Cisco DMVPN 第 3 阶段问题

网络工程 思科
2021-07-18 19:36:31

我希望有人能够对我遇到的问题有所了解。我创建了一个实验室,它是一个多区域 Hub 和 Spoke 网络。有 5 个区域枢纽和 1 个中央枢纽。每个区域有 4 个辐条。

当我尝试将阶段 3 用于 DMVPN 时,我的问题就出现了。我想我知道发生了什么,只是不太确定如何修复它。基本上,我将尝试从辐条外的计算机 ping 到中央集线器。前几个 ping 通过,然后不会再通过 ping。当第一个 ping 发送通过时,它们应该遍历整个网络(主机-分支-区域集线器-中央集线器)。建立 NHRP 映射后,它会尝试对该连接进行点对点连接,但由于隧道位于不同的子网上,因此会中断网络。以下是相关网络信息:

所有路由器都运行 EIGRP (AS 1)。所有邻居都已正确创建,并且路由表已按照我的预期填充。

区域到中心枢纽网络是隧道 0。172.16.0.0/24 网络。

区域到分支网络是隧道 1。172.16.1.0/24 网络。

所有外部接口都在 192.168.1.0/24 网络上。

内部接口遵循以下方案:10.region.spoke.0/24(Central 为 10.0.0.0/24,Regional Hubs 为 10.region.0.0/24)。

非常感谢您提供的任何见解。

2个回答

所以我们得到了 CenterHubx1->RegionHubx5->Spokesx4->Computer

计算机 ping -> Hub ,在 Spoke 上执行 nhrp 查找,设置到 CenterHub 的新隧道。

问题 Spoke vpn 在子网 172.16.1/24 和集线器 172.16.0/24 中

Spoke 不应尝试建立与 CenterHub 的直接连接,而应尝试与它的 RegionHub 的其他辐条建立直接连接

为了防止这种情况,请为不同的隧道子网使用不同的 NHRP 网络 ID

引用:

NHRP 网络 ID 用于定义 NHRP 接口的 NHRP 域

问题可能出在 GRE 密钥上。

集线器路由器上的所有隧道必须具有相同的 GRE 密钥(否则辐条无法将数据包发送到未连接的集线器 - 请仔细考虑),这意味着您必须在集线器路由器上拥有多个 IP 地址以终止 GRE 隧道(因为您无法通过 GRE 密钥区分它们)。

其它你可能感兴趣的问题
上一篇ASA 5505 远程访问 VPN - 已建立连接,但没有互联网/访问内部子网 下一篇RSTP:成对使用交换机到两个交换机?