当我尝试将第3阶段用于DMVPN时,我的问题来了。我想我知道发生了什么,但我不确定如何解决它。基本上,我将尝试通过计算机从辐条ping通到中央集线器。首先进行几次ping操作,然后不再进行其他ping操作。当第一个ping通过时,它们应遍历整个网络(主机分支区域中心集线器中心集线器)。建立NHRP映射后,由于隧道位于不同的子网中,因此它将尝试点对点建立该连接,并断开网络连接。以下是相关的网络信息:
所有路由器都在运行EIGRP(AS 1)。正确创建了所有邻居,并按预期填充了路由表。
区域中心到中心集线器网络是Tunnel0。172.16.0.0/ 24网络。
到Spoke网络的区域是Tunnel1。172.16.1.0/ 24网络。
所有外部接口都在192.168.1.0/24网络上。
内部接口遵循以下方案:10.region.spoke.0 / 24(中央为10.0.0.0/24,区域中心为10.region.0.0 / 24)。 br />
#1 楼
所以我们得到了CenterHubx1-> RegionHubx5-> Spokesx4-> Computer计算机pings->集线器,
在Spoke上进行nhrp查找,设置了通往CenterHub的新隧道。
/>子网172.16.1 / 24和集线器172.16.0 / 24中的问题Spoke vpn
Spoke不应尝试直接建立与CenterHub的直接连接,而只能尝试与它的RegionHub的其他分支建立直接连接
/>
为防止这种情况,请对不同的隧道子网使用不同的NHRP网络ID。
引用:
NHRP网络ID用来定义NHRP接口的NHRP域
评论
感谢您的答复。使用不同的网络ID可以使流量通过,但无法通过第3阶段(分支间流量必须通过集线器,而不是从分支到分支)。我已经设法使用PBR解决了我的问题,但是该解决方案无法很好地扩展。
–瑞安
15年7月4日在20:56
因此,您需要能够在任何设备之间设置动态隧道。我可以想到两个选择。 A.您是否尝试过将所有vpn放在同一子网中-凌乱的B. ip未编号,而ospf用于连接到LB
– Pieter
15年7月4日在22:41
是的,那是我解决问题的另一种方式。我将拓扑设计为在同一子网上都具有分层隧道。并不是真的设计了如何使用第3阶段,但它确实允许网络比其他DMVPN部署更好地扩展。
–瑞安
2015年7月5日,1:18
#2 楼
问题可能出在GRE密钥上。集线器路由器上的所有隧道必须具有相同的GRE密钥(否则,分支不能将数据包发送到未连接的集线器-仔细考虑),这意味着您必须在路由器上具有多个IP地址。集线器路由器终止GRE隧道(因为无法通过GRE密钥区分它们)。
评论
有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以发布并接受自己的答案。