DMVPN Cisco (HUB) + Cisco (Spoke_1) + ESR 100 (Spoke_2)

[sloner999]

Добрый день.
DMVPN, IPSec'а - нет.
Проблемы:
1. HUB - SPOKE_2 (ELTEX) не поднимается OSPF, пинг есть между ними (между другим SPOKE_1 и HUB - eigrp работает, OSPF не нужен) -
2. Нет пинга SPOKE-SPOKE (вернее ИНОГДА проскакивает ОДИН пакет ICMP, остальные - тайм аут)

Помогите пожалуйста, глаз "замылился", не могу понять в чём проблема.
И ещё - почему на Элтекс нет параметра - ip nhrp network-id [Значение] и HUB-SPOKE поднялся, а на Cisco без указания ip nhrp network-id [Значение] - тунель не поднимается?

Конфиги:
====================================================================================
HUB (Cisco 4431) сконфигурирован так:

interface GigabitEthernet0/0/1.854
description -= IESV dot1Q.854 TM=-
encapsulation dot1Q 854
ip address 10.10.5.100 255.255.255.0
ip nat outside
ip virtual-reassembly

interface Tunnel2
description # TM.Dot1Q.854#
bandwidth 100000
bandwidth inherit
ip address 10.1.102.1 255.255.255.0
no ip redirects
ip mtu 1300
no ip split-horizon eigrp 1
ip nhrp authentication R1.854
ip nhrp network-id 3
ip nhrp holdtime 300
ip tcp adjust-mss 1300
cdp enable
tunnel source GigabitEthernet0/0/1.854
tunnel mode gre multipoint
tunnel key 333333
tunnel checksum

router ospf 1
router-id 100.100.100.100
redistribute eigrp 1 subnets
passive-interface default
no passive-interface GigabitEthernet0/0/1.1931
no passive-interface Tunnel 2
network 192.168.205.16 0.0.0.3 area 0
network 10.1.102.0 0.0.0.255 area 0
distribute-list ACL-OSPF-IN in GigabitEthernet0/0/1.1931

===================================================================================================
SPOKE_1 (Cisco 4300) сконфигурирован так:

interface GigabitEthernet0/0/1.854
description -= IESV dot1Q.854 TM =-
encapsulation dot1Q 854
ip address 10.10.5.25 255.255.255.0
no cdp enable

interface Tunnel1
description # Tunnel to ISR4431-R1 #
bandwidth 100000
ip address 10.1.102.3 255.255.255.0
no ip redirects
ip mtu 1300
ip nat outside
ip nhrp authentication R1.854
ip nhrp map multicast 10.10.5.100
ip nhrp map 10.1.102.1 10.10.5.100
ip nhrp network-id 3
ip nhrp holdtime 300
ip nhrp nhs 10.1.102.1
ip tcp adjust-mss 1300
cdp enable
tunnel source GigabitEthernet0/0/1.854
tunnel mode gre multipoint
tunnel key 333333
ip virtual-reassembly

=================================================================================================
SPOKE_2 (ELTEX ESR-100) сконфигурирован так:

interface gigabitethernet 1/0/1.854
ip firewall disable
ip address 10.10.5.56/24

tunnel gre 1
description "#Tunnel_to_ISR4431-R1#"
remote checksum
key 333333
mtu 1300
multipoint
ip firewall disable
local address 10.10.5.56
ip address 10.1.102.4/24
ip ospf instance 1
ip ospf network point-to-multipoint
ip ospf
no ip redirects
ip nhrp authentication encrypted AEE54D35E55B
ip nhrp holding-time 1200
ip nhrp map 10.1.102.1 10.10.5.100
ip nhrp nhs 10.1.102.1/24
ip nhrp multicast dynamic
ip nhrp enable
enable
exit

router ospf 1
router-id 100.100.100.98
area 0.0.0.0
network 10.1.102.0/24
enable
exit
enable
exit

========================================================================================================

Диагностика на HUB:

SR4431-R1#sh dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
T1 - Route Installed, T2 - Nexthop-override
C - CTS Capable, I2 - Temporary
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel2, IPv4 NHRP Details
Type:Hub, NHRP Peers:3,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 10.10.5.55 10.1.102.2 UP 3w1d D
1 10.10.5.25 10.1.102.3 UP 6d03h D
1 10.10.5.56 10.1.102.4 UP 00:45:24 D
--------------------------------------------------------------------------

Диагностика SPOKE_1

ISR4351-R1.Svetlaya#sh dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incomplete
N - NATed, L - Local, X - No Socket
T1 - Route Installed, T2 - Nexthop-override
C - CTS Capable, I2 - Temporary
# Ent --> Number of NHRP entries with same NBMA peer
NHS Status: E --> Expecting Replies, R --> Responding, W --> Waiting
UpDn Time --> Up or Down Time for a Tunnel
==========================================================================

Interface: Tunnel1, IPv4 NHRP Details
Type:Spoke, NHRP Peers:2,

# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 10.10.5.100 10.1.102.1 UP 6d03h S
1 10.10.5.56 10.1.102.4 UP 00:13:48 D

[Garri]

Покажите с hub-а вывод: sh ip ospf int tun2

[sloner999]

Первую проблему пинга между SPOKE - решил. На споках циско не было комманды - tunnel checksum. Поставил - заработало.
===============================
OSPF:

На HUB:
ISR4431-R1#sh ip ospf interface tunnel 2
Tunnel2 is up, line protocol is up
Internet Address 10.1.102.1/24, Interface ID 21, Area 0
Attached via Network Statement
Process ID 1, Router ID 100.100.100.100, Network Type POINT_TO_MULTIPOINT, Cost: 1
Topology-MTID Cost Disabled Shutdown Topology Name
0 1 no no Base
Transmit Delay is 1 sec, State POINT_TO_MULTIPOINT
Timer intervals configured, Hello 30, Dead 120, Wait 120, Retransmit 5
oob-resync timeout 120
Hello due in 00:00:12
Supports Link-local Signaling (LLS)
Cisco NSF helper support enabled
IETF NSF helper support enabled
Index 1/2/2, flood queue length 0
Next 0x0(0)/0x0(0)/0x0(0)
Last flood scan length is 0, maximum is 0
Last flood scan time is 0 msec, maximum is 0 msec
Neighbor Count is 0, Adjacent neighbor count is 0
Suppress hello for 0 neighbor(s)

На SPOKE (ESR-100)
ESR100-Cesovskaya-main# sh ip ospf interface gre 1

т.е. - тишина

при попытке поставить на gre 1 таймеры:

SR100-Cesovskaya-main(config-gre)# ip ospf dead-interval 120
ESR100-Cesovskaya-main(config-gre)# ip ospf hello-interval 30

Warning: you have uncommitted configuration changes.
ESR100-Cesovskaya-main# commit
2014-01-31T18:22:50+00:00 %NHRP-E-ERROR: Cannot send packet to gre_1(19): Invalid argument
2014-01-31T18:22:50+00:00 %NHRP-E-ERROR: BUG: failure at nhrp/nhrp_peer.c:1652/nhrp_peer_reinsert(): (peer->type == NHRP_PEER_TYPE_LOCAL_ROUTE) != (type == NHRP_PEER_TYPE_LOCAL_ROUTE)!
Configuration has been successfully applied and saved to flash. Commit timer started, changes will be reverted in 600 seconds.

[Garri]

Добавьте на хаб:
ip nhrp multicast dynamic

На ESR:
убрать - ip nhrp multicast dynamic
добавить - ip nhrp multicast nhs
так же прописать: mtu 1300, ip tcp adjust-mss 1300 (чтобы совпадало на всех железках)

Потом на всех железках выставить одинаковые значения ip ospf dead-interval и ip ospf hello-interval.

Про bug нужно написать в ТП

[sloner999]

Добрый!
На HUB такой комманды нет, не возможно ввести:
ip nhrp multicast dynamic

Сделано:
убрать - ip nhrp multicast dynamic
добавить - ip nhrp multicast nhs
так же прописать: mtu 1300, ip tcp adjust-mss 1300 (чтобы совпадало на всех железках)
Потом на всех железках выставить одинаковые значения ip ospf dead-interval и ip ospf hello-interval.

Ничего не изменилось, процесс OSPF просто не запускается на GRE, ошибка прежняя.

[Garri]

Да, эт я ошибся, вот так:
ip nhrp map multicast dynamic

Ещё на ESR у туннеля не хватает:
ip ospf area 0.0.0.0

и ещё посмотрите на esr какое состояние у gre-интерфейса и его счётчики: sh interfaces counters ___ , sh interfaces status ___

[sloner999]

Сделал на HUB:
ip nhrp map multicast dynamic

Никакого эффекта не возымело, после ввода команды commit/confirm - отображения в листинге gre 1 этой команды - нет.
Ещё на ESR у туннеля не хватает:
ip ospf area 0.0.0.0

и ещё посмотрите на esr какое состояние у gre-интерфейса и его счётчики: sh interfaces counters ___ , sh interfaces status ___
для тунелей немного другая комманда -
show tunnels counters gre 1, как видим - мультикастов - 0

Tunnel 'gre 1' counters:
Packets received: 579
Bytes received: 50180
Dropped on receive: 0
Receive errors: 0
Multicasts received: 0
Receive length errors: 0
Receive buffer overflow errors: 0
Receive CRC errors: 0
Receive frame errors: 0
Receive FIFO errors: 0
Receive missed errors: 0
Receive compressed: 0
Packets transmitted: 44
Bytes transmitted: 4182
Dropped on transmit: 0
Transmit errors: 0
Transmit aborted errors: 0
Transmit carrier errors: 0
Transmit FIFO errors: 0
Transmit heartbeat errors: 0
Transmit window errors: 0
Transmit comressed: 0
Collisions: 0

Рядом с этим ESR-100, стоит второй такой же, для проверки связал их, по быстрому запустил OSPF - взлетело моментально.

nterface gigabitethernet 1/0/4
description "-=ESR-100-R1=-"
ip firewall disable
ip address 10.10.20.2/30
ip ospf instance 1
ip ospf hello-interval 30
ip ospf dead-interval 120
ip ospf

router ospf 1
router-id 100.100.100.97
area 0.0.0.0
network 10.10.20.0/30
enable
exit
enable
exit

при этом комманда "SH IP ospf INTerface GIgabitethernet 1/0/4" - не показывает ничего, с обеих сторон!

Хотя в мануале написано именно так:
show ip ospf interface
Данная команда отображает информацию об OSPF-интерфейсе.
Синтаксис
show ip ospf interface [ vrf <VRF> ] [ <IF> | <TUN> ]

Может уже откатиться на предыдущую версию прошивки? НЕ прошлую, а предыдущую, только где взять...

[Garri]

Покажите вывод состояния тоннеля gre (счётчики на вход/вывод имеются):
show tunnels status
т е с начало нужно понять поднялся ли тоннель.

Это стенд? Все маршрутизаторы подключены в один коммутатор или нет?

[sloner999]

Добрый.
Так вот, в предыдущем посте:

show tunnels counters gre 1
Tunnel 'gre 1' counters:
Packets received: 579
Bytes received: 50180
Dropped on receive: 0
Receive errors: 0
Multicasts received: 0
Receive length errors: 0
Receive buffer overflow errors: 0
Receive CRC errors: 0
Receive frame errors: 0
Receive FIFO errors: 0
Receive missed errors: 0
Receive compressed: 0
Packets transmitted: 44
Bytes transmitted: 4182
Dropped on transmit: 0
Transmit errors: 0
Transmit aborted errors: 0
Transmit carrier errors: 0
Transmit FIFO errors: 0
Transmit heartbeat errors: 0
Transmit window errors: 0
Transmit comressed: 0
Collisions: 0

Нет, это не стенд, это работающее оборудование, просто сейчас трафик идёт не через GRE 1
Не в один коммутатор, все подключены к разным, ISP предоставляет L2 каналы между объектами.
Объектов много, сотни, точнее сказать не берусь. Раньше все было на L2 завязано, сейчас переход на L3 идет.

Тунель поднят, пинги HUB-SPOKE бегают, show tunnels status - уже завтра, удалённого доступа нет, рабочий день закончился.

ESR100-Cesovskaya-main# show ip nhrp
Tunnel address NBMA address Interface Peer type Expire Created Flags
---------------- ---------------- --------- --------------- --------- ---------- ---------
10.1.102.1 10.10.5.100 gre 1 static -- -- register,
lower-up,
up

[sloner999]

Добрый, состояние тунеля:

ESR100-Cesovskaya-main# show tunnels status
Tunnel Admin Link MTU Local IP Remote IP Last change
state state
---------------- ----- ----- ------ ---------------- ---------------- -------------------------
gre 1 Up Up 1300 -- -- 3 days, 6 hours, 6
minutes and 14 seconds

[pavel_nikko]

всем привет, сейчас так же занимаемся настройкой dmvpn на связке cisco asr1001x HUB - eltex esr 1000 SPOKE
На данный момент добился успешного установления туннеля с HUB и так же динамически устанавливаются туннели с другими cisco spoke
внутри пробуем проложить оспф но пока безуспешно
вот настройки
esr1000

Код: Выделить всё

ip protocols ospf preference 110
key-chain newdmvpn
  key 1
    key-string ascii-text encrypted xxxxxx
  exit
exit

router ospf log-adjacency-changes
router ospf 10
  router-id 1.1.1.111
  compatible rfc1583
  area 0.0.0.0
    network 172.31.247.0/24
    network 10.111.0.0/16
    enable
  exit
  enable
exit

tunnel gre 111
  key 91
  ttl 255
  mtu 1400
  multipoint
  keepalive enable
  ip firewall disable
  local address x.x.x.x
  ip address 172.31.247.111/24
  ip ospf instance 10
  ip ospf priority 1
  ip ospf cost 50
  ip ospf authentication key-chain xxxxx
  ip ospf authentication algorithm md5
  ip ospf network point-to-multipoint
  ip ospf
  no ip redirects
  ip tcp adjust-mss 1360
  ip nhrp authentication encrypted xxxxxxx
  ip nhrp map 172.31.247.254 x.x.x.x
  ip nhrp nhs 172.31.247.254/24
  ip nhrp multicast dynamic
  ip nhrp enable
  enable


ASR1001x

Код: Выделить всё

interface Tunnel1
 description DMVPN-Tunnel
 bandwidth 500000
 ip vrf forwarding KSPD
 ip address 172.31.247.254 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication xxxx
 ip nhrp network-id 91
 ip nhrp redirect
 ip tcp adjust-mss 1360
 ip ospf authentication message-digest
 ip ospf message-digest-key 1 md5 7 xxxxxx
 ip ospf network point-to-multipoint
 ip ospf 1 area 0
 ip ospf cost 60000
 load-interval 30
 if-state nhrp
 tunnel source Port-channel1.661
 tunnel mode gre multipoint
 tunnel key 91


оспф не получается настроить от слова совсем, на hub запущен дебаг но ни одного упоминания о eltex spoke там нет, на самом eltex команды sh ip ospf 10, sh ip ospf interface gre 111 и прочие не дают не единого вывода как правильно запустить дебаг и посмотреть на eltex вывод этого дебаг

[sloner999]

Добрый!
Какая версия прошивки ESR у вас?
При изменении настроек ospf на gre не выскакивает при commit/confirm ошибки "... BUG: nhrp.... " ?
Так же как у вас - не удаётся посмотреть настройки ospf на интерфейсах... Надеюсь тех.поддержка что-то сможет сказать...

[Garri]

Добрый день!
Проверьте работу статических маршрутов через туннель.
И неплохо было бы посмотреть дамп с интерфейса gi1/0/1 на ESR.

А баг завели?

[sloner999]

Добрый день!
Проверьте работу статических маршрутов через туннель.
И неплохо было бы посмотреть дамп с интерфейса gi1/0/1 на ESR.

А баг завели?

Статика работает. А как сделать дамп - подскажите, сделаю - скину.
В саппорте обращение открыл, на прошлой неделе. Запросили информацию дополнительную - предоставил. Пока ответа нет.

[sloner999]

ESR100-Cesovskaya-main# monitor gre 1 protocol ospf
21:48:00.555108 In ethertype IPv4 (0x0800), length 112: (tos 0xc0, ttl 1, id 28945, offset 0, flags [none], proto OSPF (89), length 96)
10.1.102.1 > 224.0.0.5: OSPFv2, Hello, length 76 [len 44]
Router-ID 100.100.100.100, Backbone Area, Authentication Type: none (0)
Options [External, LLS]
Hello Timer 30s, Dead Timer 120s, Mask 255.255.255.0, Priority 1
LLS: checksum: 0x7fa0, length: 8
Extended Options (1), length: 4
Options: 0x00000001 [LSDB resync]
Unknown TLV (18), length: 4
Unknown TLV (32768), length: 8

вот вывод по тунелю со стороны ESR