| Автор |
Сообщение |
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
Всем доброго! Имеется классический DMVPN Phase 2. 1 x Hub - 2851 (IOS - 12.4(24)T8) - внешний IP 1.1.1.1 Код: class-map match-any CM-MNT-TRAFFIC
match protocol icmp
match protocol ssh
match protocol snmp
class-map match-any VoIP
match protocol rtp audio
match protocol h323
match protocol sip
Код: policy-map PM-TO-BRANCHES
class VoIP
priority 1000
set ip precedence 5
class CM-MNT-TRAFFIC
priority 1000
class CM-ALL-IP
police 20000000 conform-action transmit exceed-action drop
policy-map PM-DEFAULT-SHAPE
class class-default
shape average 100000000
service-policy PM-TO-BRANCHES
Код: interface Tunnel0
bandwidth 100000
ip address 172.16.255.1 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
ip nhrp authentication NHRPKEY
ip nhrp map multicast dynamic
ip nhrp map group SPOKE-GROUP-1 service-policy output PM-DEFAULT-SHAPE
ip nhrp network-id 1
ip tcp adjust-mss 1360
no ip split-horizon eigrp 1
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile MYIPSECPROFILE Spoke's - 891 (IOS - 15.2(4)M5) - внешний IP 2.2.2.2 Код: interface Tunnel0
bandwidth 100000
ip address 172.16.255.10 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
no ip split-horizon eigrp 1
ip nhrp authentication NHRPKEY
ip nhrp group SPOKE-GROUP-1
ip nhrp map multicast 1.1.1.1
ip nhrp map 172.16.255.1 1.1.1.1
ip nhrp network-id 1
ip nhrp nhs 172.16.255.1
ip tcp adjust-mss 1360
qos pre-classify
tunnel source FastEthernet8
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile MYIPSECPROFILE DMVPN работает без проблем, EIGRP маршруты "таскает" исправно. IPSec тоже в норме. После внедрения Per-tunnel QoS вижу такую картину на Hub'е: Код: #sh dmvpn detail
....................................
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network
----- -------------------- ------------------- ----- ----------- ----- -------------------
1 2.2.2.2 172.16.255.10 UP 11:36:39 D 172.16.255.10/32
[b]NHRP group: SPOKE-GROUP-1
Output QoS service-policy applied: none[/b]
.....................................
На Hub'е в выводе: Код: #sh policy-map interface tunnel 0 пустота... "Сбрасывал" Spoke'ов на Hub'е разными способами (и туннельные интерфейсы "shut/no shut" делал, и "clear dmvpn session ...", и "clear ip nhrp ..."). Ничего не помогает. Per-tunnel QoS на DMVPN реализован в IOS начиная с IOS 12.4(22)T ( http://www.cisco.com/c/en/us/td/docs/ios/sec_secure_connectivity/configuration/guide/15_0/sec_secure_connectivity_15_0_book/sec_per_tunnel_qos.html - в самом низу) Какие будут мысли?
|
| 04 авг 2015, 10:18 |
|
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
|
На последней страничке команды траблшутинга. У вас чо с ними? http://d2zmdbbm9feqrf.cloudfront.net/20 ... C-4054.pdf
|
| 04 авг 2015, 11:31 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
Код: Hub#sh ip nhrp
172.16.255.10/32 via 172.16.255.10
Tunnel0 created 13:33:10, expire 01:44:22
Type: dynamic, Flags: unique registered
NBMA address: 2.2.2.2
Group: SPOKE-GROUP-1
Код: Hub#sh ip nhrp group-map
Interface: Tunnel0
NHRP group: SPOKE-GROUP-1
QoS policy: PM-DEFAULT-SHAPE
Tunnels using the QoS policy: None
Код: Hub#sh policy-map multipoint tunnel 0 output - ничего
|
| 04 авг 2015, 11:59 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
Ситуация не меняется. Есть идеи почему?
|
| 05 авг 2015, 10:02 |
|
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
|
Я бы обновил хаб до 15.1
|
| 06 авг 2015, 11:13 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
Lomax писал(а): Я бы обновил хаб до 15.1 У 15-го IOS'а требования к RAM - 512, а у меня Код: Cisco 2851 (revision 53.51) with 509952K/14336K bytes of memory Встанет 15-ый на мой 2851?
|
| 07 авг 2015, 10:48 |
|
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
|
Sergey_B писал(а): Lomax писал(а): Я бы обновил хаб до 15.1 У 15-го IOS'а требования к RAM - 512, а у меня Код: Cisco 2851 (revision 53.51) with 509952K/14336K bytes of memory Встанет 15-ый на мой 2851? У вас и есть 512М. Встанет, конечно.
|
| 07 авг 2015, 10:54 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
Просто решил удостовериться  . _2e_ спасибо! А кто подскажет проверенный стабильный релиз 15-го IOS для 2851? P.S. И как обстоят у 15-го IOS дела с лицензированием (в частности нужны фичи по-максимуму)?
|
| 07 авг 2015, 11:02 |
|
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
|
Sergey_B писал(а): Просто решил удостовериться . _2e_ спасибо! А кто подскажет проверенный стабильный релиз 15-го IOS для 2851? P.S. И как обстоят у 15-го IOS дела с лицензированием (в частности нужны фичи по-максимуму)? c2800nm-advipservicesk9-mz.151-4.M10.bin и у G1 нет лицензирования, там фичи зависят от образа.
Вложения:
ios.jpg [ 163.23 КБ | Просмотров: 16184 ]
|
| 07 авг 2015, 11:17 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
_2e_ писал(а): c2800nm-advipservicesk9-mz.151-4.M10.bin и у G1 нет лицензирования, там фичи зависят от образа. Блин, забыл, точно же  . Спасибо!
|
| 07 авг 2015, 11:20 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
Обновил Hub на c2800nm-adventerprisek9-mz.151-4.M10. Ситуация не поменялась((( Что ещё может препятствовать "рождению" Per-tunnel QoS?
|
| 10 авг 2015, 09:38 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
Вот что вываливает Hub при регистрации Spoke'a: Код: %NHRP-3-QOS_POLICY_APPLY_FAILED: Failed to apply QoS policy PM-DEFAULT-SHAPE mapped to NHRP group SPOKE-GROUP-1 on interface Tunnel0, to tunnel 2.2.2.2 due to policy installation failure
|
| 10 авг 2015, 10:31 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
Заметил такое поведение: если оставить только Код: policy-map PM-DEFAULT-SHAPE
class class-default то Per-tunnel QoS на DMVPN начинает работать: Код: #sh dmvpn detail
....................................
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network
----- -------------------- ------------------- ----- ----------- ----- -------------------
1 2.2.2.2 172.16.255.10 UP 11:36:39 D 172.16.255.10/32
[b]NHRP group: SPOKE-GROUP-1
Output QoS service-policy applied: PM-DEFAULT-SHAPE[/b]
..................................... Т.е. получается, что Код: shape average 100000000 вызывает ошибку при применении policy-map'а на туннельном интерфейсе...
|
| 10 авг 2015, 11:17 |
|
|
|
shuragsv
Зарегистрирован: 08 июл 2014, 09:18
Сообщения: 28
|
Присоединюсь к дискуссии.
У меня на Hub на туннельном интерфейсе вообще нет команды ip nhrp map group
(config-if)#ip nhrp map ?
A.B.C.D IP address of destination
multicast Use this NBMA mapping for broadcasts/multicasts
Как ее ввести?
|
| 10 авг 2015, 11:24 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
Так же, если в родительскую Код: policy-map PM-DEFAULT-SHAPE
class class-default добавить дочернюю Код: policy-map PM-TO-BRANCHES то опять возникает ошибка применения policy-map'а PM-DEFAULT-SHAPE на туннельном интерфейсе при регистрации Spoke'а: Код: %NHRP-3-QOS_POLICY_APPLY_FAILED: Failed to apply QoS policy PM-DEFAULT-SHAPE mapped to NHRP group SPOKE-GROUP-1 on interface Tunnel0, to tunnel 2.2.2.2 due to policy installation failure Что бы это всё значило? И что означает "Service policy on main interface is invalid for service-policy to be applied on dynamic inteface", когда вывожу данные командой "sh policy-map multipoint": Код: #sh policy-map multipoint
Service policy on main interface is invalid for service-policy to be applied on dynamic inteface
Service policy on main interface is invalid for service-policy to be applied on dynamic inteface
Service policy on main interface is invalid for service-policy to be applied on dynamic inteface
Interface Tunnel0 <--> 2.2.2.2
Service-policy output: PM-DEFAULT-SHAPE
Class-map: class-default (match-any)
2097 packets, 336854 bytes
5 minute offered rate 3000 bps, drop rate 0 bps
Match: any
|
| 10 авг 2015, 12:04 |
|
|
|
Lomax
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 1834
|
Имхо priority очередь может быть только одна, а у вас их две.
Судя по названию CM-MNT-TRAFFIC это управляющий трафик ССМ - по фен-шую им дают bandwidth.
|
| 10 авг 2015, 12:45 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
Lomax, вероятно Вы правы, но в данном случае это не актуально, т.к. не решает проблему  shuragsv какая IOS установлена?
|
| 10 авг 2015, 13:00 |
|
|
|
shuragsv
Зарегистрирован: 08 июл 2014, 09:18
Сообщения: 28
|
Sergey_B писал(а): shuragsv какая IOS установлена? Код: #sh ver
Cisco IOS Software, C2900 Software (C2900-UNIVERSALK9-M), Version 15.5(3)M, RELEASE SOFTWARE (fc1)
Cisco CISCO2901/K9 (revision 1.0) with 487424K/36864K bytes of memory.
Processor board ID FCZ15402178
2 Gigabit Ethernet interfaces
1 terminal line
1 Virtual Private Network (VPN) Module
DRAM configuration is 64 bits wide with parity enabled.
255K bytes of non-volatile configuration memory.
250880K bytes of ATA System CompactFlash 0 (Read/Write)
License Info:
Technology Package License Information for Module:'c2900'
------------------------------------------------------------------------
Technology Technology-package Technology-package
Current Type Next reboot
------------------------------------------------------------------------
ipbase ipbasek9 Permanent ipbasek9
security None None none
uc uck9 Permanent uck9
data datak9 Permanent datak9
|
| 11 авг 2015, 09:02 |
|
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
|
Sergey_B писал(а): class-map match-any CM-MNT-TRAFFIC
match protocol icmp
match protocol ssh
match protocol snmp
class-map match-any VoIP
match protocol rtp audio
match protocol h323
match protocol sip А разве это будет работать без nbar protocol-discovery ? Sergey_B писал(а): interface Tunnel0
bandwidth 100000
ip address 172.16.255.10 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
no ip split-horizon eigrp 1
ip nhrp authentication NHRPKEY
ip nhrp group SPOKE-GROUP-1
ip nhrp map multicast 1.1.1.1
ip nhrp map 172.16.255.1 1.1.1.1
ip nhrp network-id 1
ip nhrp nhs 172.16.255.1
ip tcp adjust-mss 1360
qos pre-classify
tunnel source FastEthernet8
tunnel mode gre multipoint
tunnel key 1
tunnel protection ipsec profile MYIPSECPROFILE Это здесь, скорее всего, лишнее.
|
| 12 авг 2015, 08:47 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
aliotru, даже если включить NBAR, всё-равно не работает: вылетает ошибка Код: %NHRP-3-QOS_POLICY_APPLY_FAILED: Failed to apply QoS policy PM-DEFAULT-SHAPE mapped to NHRP group SPOKE-GROUP-1 on interface Tunnel0, to tunnel 2.2.2.2 due to policy installation failure когда вешаешь Код: shape average 100000000 на class class-default в родительской policy-map и не применяешь при этом дочернюю policy-map... С qos pre-classify или без неё - всё-равно не работает... shuragsv покажите вывод "sh license det"
|
| 12 авг 2015, 09:54 |
|
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
|
а вы эту политику PM-DEFAULT-SHAPE применяете только на этом интерфейсе?
|
| 12 авг 2015, 10:47 |
|
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
|
Стало интересно, собрал лабу с вашим конфигом с небольшим изменением - туннели без шифрования, а также дописал класс Код: class-map match-any CM-ALL-IP
match any
который отсутствовал в вашем примере конфига, но в политике имеется и шейпится. Все поднялось, работает без каких либо проблем - Код: hub#sh dmvpn det
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network
----- --------------- --------------- ----- -------- ----- -----------------
1 1.1.1.200 172.16.255.10 UP 00:04:25 D 172.16.255.10/32
NHRP group: SPOKE-GROUP-1
Output QoS service-policy applied: PM-DEFAULT-SHAPE
А вот если вначале повесить эту политику на интерфейс источник, а потом на туннель, то получаем как раз вашу ошибку. По этому поводу у циски сказано - Цитата: You cannot configure a per-tunnel QoS policy on a tunnel interface and a separate QoS policy on the outbound physical interface at the same time.
|
| 12 авг 2015, 11:24 |
|
|
|
Sergey_B
Зарегистрирован: 26 июн 2015, 11:45
Сообщения: 211
Откуда: Москва
|
aliotru писал(а): а вы эту политику PM-DEFAULT-SHAPE применяете только на этом интерфейсе? Да, только на туннельном интерфейсе. На физических интерфейсах никакие service-policy не применяются...
|
| 12 авг 2015, 11:43 |
|
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 925
|
ну чудес то не бывает))
давайте чтоль посмотрим на неработающий конфиг хаба
|
| 12 авг 2015, 11:55 |
|
|
