Brak zapytania NHRP na spoke / IOS-XE 16.6.6

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
jinx_20
wannabe
wannabe
Posty: 200
Rejestracja: 15 wrz 2009, 09:51

Brak zapytania NHRP na spoke / IOS-XE 16.6.6

#1

#1 Post autor: jinx_20 » 12 lut 2020, 14:56

Mam sieć DMVPN gdzie jeden z routerów na spoke to 4331 z IOS-XE 16.6.6, wszystkie pozostałe to ISR 2900. Konfiguracja na każdym spoke analogiczna.

Problem w tym, że ten jeden z IOS-XE z jakiegoś powodu w ogóle nie generuje NHRP request o adres NBMA pozostałych spoke. W konsekwencji cały ruch w jednym kierunku zawsze idzie przez haba. Na 2900 takiego problemu nie ma, normalnie jest zapytanie i odpowiedź NHRP.

Teraz pytanie, ktoś z Was może potwierdzić, że NHRP na 4331 z IOS-XE 16.6.6 działa poprawnie? Dodam, że tunel jest w front-VRF z włączoną protekcją IPsec.

Tak wygląda tablica NHRP dla adresów o które 4331 nie wystosowuje zapytania NHRP:

Kod: Zaznacz cały

10.0.0.6/32 via 10.0.0.6
   Tunnel0 created 00:02:06, expire 00:00:58
   Type: dynamic, Flags: nf 
   NBMA address: adres_IP_huba 
ciekawe są flagi nf, na temat których nie mogę znaleźć żadnej informacji.
Pozdrawiam,
jinx

martino76
CCIE
CCIE
Posty: 847
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

Re: Brak zapytania NHRP na spoke / IOS-XE 16.6.6

#2

#2 Post autor: martino76 » 13 lut 2020, 12:04

Odnosnie flagi zerknij na https://www.ciscolive.com/c/dam/r/cisco ... C-4054.pdf page 49 :)

Pozdro,

jinx_20
wannabe
wannabe
Posty: 200
Rejestracja: 15 wrz 2009, 09:51

Re: Brak zapytania NHRP na spoke / IOS-XE 16.6.6

#3

#3 Post autor: jinx_20 » 14 lut 2020, 17:36

Dzięki.
Non-forwarding Entry (No Socket) - czyli jak by nie mógł zestawić crypto co nie jest prawdą bo IPsec bez problem się zestawia.

Nikt nie ma na żadnym spoke IOS-XE? :)
Pozdrawiam,
jinx

ODPOWIEDZ