Cisco DMVPN Phase 3 Frage

10

Ich hatte gehofft, dass jemand etwas Licht in ein Problem bringen könnte, das ich habe. Ich habe ein Labor erstellt, das ein Hub-and-Spoke-Netzwerk mit mehreren Regionen ist. Es gibt 5 regionale Hubs sowie einen zentralen Hub. Jede Region hat 4 Speichen.

Mein Problem tritt auf, wenn ich versuche, Phase 3 für DMVPN zu verwenden. Ich glaube, ich weiß, was passiert. Ich bin mir nur nicht ganz sicher, wie ich das beheben soll. Grundsätzlich werde ich versuchen, von einem Computer aus von der Speiche zum Central Hub zu pingen. Die ersten paar Pings werden durchlaufen, und dann werden keine weiteren Pings durchlaufen. Wenn die ersten Pings gesendet werden, sollten sie das gesamte Netzwerk durchlaufen (Host-Spoke-Regional Hub-Central Hub). Wenn NHRP-Zuordnungen eingerichtet werden, wird versucht, für diese Verbindung Punkt-zu-Punkt-Verbindungen herzustellen, und das Netzwerk wird unterbrochen, da sich die Tunnel in verschiedenen Subnetzen befinden. Hier sind die relevanten Netzwerkinformationen:

Auf allen Routern wird EIGRP (AS 1) ausgeführt. Alle Nachbarschaften werden ordnungsgemäß erstellt und die Routing-Tabelle wird wie erwartet ausgefüllt.

Das Netzwerk von Regional zu Central Hub ist Tunnel 0. 172.16.0.0/24.

Das Regional-to-Spoke-Netzwerk ist Tunnel 1. 172.16.1.0/24.

Alle externen Schnittstellen befinden sich im Netzwerk 192.168.1.0/24.

Innerhalb von Schnittstellen folgen Sie dem folgenden Schema: 10.region.spoke.0 / 24 (Central ist 10.0.0.0/24, Regional Hubs sind 10.region.0.0 / 24).

Jeder Einblick, den Sie geben können, wird sehr geschätzt.

cisco Ryan
quelle
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

1

Also haben wir CenterHubx1-> RegionHubx5-> Spokesx4-> Computer

Computer-Pings -> Hub, Nhrp-Suche in Spoke, Einrichtung eines neuen Tunnels zu CenterHub.

Problem Sprach VPN in Subnetz 172.16.1 / 24 und Hub 172.16.0 / 24

Der Spoke sollte nicht versuchen, die direkte Verbindung zum CenterHub herzustellen, sondern nur zu anderen Speichen seines RegionHub

Um dies zu verhindern, verwenden Sie unterschiedliche NHRP-Netzwerk-IDs für unterschiedliche Tunnel-Subnetze.

Zitat:

Die NHRP-Netzwerk-ID wird verwendet, um die NHRP-Domäne für eine NHRP-Schnittstelle zu definieren

Pieter
quelle
Danke für Ihre Antwort. Durch die Verwendung unterschiedlicher Netzwerk-IDs kann der Datenverkehr durchlaufen werden, Phase 3 wird jedoch besiegt (Interspoke-Datenverkehr muss über einen Hub und nicht über Spoke-to-Spoke erfolgen). Ich habe es geschafft, mein Problem mit PBR zu lösen, aber diese Lösung lässt sich nicht gut skalieren.
Ryan
Sie benötigen daher die Möglichkeit, einen dynamischen Tunnel zwischen einem der Geräte einzurichten. Ich kann mir zwei Möglichkeiten vorstellen. A. Haben Sie versucht, alle VPNs in dasselbe Subnetz zu stellen - chaotisch B. ip un-numberd und ospf für die Konnektivität zu LBs
Pieter
Ja, das war ein anderer Weg, wie ich es gelöst habe. Ich habe die Topologie so entworfen, dass sich hierarchische Tunnel alle im selben Subnetz befinden. Nicht wirklich, wie Phase 3 verwendet werden soll, aber es ermöglicht eine bessere Skalierung des Netzwerks als bei anderen DMVPN-Bereitstellungen.
Ryan
0

Das Problem könnten die GRE-Schlüssel sein.

Alle Tunnel auf Hub-Routern MÜSSEN denselben GRE-Schlüssel haben (andernfalls kann eine Speiche kein Paket an einen nicht verbundenen Hub senden - denken Sie darüber nach). Dies bedeutet, dass Sie mehrere IP-Adressen auf den Hub-Routern haben MÜSSEN, um die GRE-Tunnel zu beenden ( weil Sie sie nicht durch GRE-Schlüssel unterscheiden können).

ioshints
quelle