0  1995
1   10.2.123.7              Tu2               13 07:30:07   42  4086  0  1035
4   10.2.123.6              Tu2               10 19:44:24   57  4086  0  478
6   10.2.123.5              Tu2               12 1d05h       8  4086  0  561
3   10.2.123.9              Tu2               13 1d21h      32  4086  0  888
2   10.2.123.3              Tu2               13 2d23h      22  4086  0  668

Код:
vl-rib-hub#sh ip nhrp nhs
Пусто

Код:
vl-rib-hub#sh ip nhrp bri
   Target             Via            NBMA           Mode   Intfc   Claimed
10.1.123.2/32        10.1.123.2      172.16.113.26   dynamic  Tu1     <   >
10.1.123.3/32        10.1.123.3      xx     dynamic  Tu1     <   >
10.1.123.4/32        10.1.123.4      188.1xx dynamic  Tu1     <   >
10.1.123.5/32        10.1.123.5      82.xx8.110   dynamic  Tu1     192.168.100.3
10.1.123.7/32        10.1.123.7      19xx85     dynamic  Tu1     192.168.1.33
10.1.123.8/32        10.1.123.8      80.xx7.110     dynamic  Tu1     192.168.1.118
10.1.123.9/32        10.1.123.9      5.8xx6.135     dynamic  Tu1     172.16.0.241
10.1.123.50/32       10.1.123.50     82.zz.zz.24    dynamic  Tu1     <   >
10.2.123.3/32        10.2.123.3      94xx1.78     dynamic  Tu2     <   >
10.2.123.4/32        10.2.123.4      18xx71.174 dynamic  Tu2     <   >
10.2.123.5/32        10.2.123.5      82.xx.110   dynamic  Tu2     192.168.100.3
10.2.123.6/32        10.2.123.6      77xx.198   dynamic  Tu2     <   >
10.2.123.7/32        10.2.123.7      19xx.85     dynamic  Tu2     192.168.1.33
10.2.123.8/32        10.2.123.8      80.8xx.110     dynamic  Tu2     192.168.1.118
10.2.123.9/32        10.2.123.9      5.8xx.135     dynamic  Tu2     172.16.0.241
10.2.123.50/32       10.2.123.50     31.aa.aa.203  dynamic  Tu2     <   >


Решил не выводит результат sh cry ips sa очень много текста. Но если требуется, сразу же предоставлю вывод


18 окт 2018, 03:20
Профиль

Зарегистрирован: 16 фев 2018, 18:46
Сообщения: 16
Из sh cry ips sa видно, что оба тунеля в статусе актив, и пакеты там бегают шифруются и дешифруются. Нет соседей по eigrp, но это может попробовать решить командой no passive int.
Да и как видно у вас везде настроено по два AS на eigrp, тогда и на споке надо вернуть 2-ой AS, если убрали.
Если второй провайдер не используется для резервирования доступа в инет, могу предложить такой конфиг
Код:
interface Tunnel0
 description Primary mGRE interface source as Primary ISP
 bandwidth 1000
 ip address 10.1.123.50 255.255.255.224
 no ip redirects
 ip mtu 1400
 ip nhrp authentication cisco
 ip nhrp map multicast 31.xx.xx.205
 ip nhrp map 10.1.123.1 31.xx.xx.205
 ip nhrp network-id 1
 ip nhrp holdtime 600
 ip nhrp nhs 10.1.123.1
 ip tcp adjust-mss 1360
 tunnel source FastEthernet0
 tunnel mode gre multipoint
 tunnel key 1
 tunnel protection ipsec profile IPSEC_PROF shared
!
interface Tunnel1
 description Secondary mGRE interface source as Primary ISP
 bandwidth 1000
 ip address 10.2.123.50 255.255.255.224
 no ip redirects
 ip mtu 1400
 ip nhrp authentication cisco
 ip nhrp map 10.2.123.1 82.yy.yy.22
 ip nhrp map multicast 82.yy.yy.22
 ip nhrp network-id 2
 ip nhrp holdtime 360
 ip nhrp nhs 10.2.123.1
 ip nhrp shortcut
 ip tcp adjust-mss 1360
 tunnel source FastEthernet1
 tunnel mode gre multipoint
 tunnel key 2
 tunnel protection ipsec profile IPSEC_PROF shared
!
router eigrp 1
 network 10.1.123.0 0.0.0.31
 network 192.168.1.0
!
router eigrp 2
 network 10.2.123.0 0.0.0.31
 network 192.168.1.0
 offset-list offset in 100000 Tunnel1
 offset-list offset out 100000 Tunnel1
!
ip route 0.0.0.0 0.0.0.0 82.zz.zz.17
ip route 82.yy.yy.22 255.255.255.255 31.aa.aa.201
!
ip access-list standard offset
permit any

Офсет лист можно не использовать, на свое усмотрение.


18 окт 2018, 11:55
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Осталось разобраться с последней проблемой.

Включил на споке vlan1 и прописал ip address 192.168.1.1 255.255.255.0

Теперь сыпятся сообщения EIGRP-IPv4(1): Neighbor 172.16.100.2 not on common subnet for Vlan1. 172.16.100.2 - это адрес хаба, тоже привязан к vlan1. Другие споки по тому же принципу работают без проблем, а этот спок конфликтует с VLAN1 хаба. Полагаю это связано с VRF, но почему?

Спок
Код:
interface Vlan1
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!

Код:
!
router eigrp 1
 network 10.1.123.0 0.0.0.31
 network 192.168.1.0 0.0.0.255
!
!
router eigrp 2
 network 10.2.123.0 0.0.0.31
 network 192.168.1.0 0.0.0.255
!


Хаб
Код:
interface Vlan1
 ip address 172.16.100.2 255.255.255.0
!

Код:
router eigrp 1
 network 10.1.123.0 0.0.0.31
 network 172.16.100.0 0.0.0.255
 no auto-summary
!
router eigrp 2
 network 10.2.123.0 0.0.0.31
 network 172.16.100.0 0.0.0.255
 no auto-summary
!


19 окт 2018, 04:03
Профиль

Зарегистрирован: 16 фев 2018, 18:46
Сообщения: 16
Попробуйте
passive-interface vlan 1 на оба процесса eigrp спока.


19 окт 2018, 11:46
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
cloudcrab писал(а):
Попробуйте
passive-interface vlan 1 на оба процесса eigrp спока.


Не помогло, только ошибка исчезла ( То есть нет обмена маршрутами.


22 окт 2018, 02:23
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Еще такой момент. Вышеописанный конфиг это тестовая среда. В реальной один интерфейс будет PPPOE, следовательно Dialer1, шлюз второго провайдера мне известен. В таком случае правильно будет указать шлюзы?

ip route vrf ISP1 0.0.0.0 0.0.0.0 Dialer1
ip route vrf ISP2 0.0.0.0 0.0.0.0 172.16.113.25


22 окт 2018, 09:11
Профиль

Зарегистрирован: 16 фев 2018, 18:46
Сообщения: 16
MaxRAF писал(а):
cloudcrab писал(а):
Попробуйте
passive-interface vlan 1 на оба процесса eigrp спока.


Не помогло, только ошибка исчезла ( То есть нет обмена маршрутами.


Так я думал, вас именно эта ошибка и напрягает.
А у вас что? Нет соседей?
sh ip ei nei что показывает?
+
deb ip ei nei, deb ip ei not


23 окт 2018, 15:20
Профиль

Зарегистрирован: 30 сен 2013, 02:47
Сообщения: 51
Перенес конфиг на рабочую циску. Два VRF не удалось сделать из-за того, что один из провайдеров использует подключение по pppoe. Поэтому сделал только один VRF. Оба туннеля устанавливаются, но EIGRP ведет себя не так, как хотелось.

Делаю так. Отключаю все туннели "sh", включаю Tunnel0 "no sh" происходит обмен EIGRP с соседями - все отлично. Включаю Tunnel1 "no sh" происходит обмен EIGRP с соседями, но тут же появляется сообщение "%DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 10.1.123.1 (Tunnel0) is down: holding time expired". Занавес.

Вопрос: почему и что делать?

Конфиг спока с вышеописанной проблемой (убрал лишние строки):

!
vrf definition ISP2
rd 2:2
!
address-family ipv4
exit-address-family
!
enable secret 5
!
!
!
license udi pid CISCO1812-J/K9 sn FHK130825QK
username admin password 0
!
!
crypto ikev2 diagnose error 50
!
!
!
crypto keyring ISP2 vrf ISP2
pre-shared-key address 82.xx.xx.22 key 444444444444444444444444
!
crypto isakmp policy 1
encr aes 256
hash md5
authentication pre-share
group 14
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key 456777777777 address 31.yy.yy.205
!
!
crypto ipsec transform-set TRANS_SET esp-aes 256 esp-md5-hmac
mode transport
!
crypto ipsec profile IPSEC_PROF
set transform-set TRANS_SET
!
!
!
!
!
!
interface Tunnel0
description ***PRIMARY DMVPN CLOUD***
bandwidth 1000
ip address 10.1.123.2 255.255.255.224
no ip redirects
ip mtu 1400
ip nhrp authentication cisco
ip nhrp map 10.1.123.1 31.yy.yy.205
ip nhrp map multicast 31.yy.yy.205
ip nhrp network-id 1
ip nhrp holdtime 360
ip nhrp nhs 10.1.123.1
ip tcp adjust-mss 1360
tunnel source Dialer1
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile IPSEC_PROF shared
!
interface Tunnel1
description ***BACKUP DMVPN CLOUD***
bandwidth 1000
ip address 10.2.123.2 255.255.255.224
no ip redirects
ip mtu 1440
ip nhrp authentication cisco
ip nhrp map 10.2.123.1 82.xx.xx.22
ip nhrp map multicast 82.xx.xx.22
ip nhrp network-id 2
ip nhrp holdtime 370
ip nhrp nhs 10.2.123.1
ip tcp adjust-mss 1393
tunnel source FastEthernet0
tunnel mode gre multipoint
tunnel key 2
tunnel vrf ISP2
tunnel protection ipsec profile IPSEC_PROF shared
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet0
vrf forwarding ISP2
ip address 172.16.113.26 255.255.255.252
no ip redirects
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet1
description ROSTELECOM
no ip address
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet2
speed 10
!
interface FastEthernet3
!
interface FastEthernet4
!
interface FastEthernet5
!
interface FastEthernet6
!
interface FastEthernet7
!
interface FastEthernet8
!
interface FastEthernet9
!
interface Vlan1
ip address 192.168.6.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
!
interface Dialer1
description ROSTELECOM
mtu 1492
ip address negotiated
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
ppp authentication chap callin
ppp chap hostname
ppp chap password 0
ppp ipcp dns request
!
!
router eigrp 1
network 10.1.123.0 0.0.0.31
network 192.168.6.0
!
!
router eigrp 2
network 10.2.123.0 0.0.0.31
network 192.168.6.0
!
router nhrp
!
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route vrf ISP2 0.0.0.0 0.0.0.0 172.16.113.25
!


26 окт 2018, 07:32
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Спок, один isp в vrf, второй в grt, dmvpn + нат, vrf-lite на evn + rr.
Втыкайте.

Код:
vrf definition ISP2
 address-family ipv4
  route-replicate from vrf global unicast connected
 exit-address-family

track 100 ip sla 100 reachability
 delay down 15 up 15

crypto keyring DMVPN98
  pre-shared-key address 0.0.0.0 0.0.0.0 key DMVPN99

crypto keyring KR-DMVPN-99 vrf ISP2
  pre-shared-key address 0.0.0.0 0.0.0.0 key DMVPN99

crypto isakmp policy 20
 encr aes
 hash sha256
 authentication pre-share

crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 60 periodic
crypto isakmp nat keepalive 60

crypto isakmp profile IKP99
   keyring DMVPN-99
   match identity address 0.0.0.0 ISP2

crypto isakmp profile IKP98
   keyring DMVPN98
   match identity address 0.0.0.0

crypto ipsec security-association replay window-size 1024

crypto ipsec transform-set ISTS99 esp-aes 256 esp-sha-hmac comp-lzs
 mode transport

crypto ipsec transform-set ISTS98 esp-aes 256 esp-sha-hmac comp-lzs
 mode transport

crypto ipsec fragmentation after-encryption
crypto ipsec nat-transparency spi-matching

crypto ipsec profile CIP98
 set transform-set ISTS98
 set isakmp-profile IKP98

crypto ipsec profile CIP99
 set transform-set ISTS99
 set isakmp-profile IKP99

global-address-family ipv4
 route-replicate from vrf ISP2 unicast static

interface Tunnel100
 bandwidth 100000
 ip address 172.16.98.36 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication NHRP98
 ip nhrp map multicast xxx.xxx.xxx.165
 ip nhrp map 172.16.98.254 xxx.xxx.xxx.165
 ip nhrp network-id 98
 ip nhrp holdtime 600
 ip nhrp nhs 172.16.98.254
 ip nhrp registration no-unique
 ip nhrp registration timeout 10
 ip tcp adjust-mss 1360
 delay 800
 qos pre-classify
 cdp enable
 tunnel source GigabitEthernet0/2
 tunnel mode gre multipoint
 tunnel key 198
 tunnel protection ipsec profile CIP98
!
interface Tunnel200
 bandwidth 100000
 ip address 172.16.99.36 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication NHRP99
 ip nhrp map 172.16.99.254 zzz.zzz.zzz.10
 ip nhrp map multicast zzz.zzz.zzz.10
 ip nhrp network-id 99
 ip nhrp holdtime 600
 ip nhrp nhs 172.16.99.254
 ip nhrp registration no-unique
 ip tcp adjust-mss 1360
 delay 900
 tunnel source GigabitEthernet0/1
 tunnel mode gre multipoint
 tunnel key 99
 tunnel vrf ISP2
 tunnel protection ipsec profile CIP99

interface GigabitEthernet0/0
 ip address 192.168.36.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
 ip tcp adjust-mss 1460

interface GigabitEthernet0/1
 vrf forwarding ISP2
 ip address yyy.yyy.yyy.206 255.255.255.0
 ip nat outside

interface GigabitEthernet0/2
 ip address ttt.ttt.ttt.30 255.255.255.252
 ip nat outside

router eigrp 100
 network 172.16.98.0 0.0.0.255
 network 172.16.99.0 0.0.0.255
 network 192.168.36.0
 network 192.168.136.0
 passive-interface default
 no passive-interface Tunnel100
 no passive-interface Tunnel200

ip nat inside source route-map ISP1-RM interface GigabitEthernet0/2 overload
ip nat inside source route-map ISP2-RM interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 sss.sss.sss.29 track 100
ip route 8.8.4.4 255.255.255.255 sss.sss.sss.29
ip route vrf ISP2 0.0.0.0 0.0.0.0 rrr.rrr.rrr.254 100

ip access-list extended NAT
 permit ip 192.168.36.0 0.0.0.255 any

ip sla 100
 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/2
 frequency 15

ip sla schedule 100 life forever start-time now

route-map ISP1-RM permit 10
 match ip address NAT
 match interface GigabitEthernet0/2

route-map ISP2-RM permit 10
 match ip address NAT
 match interface GigabitEthernet0/1

c2911-36#sh dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
        N - NATed, L - Local, X - No Socket
        T1 - Route Installed, T2 - Nexthop-override
        C - CTS Capable
        # Ent --> Number of NHRP entries with same NBMA peer
        NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
        UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel100, IPv4 NHRP Details
Type:Spoke, NHRP Peers:10,

 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
     1 xxx.xxx.xxx.xxx     172.16.98.50    UP 19:08:03     D
     1 xxx.xxx.xxx.xxx     172.16.98.56    UP 03:15:50     D
     1 xxx.xxx.xxx.xxx     172.16.98.61    UP    1d22h     D
     1 xxx.xxx.xxx.xxx     172.16.98.68    UP    1d03h     D
     1 xxx.xxx.xxx.xxx     172.16.98.92    UP    1d22h     D
     1 xxx.xxx.xxx.xxx     172.16.98.93    UP    3d03h     D
     1 xxx.xxx.xxx.xxx     172.16.98.101    UP    1d22h     D
     1 xxx.xxx.xxx.xxx     172.16.98.102    UP    1d22h     D
     1 xxx.xxx.xxx.xxx     172.16.98.200    UP 03:15:36     D
     1 xxx.xxx.xxx.xxx     172.16.98.254    UP 03:16:02     S

Interface: Tunnel200, IPv4 NHRP Details
Type:Spoke, NHRP Peers:1,

 # Ent  Peer NBMA Addr Peer Tunnel Add State  UpDn Tm Attrb
 ----- --------------- --------------- ----- -------- -----
     1 xxx.xxx.xxx.xxx       172.16.99.254    UP    6d17h     S

c2911-36#    sh ip eigrp topology 192.168.98.0/24
EIGRP-IPv4 Topology Entry for AS(100)/ID(192.168.136.50) for 192.168.98.0/24
  State is Passive, Query origin flag is 1, 1 Successor(s), FD is 230656
  Descriptor Blocks:
  172.16.98.254 (Tunnel100), from 172.16.98.254, Send flag is 0x0
      Composite metric is (230656/2816), route is Internal
      Vector metric:
        Minimum bandwidth is 100000 Kbit
        Total delay is 8010 microseconds
        Reliability is 255/255
        Load is 1/255
        Minimum MTU is 1400
        Hop count is 1
        Originating router is 192.168.198.1
  172.16.99.254 (Tunnel200), from 172.16.99.254, Send flag is 0x0
      Composite metric is (256256/2816), route is Internal
      Vector metric:
        Minimum bandwidth is 100000 Kbit
        Total delay is 9010 microseconds
        Reliability is 255/255
        Load is 1/255
        Minimum MTU is 1400
        Hop count is 1
        Originating router is 192.168.198.1



26 окт 2018, 08:24
Профиль ICQ
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 24 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 69


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB