De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft de implementatie en probleemoplossing van Cisco FlexVPN met behulp van IKEv2 en NHRP voor directe crypto-tunnels voor clients.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
FlexVPN kan eenvoudig worden uitgebreid van kleine kantoren naar grote bedrijfsnetwerken. Het kan veel VPN-verbindingen beheren zonder veel extra werk, wat geweldig is voor organisaties die groeien of veel externe gebruikers hebben.
De FlexVPN-server biedt de functionaliteit aan de serverzijde van FlexVPN. De FlexVPN-client maakt een beveiligde IPsec VPN-tunnel tussen een FlexVPN-client en een andere FlexVPN-server.
NHRP is een Address Resolution Protocol (ARP)-achtig protocol dat problemen met het netwerk van niet-broadcast multiaccess (NBMA) verlicht. Met NHRP leren NHRP-entiteiten die zijn aangesloten op een NBMA-netwerk dynamisch het NBMA-adres van de andere entiteiten die deel uitmaken van dat netwerk, waardoor deze entiteiten rechtstreeks kunnen communiceren zonder dat verkeer een tussenliggende hop hoeft te gebruiken.
De FlexVPN Spoke to Spoke-functie integreert NHRP- en FlexVPN-client (spoke) om een direct cryptokanaal met een andere client in een bestaand FlexVPN-netwerk op te zetten. De verbindingen zijn gebouwd met behulp van virtual tunnel interfaces (VTI), IKEv2 en NHRP, waarbij NHRP wordt gebruikt voor het oplossen van de FlexVPN-clients in het netwerk.
Cisco raadt aan ervoor te zorgen dat:
Routeringsgegevens worden niet uitgewisseld tussen spaken. Een belangrijke overweging, die later wordt uitgelegd naarmate we verder gaan met het oplossen van problemen met op EIGRP gebaseerde topologie.
De afbeelding toont de verkeersstroom tussen Spoke 1 en Spoke 2, met netwerken 198.51.100.0/29/24 en 198.51.100.8/29, beide geadverteerd via EIGRP die rechtstreeks naar de spokes kijken via de hub. Hier is hoe de verkeersstroom eruit ziet wanneer communicatie tot stand wordt gebracht tussen Spoke 1 (198.51.100.0/29/24) en Spoke 2 (198.51.100.8/29).
Voordat we overgaan tot configuratie, zijn er enkele belangrijke concepten die we moeten begrijpen:
De gesplitste horizon in EIGRP werkt anders dan in IBGP. EIGRP stopt alleen advertentienetwerken uit een interface waar ze van geleerd zijn. De hub heeft bijvoorbeeld twee spaken, waarvan de ene is verbonden via virtual-access 1 en de andere via virtual-access 2-interfaces. Routes geleerd door hub via VA 1 van Spoke 1 worden geadverteerd terug naar spoke 2 via VA 2 en vice versa omdat VA 1 en VA 2 verschillende interfaces zijn. In het geval van IBGP adverteert het geen netwerken die zijn geleerd van zijn peer-back naar een andere peer. In een soortgelijk voorbeeld adverteert een hub die is geconfigureerd met IBGP niet voor netwerken die het heeft geleerd van VA 1 tot VA 2 en vice versa.
Dit gedrag in EIGRP leidt tot een conflict in de CEF-nabijheid voor het volgende IP-adres van de hop (een IP-adres van een virtuele toegangsinterface voor een spraakgestuurde tunnel), aangezien dit eerst via EIGRP wordt geleerd met behulp van een hub-tunnelinterface en vervolgens via IPsec met behulp van een virtuele toegangsinterface. Dat veroorzaakt asymmetrische routering voor NHRP-verkeer en resulteert ook in een dubbele NHRP-vermelding in de NHRP-tabel en dubbele NHO-vermeldingen in de routeringstabel, evenals voor zowel de volgende hop-interfaces (tunnel via hub) als (virtuele toegang via spaak).
De virtuele sjabloon aan de kant van de hub moet IP hebben uit een andere pool dan spaaktunnelinterfaces, omdat we uitgaande EIGRP-updates willen filteren om ervoor te zorgen dat de hub en spaakgestuurde EIGRP-peering niet wordt beïnvloed.
Hier zijn twee voorbeelden die laten zien hoe u FlexVPN kunt configureren met behulp van EIGRP op de FlexVPN-server en de FlexVPN-client. We hebben best practices gevolgd voor het scheiden van ondergronds en overlay-verkeer door ze beide in specifieke VRF's te plaatsen. VRF A is voor ondervloer, terwijl B wordt gebruikt voor overlay.
ip local pool FLEXPOOL 192.0.2.129 192.0.2.254
crypto ikev2 authorization policy CISCO_FLEX
pool FLEXPOOL
def-domain cisco.com
route set interface
crypto ikev2 proposal CISCO_PROP
encryption aes-gcm-256
prf sha256
group 21
crypto ikev2 policy CISCO_POL
match fvrf A
proposal CISCO_PROP
crypto ikev2 profile CISCO_IKEV2
match fvrf A
match identity remote fqdn domain cisco.com
identity local fqdn hub.cisco.com
authentication remote pre-share key cisco
authentication local pre-share key cisco
aaa authorization group psk list default CISCO_FLEX
virtual-template 1
crypto ipsec transform-set CISCO_TRANSFORM esp-aes 256 esp-sha256-hmac
mode transport
crypto ipsec profile CISCO_PROF
set transform-set CISCO_TRANSFORM
set pfs group19
set ikev2-profile CISCO_IKEV2
interface Loopback0
ip vrf forwarding B
ip address 192.0.2.1 255.255.255.255
interface GigabitEthernet1
ip vrf forwarding A
ip address 203.0.113.2 255.255.255.252
interface Virtual-Template1 type tunnel
ip vrf forwarding B
ip unnumbered Loopback0
ip nhrp network-id 1
ip nhrp redirect
tunnel vrf A
tunnel protection ipsec profile CISCO_PROF
ip prefix-list CISCO_PREFIX seq 5 deny 192.0.2.128/25 le 32
ip prefix-list CISCO_PREFIX seq 6 permit 0.0.0.0/0 le 32
router eigrp B
!
address-family ipv4 unicast vrf B autonomous-system 1
!
af-interface default
hello-interval 2
hold-time 10
exit-af-interface
!
topology base
distribute-list prefix CISCO_PREFIX out
exit-af-topology
network 192.0.2.128 0.0.0.127
network 192.0.2.1 0.0.0.0
exit-address-family
ip host vrf A hub.cisco.com 203.0.113.2
crypto ikev2 authorization policy CISCO_FLEX
route set interface
crypto ikev2 proposal CISCO_PROP
encryption aes-gcm-256
prf sha256
group 21
crypto ikev2 policy CISCO_POL
match fvrf A
proposal CISCO_PROP
crypto ikev2 client flexvpn CISCO_CLIENT
peer 1 fqdn hub.cisco.com dynamic
client connect Tunnel1
crypto ikev2 profile CISCO_IKEV2
match fvrf A
match identity remote fqdn domain cisco.com
identity local fqdn spoke1.cisco.com
authentication remote pre-share key cisco
authentication local pre-share key cisco
aaa authorization group psk list default CISCO_FLEX
virtual-template 1
crypto ipsec transform-set CISCO_TRANSFORM esp-aes 256 esp-sha256-hmac
mode transport
crypto ipsec profile CISCO_PROF
set transform-set CISCO_TRANSFORM
set pfs group19
set ikev2-profile CISCO_IKEV2
interface Tunnel1
ip vrf forwarding B
ip address negotiated
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
tunnel source GigabitEthernet1
tunnel destination dynamic
tunnel vrf A
tunnel protection ipsec profile CISCO_PROF
end
interface GigabitEthernet1
ip vrf forwarding A
ip address 203.0.113.6 255.255.255.252
interface Loopback1
ip vrf forwarding B
ip address 198.51.100.1 255.255.255.248
interface Virtual-Template1 type tunnel
ip vrf forwarding B
ip unnumbered Tunnel1
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
tunnel vrf A
tunnel protection ipsec profile CISCO_PROF
router eigrp B
address-family ipv4 unicast vrf B autonomous-system 1
af-interface default
hello-interval 2
hold-time 10
passive-interface
exit-af-interface
af-interface Tunnel1
no passive-interface
exit-af-interface
topology base
exit-af-topology
network 198.51.100.0 0.0.0.7
network 192.0.2.128 0.0.0.127
exit-address-family
ip host vrf A hub.cisco.com 203.0.113.2
crypto ikev2 authorization policy CISCO_FLEX
route set interface
crypto ikev2 proposal CISCO_PROP
encryption aes-gcm-256
prf sha256
group 21
crypto ikev2 policy CISCO_POL
match fvrf A
proposal CISCO_PROP
crypto ikev2 client flexvpn CISCO_CLIENT
peer 1 fqdn hub.cisco.com dynamic
client connect Tunnel1
crypto ikev2 profile CISCO_IKEV2
match fvrf A
match identity remote fqdn domain cisco.com
identity local fqdn spoke2.cisco.com
authentication remote pre-share key cisco
authentication local pre-share key cisco
aaa authorization group psk list default CISCO_FLEX
virtual-template 1
crypto ipsec transform-set CISCO_TRANSFORM esp-aes 256 esp-sha256-hmac
mode transport
crypto ipsec profile CISCO_PROF
set transform-set CISCO_TRANSFORM
set pfs group19
set ikev2-profile CISCO_IKEV2
interface Tunnel1
ip vrf forwarding B
ip address negotiated
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
tunnel source GigabitEthernet1
tunnel destination dynamic
tunnel vrf A
tunnel protection ipsec profile CISCO_PROF
end
interface GigabitEthernet1
ip vrf forwarding A
ip address 203.0.113.10 255.255.255.252
interface Loopback1
ip vrf forwarding B
ip address 198.51.100.9 255.255.255.248
interface Virtual-Template1 type tunnel
ip vrf forwarding B
ip unnumbered Tunnel1
ip nhrp network-id 1
ip nhrp shortcut virtual-template 1
tunnel vrf A
tunnel protection ipsec profile CISCO_PROF
router eigrp B
address-family ipv4 unicast vrf B autonomous-system 1
af-interface default
hello-interval 2
hold-time 10
passive-interface
exit-af-interface
af-interface Tunnel1
no passive-interface
exit-af-interface
topology base
exit-af-topology
network 198.51.100.8 0.0.0.7
network 192.0.2.128 0.0.0.127
exit-address-family
De enige wijziging in de EIGRP-configuratie is de invoering van beknopte routes in plaats van een volledige routeringstabel op spaken. Zorg ervoor dat u de virtuele sjabloon omlaag brengt om de samenvattende configuratie in de EIGRP-topologie te duwen. Raadpleeg de Cisco-bug-ID CSCwn84303.
router eigrp B
!
address-family ipv4 unicast vrf B autonomous-system 1
!
af-interface default
hello-interval 2
hold-time 10
exit-af-interface
!
af-interface Virtual-Template1
summary-address 198.51.100.0 255.255.255.0 <<<<<<<<<<< Summary address
exit-af-interface
!
topology base
distribute-list prefix CISCO_PREFIX out
exit-af-topology
network 192.0.2.128 0.0.0.127
network 192.0.2.1 0.0.0.0
exit-address-family
Start ICMP om de spaaktspaaktunnel te activeren:
Snelkoppeling NHRP controleren:
NHO-routes controleren na het maken van snelkoppelingen:
NHRP-tellers controleren:
Snelkoppeling NHRP controleren:
NHO-routes controleren na het maken van snelkoppelingen:
NHRP-tellers controleren:
Hier is een stap-voor-stap uitleg over hoe een directe sprak-tot-sprak tunnel wordt vastgesteld met behulp van debugs van een van de spaken.
Spoke1#ping vrf B 198.51.100.9 source 198.51.100.1 repeat 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.1
!
Success rate is 100 percent (1/1), round-trip min/avg/max = 111/111/111 ms
*Feb 3 16:15:35.280: NHRP: Receive Traffic Indication via Tunnel1 vrf: B(0x4), packet size: 104
.
*Feb 3 16:15:35.280: (M) traffic code: redirect(0)
*Feb 3 16:15:35.280: src NBMA: 203.0.113.2
*Feb 3 16:15:35.280: src protocol: 192.0.2.1, dst protocol: 198.51.100.1
.
*Feb 3 16:15:35.281: NHRP-DETAIL: NHRP traffic indication for afn 1 received on interface Tunnel1 , for vrf: B(0x4) label: 0
*Feb 3 16:15:35.295: NHRP: Sending NHRP Resolution Request for dest: 198.51.100.9 to nexthop: 198.51.100.9 using our src: 192.0.2.130 vrf: B(0x4)
*Feb 3 16:15:35.295: NHRP: Attempting to send packet through interface Tunnel1 via DEST dst 198.51.100.9
*Feb 3 16:15:35.295: NHRP-DETAIL: First hop route lookup for 198.51.100.9 yielded 192.0.2.1, Tunnel1
*Feb 3 16:15:35.295: NHRP: Send Resolution Request via Tunnel1 vrf: B(0x4), packet size: 72
*Feb 3 16:15:35.295: src: 192.0.2.130, dst: 198.51.100.9
.
*Feb 3 16:15:35.296: src NBMA: 203.0.113.6
*Feb 3 16:15:35.296: src protocol: 192.0.2.130, dst protocol: 198.51.100.9
*Feb 3 16:15:35.392: NHRP: Receive Resolution Request via Tunnel1 vrf: B(0x4), packet size: 92
.
*Feb 3 16:15:35.392: src NBMA: 203.0.113.10
*Feb 3 16:15:35.392: src protocol: 192.0.2.129, dst protocol: 198.51.100.1
*Feb 3 16:15:35.392: (C-1) code: no error(0), flags: none
.
*Feb 3 16:15:35.392: NHRP-DETAIL: Resolution request for afn 1 received on interface Tunnel1 , for vrf: B(0x4) label: 0
*Feb 3 16:15:35.392: NHRP-DETAIL: Multipath IP route lookup for 198.51.100.1 in vrf: B(0x4) yielded Loopback1, pfx:198.51.100.0/29 (netid_in:1 if_in:Tunnel1)
*Feb 3 16:15:35.392: NHRP: Route lookup for destination 198.51.100.1 in vrf: B(0x4) yielded interface Loopback1, prefixlen 29
.
*Feb 3 16:15:35.392: NHRP: We are egress router. Process the NHRP Resolution Request.
.
*Feb 3 16:15:35.393: NHRP-DETAIL: Multipath IP route lookup for 198.51.100.1 in vrf: B(0x4) yielded Loopback1, pfx:198.51.100.0/29 (netid_in:1 if_in:Tunnel1)
*Feb 3 16:15:35.393: NHRP: nhrp_rtlookup for 198.51.100.1 in vrf: B(0x4) yielded interface Loopback1, prefixlen 29, label none(0)
*Feb 3 16:15:35.393: NHRP-DETAIL: netid_out 0, netid_in 1
*Feb 3 16:15:35.393: NHRP: We are egress router for target 198.51.100.1, recevied via Tunnel1 vrf: B(0x4)
*Feb 3 16:15:35.393: NHRP: Checking for delayed event 192.0.2.129/198.51.100.1 on list (Tunnel1 vrf: B(0x4))
*Feb 3 16:15:35.393: NHRP: No delayed event node found.
*Feb 3 16:15:35.394: NHRP-DETAIL: Updated delayed event with ep src:203.0.113.6 dst:203.0.113.10 ivrf:B
*Feb 3 16:15:35.394: NHRP: Enqueued Delaying resolution request nbma src:203.0.113.6 nbma dst:203.0.113.10 reason:IPSEC-IFC: need to wait for IPsec SAs.
*Feb 3 16:15:35.394: NHRP: Interface: Tunnel1 configured with FlexVPN. Deferring cache creation for nhop 192.0.2.129
*Feb 3 16:15:35.406: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to down
*Feb 3 16:15:35.456: NHRP: Virtual-Access1: Tunnel mode changed from
'Uninitialized tunnel mode' to 'GRE over point to point IPV4 tunnel mode'
*Feb 3 16:15:35.456: NHRP: Virtual-Access1: NHRP not enabled in delay_if_up
*Feb 3 16:15:35.511: NHRP: Registration with Tunnels Decap Module succeeded
*Feb 3 16:15:35.511: NHRP: Rejecting addr type 1
*Feb 3 16:15:35.511: NHRP: Adding all static maps to cache
*Feb 3 16:15:35.511: NHRP-DETAIL: Adding summary-prefix entry: nhrp router block not configured
*Feb 3 16:15:35.512: NHRP:
*Feb 3 16:15:35.512: Instructing NHRP to create Virtual-Access from Virtual template 1 for interface Virtual-Access1
*Feb 3 16:15:35.537: %SYS-5-CONFIG_P: Configured programmatically by process Crypto INT from console as console
*Feb 3 16:15:35.539: NHRP-CACHE: Virtual-Access1: Cache add for target 192.0.2.130/32 vrf: B(0x4) label none next-hop 192.0.2.130
*Feb 3 16:15:35.540: 203.0.113.6 (flags:0x20)
.
*Feb 3 16:15:35.548: NHRP: Updating delayed event with destination 203.0.113.10 on interfaceTunnel1 with the new interface Virtual-Access1
*Feb 3 16:15:35.788: NHRP:
*Feb 3 16:15:35.788: Fetched address from underlying IKEv2 for interfaceVirtual-Access1. Pre-NATed = 203.0.113.6, Post-NATed = UNKNOWN
*Feb 3 16:15:35.788: %DMVPN-5-CRYPTO_SS: Virtual-Access1: local address : 203.0.113.6 remote address : 203.0.113.10 socket is UP
*Feb 3 16:15:35.788: NHRP: Processing delayed event on interface Tunnel1 with NBMA 203.0.113.10
.
*Feb 3 16:15:35.789: NHRP-CACHE: Virtual-Access1: Cache add for target 192.0.2.129/32 vrf: B(0x4) label none next-hop 192.0.2.129
*Feb 3 16:15:35.789: 203.0.113.10 (flags:0x2080)
*Feb 3 16:15:35.789: NHRP-RT: Adding route entry for 192.0.2.129/32 via 192.0.2.129, Virtual-Access1 vrf: B(0x4)) to RIB
*Feb 3 16:15:35.791: NHRP-RT: Route addition to RIB Successful
*Feb 3 16:15:35.791: NHRP-EVE: NHP-UP: 192.0.2.129, NBMA: 203.0.113.10
*Feb 3 16:15:35.791: %DMVPN-5-NHRP_NHP_UP: Virtual-Access1: Next Hop NHP : (Tunnel: 192.0.2.129 NBMA: 203.0.113.10) for (Tunnel: 192.0.2.130 NBMA: 203.0.113.6) is UP
*Feb 3 16:15:35.791: NHRP-CACHE:
*Feb 3 16:15:35.791: Next-hop not reachable for 192.0.2.129
*Feb 3 16:15:35.791: %NHRP-5-NHOP_UNREACHABLE: Nexthop address 192.0.2.129 for 192.0.2.129/32 is not routable
*Feb 3 16:15:35.791: NHRP-DETAIL: Multipath recursive nexthop lookup(if_in:, netid:1) for 192.0.2.129 in vrf: B(0x4) yielded N/A, Virtual-Access1
*Feb 3 16:15:35.791: NHRP: Sending error indication. Reason: 'Cache pak failure' LINE: 13798
*Feb 3 16:15:35.791: NHRP: Attempting to send packet through interface Virtual-Access1 via DEST dst 192.0.2.129
*Feb 3 16:15:35.791: NHRP-DETAIL: Multipath recursive nexthop lookup(if_in:, netid:1) for 192.0.2.129 in vrf: B(0x4) yielded 192.0.2.129, Virtual-Access1
*Feb 3 16:15:35.791: NHRP: Send Error Indication via Virtual-Access1 vrf: B(0x4), packet size: 132
*Feb 3 16:15:35.791: src: 192.0.2.130, dst: 192.0.2.129
.
*Feb 3 16:15:35.791: (M) error code: protocol address unreachable(6), offset: 0
*Feb 3 16:15:35.791: src NBMA: 203.0.113.6
*Feb 3 16:15:35.791: src protocol: 192.0.2.130, dst protocol: 192.0.2.129
*Feb 3 16:15:35.813: NHRP: No need to delay processing of resolution event nbma src:203.0.113.6 nbma dst:203.0.113.10
*Feb 3 16:15:35.813: NHRP-CACHE: Virtual-Access1: Cache update for target 192.0.2.129/32 vrf: B(0x4) label none next-hop 192.0.2.129
*Feb 3 16:15:35.813: 203.0.113.10 (flags:0x2280)
*Feb 3 16:15:35.813: NHRP-RT: Adding route entry for 192.0.2.129/32 via 192.0.2.129, Virtual-Access1 vrf: B(0x4)) to RIB
*Feb 3 16:15:35.814: NHRP-RT: Route addition to RIB Successful
.
*Feb 3 16:15:35.841: NHRP-RT: Route entry 192.0.2.129/32 via 192.0.2.129 (Vi1) clobbered by distance
*Feb 3 16:15:35.847: NHRP-RT: Unable to stop route watch for 192.0.2.129/32 interface Virtual-Access1 . No handle
*Feb 3 16:15:35.847: NHRP-RT: Adding route entry for 192.0.2.129/32 via 192.0.2.129, Virtual-Access1 vrf: B(0x4)) to RIB
*Feb 3 16:15:35.847: NHRP-RT: Route addition failed (admin-distance)
*Feb 3 16:15:35.847: NHRP-RT: nexthop-override added to RIB
.
*Feb 3 16:15:37.167: NHRP: Sending NHRP Resolution Request for dest: 198.51.100.9 to nexthop: 198.51.100.9 using our src: 192.0.2.130 vrf: B(0x4)
*Feb 3 16:15:37.167: NHRP: Attempting to send packet through interface Tunnel1 via DEST dst 198.51.100.9
*Feb 3 16:15:37.167: NHRP-DETAIL: First hop route lookup for 198.51.100.9 yielded 192.0.2.1, Tunnel1
*Feb 3 16:15:37.167: NHRP: Send Resolution Request via Tunnel1 vrf: B(0x4), packet size: 72
*Feb 3 16:15:37.167: src: 192.0.2.130, dst: 198.51.100.9
.
*Feb 3 16:15:37.167: src NBMA: 203.0.113.6
*Feb 3 16:15:37.167: src protocol: 192.0.2.130, dst protocol: 198.51.100.9
*Feb 3 16:30:57.768: NHRP-CACHE: Virtual-Access1: Cache add for target 198.51.100.8/29 vrf: B(0x4) label none next-hop 192.0.2.129
*Feb 3 16:30:57.768: 203.0.113.10 (flags:0x1000)
*Feb 3 16:30:57.768: NHRP-RT: Adding route entry for 198.51.100.8/29 via 192.0.2.129, Virtual-Access1 vrf: B(0x4)) to RIB
*Feb 3 16:30:57.769: NHRP-RT: Route addition failed (admin-distance)
*Feb 3 16:30:57.769: NHRP-RT: nexthop-override added to RIB
*Feb 3 16:30:57.769: NHRP-EVE: NHP-UP: 192.0.2.129, NBMA: 203.0.113.10
*Feb 3 16:30:57.769: %DMVPN-5-NHRP_NHP_UP: Virtual-Access1: Next Hop NHP : (Tunnel: 192.0.2.129 NBMA: 203.0.113.10) for (Tunnel: 192.0.2.130 NBMA: 203.0.113.6) is UP
*Feb 3 16:30:57.769: NHRP-CACHE: Deleting incomplete entry for 198.51.100.9/32 interface Tunnel1 vrf: B(0x4)
*Feb 3 16:30:57.769: NHRP-EVE: NHP-DOWN: 198.51.100.9, NBMA: 198.51.100.9
*Feb 3 16:30:57.436: NHRP-CACHE: Virtual-Access1: Internal Cache add for target 198.51.100.0/29 vrf: B(0x4) label none next-hop 192.0.2.130
*Feb 3 16:30:57.436: 203.0.113.6 (flags:0x20)
*Feb 3 16:30:57.436: NHRP: Attempting to send packet through interface Virtual-Access1 via DEST dst 192.0.2.129
*Feb 3 16:30:57.436: NHRP-DETAIL: Multipath recursive nexthop lookup(if_in:, netid:1) for 192.0.2.129 in vrf: B(0x4) yielded 192.0.2.129, Virtual-Access1
*Feb 3 16:30:57.436: NHRP: Send Resolution Reply via Virtual-Access1 vrf: B(0x4), packet size: 120
*Feb 3 16:30:57.436: src: 192.0.2.130, dst: 192.0.2.129
.
*Feb 3 16:30:57.437: src NBMA: 203.0.113.10
*Feb 3 16:30:57.437: src protocol: 192.0.2.129, dst protocol: 198.51.100.1
.
*Feb 3 16:30:57.437: client NBMA: 203.0.113.6
*Feb 3 16:30:57.437: client protocol: 192.0.2.130
*Feb 3 16:30:57.437: NHRP: 144 bytes out Virtual-Access1
Verifieer de EIGRP-topologie voor de introductie van de samenvattende route:
Controleer de aanwezigheid van een samenvatting van de route:
Probeer een spraakgestuurde tunnel in te stellen door verkeer te initiëren:
Opnieuw verifiëren:
Er is een zeer kleine verandering in de debugs-uitvoer voor spaken netwerkinstallatie waar het toont route-installatie succesvol in plaats van RIB-storing en het toevoegen van NHO:
*Feb 3 16:43:38.957: NHRP-CACHE: Virtual-Access1: Cache add for target 198.51.100.8/29 vrf: B(0x4) label none next-hop 192.0.2.131
*Feb 3 16:43:38.957: 203.0.113.10 (flags:0x1000)
*Feb 3 16:43:38.957: NHRP-RT: Adding route entry for 198.51.100.8/29 via 192.0.2.131, Virtual-Access1 vrf: B(0x4)) to RIB
*Feb 3 16:43:38.957: NHRP-RT: Route addition to RIB Successful
*Feb 3 16:43:38.957: NHRP-EVE: NHP-UP: 192.0.2.131, NBMA: 203.0.113.10
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
2.0 |
06-May-2025
|
Eerste release, opmaak. |
1.0 |
25-Feb-2025
|
Eerste vrijgave |