FlexVPN Spoke to Spoke configureren en oplossen via EIGRP

Inleiding

Dit document beschrijft de implementatie en probleemoplossing van Cisco FlexVPN met behulp van IKEv2 en NHRP voor directe crypto-tunnels voor clients.

Voorwaarden

• Configuratie van Flex VPN-hub en Flex VPN-client

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• IKEv2
• Routegebaseerde VPN
• Virtual Tunnel Interfaces (VTI)
• NHRP
• IPSEC
• EIGRP
• VRF-Lite

Gebruikte componenten

De informatie in dit document is gebaseerd op: 

• Cisco IOS XE 17.9.4a

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Schaalbaarheid

FlexVPN kan eenvoudig worden uitgebreid van kleine kantoren naar grote bedrijfsnetwerken. Het kan veel VPN-verbindingen beheren zonder veel extra werk, wat geweldig is voor organisaties die groeien of veel externe gebruikers hebben.

Belangrijkste kenmerken

• Dynamische configuratie en on-demand tunnels:
  • Virtual Tunnel Interfaces (VTI): FlexVPN maakt gebruik van VTI's die naar behoefte kunnen worden gemaakt en verwijderd. Dit betekent dat VPN-tunnels alleen worden ingesteld wanneer er verkeer is en worden verwijderd wanneer dit niet nodig is, waardoor bronnen worden bespaard en de schaalbaarheid wordt verbeterd.
  • Dynamische routeringsprotocollen: Het werkt met routeringsprotocollen zoals OSPF, EIGRP en BGP over VPN-tunnels. Hierdoor blijft routeringsinformatie automatisch bijgewerkt, wat belangrijk is voor grote en dynamische netwerken.
• Flexibiliteit bij implementatie:
  • Hub-and-Spoke Model: Een centrale hub verbindt meerdere filialen. FlexVPN vereenvoudigt het instellen van deze verbindingen met één framework, waardoor het ideaal is voor grote netwerken.
  • Full Mesh en Partial Mesh Topologies: Alle sites kunnen rechtstreeks communiceren zonder door een centrale hub te gaan, waardoor vertraging wordt verminderd en de prestaties worden verbeterd.
• Hoge beschikbaarheid en redundantie:
  • Redundante hubs: ondersteunt meerdere hubs voor back-up. Als een hub uitvalt, kunnen takken verbinding maken met een andere hub, waardoor continue connectiviteit wordt gewaarborgd.
  • Load Balancing: verdeelt VPN-verbindingen over meerdere apparaten om te voorkomen dat één apparaat overbelast raakt, wat cruciaal is voor het behoud van de prestaties in grote implementaties.
• Schaalbare verificatie en autorisatie:
  • AAA-integratie: werkt met AAA-servers zoals Cisco ISE of RADIUS voor gecentraliseerd beheer van gebruikersreferenties en -beleid, essentieel voor grootschalig gebruik.
  • PKI en certificaten: ondersteunt Public Key Infrastructure (PKI) en digitale certificaten voor veilige verificatie, die schaalbaarder is dan het gebruik van vooraf gedeelde sleutels, vooral in grote omgevingen.

Achtergrondinformatie

FlexVPN en NHRP

De FlexVPN-server biedt de functionaliteit aan de serverzijde van FlexVPN. De FlexVPN-client maakt een beveiligde IPsec VPN-tunnel tussen een FlexVPN-client en een andere FlexVPN-server.

NHRP is een Address Resolution Protocol (ARP)-achtig protocol dat problemen met het netwerk van niet-broadcast multiaccess (NBMA) verlicht. Met NHRP leren NHRP-entiteiten die zijn aangesloten op een NBMA-netwerk dynamisch het NBMA-adres van de andere entiteiten die deel uitmaken van dat netwerk, waardoor deze entiteiten rechtstreeks kunnen communiceren zonder dat verkeer een tussenliggende hop hoeft te gebruiken.

De FlexVPN Spoke to Spoke-functie integreert NHRP- en FlexVPN-client (spoke) om een direct cryptokanaal met een andere client in een bestaand FlexVPN-netwerk op te zetten. De verbindingen zijn gebouwd met behulp van virtual tunnel interfaces (VTI), IKEv2 en NHRP, waarbij NHRP wordt gebruikt voor het oplossen van de FlexVPN-clients in het netwerk.

Cisco raadt aan ervoor te zorgen dat:

• Routeringsgegevens worden niet uitgewisseld tussen spaken. Een belangrijke overweging, die later wordt uitgelegd naarmate we verder gaan met het oplossen van problemen met op EIGRP gebaseerde topologie.

• Voor de spaken worden verschillende profielen gebruikt en de opdracht config-exchange is niet geconfigureerd voor de spaken.

NHRP-proces

De afbeelding toont de verkeersstroom tussen Spoke 1 en Spoke 2, met netwerken 198.51.100.0/29/24 en 198.51.100.8/29, beide geadverteerd via EIGRP die rechtstreeks naar de spokes kijken via de hub. Hier is hoe de verkeersstroom eruit ziet wanneer communicatie tot stand wordt gebracht tussen Spoke 1 (198.51.100.0/29/24) en Spoke 2 (198.51.100.8/29).

1. Host1 verzendt verkeer dat is bestemd voor Host2. Route-opzoeken bij host 1 resulteert in het doorsturen naar de hub-tunnelinterface omdat de hub dat netwerk via EIGRP adverteert.
2. Wanneer het verkeer de hub bereikt, bevestigt hub end route-lookup dat spoke 2-netwerk 198.51.100.8/29 wordt geleerd via spoke 2 virtual-access.
3. Hub initieert NHRP-redirect omdat beide virtuele toegangsinterfaces (spoke 1 en spoke 2) deel uitmaken van hetzelfde NHRP-netwerk met dezelfde NHRP-netwerk-ID.
4. Bij ontvangst van de omleiding initieert Spoke1 een resolutieverzoek voor het spoke 2-netwerk via de tunnelinterface (dezelfde interface waarover het de omleiding ontving). Spoke 2 herhaalt hetzelfde proces voor het afwikkelingsverzoek van het spoke 1-netwerk.
5. Spoke2 ontvangt het resolutieverzoek op de tunnelinterface en haalt het virtuele sjabloonnummer op zoals gedefinieerd in de configuratie. Het virtuele sjabloonnummer wordt gebruikt om de virtuele toegangsinterface te maken om een crypto-sessie tussen twee spaken tot stand te brengen. Zodra de crypto-SA's tussen de twee spaken zijn geïnstalleerd, installeren beide spaken routes van next-hop IP-adres geleerd via IPSEC na de oprichting van virtuele toegangsinterfaces.
6. Beide spaken gaan vervolgens verder met het verifiëren van de bereikbaarheid van de volgende hop voordat ze de resolutiebeantwoording verzenden via de nieuw gemaakte interface voor virtuele toegang voor spraak-tot-spaak-connectiviteit.
7. Zodra de volgende hop is bereikt, sturen beide sprekers een resolutieantwoord naar elkaar.
8. Beide spaken kunnen nu elk van hun netwerk overschrijven next-hop IP-adres voor virtuele toegang via NHO.
9. Spoke1 installeert de nodige cachegegevens voor Spoke2's next-hop IP en zijn netwerk. Spoke1 verwijdert ook het tijdelijke cacheitem dat naar de hub wijst om het netwerk onder tunnelinterface1 op te lossen.
10. Dezelfde stap wordt herhaald door spoke 2, het installeert ook cachevermeldingen voor spoke 1 next-hop IP en het netwerk dat verder gaat in het verwijderen van de oude hub-ingang via de tunnel.
11. NHRP voegt snelkoppelingsroutes toe als de next-hop override (NHO) of H (NHRP) route.

FlexVPN Spoke to Spoke configureren met behulp van EIGRP

topologiediagram

Belangrijkste overwegingen voor op EIGRP gebaseerde topologie

Voordat we overgaan tot configuratie, zijn er enkele belangrijke concepten die we moeten begrijpen:

• Voor elke EIGRP-implementatie, als spaken een volledige routeringstabel van andere spaken of alleen overzichtsroutes ontvangen, moet een prefixlijst aan de hubzijde worden geïnstalleerd voor uitgaande routeringupdates om tunnelIP-adressen van spaken te filteren die in elkaar moeten worden geadverteerd.

• De gesplitste horizon in EIGRP werkt anders dan in IBGP. EIGRP stopt alleen advertentienetwerken uit een interface waar ze van geleerd zijn. De hub heeft bijvoorbeeld twee spaken, waarvan de ene is verbonden via virtual-access 1 en de andere via virtual-access 2-interfaces. Routes geleerd door hub via VA 1 van Spoke 1 worden geadverteerd terug naar spoke 2 via VA 2 en vice versa omdat VA 1 en VA 2 verschillende interfaces zijn. In het geval van IBGP adverteert het geen netwerken die zijn geleerd van zijn peer-back naar een andere peer. In een soortgelijk voorbeeld adverteert een hub die is geconfigureerd met IBGP niet voor netwerken die het heeft geleerd van VA 1 tot VA 2 en vice versa.

• Dit gedrag in EIGRP leidt tot een conflict in de CEF-nabijheid voor het volgende IP-adres van de hop (een IP-adres van een virtuele toegangsinterface voor een spraakgestuurde tunnel), aangezien dit eerst via EIGRP wordt geleerd met behulp van een hub-tunnelinterface en vervolgens via IPsec met behulp van een virtuele toegangsinterface. Dat veroorzaakt asymmetrische routering voor NHRP-verkeer en resulteert ook in een dubbele NHRP-vermelding in de NHRP-tabel en dubbele NHO-vermeldingen in de routeringstabel, evenals voor zowel de volgende hop-interfaces (tunnel via hub) als (virtuele toegang via spaak).

• De virtuele sjabloon aan de kant van de hub moet IP hebben uit een andere pool dan spaaktunnelinterfaces, omdat we uitgaande EIGRP-updates willen filteren om ervoor te zorgen dat de hub en spaakgestuurde EIGRP-peering niet wordt beïnvloed.

Hier zijn twee voorbeelden die laten zien hoe u FlexVPN kunt configureren met behulp van EIGRP op de FlexVPN-server en de FlexVPN-client. We hebben best practices gevolgd voor het scheiden van ondergronds en overlay-verkeer door ze beide in specifieke VRF's te plaatsen. VRF A is voor ondervloer, terwijl B wordt gebruikt voor overlay.

Voorbeeld 1 - Gebruik NHO (next-hop-override) voor gesproken communicatie

FlexVPN-server

ip local pool FLEXPOOL 192.0.2.129 192.0.2.254

crypto ikev2 authorization policy CISCO_FLEX
 pool FLEXPOOL
 def-domain cisco.com
 route set interface

crypto ikev2 proposal CISCO_PROP
 encryption aes-gcm-256
 prf sha256
 group 21

crypto ikev2 policy CISCO_POL 
 match fvrf A
 proposal CISCO_PROP

crypto ikev2 profile CISCO_IKEV2
 match fvrf A
 match identity remote fqdn domain cisco.com
 identity local fqdn hub.cisco.com
 authentication remote pre-share key cisco
 authentication local pre-share key cisco
 aaa authorization group psk list default CISCO_FLEX
 virtual-template 1

crypto ipsec transform-set CISCO_TRANSFORM esp-aes 256 esp-sha256-hmac 
 mode transport

crypto ipsec profile CISCO_PROF
 set transform-set CISCO_TRANSFORM 
 set pfs group19
 set ikev2-profile CISCO_IKEV2

interface Loopback0
 ip vrf forwarding B
 ip address 192.0.2.1 255.255.255.255

interface GigabitEthernet1
 ip vrf forwarding A
 ip address 203.0.113.2 255.255.255.252

interface Virtual-Template1 type tunnel
 ip vrf forwarding B
 ip unnumbered Loopback0
 ip nhrp network-id 1
 ip nhrp redirect
 tunnel vrf A
 tunnel protection ipsec profile CISCO_PROF

ip prefix-list CISCO_PREFIX seq 5 deny 192.0.2.128/25 le 32
ip prefix-list CISCO_PREFIX seq 6 permit 0.0.0.0/0 le 32

router eigrp B
!
address-family ipv4 unicast vrf B autonomous-system 1
!
af-interface default
hello-interval 2
hold-time 10
exit-af-interface
!
topology base
distribute-list prefix CISCO_PREFIX out 
exit-af-topology
network 192.0.2.128 0.0.0.127
network 192.0.2.1 0.0.0.0
exit-address-family

FlexVPN-client 1

ip host vrf A hub.cisco.com 203.0.113.2

crypto ikev2 authorization policy CISCO_FLEX
 route set interface

crypto ikev2 proposal CISCO_PROP
 encryption aes-gcm-256
 prf sha256
 group 21

crypto ikev2 policy CISCO_POL 
 match fvrf A
 proposal CISCO_PROP

crypto ikev2 client flexvpn CISCO_CLIENT
 peer 1 fqdn hub.cisco.com dynamic
 client connect Tunnel1

crypto ikev2 profile CISCO_IKEV2
 match fvrf A
 match identity remote fqdn domain cisco.com
 identity local fqdn spoke1.cisco.com
 authentication remote pre-share key cisco
 authentication local pre-share key cisco
 aaa authorization group psk list default CISCO_FLEX
 virtual-template 1

crypto ipsec transform-set CISCO_TRANSFORM esp-aes 256 esp-sha256-hmac 
 mode transport

crypto ipsec profile CISCO_PROF
 set transform-set CISCO_TRANSFORM 
 set pfs group19
 set ikev2-profile CISCO_IKEV2

interface Tunnel1
 ip vrf forwarding B
 ip address negotiated
 ip nhrp network-id 1
 ip nhrp shortcut virtual-template 1
 tunnel source GigabitEthernet1
 tunnel destination dynamic
 tunnel vrf A
 tunnel protection ipsec profile CISCO_PROF
end

interface GigabitEthernet1
 ip vrf forwarding A
 ip address 203.0.113.6 255.255.255.252

interface Loopback1
 ip vrf forwarding B
 ip address 198.51.100.1 255.255.255.248

interface Virtual-Template1 type tunnel
 ip vrf forwarding B
 ip unnumbered Tunnel1
 ip nhrp network-id 1
 ip nhrp shortcut virtual-template 1
 tunnel vrf A
 tunnel protection ipsec profile CISCO_PROF

router eigrp B
 address-family ipv4 unicast vrf B autonomous-system 1

 af-interface default
  hello-interval 2
  hold-time 10
  passive-interface
 exit-af-interface

 af-interface Tunnel1
  no passive-interface
 exit-af-interface

  topology base
  exit-af-topology
  network 198.51.100.0 0.0.0.7
  network 192.0.2.128 0.0.0.127
 exit-address-family

FlexVPN Client 2

ip host vrf A hub.cisco.com 203.0.113.2

crypto ikev2 authorization policy CISCO_FLEX
 route set interface

crypto ikev2 proposal CISCO_PROP
 encryption aes-gcm-256
 prf sha256
 group 21

crypto ikev2 policy CISCO_POL 
 match fvrf A
 proposal CISCO_PROP

crypto ikev2 client flexvpn CISCO_CLIENT
 peer 1 fqdn hub.cisco.com dynamic
 client connect Tunnel1

crypto ikev2 profile CISCO_IKEV2
 match fvrf A
 match identity remote fqdn domain cisco.com
 identity local fqdn spoke2.cisco.com
 authentication remote pre-share key cisco
 authentication local pre-share key cisco
 aaa authorization group psk list default CISCO_FLEX
 virtual-template 1

crypto ipsec transform-set CISCO_TRANSFORM esp-aes 256 esp-sha256-hmac 
 mode transport

crypto ipsec profile CISCO_PROF
 set transform-set CISCO_TRANSFORM 
 set pfs group19
 set ikev2-profile CISCO_IKEV2

interface Tunnel1
 ip vrf forwarding B
 ip address negotiated
 ip nhrp network-id 1
 ip nhrp shortcut virtual-template 1
 tunnel source GigabitEthernet1
 tunnel destination dynamic
 tunnel vrf A
 tunnel protection ipsec profile CISCO_PROF
end

interface GigabitEthernet1
 ip vrf forwarding A
 ip address 203.0.113.10 255.255.255.252

interface Loopback1
 ip vrf forwarding B
 ip address 198.51.100.9 255.255.255.248

interface Virtual-Template1 type tunnel
 ip vrf forwarding B
 ip unnumbered Tunnel1
 ip nhrp network-id 1
 ip nhrp shortcut virtual-template 1
 tunnel vrf A
 tunnel protection ipsec profile CISCO_PROF

router eigrp B
 address-family ipv4 unicast vrf B autonomous-system 1

 af-interface default
  hello-interval 2
  hold-time 10
  passive-interface
 exit-af-interface

 af-interface Tunnel1
  no passive-interface
 exit-af-interface

  topology base
  exit-af-topology
  network 198.51.100.8 0.0.0.7
  network 192.0.2.128 0.0.0.127
 exit-address-family

Voorbeeld 2 - Gebruik NHRP-geïnstalleerde routes voor gesproken communicatie

FlexVPN-server

De enige wijziging in de EIGRP-configuratie is de invoering van beknopte routes in plaats van een volledige routeringstabel op spaken. Zorg ervoor dat u de virtuele sjabloon omlaag brengt om de samenvattende configuratie in de EIGRP-topologie te duwen. Raadpleeg de Cisco-bug-ID CSCwn84303.

router eigrp B
!
address-family ipv4 unicast vrf B autonomous-system 1
!
af-interface default
hello-interval 2
hold-time 10
exit-af-interface
!
af-interface Virtual-Template1
summary-address 198.51.100.0 255.255.255.0 <<<<<<<<<<< Summary address
exit-af-interface
!
topology base
distribute-list prefix CISCO_PREFIX out 
exit-af-topology
network 192.0.2.128 0.0.0.127
network 192.0.2.1 0.0.0.0
exit-address-family

Verificatie en probleemoplossing

Voorbeeld 1 - Gebruik NHO (next-hop-override) voor gesproken communicatie

Spreekster 1 (Spreekster vóór Spreekster NHRP Resolution & Tunnel Establishment)

Spreekster 2 (vóór spreekster NHRP Resolution & Tunnel Establishment)

Spreekbeurt 1 (Na gesproken te hebben met NHRP Resolution & Tunnel Establishment)

Start ICMP om de spaaktspaaktunnel te activeren:

Snelkoppeling NHRP controleren:

NHO-routes controleren na het maken van snelkoppelingen:

NHRP-tellers controleren:

Spreekbeurt 2 (na gesproken te hebben met NHRP Resolution & Tunnel Establishment)

Snelkoppeling NHRP controleren:

NHO-routes controleren na het maken van snelkoppelingen:

NHRP-tellers controleren:

Hier is een stap-voor-stap uitleg over hoe een directe sprak-tot-sprak tunnel wordt vastgesteld met behulp van debugs van een van de spaken.

• Woordvoerder 1 startte ICMP:

Spoke1#ping vrf B 198.51.100.9 source 198.51.100.1 repeat 1
Type escape sequence to abort.
Sending 1, 100-byte ICMP Echos to 198.51.100.9, timeout is 2 seconds:
Packet sent with a source address of 198.51.100.1 
!
Success rate is 100 percent (1/1), round-trip min/avg/max = 111/111/111 ms

• De hub ontving ICMP en startte omleiding (verkeersindicatie) naar beide spaken:

*Feb 3 16:15:35.280: NHRP: Receive Traffic Indication via Tunnel1 vrf: B(0x4), packet size: 104
.
*Feb 3 16:15:35.280: (M) traffic code: redirect(0)
*Feb 3 16:15:35.280: src NBMA: 203.0.113.2
*Feb 3 16:15:35.280: src protocol: 192.0.2.1, dst protocol: 198.51.100.1
.
*Feb 3 16:15:35.281: NHRP-DETAIL: NHRP traffic indication for afn 1 received on interface Tunnel1 , for vrf: B(0x4) label: 0

• Beide woordvoerders hebben een resolutieverzoek ingediend dat door tunnel1 is gegaan:

*Feb 3 16:15:35.295: NHRP: Sending NHRP Resolution Request for dest: 198.51.100.9 to nexthop: 198.51.100.9 using our src: 192.0.2.130 vrf: B(0x4)
*Feb 3 16:15:35.295: NHRP: Attempting to send packet through interface Tunnel1 via DEST dst 198.51.100.9
*Feb 3 16:15:35.295: NHRP-DETAIL: First hop route lookup for 198.51.100.9 yielded 192.0.2.1, Tunnel1
*Feb 3 16:15:35.295: NHRP: Send Resolution Request via Tunnel1 vrf: B(0x4), packet size: 72
*Feb 3 16:15:35.295: src: 192.0.2.130, dst: 198.51.100.9
.
*Feb 3 16:15:35.296: src NBMA: 203.0.113.6
*Feb 3 16:15:35.296: src protocol: 192.0.2.130, dst protocol: 198.51.100.9

• Beide woordvoerders hebben via Tunnel1 een verzoek tot oplossing ontvangen:

*Feb 3 16:15:35.392: NHRP: Receive Resolution Request via Tunnel1 vrf: B(0x4), packet size: 92
.
*Feb 3 16:15:35.392: src NBMA: 203.0.113.10
*Feb 3 16:15:35.392: src protocol: 192.0.2.129, dst protocol: 198.51.100.1
*Feb 3 16:15:35.392: (C-1) code: no error(0), flags: none
.
*Feb 3 16:15:35.392: NHRP-DETAIL: Resolution request for afn 1 received on interface Tunnel1 , for vrf: B(0x4) label: 0

• Beide woordvoerders hebben de route opgezocht voor hun lokale netwerken 198.51.100.0/29/24 en 198.51.100.8/29:

*Feb 3 16:15:35.392: NHRP-DETAIL: Multipath IP route lookup for 198.51.100.1 in vrf: B(0x4) yielded Loopback1, pfx:198.51.100.0/29 (netid_in:1 if_in:Tunnel1)
*Feb 3 16:15:35.392: NHRP: Route lookup for destination 198.51.100.1 in vrf: B(0x4) yielded interface Loopback1, prefixlen 29
.
*Feb 3 16:15:35.392: NHRP: We are egress router. Process the NHRP Resolution Request.
.
*Feb 3 16:15:35.393: NHRP-DETAIL: Multipath IP route lookup for 198.51.100.1 in vrf: B(0x4) yielded Loopback1, pfx:198.51.100.0/29 (netid_in:1 if_in:Tunnel1)
*Feb 3 16:15:35.393: NHRP: nhrp_rtlookup for 198.51.100.1 in vrf: B(0x4) yielded interface Loopback1, prefixlen 29, label none(0)
*Feb 3 16:15:35.393: NHRP-DETAIL: netid_out 0, netid_in 1
*Feb 3 16:15:35.393: NHRP: We are egress router for target 198.51.100.1, recevied via Tunnel1 vrf: B(0x4)

• Resolutiereactie werd in de wachtrij geplaatst en IPsec-vestiging werd gestart omdat beide woordvoerders nu op de hoogte zijn van elkaars NBMA-adressen:

*Feb 3 16:15:35.393: NHRP: Checking for delayed event 192.0.2.129/198.51.100.1 on list (Tunnel1 vrf: B(0x4))
*Feb 3 16:15:35.393: NHRP: No delayed event node found.
*Feb 3 16:15:35.394: NHRP-DETAIL: Updated delayed event with ep src:203.0.113.6 dst:203.0.113.10 ivrf:B
*Feb 3 16:15:35.394: NHRP: Enqueued Delaying resolution request nbma src:203.0.113.6 nbma dst:203.0.113.10 reason:IPSEC-IFC: need to wait for IPsec SAs.
*Feb 3 16:15:35.394: NHRP: Interface: Tunnel1 configured with FlexVPN. Deferring cache creation for nhop 192.0.2.129
*Feb 3 16:15:35.406: %LINEPROTO-5-UPDOWN: Line protocol on Interface Virtual-Access1, changed state to down
*Feb 3 16:15:35.456: NHRP: Virtual-Access1: Tunnel mode changed from 
'Uninitialized tunnel mode' to 'GRE over point to point IPV4 tunnel mode'
*Feb 3 16:15:35.456: NHRP: Virtual-Access1: NHRP not enabled in delay_if_up
*Feb 3 16:15:35.511: NHRP: Registration with Tunnels Decap Module succeeded
*Feb 3 16:15:35.511: NHRP: Rejecting addr type 1
*Feb 3 16:15:35.511: NHRP: Adding all static maps to cache
*Feb 3 16:15:35.511: NHRP-DETAIL: Adding summary-prefix entry: nhrp router block not configured
*Feb 3 16:15:35.512: NHRP: 
*Feb 3 16:15:35.512: Instructing NHRP to create Virtual-Access from Virtual template 1 for interface Virtual-Access1
*Feb 3 16:15:35.537: %SYS-5-CONFIG_P: Configured programmatically by process Crypto INT from console as console
*Feb 3 16:15:35.539: NHRP-CACHE: Virtual-Access1: Cache add for target 192.0.2.130/32 vrf: B(0x4) label none next-hop 192.0.2.130
*Feb 3 16:15:35.540: 203.0.113.6 (flags:0x20)
.
*Feb 3 16:15:35.548: NHRP: Updating delayed event with destination 203.0.113.10 on interfaceTunnel1 with the new interface Virtual-Access1 
*Feb 3 16:15:35.788: NHRP: 
*Feb 3 16:15:35.788: Fetched address from underlying IKEv2 for interfaceVirtual-Access1. Pre-NATed = 203.0.113.6, Post-NATed = UNKNOWN
*Feb 3 16:15:35.788: %DMVPN-5-CRYPTO_SS: Virtual-Access1: local address : 203.0.113.6 remote address : 203.0.113.10 socket is UP

• Tijdens de IPSEC-oprichting en het NHRP-sneltoetsingsproces leerden en installeerden beide spokes elkaars tunnel-ip-adressen in hun routeringstabel als IPSEC-route en onderzochten de bereikbaarheid van de volgende hop:

*Feb 3 16:15:35.788: NHRP: Processing delayed event on interface Tunnel1 with NBMA 203.0.113.10
.
*Feb 3 16:15:35.789: NHRP-CACHE: Virtual-Access1: Cache add for target 192.0.2.129/32 vrf: B(0x4) label none next-hop 192.0.2.129
*Feb 3 16:15:35.789: 203.0.113.10 (flags:0x2080)
*Feb 3 16:15:35.789: NHRP-RT: Adding route entry for 192.0.2.129/32 via 192.0.2.129, Virtual-Access1 vrf: B(0x4)) to RIB
*Feb 3 16:15:35.791: NHRP-RT: Route addition to RIB Successful 
*Feb 3 16:15:35.791: NHRP-EVE: NHP-UP: 192.0.2.129, NBMA: 203.0.113.10
*Feb 3 16:15:35.791: %DMVPN-5-NHRP_NHP_UP: Virtual-Access1: Next Hop NHP : (Tunnel: 192.0.2.129 NBMA: 203.0.113.10) for (Tunnel: 192.0.2.130 NBMA: 203.0.113.6) is UP
*Feb 3 16:15:35.791: NHRP-CACHE: 
*Feb 3 16:15:35.791: Next-hop not reachable for 192.0.2.129
*Feb 3 16:15:35.791: %NHRP-5-NHOP_UNREACHABLE: Nexthop address 192.0.2.129 for 192.0.2.129/32 is not routable

• Tot de voltooiing van de snelkoppeling installatie en NHO, sprak A voerde de volgende hop opzoeken van virtuele toegang IP-adressen van sprak B en vice versa, maar de volgende hoop opzoeken keerde terug "leverde N / A" als gevolg waarvan sprak A stuurde een foutmelding naar sprak B bevestigen volgende hop is onbereikbaar. De specifieke lookup kan worden aangeduid als een multi-path lookup:

*Feb 3 16:15:35.791: NHRP-DETAIL: Multipath recursive nexthop lookup(if_in:, netid:1) for 192.0.2.129 in vrf: B(0x4) yielded N/A, Virtual-Access1
*Feb 3 16:15:35.791: NHRP: Sending error indication. Reason: 'Cache pak failure' LINE: 13798
*Feb 3 16:15:35.791: NHRP: Attempting to send packet through interface Virtual-Access1 via DEST dst 192.0.2.129
*Feb 3 16:15:35.791: NHRP-DETAIL: Multipath recursive nexthop lookup(if_in:, netid:1) for 192.0.2.129 in vrf: B(0x4) yielded 192.0.2.129, Virtual-Access1
*Feb 3 16:15:35.791: NHRP: Send Error Indication via Virtual-Access1 vrf: B(0x4), packet size: 132
*Feb 3 16:15:35.791: src: 192.0.2.130, dst: 192.0.2.129
.
*Feb 3 16:15:35.791: (M) error code: protocol address unreachable(6), offset: 0 
*Feb 3 16:15:35.791: src NBMA: 203.0.113.6
*Feb 3 16:15:35.791: src protocol: 192.0.2.130, dst protocol: 192.0.2.129

• Zodra NHO de volgende stap zette en de snelkoppeling werd gemaakt, stuurden beide woordvoerders opnieuw resolutieverzoeken uit voor elk van hun netwerken:

*Feb 3 16:15:35.813: NHRP: No need to delay processing of resolution event nbma src:203.0.113.6 nbma dst:203.0.113.10
*Feb 3 16:15:35.813: NHRP-CACHE: Virtual-Access1: Cache update for target 192.0.2.129/32 vrf: B(0x4) label none next-hop 192.0.2.129
*Feb 3 16:15:35.813: 203.0.113.10 (flags:0x2280)
*Feb 3 16:15:35.813: NHRP-RT: Adding route entry for 192.0.2.129/32 via 192.0.2.129, Virtual-Access1 vrf: B(0x4)) to RIB
*Feb 3 16:15:35.814: NHRP-RT: Route addition to RIB Successful 
.
*Feb 3 16:15:35.841: NHRP-RT: Route entry 192.0.2.129/32 via 192.0.2.129 (Vi1) clobbered by distance
*Feb 3 16:15:35.847: NHRP-RT: Unable to stop route watch for 192.0.2.129/32 interface Virtual-Access1 . No handle
*Feb 3 16:15:35.847: NHRP-RT: Adding route entry for 192.0.2.129/32 via 192.0.2.129, Virtual-Access1 vrf: B(0x4)) to RIB
*Feb 3 16:15:35.847: NHRP-RT: Route addition failed (admin-distance) 
*Feb 3 16:15:35.847: NHRP-RT: nexthop-override added to RIB 
.
*Feb 3 16:15:37.167: NHRP: Sending NHRP Resolution Request for dest: 198.51.100.9 to nexthop: 198.51.100.9 using our src: 192.0.2.130 vrf: B(0x4)
*Feb 3 16:15:37.167: NHRP: Attempting to send packet through interface Tunnel1 via DEST dst 198.51.100.9
*Feb 3 16:15:37.167: NHRP-DETAIL: First hop route lookup for 198.51.100.9 yielded 192.0.2.1, Tunnel1
*Feb 3 16:15:37.167: NHRP: Send Resolution Request via Tunnel1 vrf: B(0x4), packet size: 72
*Feb 3 16:15:37.167: src: 192.0.2.130, dst: 198.51.100.9
.
*Feb 3 16:15:37.167: src NBMA: 203.0.113.6
*Feb 3 16:15:37.167: src protocol: 192.0.2.130, dst protocol: 198.51.100.9

• Nadat beide woordvoerders voor elk van hun netwerken een verzoek om oplossing hadden ontvangen, verving NHO de EIGRP-route via de tunnel (HUB) door virtuele toegang:

*Feb 3 16:30:57.768: NHRP-CACHE: Virtual-Access1: Cache add for target 198.51.100.8/29 vrf: B(0x4) label none next-hop 192.0.2.129
*Feb 3 16:30:57.768: 203.0.113.10 (flags:0x1000)
*Feb 3 16:30:57.768: NHRP-RT: Adding route entry for 198.51.100.8/29 via 192.0.2.129, Virtual-Access1 vrf: B(0x4)) to RIB
*Feb 3 16:30:57.769: NHRP-RT: Route addition failed (admin-distance) 
*Feb 3 16:30:57.769: NHRP-RT: nexthop-override added to RIB 
*Feb 3 16:30:57.769: NHRP-EVE: NHP-UP: 192.0.2.129, NBMA: 203.0.113.10
*Feb 3 16:30:57.769: %DMVPN-5-NHRP_NHP_UP: Virtual-Access1: Next Hop NHP : (Tunnel: 192.0.2.129 NBMA: 203.0.113.10) for (Tunnel: 192.0.2.130 NBMA: 203.0.113.6) is UP
*Feb 3 16:30:57.769: NHRP-CACHE: Deleting incomplete entry for 198.51.100.9/32 interface Tunnel1 vrf: B(0x4)
*Feb 3 16:30:57.769: NHRP-EVE: NHP-DOWN: 198.51.100.9, NBMA: 198.51.100.9

• Daarna sturen beide sprekers een resolutieantwoord uit via de virtuele toegangsinterface:

*Feb 3 16:30:57.436: NHRP-CACHE: Virtual-Access1: Internal Cache add for target 198.51.100.0/29 vrf: B(0x4) label none next-hop 192.0.2.130
*Feb 3 16:30:57.436: 203.0.113.6 (flags:0x20)
*Feb 3 16:30:57.436: NHRP: Attempting to send packet through interface Virtual-Access1 via DEST dst 192.0.2.129
*Feb 3 16:30:57.436: NHRP-DETAIL: Multipath recursive nexthop lookup(if_in:, netid:1) for 192.0.2.129 in vrf: B(0x4) yielded 192.0.2.129, Virtual-Access1
*Feb 3 16:30:57.436: NHRP: Send Resolution Reply via Virtual-Access1 vrf: B(0x4), packet size: 120
*Feb 3 16:30:57.436: src: 192.0.2.130, dst: 192.0.2.129
.
*Feb 3 16:30:57.437: src NBMA: 203.0.113.10
*Feb 3 16:30:57.437: src protocol: 192.0.2.129, dst protocol: 198.51.100.1
.
*Feb 3 16:30:57.437: client NBMA: 203.0.113.6
*Feb 3 16:30:57.437: client protocol: 192.0.2.130
*Feb 3 16:30:57.437: NHRP: 144 bytes out Virtual-Access1 

Voorbeeld 2 - Gebruik NHRP-geïnstalleerde routes voor gesproken communicatie

FlexVPN-server

Verifieer de EIGRP-topologie voor de introductie van de samenvattende route:

FlexVPN-clients

Controleer de aanwezigheid van een samenvatting van de route:

Probeer een spraakgestuurde tunnel in te stellen door verkeer te initiëren:

Opnieuw verifiëren:

Er is een zeer kleine verandering in de debugs-uitvoer voor spaken netwerkinstallatie waar het toont route-installatie succesvol in plaats van RIB-storing en het toevoegen van NHO:

*Feb 3 16:43:38.957: NHRP-CACHE: Virtual-Access1: Cache add for target 198.51.100.8/29 vrf: B(0x4) label none next-hop 192.0.2.131
*Feb 3 16:43:38.957: 203.0.113.10 (flags:0x1000)
*Feb 3 16:43:38.957: NHRP-RT: Adding route entry for 198.51.100.8/29 via 192.0.2.131, Virtual-Access1 vrf: B(0x4)) to RIB
*Feb 3 16:43:38.957: NHRP-RT: Route addition to RIB Successful 
*Feb 3 16:43:38.957: NHRP-EVE: NHP-UP: 192.0.2.131, NBMA: 203.0.113.10

Gerelateerde informatie

• FlexVPN Spoke configureren voor Spoke
• FlexVPN sprak in Redundant Hub Design met FlexVPN Client Block Configuration Voorbeeld