|
|
Страница 1 из 1
|
[ Сообщений: 24 ] |
|
Второй туннель второго провайдера на споке. Как?
Автор |
Сообщение |
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
Всем привет. На хабе два провайдера, два туннеля. На споках один провайдер и тоже два туннеля. Если на хабе отваливается один провайдер, пользователи споков этого не замечают. Классика. Теперь на одном из споков появился второй провайдер. Вопрос: как правильно настроить спок, чтобы если у него отвалится один провайдер, пользователи ничего не заметят? Конфиг спока: 1-й провайдер на интерфейсе Dialer1, второй провайдер на интерфейсе FastEthernet0. Цитата: crypto isakmp policy 1 encr aes 256 hash md5 authentication pre-share group 14 ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key 111 address xx.xx.xx.xx crypto isakmp key 111 address yy.yy.yy.yy crypto isakmp key 222 address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set strong esp-3des esp-md5-hmac crypto ipsec transform-set TRANS_SET esp-aes 256 esp-md5-hmac mode transport ! crypto ipsec profile IPSEC_PROF set transform-set TRANS_SET ! crypto ipsec profile cisco set security-association lifetime seconds 120 set transform-set strong ! ! ! ! ! ! ! interface Tunnel11 description ***PRIMARY DMVPN CLOUD*** ip address 10.1.123.2 255.255.255.224 no ip redirects ip nhrp authentication cisco ip nhrp map 10.1.123.1 xx.xx.xx.xx ip nhrp map multicast xx.xx.xx.xx ip nhrp network-id 1 ip nhrp nhs 10.1.123.1 delay 1000 tunnel source Dialer1 tunnel mode gre multipoint tunnel key 1 tunnel protection ipsec profile IPSEC_PROF shared ! interface Tunnel22 description ***BACKUP DMVPN CLOUD*** ip address 10.2.123.6 255.255.255.224 no ip redirects ip mtu 1440 ip nhrp authentication cisco ip nhrp map multicast yy.yy.yy.yy ip nhrp map 10.2.123.1 yy.yy.yy.yy ip nhrp network-id 2 ip nhrp nhs 10.2.123.1 ip tcp adjust-mss 1393 tunnel source Dialer1 tunnel mode gre multipoint tunnel key 2 tunnel protection ipsec profile IPSEC_PROF shared ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet0 ip address 172.16.113.26 255.255.255.252 no ip redirects ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface FastEthernet1 description RT no ip address ip nat outside ip virtual-reassembly duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Vlan1 ip address 192.168.6.1 255.255.255.0 ip nat inside no ip virtual-reassembly ! interface Dialer1 description RT mtu 1492 ip address negotiated ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 ppp authentication chap callin ppp chap hostname pppoe-297024 ppp chap password 0 zzzzzzz ppp ipcp dns request ! ! router eigrp 1 network 10.1.123.0 0.0.0.31 network 192.168.6.0 ! ! router eigrp 2 network 10.2.123.0 0.0.0.31 network 192.168.6.0 ! router nhrp ! ip forward-protocol nd no ip http server no ip http secure-server
ip route 0.0.0.0 0.0.0.0 Dialer1 !
dialer-list 1 protocol ip permit ! !
|
03 окт 2018, 02:48 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
|
03 окт 2018, 07:38 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
_2e_ писал(а): https://www.cisco.com/c/en/us/support/docs/security-vpn/dynamic-multi-point-vpn-dmvpn/119022-configure-dmvpn-00.pdf Спасибо. То, что надо.
|
03 окт 2018, 09:13 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
По мануалу выше сделал настройку, но по непонятной причине второй туннель не поднимается, то есть вообще никаких попыток. #show ip route vrf ISP1Код: Routing Table: ISP1 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 82.xx.xx.17 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 82.xx.xx.17 82.0.0.0/8 is variably subnetted, 2 subnets, 2 masks C 82.xx.xx.16/28 is directly connected, FastEthernet0 L 82.xx.xx.24/32 is directly connected, FastEthernet0 show ip route vrf ISP2Код: Routing Table: ISP2 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route
Gateway of last resort is 31.yy.yy.201 to network 0.0.0.0
S* 0.0.0.0/0 [1/0] via 31.yy.yy.201 31.yy.yy.0/8 is variably subnetted, 2 subnets, 2 masks C 31.yy.yy.200/29 is directly connected, FastEthernet1 L 31.yy.yy.203/32 is directly connected, FastEthernet1 Здесь всё ОК. А вот здесь какая-то белиберда show crypto sessionКод: Crypto session current status
Interface: Tunnel1 Session status: UP-ACTIVE Peer: 82.xx.xx.22 port 500 IKEv1 SA: local 82.xx.xx.24/500 remote 82.xx.xx.22/500 Active IPSEC FLOW: permit 47 host 31.yy.yy.203 host 82.xx.xx.22 Active SAs: 2, origin: crypto map
Interface: Tunnel1 Session status: DOWN Peer: 31.aa.aa.205 port 500 IPSEC FLOW: permit 47 host 82.zz.zz.24 host 31.aa.aa.205 Active SAs: 0, origin: crypto map
Interface: Tunnel0 Session status: DOWN Peer: 82.xx.xx.22 port 500 IPSEC FLOW: permit 47 host 31.yy.yy.203 host 82.xx.xx.22 Active SAs: 0, origin: crypto map
Interface: Tunnel0 Session status: DOWN Peer: 31.aa.aa.205 port 500 IPSEC FLOW: permit 47 host 82.zz.zz.24 host 31.aa.aa.205 Active SAs: 0, origin: crypto map Так же не понятно, почему команды sh cry isa sa vrf ISP1 и sh cry isa sa vrf ISP2 возвращают пустую строку, а команда sh cry isa sa возвращает результат Код: sh cry isa sa IPv4 Crypto ISAKMP SA dst src state conn-id status 82.xx.xx.22 82.zz.zz.24 QM_IDLE 2011 ACTIVE Конфиг спокаКод: Битрейт 1440
SPOKE#sh run Building configuration...
Current configuration : 3624 bytes ! ! Last configuration change at 23:55:37 UTC Mon Oct 15 2018 ! version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SPOKE ! boot-start-marker boot-end-marker ! vrf definition ISP1 rd 1:1 ! address-family ipv4 exit-address-family ! vrf definition ISP2 rd 2:2 ! address-family ipv4 exit-address-family ! ! aaa new-model ! ! aaa authentication ppp default local aaa authorization exec default local aaa authorization network default local ! ! ! ! ! aaa session-id common ! ! ! dot11 syslog ip source-route ! ! ! ! ip cef ip domain name corp.xxx.ru no ipv6 cef ! multilink bundle-name authenticated ! ! ! license udi pid CISCO1812-J/K9 sn FHK130423M3 vtp version 2 username vpn password 0 123456 ! ! crypto ikev2 diagnose error 50 ! ! ip ssh version 2 ! crypto keyring ISP2 vrf ISP2 pre-shared-key address 82.xx.xx.22 key xxxxxxxxxx crypto keyring ISP1 vrf ISP1 pre-shared-key address 31.yy.yy.205 key xxxxxxxxx ! crypto isakmp policy 1 encr aes 256 hash md5 authentication pre-share group 14 crypto isakmp keepalive 10 periodic ! ! crypto ipsec transform-set TRANS_SET esp-aes 256 esp-md5-hmac mode transport ! crypto ipsec profile IPSEC_PROF set transform-set TRANS_SET ! ! ! ! ! ! ! ! ! interface Loopback10 ip address 192.168.1.1 255.255.255.0 ! interface Tunnel0 description Primary mGRE interface source as Primary ISP bandwidth 1000 ip address 10.1.123.50 255.255.255.224 no ip redirects ip mtu 1400 ip nhrp authentication cisco ip nhrp map multicast 31.xx.xx.205 ip nhrp map 10.1.123.1 31.xx.xx.205 ip nhrp network-id 1 ip nhrp holdtime 600 ip nhrp nhs 10.1.123.1 ip tcp adjust-mss 1360 delay 1000 tunnel source FastEthernet0 tunnel mode gre multipoint tunnel key 1 tunnel vrf ISP1 tunnel protection ipsec profile IPSEC_PROF shared ! interface Tunnel1 description Secondary mGRE interface source as Primary ISP bandwidth 1000 ip address 10.2.123.50 255.255.255.224 no ip redirects ip mtu 1400 ip nhrp authentication cisco ip nhrp map 10.2.123.1 82.yy.yy.22 ip nhrp map multicast 82.yy.yy.22 ip nhrp network-id 2 ip nhrp holdtime 360 ip nhrp nhs 10.2.123.1 ip nhrp shortcut ip tcp adjust-mss 1360 delay 1500 tunnel source FastEthernet1 tunnel mode gre multipoint tunnel key 2 tunnel vrf ISP2 tunnel protection ipsec profile IPSEC_PROF shared ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet0 description ***RT*** vrf forwarding ISP1 ip address 82.zz.zz.24 255.255.255.240 duplex auto speed auto ! interface FastEthernet1 description ***BACKUP LINK PODRYAD*** vrf forwarding ISP2 ip address 31.aa.aa.203 255.255.255.248 duplex auto speed auto ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Vlan1 ip address 172.16.100.1 255.255.255.0 ip nat inside ip virtual-reassembly shutdown ! ! router eigrp 1 network 10.1.123.0 0.0.0.31 network 192.168.1.0 ! ! router eigrp 2 network 10.2.123.0 0.0.0.31 network 192.168.1.0 ! router nhrp ! no ip forward-protocol nd no ip http server no ip http secure-server ! ! ip route vrf ISP1 0.0.0.0 0.0.0.0 82.zz.zz.17 ip route vrf ISP2 0.0.0.0 0.0.0.0 31.aa.aa.201 ! logging dmvpn ! ! ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 3 transport input none line vty 4 rotary 9 transport input ssh ! end
Если нужен конфиг хаба, напишу. Прошу вас подсказать в чем может быть причина. Спасибо.
|
16 окт 2018, 03:25 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
MaxRAF писал(а): Если нужен конфиг хаба, напишу. кусок про туннели покажите shared здесь лишнее все таки. определитесь с фазами dmvpn. В общем нужен кусок с хаба
|
16 окт 2018, 09:11 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
Туннели хаба Код: interface Tunnel1 description ***PRIMARY DMVPN CLOUD PODRYAD*** bandwidth 10000 ip address 10.1.123.1 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 1 ip nhrp authentication cisco ip nhrp map multicast dynamic ip nhrp network-id 1 ip tcp adjust-mss 1360 no ip split-horizon eigrp 1 delay 1000 tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel key 1 tunnel protection ipsec profile IPSEC_PROF ! Код: interface Tunnel2 description ***BACKUP DMVPN CLOUD ROSTELECOM*** ip address 10.2.123.1 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 2 ip nhrp authentication cisco ip nhrp map multicast dynamic ip nhrp network-id 2 ip tcp adjust-mss 1360 no ip split-horizon eigrp 2 tunnel source GigabitEthernet0/1 tunnel mode gre multipoint tunnel key 2 tunnel vrf ISP2 tunnel protection ipsec profile IPSEC_PROF
|
16 окт 2018, 09:32 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
уберите shared и вот это с туннеля на споке а еще меня что то маски смущают на туннелях и вобще - в вашей ситуации vrf излишен. В итоге у вас получается два облака на разных интерфейсах что с одной, что с другой стороны. Это можно и без vrf.
|
16 окт 2018, 09:40 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
Большое спасибо, работает. Но по какой причине поднялись только 3 туннеля из 4-х? sh cry isa saКод: IPv4 Crypto ISAKMP SA dst src state conn-id status 82.xx.xx.22 31.yy.yy.203 QM_IDLE 2015 ACTIVE 82.xx.xx.22 82.zz.zz.24 QM_IDLE 2013 ACTIVE 31.aa.aa.205 31.yy.yy.203 QM_IDLE 2014 ACTIVE
Почему-то начала появляться ошибка каждую минутуКод: *Oct 16 07:22:49.583: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=31.yy.yy.203, prot=50, spi=0xFD6462B3(4251214515), srcaddr=31.aa.aa.205
Где, 31.aa.aa.205 - адрес хаба Как я понял, правильно должно быть так sh cry isa saКод: IPv4 Crypto ISAKMP SA dst src state conn-id status 82.xx.xx.22 31.yy.yy.203 QM_IDLE 2015 ACTIVE 82.xx.xx.22 82.zz.zz.24 QM_IDLE 2013 ACTIVE 31.aa.aa.205 31.yy.yy.203 QM_IDLE 2014 ACTIVE 31.aa.aa.205 82.zz.zz.24 QM_IDLE 2016 ACTIVE
|
16 окт 2018, 10:10 |
|
|
irkmaver
Зарегистрирован: 08 сен 2016, 06:36 Сообщения: 12
|
На хабе у вас только второй isp в отдельном vrf? Покажите вывод "sh dmvpn" со спока.
|
17 окт 2018, 05:08 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
irkmaver писал(а): На хабе у вас только второй isp в отдельном vrf? Покажите вывод "sh dmvpn" со спока. Код: #sh dmvpn Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete N - NATed, L - Local, X - No Socket # Ent --> Number of NHRP entries with same NBMA peer NHS Status: E --> Expecting Replies, R --> Responding UpDn Time --> Up or Down Time for a Tunnel ==========================================================================
Interface: Tunnel0, IPv4 NHRP Details Type:Spoke, NHRP Peers:1,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb ----- --------------- --------------- ----- -------- ----- 1 31.xx.xx.205 10.1.123.1 NHRP 1d20h S
Interface: Tunnel1, IPv4 NHRP Details Type:Spoke, NHRP Peers:1,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb ----- --------------- --------------- ----- -------- ----- 1 82.yy.yy.22 10.2.123.1 UP 18:34:12 S Что скажете?
|
17 окт 2018, 05:11 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
MaxRAF писал(а): Что скажете? все у вас правильно поднялось. Что в конфиге написано, то и получили. MaxRAF писал(а): Но по какой причине поднялись только 3 туннеля из 4-х? никаких трех или четырех туннелей нет. У вас только два туннеля. isakmp не считается. Хотите чтобы в выводе этой команды не было лишних строк, сделайте более конкретные маршруты, например.
|
17 окт 2018, 08:42 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
aliotru писал(а): MaxRAF писал(а): Что скажете? все у вас правильно поднялось. Что в конфиге написано, то и получили. В таком случае не понятно, почему на первом State NHRP, а на втором UP.
|
17 окт 2018, 09:49 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
этого то я и не заметил((( без шифрования тоже самое?
|
17 окт 2018, 11:14 |
|
|
cloudcrab
Зарегистрирован: 16 фев 2018, 18:46 Сообщения: 16
|
Мне кажется, данная конструкция router eigrp 1 network 10.1.123.0 0.0.0.31 network 192.168.1.0 ! ! router eigrp 2 network 10.2.123.0 0.0.0.31 network 192.168.1.0 в вашем случае, излишняя. Достаточно этого router eigrp 1 network 10.1.123.0 0.0.0.31 network 10.2.123.0 0.0.0.31 network 192.168.1.0 eigrp stub connected summary (опционально)
+ можно добавить в каждый туннель
no ip next-hop-self eigrp 1 no ip split-horizon eigrp 1 после изменений на тунелях sh no sh. и хотелось бы увидеть вывод с хаба и спока. sh ip ei topo sh ip ei nei sh ip nhrp nhs sh ip nhrp bri sh cry ips sa
|
17 окт 2018, 11:27 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
Выводы спокаКод: #sh ip ei topo EIGRP-IPv4 Topology Table for AS(1)/ID(192.168.1.1) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status
P 192.168.1.0/24, 1 successors, FD is 128256 via Connected, Loopback10 Код: #sh ip ei nei EIGRP-IPv4 Neighbors for AS(1) Код: sh ip nhrp nhs Legend: E=Expecting replies, R=Responding Tunnel0:10.1.123.1 RE
Tunnel1:10.2.123.1 RE Код: #sh ip nhrp bri Target Via NBMA Mode Intfc Claimed 10.1.123.1/32 10.1.123.1 31.xx.xx.205 static Tu0 < > 10.2.123.1/32 10.2.123.1 82.yy.yy.22 static Tu1 < >
Код: #sh cry ips sa
interface: Tunnel0 Crypto map tag: Tunnel0-head-0, local addr 82.zz.zz.24
protected vrf: (none) local ident (addr/mask/prot/port): (82.zz.zz.24/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (31.xx.xx.205/255.255.255.255/47/0) current_peer 31.xx.xx.205 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 37, #pkts decrypt: 37, #pkts verify: 37 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: 82.zz.zz.24, remote crypto endpt.: 31.xx.xx.205 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet0 current outbound spi: 0xD9E23868(3655481448) PFS (Y/N): N, DH group: none
inbound esp sas: spi: 0x5C890C0E(1552485390) transform: esp-256-aes esp-md5-hmac , in use settings ={Transport, } conn id: 55, flow_id: Onboard VPN:55, sibling_flags 80000006, crypto map: Tunnel0-head-0 sa timing: remaining key lifetime (k/sec): (4541343/137) IV size: 16 bytes replay detection support: Y Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas: spi: 0xD9E23868(3655481448) transform: esp-256-aes esp-md5-hmac , in use settings ={Transport, } conn id: 56, flow_id: Onboard VPN:56, sibling_flags 80000006, crypto map: Tunnel0-head-0 sa timing: remaining key lifetime (k/sec): (4541348/137) IV size: 16 bytes replay detection support: Y Status: ACTIVE
outbound ah sas:
outbound pcp sas:
interface: Tunnel1 Crypto map tag: Tunnel1-head-0, local addr 31.aa.aa.203
protected vrf: (none) local ident (addr/mask/prot/port): (31.aa.aa.203/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (82.yy.yy.22/255.255.255.255/47/0) current_peer 82.yy.yy.22 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 4 #pkts decaps: 24, #pkts decrypt: 24, #pkts verify: 24 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0
local crypto endpt.: 31.aa.aa.203, remote crypto endpt.: 82.yy.yy.22 path mtu 1500, ip mtu 1500, ip mtu idb FastEthernet1 current outbound spi: 0x7683ABFD(1988340733) PFS (Y/N): N, DH group: none
inbound esp sas: spi: 0xE1D078B(236783499) transform: esp-256-aes esp-md5-hmac , in use settings ={Transport, } conn id: 59, flow_id: Onboard VPN:59, sibling_flags 80000006, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4393622/195) IV size: 16 bytes replay detection support: Y Status: ACTIVE
inbound ah sas:
inbound pcp sas:
outbound esp sas: spi: 0x7683ABFD(1988340733) transform: esp-256-aes esp-md5-hmac , in use settings ={Transport, } conn id: 60, flow_id: Onboard VPN:60, sibling_flags 80000006, crypto map: Tunnel1-head-0 sa timing: remaining key lifetime (k/sec): (4393625/195) IV size: 16 bytes replay detection support: Y Status: ACTIVE
outbound ah sas:
outbound pcp sas:
|
18 окт 2018, 03:17 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
Выводы хабаКод: vl-rib-hub#sh ip ei topo IP-EIGRP Topology Table for AS(1)/ID(10.1.123.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status
P 192.168.8.0/24, 1 successors, FD is 514560 via 10.1.123.8 (514560/28160), Tunnel1 P 192.168.9.0/24, 1 successors, FD is 514560 via 10.1.123.9 (514560/28160), Tunnel1 P 192.168.3.0/24, 1 successors, FD is 514560 via 10.1.123.3 (514560/28160), Tunnel1 P 192.168.4.0/24, 1 successors, FD is 514560 via 10.1.123.4 (514560/28160), Tunnel1 P 192.168.5.0/24, 1 successors, FD is 514560 via 10.1.123.5 (514560/28160), Tunnel1 P 192.168.6.0/24, 1 successors, FD is 514560 via 10.1.123.2 (514560/28160), Tunnel1 P 192.168.7.0/24, 1 successors, FD is 514560 via 10.1.123.7 (514560/28160), Tunnel1 P 10.1.123.0/24, 1 successors, FD is 512000 via Connected, Tunnel1 P 172.16.100.0/24, 1 successors, FD is 28160 via Connected, Vlan1 IP-EIGRP Topology Table for AS(2)/ID(10.2.123.1)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status
P 192.168.8.0/24, 0 successors, FD is Inaccessible via 10.2.123.8 (26882560/28160), Tunnel2 P 192.168.9.0/24, 0 successors, FD is Inaccessible via 10.2.123.9 (26882560/28160), Tunnel2 P 192.168.3.0/24, 0 successors, FD is Inaccessible via 10.2.123.3 (26882560/28160), Tunnel2 P 192.168.4.0/24, 0 successors, FD is Inaccessible via 10.2.123.4 (26882560/28160), Tunnel2 P 192.168.5.0/24, 0 successors, FD is Inaccessible via 10.2.123.5 (26882560/28160), Tunnel2 P 192.168.6.0/24, 0 successors, FD is Inaccessible via 10.2.123.6 (26882560/28160), Tunnel2 P 192.168.7.0/24, 0 successors, FD is Inaccessible via 10.2.123.7 (26882560/28160), Tunnel2 P 10.2.123.0/24, 1 successors, FD is 26880000 via Connected, Tunnel2 P 172.16.100.0/24, 1 successors, FD is 28160 via Connected, Vlan1 Код: vl-rib-hub#sh ip ei nei IP-EIGRP neighbors for process 1 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 10.1.123.8 Tu1 13 00:25:55 28 300 0 623 5 10.1.123.4 Tu1 13 01:03:01 38 228 0 883 1 10.1.123.7 Tu1 12 07:29:43 45 270 0 654 6 10.1.123.2 Tu1 11 19:44:30 73 438 0 310 2 10.1.123.5 Tu1 11 1d05h 12 200 0 369 3 10.1.123.9 Tu1 10 1d21h 35 210 0 597 4 10.1.123.3 Tu1 10 1w2d 25 200 0 436 IP-EIGRP neighbors for process 2 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 0 10.2.123.8 Tu2 12 00:20:50 35 4086 0 967 5 10.2.123.4 Tu2 13 06:40:26 46 4086 0 1995 1 10.2.123.7 Tu2 13 07:30:07 42 4086 0 1035 4 10.2.123.6 Tu2 10 19:44:24 57 4086 0 478 6 10.2.123.5 Tu2 12 1d05h 8 4086 0 561 3 10.2.123.9 Tu2 13 1d21h 32 4086 0 888 2 10.2.123.3 Tu2 13 2d23h 22 4086 0 668 Код: vl-rib-hub#sh ip nhrp nhs Пусто Код: vl-rib-hub#sh ip nhrp bri Target Via NBMA Mode Intfc Claimed 10.1.123.2/32 10.1.123.2 172.16.113.26 dynamic Tu1 < > 10.1.123.3/32 10.1.123.3 xx dynamic Tu1 < > 10.1.123.4/32 10.1.123.4 188.1xx dynamic Tu1 < > 10.1.123.5/32 10.1.123.5 82.xx8.110 dynamic Tu1 192.168.100.3 10.1.123.7/32 10.1.123.7 19xx85 dynamic Tu1 192.168.1.33 10.1.123.8/32 10.1.123.8 80.xx7.110 dynamic Tu1 192.168.1.118 10.1.123.9/32 10.1.123.9 5.8xx6.135 dynamic Tu1 172.16.0.241 10.1.123.50/32 10.1.123.50 82.zz.zz.24 dynamic Tu1 < > 10.2.123.3/32 10.2.123.3 94xx1.78 dynamic Tu2 < > 10.2.123.4/32 10.2.123.4 18xx71.174 dynamic Tu2 < > 10.2.123.5/32 10.2.123.5 82.xx.110 dynamic Tu2 192.168.100.3 10.2.123.6/32 10.2.123.6 77xx.198 dynamic Tu2 < > 10.2.123.7/32 10.2.123.7 19xx.85 dynamic Tu2 192.168.1.33 10.2.123.8/32 10.2.123.8 80.8xx.110 dynamic Tu2 192.168.1.118 10.2.123.9/32 10.2.123.9 5.8xx.135 dynamic Tu2 172.16.0.241 10.2.123.50/32 10.2.123.50 31.aa.aa.203 dynamic Tu2 < > Решил не выводит результат sh cry ips sa очень много текста. Но если требуется, сразу же предоставлю вывод
|
18 окт 2018, 03:20 |
|
|
cloudcrab
Зарегистрирован: 16 фев 2018, 18:46 Сообщения: 16
|
Из sh cry ips sa видно, что оба тунеля в статусе актив, и пакеты там бегают шифруются и дешифруются. Нет соседей по eigrp, но это может попробовать решить командой no passive int. Да и как видно у вас везде настроено по два AS на eigrp, тогда и на споке надо вернуть 2-ой AS, если убрали. Если второй провайдер не используется для резервирования доступа в инет, могу предложить такой конфиг Код: interface Tunnel0 description Primary mGRE interface source as Primary ISP bandwidth 1000 ip address 10.1.123.50 255.255.255.224 no ip redirects ip mtu 1400 ip nhrp authentication cisco ip nhrp map multicast 31.xx.xx.205 ip nhrp map 10.1.123.1 31.xx.xx.205 ip nhrp network-id 1 ip nhrp holdtime 600 ip nhrp nhs 10.1.123.1 ip tcp adjust-mss 1360 tunnel source FastEthernet0 tunnel mode gre multipoint tunnel key 1 tunnel protection ipsec profile IPSEC_PROF shared ! interface Tunnel1 description Secondary mGRE interface source as Primary ISP bandwidth 1000 ip address 10.2.123.50 255.255.255.224 no ip redirects ip mtu 1400 ip nhrp authentication cisco ip nhrp map 10.2.123.1 82.yy.yy.22 ip nhrp map multicast 82.yy.yy.22 ip nhrp network-id 2 ip nhrp holdtime 360 ip nhrp nhs 10.2.123.1 ip nhrp shortcut ip tcp adjust-mss 1360 tunnel source FastEthernet1 tunnel mode gre multipoint tunnel key 2 tunnel protection ipsec profile IPSEC_PROF shared ! router eigrp 1 network 10.1.123.0 0.0.0.31 network 192.168.1.0 ! router eigrp 2 network 10.2.123.0 0.0.0.31 network 192.168.1.0 offset-list offset in 100000 Tunnel1 offset-list offset out 100000 Tunnel1 ! ip route 0.0.0.0 0.0.0.0 82.zz.zz.17 ip route 82.yy.yy.22 255.255.255.255 31.aa.aa.201 ! ip access-list standard offset permit any
Офсет лист можно не использовать, на свое усмотрение.
|
18 окт 2018, 11:55 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
Осталось разобраться с последней проблемой. Включил на споке vlan1 и прописал ip address 192.168.1.1 255.255.255.0 Теперь сыпятся сообщения EIGRP-IPv4(1): Neighbor 172.16.100.2 not on common subnet for Vlan1. 172.16.100.2 - это адрес хаба, тоже привязан к vlan1. Другие споки по тому же принципу работают без проблем, а этот спок конфликтует с VLAN1 хаба. Полагаю это связано с VRF, но почему? СпокКод: interface Vlan1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly !
Код: ! router eigrp 1 network 10.1.123.0 0.0.0.31 network 192.168.1.0 0.0.0.255 ! ! router eigrp 2 network 10.2.123.0 0.0.0.31 network 192.168.1.0 0.0.0.255 !
ХабКод: interface Vlan1 ip address 172.16.100.2 255.255.255.0 !
Код: router eigrp 1 network 10.1.123.0 0.0.0.31 network 172.16.100.0 0.0.0.255 no auto-summary ! router eigrp 2 network 10.2.123.0 0.0.0.31 network 172.16.100.0 0.0.0.255 no auto-summary !
|
19 окт 2018, 04:03 |
|
|
cloudcrab
Зарегистрирован: 16 фев 2018, 18:46 Сообщения: 16
|
Попробуйте passive-interface vlan 1 на оба процесса eigrp спока.
|
19 окт 2018, 11:46 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
cloudcrab писал(а): Попробуйте passive-interface vlan 1 на оба процесса eigrp спока. Не помогло, только ошибка исчезла ( То есть нет обмена маршрутами.
|
22 окт 2018, 02:23 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
Еще такой момент. Вышеописанный конфиг это тестовая среда. В реальной один интерфейс будет PPPOE, следовательно Dialer1, шлюз второго провайдера мне известен. В таком случае правильно будет указать шлюзы?
ip route vrf ISP1 0.0.0.0 0.0.0.0 Dialer1 ip route vrf ISP2 0.0.0.0 0.0.0.0 172.16.113.25
|
22 окт 2018, 09:11 |
|
|
cloudcrab
Зарегистрирован: 16 фев 2018, 18:46 Сообщения: 16
|
MaxRAF писал(а): cloudcrab писал(а): Попробуйте passive-interface vlan 1 на оба процесса eigrp спока. Не помогло, только ошибка исчезла ( То есть нет обмена маршрутами. Так я думал, вас именно эта ошибка и напрягает. А у вас что? Нет соседей? sh ip ei nei что показывает? + deb ip ei nei, deb ip ei not
|
23 окт 2018, 15:20 |
|
|
MaxRAF
Зарегистрирован: 30 сен 2013, 02:47 Сообщения: 51
|
Перенес конфиг на рабочую циску. Два VRF не удалось сделать из-за того, что один из провайдеров использует подключение по pppoe. Поэтому сделал только один VRF. Оба туннеля устанавливаются, но EIGRP ведет себя не так, как хотелось.
Делаю так. Отключаю все туннели "sh", включаю Tunnel0 "no sh" происходит обмен EIGRP с соседями - все отлично. Включаю Tunnel1 "no sh" происходит обмен EIGRP с соседями, но тут же появляется сообщение "%DUAL-5-NBRCHANGE: EIGRP-IPv4 1: Neighbor 10.1.123.1 (Tunnel0) is down: holding time expired". Занавес.
Вопрос: почему и что делать?
Конфиг спока с вышеописанной проблемой (убрал лишние строки):
! vrf definition ISP2 rd 2:2 ! address-family ipv4 exit-address-family ! enable secret 5 ! ! ! license udi pid CISCO1812-J/K9 sn FHK130825QK username admin password 0 ! ! crypto ikev2 diagnose error 50 ! ! ! crypto keyring ISP2 vrf ISP2 pre-shared-key address 82.xx.xx.22 key 444444444444444444444444 ! crypto isakmp policy 1 encr aes 256 hash md5 authentication pre-share group 14 ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key 456777777777 address 31.yy.yy.205 ! ! crypto ipsec transform-set TRANS_SET esp-aes 256 esp-md5-hmac mode transport ! crypto ipsec profile IPSEC_PROF set transform-set TRANS_SET ! ! ! ! ! ! interface Tunnel0 description ***PRIMARY DMVPN CLOUD*** bandwidth 1000 ip address 10.1.123.2 255.255.255.224 no ip redirects ip mtu 1400 ip nhrp authentication cisco ip nhrp map 10.1.123.1 31.yy.yy.205 ip nhrp map multicast 31.yy.yy.205 ip nhrp network-id 1 ip nhrp holdtime 360 ip nhrp nhs 10.1.123.1 ip tcp adjust-mss 1360 tunnel source Dialer1 tunnel mode gre multipoint tunnel key 1 tunnel protection ipsec profile IPSEC_PROF shared ! interface Tunnel1 description ***BACKUP DMVPN CLOUD*** bandwidth 1000 ip address 10.2.123.2 255.255.255.224 no ip redirects ip mtu 1440 ip nhrp authentication cisco ip nhrp map 10.2.123.1 82.xx.xx.22 ip nhrp map multicast 82.xx.xx.22 ip nhrp network-id 2 ip nhrp holdtime 370 ip nhrp nhs 10.2.123.1 ip tcp adjust-mss 1393 tunnel source FastEthernet0 tunnel mode gre multipoint tunnel key 2 tunnel vrf ISP2 tunnel protection ipsec profile IPSEC_PROF shared ! interface BRI0 no ip address encapsulation hdlc shutdown ! interface FastEthernet0 vrf forwarding ISP2 ip address 172.16.113.26 255.255.255.252 no ip redirects ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface FastEthernet1 description ROSTELECOM no ip address ip nat outside ip virtual-reassembly duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface FastEthernet2 speed 10 ! interface FastEthernet3 ! interface FastEthernet4 ! interface FastEthernet5 ! interface FastEthernet6 ! interface FastEthernet7 ! interface FastEthernet8 ! interface FastEthernet9 ! interface Vlan1 ip address 192.168.6.1 255.255.255.0 ip nat inside no ip virtual-reassembly ! interface Dialer1 description ROSTELECOM mtu 1492 ip address negotiated ip nat outside ip virtual-reassembly encapsulation ppp ip tcp adjust-mss 1452 dialer pool 1 ppp authentication chap callin ppp chap hostname ppp chap password 0 ppp ipcp dns request ! ! router eigrp 1 network 10.1.123.0 0.0.0.31 network 192.168.6.0 ! ! router eigrp 2 network 10.2.123.0 0.0.0.31 network 192.168.6.0 ! router nhrp ! ip route 0.0.0.0 0.0.0.0 Dialer1 ip route vrf ISP2 0.0.0.0 0.0.0.0 172.16.113.25 !
|
26 окт 2018, 07:32 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Спок, один isp в vrf, второй в grt, dmvpn + нат, vrf-lite на evn + rr. Втыкайте. Код: vrf definition ISP2 address-family ipv4 route-replicate from vrf global unicast connected exit-address-family
track 100 ip sla 100 reachability delay down 15 up 15
crypto keyring DMVPN98 pre-shared-key address 0.0.0.0 0.0.0.0 key DMVPN99
crypto keyring KR-DMVPN-99 vrf ISP2 pre-shared-key address 0.0.0.0 0.0.0.0 key DMVPN99
crypto isakmp policy 20 encr aes hash sha256 authentication pre-share
crypto isakmp invalid-spi-recovery crypto isakmp keepalive 60 periodic crypto isakmp nat keepalive 60
crypto isakmp profile IKP99 keyring DMVPN-99 match identity address 0.0.0.0 ISP2
crypto isakmp profile IKP98 keyring DMVPN98 match identity address 0.0.0.0
crypto ipsec security-association replay window-size 1024
crypto ipsec transform-set ISTS99 esp-aes 256 esp-sha-hmac comp-lzs mode transport
crypto ipsec transform-set ISTS98 esp-aes 256 esp-sha-hmac comp-lzs mode transport
crypto ipsec fragmentation after-encryption crypto ipsec nat-transparency spi-matching
crypto ipsec profile CIP98 set transform-set ISTS98 set isakmp-profile IKP98
crypto ipsec profile CIP99 set transform-set ISTS99 set isakmp-profile IKP99
global-address-family ipv4 route-replicate from vrf ISP2 unicast static
interface Tunnel100 bandwidth 100000 ip address 172.16.98.36 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication NHRP98 ip nhrp map multicast xxx.xxx.xxx.165 ip nhrp map 172.16.98.254 xxx.xxx.xxx.165 ip nhrp network-id 98 ip nhrp holdtime 600 ip nhrp nhs 172.16.98.254 ip nhrp registration no-unique ip nhrp registration timeout 10 ip tcp adjust-mss 1360 delay 800 qos pre-classify cdp enable tunnel source GigabitEthernet0/2 tunnel mode gre multipoint tunnel key 198 tunnel protection ipsec profile CIP98 ! interface Tunnel200 bandwidth 100000 ip address 172.16.99.36 255.255.255.0 no ip redirects ip mtu 1400 ip nhrp authentication NHRP99 ip nhrp map 172.16.99.254 zzz.zzz.zzz.10 ip nhrp map multicast zzz.zzz.zzz.10 ip nhrp network-id 99 ip nhrp holdtime 600 ip nhrp nhs 172.16.99.254 ip nhrp registration no-unique ip tcp adjust-mss 1360 delay 900 tunnel source GigabitEthernet0/1 tunnel mode gre multipoint tunnel key 99 tunnel vrf ISP2 tunnel protection ipsec profile CIP99
interface GigabitEthernet0/0 ip address 192.168.36.1 255.255.255.0 ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1460
interface GigabitEthernet0/1 vrf forwarding ISP2 ip address yyy.yyy.yyy.206 255.255.255.0 ip nat outside
interface GigabitEthernet0/2 ip address ttt.ttt.ttt.30 255.255.255.252 ip nat outside
router eigrp 100 network 172.16.98.0 0.0.0.255 network 172.16.99.0 0.0.0.255 network 192.168.36.0 network 192.168.136.0 passive-interface default no passive-interface Tunnel100 no passive-interface Tunnel200
ip nat inside source route-map ISP1-RM interface GigabitEthernet0/2 overload ip nat inside source route-map ISP2-RM interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 sss.sss.sss.29 track 100 ip route 8.8.4.4 255.255.255.255 sss.sss.sss.29 ip route vrf ISP2 0.0.0.0 0.0.0.0 rrr.rrr.rrr.254 100
ip access-list extended NAT permit ip 192.168.36.0 0.0.0.255 any
ip sla 100 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/2 frequency 15
ip sla schedule 100 life forever start-time now
route-map ISP1-RM permit 10 match ip address NAT match interface GigabitEthernet0/2
route-map ISP2-RM permit 10 match ip address NAT match interface GigabitEthernet0/1
c2911-36#sh dmvpn Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete N - NATed, L - Local, X - No Socket T1 - Route Installed, T2 - Nexthop-override C - CTS Capable # Ent --> Number of NHRP entries with same NBMA peer NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting UpDn Time --> Up or Down Time for a Tunnel ==========================================================================
Interface: Tunnel100, IPv4 NHRP Details Type:Spoke, NHRP Peers:10,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb ----- --------------- --------------- ----- -------- ----- 1 xxx.xxx.xxx.xxx 172.16.98.50 UP 19:08:03 D 1 xxx.xxx.xxx.xxx 172.16.98.56 UP 03:15:50 D 1 xxx.xxx.xxx.xxx 172.16.98.61 UP 1d22h D 1 xxx.xxx.xxx.xxx 172.16.98.68 UP 1d03h D 1 xxx.xxx.xxx.xxx 172.16.98.92 UP 1d22h D 1 xxx.xxx.xxx.xxx 172.16.98.93 UP 3d03h D 1 xxx.xxx.xxx.xxx 172.16.98.101 UP 1d22h D 1 xxx.xxx.xxx.xxx 172.16.98.102 UP 1d22h D 1 xxx.xxx.xxx.xxx 172.16.98.200 UP 03:15:36 D 1 xxx.xxx.xxx.xxx 172.16.98.254 UP 03:16:02 S
Interface: Tunnel200, IPv4 NHRP Details Type:Spoke, NHRP Peers:1,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb ----- --------------- --------------- ----- -------- ----- 1 xxx.xxx.xxx.xxx 172.16.99.254 UP 6d17h S
c2911-36# sh ip eigrp topology 192.168.98.0/24 EIGRP-IPv4 Topology Entry for AS(100)/ID(192.168.136.50) for 192.168.98.0/24 State is Passive, Query origin flag is 1, 1 Successor(s), FD is 230656 Descriptor Blocks: 172.16.98.254 (Tunnel100), from 172.16.98.254, Send flag is 0x0 Composite metric is (230656/2816), route is Internal Vector metric: Minimum bandwidth is 100000 Kbit Total delay is 8010 microseconds Reliability is 255/255 Load is 1/255 Minimum MTU is 1400 Hop count is 1 Originating router is 192.168.198.1 172.16.99.254 (Tunnel200), from 172.16.99.254, Send flag is 0x0 Composite metric is (256256/2816), route is Internal Vector metric: Minimum bandwidth is 100000 Kbit Total delay is 9010 microseconds Reliability is 255/255 Load is 1/255 Minimum MTU is 1400 Hop count is 1 Originating router is 192.168.198.1
|
26 окт 2018, 08:24 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 24 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 69 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|