Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели

Rendering Error in layout Widget/Social: Call to a member function exists() on null. Please enable debug mode for more information.

TOLLIFi
Автор темы
Не в сети
COM_KUNENA_SAMPLEDATA_RANK_MODERATOR
TOLLIFi Inc.

Больше

10 года 8 мес. назад - 4 года 7 мес. назад #15 от TOLLIFi

TOLLIFi создал тему: Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели

DMVPN (Dynamic Multipoint VPN) - в настоящее время популярная технология, упрощающая администрирование распределенных VPN-сетей, все более вытесняющая peer-to-peer VPN на основе IPsec, Crypto Map и Reverse-Route (RRI). В основном все решения в корпоративных DMVPN-сетях построены с использованием IPsec, Multipoint GRE-туннелей и протокола NHRP (Next-Hop Resolution Protocol).

Ниже приведено краткое описание структуры и принципов функционирования DMVPN-сетей (перевод с англ.яз., источник 'nil.com'), а также примеры собственных рабочих конфигураций сетей Hub-and-Spoke, с некоторыми модификациями + в прикрепленных файлах - подробная документация по построению масштабируемых DMVPN-сетей с примерами.

ОБЩЕЕ ОПИСАНИЕ И ПРИНЦИП РАБОТЫ

--- ПРОСТАЯ DMVPN-СЕТЬ >>>

ВНИМАНИЕ: Спойлер!

--- СХЕМЫ ПОСТРОЕНИЯ DMVPN И ОПТИМИЗАЦИЯ ПОТОКА ТРАФИКА >>>

ВНИМАНИЕ: Спойлер!

Существуют две основные схемы построения DMVPN:

- Spoke-to-Spoke DMVPN.
- Hub-and-Spoke DMVPN.

1. Spoke-to-Spoke. В данном варианте шифрованный GRE-туннельный трафик выбирает оптимальный маршрут в Internet, напрямую инициируя шифрованный туннель с конечной точкой (Site-маршрутизатором). В данном случае необходимо наличие актуальной информации в таблице маршрутизации на всех Site- и Hub-маршрутизаторах.

В примере (см. рисунок) пакет с адресом назначения другого Site-маршрутизатора вызывает NHRP для поиска внешнего (internet) IP-адреса Site по его внутреннему DMVPN-IP-адресу (адрес next-hop для туннельного интерфейса). Пакет отправляется через Hub (Central Site), пока осуществляется процесс NHRP-mapping и затем устанавливает временный IPsec-туннель напрямую с Site-маршрутизатором назначения. После чего, в итоге, весь трафик между Site-to-Site ходит напрямую без участия Hub. Если обмен данными прекращается и таймеры NHRP истекли, то динамические записи NHRP в маршрутизаторах удаляются, IKE/IPsec туннель отключается.

Пример файла конфигурации [Central Site]:

!
crypto ipsec transform-set TS esp-aes-256 esp-sha-hmac
!
crypto ipsec profile GRE
 set transform-set TS
!
interface Tunnel0
 ip address 10.100.1.1 255.255.255.0
 ip mtu 1300
 ip nhrp authentication wHaTeV3R
 ip nhrp map multicast dynamic
 ip nhrp network-id 1234
 ip nhrp holdtime 300
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 1234
 tunnel protection ipsec profile GRE
!

Пример файла конфигурации [Remote Site]:

!
crypto ipsec transform-set TS esp-aes-256 esp-sha-hmac
!
crypto ipsec profile GRE
 set transform-set TS
!
interface Tunnel0
 ip address 10.100.1.2 255.255.255.0
 ip mtu 1300
 ip nhrp authentication wHaTeV3R
 ip nhrp map 10.100.1.1 200.1.2.3
 ip nhrp map multicast 200.1.2.3
 ip nhrp network-id 1234
 ip nhrp holdtime 300
 ip nhrp map nhs 10.100.1.1
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 1234
 tunnel protection ipsec profile GRE
!

2. Hub-and-Spoke. Согласно данной схеме включения, каждый Site-маршрутизатор должен знать маршрут до Hub и не обязательно должен знать маршрут до другого Site, поскольку функцию перенаправления трафика берет на себя Hub, в котором должна быть полная таблица маршрутов до всех Site.

Одна из причин использования топологии Hub-and-Spoke, это использование на Site-сторонах NAT Overload (PAT) или невозможность взаимодействия Site-сторон напрямую друг с другом.

Еще причина использования данной топологии - использование одинакового адресного пространства на Site-сторонах + NAT/PAT.

Решением в данном случае является использование транспортного режима IPsec (mode transport) в место туннельного (который исп. по-умолчанию). Ограничением является то, что за NAT может находиться лишь один Site-маршрутизатор.

Пример конфигурации DMVPN в транспортном режиме IPsec:

!
crypto ipsec transform-set TS esp-aes-256 esp-sha-hmac
 mode transport
!
crypto ipsec profile GRE
 set transform-set TS
!
interface Tunnel0
 ip address 10.100.1.2 255.255.255.0
 ip nhrp authentication wHaTeV3R
 ip nhrp map multicast dynamic
 ip nhrp network-id 1234
 ip nhrp holdtime 300
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 1234
 tunnel protection ipsec profile GRE
!

Пример использования протокола OSPF/EIGRP в DMVPN для настройки Hub-and-Spoke и Spoke-to-Spoke, необходимо:

- ip ospf network point-to-multipoint - для организации Hub-and-Spoke. Для топологии Spoke-to-Spoke следует заменить конфигурацию на всех туннельных интерфейсах на ip ospf network broadcast.
- no ip split-horizon eigrp <AS> и no ip next-hop-self eigrp <AS> - на Hub для организации Spoke-to-Spoke при использовании EIGRP.

--- АДРЕСАЦИЯ И МАРШРУТИЗАЦИЯ DMVPN-СЕТЕЙ >>>

ВНИМАНИЕ: Спойлер!

--- ДОСТОИНСТВА И НЕДОСТАТКИ DMVPN-СЕТЕЙ >>>

ВНИМАНИЕ: Спойлер!

--- ПРИМЕР СХЕМЫ И РАБОЧЕЙ КОНФИГУРАЦИИ СЕТИ DUAL-HUB DMVPN >>>

ВНИМАНИЕ: Спойлер!

Пояснения к схеме (см.ниже):

- Используется два Hub-маршрутизатора для балансировки нагрузки сетевого трафика + повышение отказоустойчивости VPN-каналов.
- Sites поддерживаю одновременно две DMVPN-сети.
- Протокол маршрутизации OSPF.
- Топология Hub-and-Spoke.

Примеры файлов конфигурации:

1. [Hub1]:

!
hostname HUB1
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp identity address
crypto isakmp key SeCrEtKeY address 0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 10
crypto isakmp nat keepalive 5
!
crypto ipsec transform-set TS-DMVPN1 esp-3des esp-md5-hmac 
!
crypto ipsec profile PROFILE-DMVPN1
 description *** HUB to Site DMVPN IPSec GRE Profile ***
 set transform-set TS-DMVPN1 
!
interface Loopback0
 ip address 172.16.255.254 255.255.255.255
!
interface Tunnel1
 description *** Shared Tunnel Interface for Sites ***
 bandwidth 12000
 ip address 172.16.254.254 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication nh10001
 ip nhrp map multicast dynamic
 ip nhrp network-id 10001
 ip nhrp holdtime 300
 no ip split-horizon eigrp 1
 ip ospf network point-to-multipoint
 ip ospf cost 5
 ip ospf priority 10
 delay 1000
 tunnel source FastEthernet0/3/0
 tunnel mode gre multipoint
 tunnel key 10001
 tunnel protection ipsec profile PROFILE-DMVPN1
!
interface FastEthernet0/3/0
 description *** Internet ***
 ip address 1.1.1.234 255.255.255.248
!
router ospf 1
 router-id 172.16.255.254
 log-adjacency-changes
 passive-interface default
 no passive-interface Tunnel1
 network 10.0.0.0 0.255.255.255 area 0
 network 172.16.254.0 0.0.0.255 area 0
 network 172.16.255.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/3/0
!

2. [Hub2]:

!
hostname HUB2
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp identity address
crypto isakmp key SeCrEtKeY address 0.0.0.0 0.0.0.0 no-xauth
crypto isakmp keepalive 10
crypto isakmp nat keepalive 5
!
crypto ipsec transform-set TS-DMVPN1 esp-3des esp-md5-hmac 
!
crypto ipsec profile PROFILE-DMVPN1
 description *** HUB to Site DMVPN IPSec GRE Profile ***
 set transform-set TS-DMVPN1 
!
interface Loopback0
 ip address 172.16.255.253 255.255.255.255
!
interface Tunnel1
 description *** Shared Tunnel Interface for Sites ***
 bandwidth 12000
 ip address 172.16.253.254 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication nh10002
 ip nhrp map multicast dynamic
 ip nhrp network-id 10002
 ip nhrp holdtime 300
 no ip split-horizon eigrp 1
 ip ospf network point-to-multipoint
 ip ospf cost 5
 ip ospf priority 5
 delay 1000
 tunnel source FastEthernet0/3/0
 tunnel mode gre multipoint
 tunnel key 10002
 tunnel protection ipsec profile PROFILE-DMVPN1
!
interface FastEthernet0/3/0
 description *** Internet ***
 ip address 2.2.2.98 255.255.255.248
!
router ospf 1
 router-id 172.16.255.253
 log-adjacency-changes
 passive-interface default
 no passive-interface Tunnel1
 network 10.0.0.0 0.255.255.255 area 0
 network 172.16.253.0 0.0.0.255 area 0
 network 172.16.255.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/3/0
!

3. [Site1]:

!
hostname SITE1
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp identity address
crypto isakmp key SeKrEtKeY address 0.0.0.0 0.0.0.0
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
crypto isakmp nat keepalive 5
!
!
crypto ipsec transform-set TS-DMVPN esp-3des esp-md5-hmac 
!
crypto ipsec profile PROFILE-DMVPN
 description *** Sites to HUB DMVPN IPSec GRE Profile ***
 set transform-set TS-DMVPN 
!
interface Loopback0
 ip address 172.16.255.8 255.255.255.255
!
interface Tunnel1
 description *** Tunnel Interface to HUB1 ***
 bandwidth 8000
 ip address 172.16.254.8 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication nh10001
 ip nhrp map multicast 1.1.1.234
 ip nhrp map 172.16.254.254 1.1.1.234
 ip nhrp network-id 10001
 ip nhrp holdtime 300
 ip nhrp nhs 172.16.254.254
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 ip ospf cost 5
 ip ospf priority 0
 delay 1000
 keepalive 10 5
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 10001
 tunnel protection ipsec profile PROFILE-DMVPN shared
!
interface Tunnel2
 description *** Tunnel Interface to HUB2 ***
 bandwidth 8000
 ip address 172.16.253.8 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication nh10002
 ip nhrp map multicast 2.2.2.98
 ip nhrp map 172.16.253.254 2.2.2.98
 ip nhrp network-id 10002
 ip nhrp holdtime 300
 ip nhrp nhs 172.16.253.254
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 ip ospf cost 5
 ip ospf priority 0
 delay 1000
 keepalive 10 5
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 10002
 tunnel protection ipsec profile PROFILE-DMVPN shared
!
interface FastEthernet0/0
 description *** Internet ***
 ip address 11.11.11.133 255.255.255.192
!
router ospf 1
 router-id 172.16.255.8
 log-adjacency-changes
 passive-interface default
 no passive-interface Tunnel1
 no passive-interface Tunnel2
 network 10.0.0.0 0.255.255.255 area 0
 network 172.16.253.0 0.0.0.255 area 0
 network 172.16.254.0 0.0.0.255 area 0
 network 172.16.255.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!

4. [Site2]:

!
hostname SITE2
!
crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
crypto isakmp identity address
crypto isakmp key SeKrEtKeY address 0.0.0.0 0.0.0.0
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 10
crypto isakmp nat keepalive 5
!
!
crypto ipsec transform-set TS-DMVPN esp-3des esp-md5-hmac 
!
crypto ipsec profile PROFILE-DMVPN
 description *** Sites to HUB DMVPN IPSec GRE Profile ***
 set transform-set TS-DMVPN 
!
interface Loopback0
 ip address 172.16.255.5 255.255.255.255
!
interface Tunnel1
 description *** Tunnel Interface to HUB1 ***
 bandwidth 8000
 ip address 172.16.254.5 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication nh10001
 ip nhrp map multicast 1.1.1.234
 ip nhrp map 172.16.254.254 1.1.1.234
 ip nhrp network-id 10001
 ip nhrp holdtime 300
 ip nhrp nhs 172.16.254.254
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 ip ospf cost 5
 ip ospf priority 0
 delay 1000
 keepalive 10 5
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 10001
 tunnel protection ipsec profile PROFILE-DMVPN shared
!
interface Tunnel2
 description *** Tunnel Interface to HUB2 ***
 bandwidth 8000
 ip address 172.16.253.5 255.255.255.0
 no ip redirects
 ip mtu 1400
 ip nhrp authentication nh10002
 ip nhrp map multicast 2.2.2.98
 ip nhrp map 172.16.253.254 2.2.2.98
 ip nhrp network-id 10002
 ip nhrp holdtime 300
 ip nhrp nhs 172.16.253.254
 ip tcp adjust-mss 1360
 ip ospf network point-to-multipoint
 ip ospf cost 5
 ip ospf priority 0
 delay 1000
 keepalive 10 5
 tunnel source FastEthernet0/0
 tunnel mode gre multipoint
 tunnel key 10002
 tunnel protection ipsec profile PROFILE-DMVPN shared
!
interface FastEthernet0/0
 description *** Internet ***
 ip address 12.12.12.89 255.255.255.248
!
router ospf 1
 router-id 172.16.255.5
 log-adjacency-changes
 passive-interface default
 no passive-interface Tunnel1
 no passive-interface Tunnel2
 network 10.0.0.0 0.255.255.255 area 0
 network 172.16.253.0 0.0.0.255 area 0
 network 172.16.254.0 0.0.0.255 area 0
 network 172.16.255.0 0.0.0.255 area 0
!
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0
!

Чтобы скрыть все пароли от посторонних глаз, Cisco IOS поддерживает AES-шифрование Preshared Key (не путать с 'service password-encryption'!). Для этого необходимо задать "Master-Key", с помощью которого будет применяться симметричное AES-шифрование для текщих паролей ISAKMP в конфигурации и, собственно, активировать функцию шифрования.

пример:

HUB1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
HUB1 (config)# password encryption aes
HUB1 (config)# key config-key password-encrypt
New key:
Confirm key:
HUB1 (config)#
01:46:40: TYPE6_PASS: New Master key configured, encrypting the keys with
the new master key
HUB1 (config)# exit
HUB1 # show running-config | include crypto isakmp key
crypto isakmp key 6 CXWdhVTZYB_Vcd^`cIHDOahiFTa address 0.0.0.0 0.0.0.0

Примечания (подробнее см. в прикрепленных файлах):

- сети 10.0.0.0 0.0.0.255 - локальные сети маршрутизаторов.
- crypto ipsec profile PROFILE-DMVPN - используются профили IPsec вместо Crypto-Map, что упрощает конфигурацию, нет необходимости создавать отдельные ACL и назначать crypto-map на физические интерфейсы.
- mtu 1400 - стандартное значение для нормальной работы GRE IPsec (результаты добавления заголовков ESP + GRE + NAT).
- ip tcp adjust-mss 1360 - (не обязательное) максимальный размер сегмента (без IP-заголовков, которые составляют 20 байт) (Maximum Segment Size).
- ip ospf network point-to-multipoint - необходимо для организации Hub-and-Spoke. Для топологии Spoke-to-Spoke следует заменить конфигурацию на всех туннельных интерфейсах на ip ospf network broadcast.
- ip ospf cost 5 - цена маршрута. В нашем примере для Site-маршрутизаторов осуществляется равномерная балансировка между двумя DMVPN-туннелями. Для приоритезации какого-либо туннеля, необходимо изменить значения, к примеру, DMVPN1: ip ospf cost 5, DMVPN2: ip ospf cost 10.
- ip ospf priority 0 - важен для выбора DR и BDR в broadcast-сетях (в нашем случае сеть point-to-multipoint). Чем выше значение, тем вероятнее, что данный neighbor-маршрутизатор будет DR/BDR. На Site-маршрутизаторах следует всегда указывать значение 0.
- tunnel protection ipsec profile PROFILE-DMVPN shared - ...shared необходим в том случае, если туннельные интерфейсы имеют источником IP один и тот же физический интерфейс (tunnel source..., т.е. делят один сокет на двоих). В этом случае используется одна копия крипто-базы/ipsec-профиля на оба туннеля, иначе туннель может быть не установлен для одного из туннельных интерфейсов. К примеру, для создания нового GRE VPN с параметром 'source intrface ...' таким же как для DMVPN, то для GRE VPN должен исполльзоваться тот же IPsec-профиль, что и для DMVPN, т.е. необходимо прописать 'tunnel protection ipsec profile PROFILE-DMVPN shared'.
- crypto isakmp keepalive 10 - проверка состояния туннельного канала (посылка keepalive-сообщений каждые 10 сек.).
- crypto isakmp invalid-spi-recovery - при приеме ошибочных SPI-сообщений, peer реинициализирует ISAKMP SA (заново создает новое соединение) с источником сообщения (может стать причиной DoS-атак).

Это вложение скрыто для гостей.
Пожалуйста, зарегистрируйтесь или войдите, чтобы увидеть его.

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.

Последнее редактирование: 4 года 7 мес. назад пользователем TOLLIFi.

Спасибо сказали: pmytyuk, Igor, digra, egorchik39315, Sem, leonid.mykhalchuk

Пожалуйста Войти , чтобы присоединиться к беседе.

vov4egspb
Не в сети
COM_KUNENA_SAMPLEDATA_RANK1

Больше

10 года 6 мес. назад #24 от vov4egspb

vov4egspb ответил в теме Re: Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели

Помогите разобраться плиз!!!!

Есть хаб и несколько споков а точнее 7, после пропадания инета на хабе, 5 из 7 споков обратно сами не поднимаются, только если заходить на них и гасить/поднимать тунель....

Вот конфигурации тунеля:

ХАБ

interface Tunnel100
description DMVPN_Main
ip address 10.10.10.100 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map multicast dynamic
ip nhrp network-id 999
ip ospf network broadcast
qos pre-classify
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 1000

ПРОБЛЕМНЫЙ СПОК

interface Tunnel100
description DMVPN_Balkanskaya
ip address 10.10.10.106 255.255.255.0
no ip redirects
ip mtu 1416
ip flow ingress
ip flow egress
ip nhrp authentication nhrppass
ip nhrp map 10.10.10.100 93.*.*.*
ip nhrp map multicast 93.*.*.*
ip nhrp network-id 999
ip nhrp nhs 10.10.10.100
ip nhrp cache non-authoritative
ip ospf network broadcast
tunnel source FastEthernet1
tunnel mode gre multipoint
tunnel key 1000

СПОК НОРМАЛЬНО ФУНКЦИОНИРУЮЩИЙ

interface Tunnel100
description DMVPN_Mineralnaya
ip address 10.10.10.110 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map 10.10.10.100 93.*.*.*
ip nhrp map multicast 93.*.*.*
ip nhrp network-id 999
ip nhrp nhs 10.10.10.100
ip nhrp cache non-authoritative
no ip split-horizon
ip ospf network broadcast
qos pre-classify
tunnel source FastEthernet0/0
tunnel mode gre multipoint
tunnel key 1000

Заранее спасибо за помощь!!

Пожалуйста Войти , чтобы присоединиться к беседе.

TOLLIFi
Автор темы
Не в сети
COM_KUNENA_SAMPLEDATA_RANK_MODERATOR
TOLLIFi Inc.

Больше

10 года 6 мес. назад #25 от TOLLIFi

TOLLIFi ответил в теме Re: Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели

Установлен ли на Spoke-маршрутизаторах keepalive? Если - нет, то пропиши на них, к примеру, 10 сек.- isakmp-таймеры:

crypto isakmp keepalive 10

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.

Пожалуйста Войти , чтобы присоединиться к беседе.

vov4egspb
Не в сети
COM_KUNENA_SAMPLEDATA_RANK1

Больше

10 года 6 мес. назад #26 от vov4egspb

vov4egspb ответил в теме Re: Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели

не помогло.... ((

Пожалуйста Войти , чтобы присоединиться к беседе.

TOLLIFi
Автор темы
Не в сети
COM_KUNENA_SAMPLEDATA_RANK_MODERATOR
TOLLIFi Inc.

Больше

10 года 6 мес. назад #27 от TOLLIFi

TOLLIFi ответил в теме Re: Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели

В таком случае прошу в студию:
1. Серии роутеров и их IOS (Hub, Spoke-глючный, Spoke-не глючный).
2. Подробнее конфиги, включая ipsec, isakmp и tunnel на этих железках.
3. debug crypto isakmp error (по-возможности, только IP-внешние прикрой

)

Еще один вариант: попробовать установить Point-to-Mulipoint-режим OSPF, если прямой обмен между Spok'ами не нужен.

IT и Телеком: IP-телефония, интернет-технологии, программирование, web-сервисы.

Пожалуйста Войти , чтобы присоединиться к беседе.

vov4egspb
Не в сети
COM_KUNENA_SAMPLEDATA_RANK1

Больше

10 года 4 мес. назад #38 от vov4egspb

vov4egspb ответил в теме Re: Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели

Хелп! Есть проблема...

Cisco 2821. Настроен DMVPN 6 споков. Cisco тормозит безбожно, в консоли, пинги с задержкой в сети, по стоит погасить тунель mGRE, сразу все приходит в норму. Отключение споков по 1 результата не дало....

ХАБ настройки тунеля...:

interface Tunnel100
description DMVPN_Main
ip address 10.10.10.100 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map multicast dynamic
ip nhrp network-id 999
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 10
qos pre-classify
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 1000

СПОК настройки:

interface Tunnel100
description DMVPN_Balkanskaya
ip address 10.10.10.106 255.255.255.0
no ip redirects
ip mtu 1416
ip nhrp authentication nhrppass
ip nhrp map 10.10.10.100 93.153.*.*
ip nhrp map multicast 93.153.*.*
ip nhrp network-id 999
ip nhrp holdtime 60
ip nhrp nhs 10.10.10.100
ip nhrp registration timeout 60
ip nhrp cache non-authoritative
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
tunnel source FastEthernet1
tunnel mode gre multipoint
tunnel key 1000

Пожалуйста Войти , чтобы присоединиться к беседе.

Joomla Templates Best Joomla Templates Premium Joomla Templates Free Joomla Templates

Forum Login

Работает на Kunena форум

Dual-Hub DMVPN (Dynamic Multipoint VPN) - Настройка Hub-&-Spoke подключения, GRE over IPsec-туннели

Вложения: