已解决: 隧道之间未建立OSPF邻居关系

Translator · ‎04-13-2022

Hello,

我有两个位置A和B以及两个互联网服务提供商。对于一个isp隧道，其运行正常且具有ospf邻居关系。对于其他isp，ospf邻居关系不会强化。我可以从ISP IPping两个位置。我检查了两个位置上的ospf参数相同。如需更多详细信息，请告诉我其他信息。感谢任何帮助。

Location A




Tunnel configuration

interface Tunnel5
description tunnel to B location
bandwidth 50000
ip address 10.10.10.1 255.255.255.252
no ip redirects
ip mtu 1440
ip tcp adjust-mss 1400
ip ospf message-digest-key 1 md5 tunnelB
ip ospf cost 10
tunnel source GigabitEthernet0/0/1(2.2.2.2)
tunnel destination 1.1.1.1
tunnel key 5
tunnel vrf hello
tunnel protection ipsec profile P1 shared
end




OSPF

router ospf 1

area 0 authentication message-digest

network 10.10.10.0 0.0.0.3 area 0




sh ip ospf interface tunnel5
Tunnel5 is up, line protocol is down
Internet Address 10.10.10.1/30, Interface ID 75, Area 0
Attached via Network Statement
Process ID 1, Router ID 10.10.120.10, Network Type POINT_TO_POINT, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
Transmit Delay is 1 sec, State DOWN
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40




Location B

interface Tunnel5
description tunnel to A location
bandwidth 50000
ip address 10.10.10.2 255.255.255.252
no ip redirects
ip mtu 1440
ip tcp adjust-mss 1400
ip ospf message-digest-key 1 md5 tunnelB
ip ospf cost 10
tunnel source source GigabitEthernet0/0/2(1.1.1.1)
tunnel destination 2.2.2.2
tunnel key 5
tunnel vrf bye
tunnel protection ipsec profile P1 shared
end




OSPF

router ospf 1

area 0 authentication message-digest

network 10.10.10.0 0.0.0.3 area 0




Tunnel5 is up, line protocol is down
Internet Address 10.10.10.2/30, Interface ID 26, Area 0
Attached via Network Statement
Process ID 1, Router ID 10.10.30.15, Network Type POINT_TO_POINT, Cost: 10
Topology-MTID Cost Disabled Shutdown Topology Name
0 10 no no Base
Transmit Delay is 1 sec, State DOWN
Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
oob-resync timeout 40

谢谢，

标记

Translator · ‎04-13-2022

在使用VTI的隧道上，隧道上行协议关闭通常表示加密协商不成功。您能否附上从两台路由器用以下命令的输出？

show crypto ipsec sa

在原帖中查看解决方案

Translator · ‎04-13-2022

Hello,

几个注释/问题：

没有应用IPSec/OSPF，隧道是否工作？

如果是，请重新添加OSPF。

如果它工作，则可能是IPSec隧道的一部分。此外，我不确定确切的数量，但在GRE隧道上添加IPSec配置会添加更多我认为的报头。您可以尝试将MTU降低为1400，将TCP adjust-mss降低为1360

您是否还显示

debug ip ospf packets

和

debug crypto ipsec

命令

— 大卫

Translator · ‎04-13-2022

大卫，

谢谢您的回复。对于其他ISP，我的MTU和TCP adjust-mss配置相同。效果不错。不能在生产路由器上执行调试。上次我调试了，结果挂了。我不得不去数据中心重新启动它。我还能给你什么吗？

谢谢，

标记

Translator · ‎04-13-2022

明白。

在两台路由器上均可以：

show ip protocols

show ip interface brief

show ip route

此外，您是否在工作路由器上具有相同的IPSec配置文件？

另一个问题。您能否执行terminal monitor命令查看登录会话中的错误消息，以查看OSPF是否尝试建立邻接关系并获取消息？通常，您会看到邻居船试图形成但未建立的输出。

Translator · ‎04-13-2022

两个隧道使用相同的密钥？

如果使用同一密钥，请更改密钥

Translator · ‎04-13-2022

hello

两个位置能否相互到达源/目的地址？
它们是否位于正确的vrf中？
在隧道上添加相同的vrf，可能

capability vrf-lite

到ospf stanza

interface Tunnel5
description tunnel to B location
tunnel source source GigabitEthernet0/0/2(1.1.1.1 <   is this the correct interface
tunnel vrf hello < ------different vrf


interface Tunnel5
description tunnel to A location
tunnel source GigabitEthernet0/0/1(2.2.2.2)<   is this the correct interface
tunnel vrf bye < ------different vrf

可能会继续追加此

router ospf xx
capability vrf-lite

Translator · ‎04-13-2022

在使用VTI的隧道上，隧道上行协议关闭通常表示加密协商不成功。您能否附上从两台路由器用以下命令的输出？

show crypto ipsec sa

Translator · ‎04-13-2022

hello
如上所述，隧道位于不同的vrf中，因此请从隧道中移除它们并进行测试，否则，请确保源接口和传输接口也位于相同的vrf rib表中。

Translator · ‎04-13-2022

谢谢@Richard伯茨。你说得对。缺少加密密钥。问题已解决。

Translator · ‎04-13-2022

标记

不客气。我很高兴我的建议将您指向解决方案。感谢您将此问题标记为已解决。这将帮助社区中的其他参与者确定包含有用信息的讨论。此社区是提问和学习网络的绝佳场所。希望您继续活跃在社区中。

Translator · ‎04-13-2022

感谢您@paul驾 @MHM思科世 @David规则。加密密钥出现问题。我修好了。一旦隧道开启。ospf邻居关系自动建立。感谢您的努力和时间。谢谢。