CCIE.pl
site 4 CCIE wannabies

Security - 2x hub (DMVPN)

lukas - 26 October 2010, 23:26
Post subject: 2x hub (DMVPN)
Heja,

mam dziwny problem. A mianowicie mam 2 huby. Ostanio link do jednego padł. Po reloadzie reouterów tunel zapasowy się nie podnosi do końca.
Code:

!
crypto keyring ipsec-key vrf WWW
  pre-shared-key address 0.0.0.0 0.0.0.0 key xxxx
!
crypto isakmp policy 30
 encr aes 256
 authentication pre-share
 group 5
crypto isakmp profile WWW-ike
   keyring ipsec-key
   match identity address 0.0.0.0
   keepalive 180 retry 10
!
!
crypto ipsec transform-set WWW-trs-set esp-aes 256 esp-sha-hmac
!
crypto ipsec profile GREsec
 set security-association lifetime seconds 36600
 set transform-set WWW-trs-set
 set pfs group5
 set isakmp-profile WWW-ike
!
!
!
interface Tunnel85
 bandwidth 1000
 ip address 10.255.1.6 255.255.255.0
 no ip redirects
 ip mtu 1390
 ip nhrp authentication XXX
 ip nhrp map multicast dynamic
 ip nhrp map multicast 212.a.b.c
 ip nhrp map 10.255.1.1 212.a.b.c
 ip nhrp network-id 85
 ip nhrp holdtime 300
 ip nhrp nhs 10.255.1.1
 ip tcp adjust-mss 1350
 ip ospf network broadcast
 delay 1000
 cdp enable
 tunnel source FastEthernet4
 tunnel mode gre multipoint
 tunnel vrf WWW
 tunnel protection ipsec profile GREsec
!
interface Tunnel86
 ip address 10.255.3.6 255.255.255.0
 no ip redirects
 ip mtu 1390
 ip nhrp authentication YYY
 ip nhrp map multicast dynamic
 ip nhrp map multicast 77.x.y.z
 ip nhrp map 10.255.3.1 77.x.y.z
 ip nhrp network-id 86
 ip nhrp holdtime 300
 ip nhrp nhs 10.255.3.1
 ip tcp adjust-mss 1350
 ip ospf network broadcast
 delay 1000
 cdp enable
 tunnel source FastEthernet4
 tunnel mode gre multipoint
 tunnel vrf WWW
 tunnel protection ipsec profile GREsec
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
 ip vrf forwarding WWW
 ip address 83.q.w.e 255.255.255.252
 ip virtual-reassembly
 delay 1000
 duplex auto
 speed auto
!


Patent jest taki, kiedy zrobie reload routera isakmp się zestawia ale faza 2 jak by głupienie bo niby jest SA ale później znika potem znów się pojawia i nie mozna pingnąć końcówek tunelu z adresam 10.255.3.1 (10.255.1.1 leży, link padł). Dopiero jak położę ten tunel 85 to po chwili wszystko zaczyna działać. Mogę go przywrócić do stanu UP i jest git. Ale po reload nie działa nic, a powinno. Czy ktoś się spotakł z takim problemem?

dorvin - 27 October 2010, 07:52

Czy w logach na hubach pojawiają się jakieś dziwne wpisy? Jaka wersja softu?
Isam - 29 October 2010, 22:43

Konfiguracyjnie jeden myk....

Musisz zlapac front VRF w profilu isakmp

Code:
match identity address 0.0.0.0  {miejsce_na_twoj_FVRF_i_reklame}


A tak poza tym jakis debug ;-)

Code:
deb cry isa
deb cry ipse


Patrze i patrze ... dwa tunele, jeden source interfejs, jeden profil ipsec ... moze by tak "shared" na tunnel protection?

kktm - 29 October 2010, 23:13

Isam wrote:

Patrze i patrze ... dwa tunele, jeden source interfejs, jeden profil ipsec ... moze by tak "shared" na tunnel protection?


Isam, trop bardzo dobry

Ja bym jeszcze spróbował rozrózniać tunele za pomocą kluczy.


Code:
tunnel key .....


btw ta komenda ma impakt na jakies 7200/7600- juz nie pamietam. Więc testy z głową.


Powered by phpBB modified by Przemo © 2003 phpBB Group