отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

500
Просмотры
0
Полезный материал
1
Ответы
Anton84
Beginner

DMVPN + IPSEC падает туннель на одном споке

Добрый день, такая проблема: есть хаб удаленный и около 150 споков с ipsec.

На одном споке постоянно рвется туннель, когда поднимается может минут 5 висеть в 1 фазе, и только потом построить динамический туннель до другого спока.

Железо: CISCO2901/K9

Прошивка: c2900-universalk9-mz.SPA.157-3.M4a.bin

 

Конфиг спока:

crypto ipsec transform-set _transformSetN01 esp-aes esp-sha-hmac
mode transport
crypto ipsec df-bit clear
!
crypto ipsec profile _ipsecProfileN01
set transform-set _transformSetN01
!
interface Tunnel0
description DMVPN-A1
bandwidth 10000
ip address 10.0.2.178 255.255.254.0
no ip redirects
ip mtu 1400
ip nhrp authentication *******
ip nhrp network-id *******
ip nhrp holdtime 300
ip nhrp nhs 10.0.2.1 nbma X.X.X.X multicast
ip summary-address eigrp 65019 10.X.X.0 255.255.255.0
ip tcp adjust-mss 1360
delay 100
cdp enable
qos pre-classify
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key *********
tunnel path-mtu-discovery
tunnel protection ipsec profile _ipsecProfileN01

 

 

На остальных споках (модели разные 1941, 2941, 2921) такого не происходит с этими же настройками. ПРовайдер уверяет, что udp 500, 4500 не режет. В логах этого спока часто проскакивают:

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 720 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

Dec 15 03:16:00.651: IPSEC(ERROR): crypto_notify_rp Rejected notify RP, elapse time 724 < 1000

 

 

Помогите разобраться.

1 ОТВЕТ 1

Добрый день

Судя по тому, что не работает только один spoke и сотни, логичным будет предположить что проблема или в канале до спока, или в самом споке. Начать стоит с канала - проверить на нем соответствует ли его MTU заявленным 1440 байтам, а также достаточно ли емкости канала, нет ли на нем перегрузок. 

На споке можно включить debug dmvpn all all (только аккуратно, лучше это делать в технологическое окно).

Создать
Выразить признание своим коллегам
Content for Community-Ad

Сообщество Помогает Сообществу

Помощь по сообществу