FlexVPN迁移：从DMVPN的硬移动到在一台不同的集线器的FlexVPN

Size: px

Start display at page:

Download "FlexVPN迁移：从DMVPN的硬移动到在一台不同的集线器的FlexVPN"

带项
5 years ago
Views:

1 FlexVPN 迁移 : 从 DMVPN 的硬移动到在一台不同的集线器的 FlexVPN 目录简介先决条件要求使用的组件迁移步骤两区别集线器之间的硬迁移自定义方法网络拓扑传输网络网络拓扑结构重叠网络拓扑配置 DMVPN 配置分支 DMVPN 配置集线器 DMVPN 配置 FlexVPN 配置分支 FlexVPN 配置 FlexVPN 集线器上配置流量迁移移植到 BGP 作为重叠路由协议 [Recommended] 分支 BGP 配置集线器 BGP 配置对 BGP/FlexVPN 的迁移流量对新的通道的迁移有 EIGRP 的更新辐条配置更新 FlexVPN 集线器上配置 DMVPN 集线器 - 更新 BGP 配置 FlexVPN 集线器 - 更新 BGP 配置对 FlexVPN 的迁移流量验证步骤另外的考虑事项已经存在的 spoke-to-spoke 通道清楚 NHRP 条目已知问题说明相关信息

2 简介本文提供关于如何的信息从当前存在对在不同的集线器设备的 FlexVPN 的动态多点 VPN (DMVPN) 网络移植两个框架的 configuations 在设备共存在本文中, 仅多数常见情况显示 - 与使用的 DMVPN 验证的预共享密匙和增强的内部网关路由选择协议 (EIGRP) 作为路由协议在本文中, 对边界网关协议 (BGP) 的迁移, 是推荐的路由协议和少理想 EIGRP 被展示先决条件要求 Cisco 建议您具有以下主题的基础知识 : DMVPN FlexVPN 使用的组件 Note: 不是所有的软件和硬件支持互联网密钥交换版本 2 (IKEv2) 参考 Cisco Feature Navigator 欲知更多信息本文档中的信息基于以下软件和硬件版本 : 思科集成多业务路由器 (ISR) 版本 15.2(4)M1 或以上 Cisco 聚合服务路由器 1000 系列 (ASR1K) 版本 15.2(2)S2 或更新一个一更新的平台和软件的优点是能力使用下一代加密算法, 例如高级加密标准 (AES) Galois/ 计数器模式 (GCM) 加密在 Internet 协议安全性 (IPsec), 如请求注释 (RFC) 4106 所述 AES GCM 允许您到达在一些硬件的一更加快速的加密速度为了看到在使用和迁移的 Cisco 推荐到下一代加密算法, 参考下一代加密条款本文档中的信息都是基于特定实验室环境中的设备编写的本文档中使用的所有设备最初均采用原始 ( 默认 ) 配置如果您使用的是真实网络, 请确保您已经了解所有命令的潜在影响迁移步骤目前, 移植的推荐的方法从 DMVPN 到 FlexVPN 是为了同时运行两个的框架能在 ASR 3.10 版本安排此限制就该删除的对新的迁移功能介绍, 被跟踪在思科侧的 multilple 增强请求下, 包括 Cisco Bug ID CSCuc08066 那些功能应该取得到在 2013 年 6 月下旬两个框架在同样设备同时共存并且运行的迁移指软的迁移, 指示最小影响和平稳的故障切换从一个框架到另一个两个框架的配置共存的迁移, 但是同时不运行指硬迁移这表明从一个框架的一个切换到另一个含义缺乏在 VPN 的通信, 即使最小两区别集线器之间的硬迁移

3 在本文中, 从当前使用到一台新的 FlexVPN 集线器的 DMVPN 集线器的迁移讨论此迁移允许在 spoke 之间的相互来往已经被移植到 FlexVPN, 并且在 DMVPN 在多个相位仍然运行, 并且可以执行的那些, 在每分开发言在路由信息适当地填充条件下, 被移植的和 nonmigrated spoke 之间的通信应该依然是可能然而, 因为移植和 nonmigrated spoke 不构建在彼此之间的 spoke-to-spoke 通道另外的延迟可以被观察同时, 被移植的 spoke 应该能设立在他们自己之间的直接 spoke-to-spoke 通道同样适用于 nonmigrated spoke 直到这新建的迁移功能是可用的, 请完成这些步骤为了用一台不同的集线器进行迁移从 DMVPN 和 FlexVPN : 1. 验证在 DMVPN 的连接 2. 添加 FlexVPN 配置, 并且关闭属于新的配置的通道 3. ( 在维护窗口期间 ) 在每分支, 逐个, 请关闭 DMVPN 通道 4. 在分支和一样在步骤 3, unshut FlexVPN 隧道接口 5. 验证 spoke-to-hub 连接 6. 验证在 FlexVPN 内的 spoke-to-spoke 连接 7. 验证与 DMVPN 的 spoke-to-spoke 连接从 FlexVPN 8. 重复每步骤 3 至 7 分开发言 9. 如果遇到与在步骤描述的验证的任何问题 5, 6 或者 7, 请关闭 FlexVPN 接口和 unshut DMVPN 接口为了恢复到 DMVPN 10. 验证在备份的 DMVPN 的 spoke-to-hub 通信 11. 验证在备份的 DMVPN 的 spoke-to-spoke 通信自定义方法如果上一个方法也许不是您的佳解决方案由于您的网络或路由复杂性, 请开始与您的思科代表的一讨论, 在您移植前讨论自定义迁移进程是您的系统工程师或高级服务服务工程师的最好的人网络拓扑传输网络网络拓扑结构此图表显示主机典型的连接拓扑在互联网的 loopback0 ( ) 的集线器的 IP 地址用于为了终止 DMVPN IPSec 会话在新的集线器 ( ) 的 IP 地址使用 FlexVPN 注意两集线器之间的链路此链路是关键为了在迁移时允许 FlexVPN 和 DMVPN 网云之间的连接它允许 spoke 已经被移植到 FlexVPN 通信与 DMVPN 网络反之亦然重叠网络拓扑此拓扑图显示用于重叠的两独立的网云 :DMVPN ( 绿色连接 ) 和 FlexVPN ( 红色连接 ) LAN 前缀为对应的站点显示 /24 子网不表示实际子网根据接口编址, 然而代表 IP 空间大块投入 FlexVPN 网云在此后的基本原理是讨论以后在 FlexVPN 配置部分

4 配置此部分描述 DMVPN 和 FlexVPN 配置 DMVPN 配置此部分描述 DMVPN 星型网的基本配置预先共享密钥 (PSK) 使用 IKEv1 验证一旦 IPsec 设立, 从 spoke-to-hub 的下一跳解析协议 (NHRP) 注册进行, 以便集线器能了解 spoke 的非广播多路访问 (NBMA) 动态寻址当 NHRP 进行在分支和集线器时的注册, 路由 adjacancy 能设立, 并且路由可以被交换在本例中, EIGRP 使用作为一个基本路由协议覆盖网络分支 DMVPN 配置您能找到 DMVPN 和 EIGRP 的基本示例配置与 PSK 验证的作为路由协议 crypto isakmp policy 10 encr aes authentication pre-share crypto isakmp key cisco address crypto isakmp keepalive 30 5 crypto isakmp profile DMVPN_IKEv1 keyring DMVPN_IKEv1 match identity address crypto ipsec transform-set IKEv1 esp-aes esp-sha-hmac mode transport crypto ipsec profile DMVPN_IKEv1 set transform-set IKEv1 set isakmp-profile DMVPN_IKEv1 interface Tunnel0 ip address no ip redirects ip mtu 1400 ip nhrp map ip nhrp map multicast ip nhrp network-id 1 ip nhrp holdtime 900 ip nhrp nhs ip nhrp shortcut ip tcp adjust-mss 1360 tunnel source Ethernet0/0 tunnel mode gre multipoint tunnel protection ipsec profile DMVPN_IKEv1 router eigrp 100 network

5 network passive-interface default no passive-interface Tunnel0 集线器 DMVPN 配置在集线器上配置, 通道从 loopback0 来源用的 IP 地址其余是一台 DMVPN 集线器的一标准的部署有 EIGRP 的作为路由协议 crypto isakmp policy 10 encr aes authentication pre-share crypto isakmp key cisco address crypto ipsec transform-set IKEv1 esp-aes esp-sha-hmac mode transport crypto ipsec profile DMVPN_IKEv1 set transform-set IKEv1 interface Tunnel0 ip address no ip redirects ip mtu 1400 ip nhrp map multicast dynamic ip nhrp network-id 1 ip nhrp holdtime 900 ip nhrp server-only ip nhrp redirect ip summary-address eigrp ip tcp adjust-mss 1360 tunnel source Loopback0 tunnel mode gre multipoint tunnel protection ipsec profile DMVPN_IKEv1 router eigrp 100 network network passive-interface default no passive-interface Tunnel0 FlexVPN 配置 FlexVPN 根据这些同样基本的技术 : IPsec : 不同于在 DMVPN 的默认, IKEv2 用于而不是 IKEv1 为了协商 IPSec 安全关联 (SAS) IKEv2 提供在 IKEv1 的改进, 例如弹性和是需要的为了设立保护数据数据通道的通讯数量 GRE : 不同于 DMVPN, 使用静态和动态点对点接口和不仅一个静态 multpoint GRE 接口此配置允许已添加灵活性, 特别是每分支 / 每 HUB 行为 NHRP : 在 FlexVPN, NHRP 主要用于为了建立 spoke-to-spoke 通信 Spoke 不注册到集线器路由 : 由于 spoke 不进行 NHRP 注册到集线器, 您在其他机制必须取决于为了确保星型网能通信

6 双向可以使用对 DMVPN 的 Simliar, 动态路由协议然而, FlexVPN 允许您使用 IPsec 为了引入路由信息默认是介绍作为 IP 地址的 /32 路由在通道的另一侧, 允许 spoke-to-hub 直接通信在从 DMVPN 的硬迁移到 FlexVPN, 两 framemworks 在同样设备同时不运作然而, 推荐保持他们分开分离他们在几个级别上 : NHRP - 请使用一不同的 NHRP 网络 ID ( 建议使用 ) 路由 - 请使用分开的路由进程 ( 建议使用 ) 虚拟路由和转发 (VRF) - VRF 分离允许已添加灵活性, 但是没有讨论在这儿 ( 可选 ) 分支 FlexVPN 配置其中一差异在辐条配置里在与 DMVPN 比较的 FlexVPN 是您潜在有两个接口有 spoke-to-hub 通信的一个需要的通道和 spoke-to-spoke 通道的一个可选通道如果选择没有动态 spoke-to-spoke 隧道, 并且更喜欢一切通过集线器设备, 您能消除虚拟模板接口, 并且从隧道接口删除 NHRP 快捷方式交换注意静态隧道接口收到根据协商的 IP 地址这允许集线器动态地提供隧道接口 IP 地址给分支, 不用需要创建在 FlexVPN 网云的静态地址 aaa new-model aaa authorization network default local aaa session-id common crypto ikev2 profile Flex_IKEv2 match identity remote fqdn domain cisco.com local identity fqdn spoke.cisco.com authentication remote rsa-sig authentication local rsa-sig aaa authorization group cert list default default virtual-template 1 crypto ikev2 dpd 30 5 on-demand Note: 默认情况下, 本地标识设置为了使用 IP 地址因此在对等体的对应的匹配语句必须配比基于地址如果需求是匹配基于在 certifcate 的特有名 (DN), 则匹配必须完成与使用证书地图思科建议您以支持它的硬件使用 AES GCM crypto ipsec transform-set IKEv2 esp-gcm mode transport crypto ipsec profile default set ikev2-profile Flex_IKEv2! set transform-set IKEv2 interface Tunnel1 ip address negotiated ip mtu 1400 ip nhrp network-id 2 ip nhrp shortcut virtual-template 1 ip nhrp redirect ip tcp adjust-mss 1360

7 shutdown tunnel source Ethernet0/0 tunnel destination tunnel path-mtu-discovery tunnel protection ipsec profile default interface Virtual-Template1 type tunnel ip unnumbered Tunnel1 ip mtu 1400 ip nhrp network-id 2 ip nhrp shortcut virtual-template 1 ip nhrp redirect ip tcp adjust-mss 1360 tunnel path-mtu-discovery tunnel protection ipsec profile default 公共密钥基础设施 (PKI) 是执行大规模验证的推荐的方法在 IKEv2 然而, 只要您知道其限制, 您能仍然使用 PSK 这是使用 cisco 作为 PSK 的配置示例 crypto ikev2 keyring Flex_key peer Spokes address pre-shared-key local cisco pre-shared-key remote cisco crypto ikev2 profile Flex_IKEv2 match identity remote address authentication remote pre-share authentication local pre-share keyring local Flex_key aaa authorization group psk list default default virtual-template 1 crypto ikev2 dpd 30 5 on-demand FlexVPN 集线器上配置一般, 集线器只终止动态 spoke-to-hub 通道这就是为什么您没找到 FlexVPN 的一个静态隧道接口在集线器上配置反而, 使用虚拟模板接口 Note: 在集线器端, 您必须指示将分配的池地址到 spoke 从此池的地址是被添加的以后在路由表里作为 /32 路由每分支的 crypto ikev2 keyring Flex_key peer Spokes address pre-shared-key local cisco pre-shared-key remote cisco crypto ikev2 profile Flex_IKEv2 match identity remote address authentication remote pre-share authentication local pre-share keyring local Flex_key aaa authorization group psk list default default virtual-template 1

8 crypto ikev2 dpd 30 5 on-demand 思科建议您以支持它的硬件使用 AES GCM crypto ikev2 keyring Flex_key peer Spokes address pre-shared-key local cisco pre-shared-key remote cisco crypto ikev2 profile Flex_IKEv2 match identity remote address authentication remote pre-share authentication local pre-share keyring local Flex_key aaa authorization group psk list default default virtual-template 1 crypto ikev2 dpd 30 5 on-demand Note: 在此配置中, AES GCM 操作注释 crypto ikev2 keyring Flex_key peer Spokes address pre-shared-key local cisco pre-shared-key remote cisco crypto ikev2 profile Flex_IKEv2 match identity remote address authentication remote pre-share authentication local pre-share keyring local Flex_key aaa authorization group psk list default default virtual-template 1 crypto ikev2 dpd 30 5 on-demand 使用在 IKEv2 的验证, 同一个原理在集线器适用和在分支对于可扩展性和灵活性, 请使用证书然而, 您能重新使用 PSK 的相同的配置和在分支 Note:IKEv2 提供灵活性根据验证一端能验证与 PSK, 当另一侧使用 Rivest Shamir Adelman 签名时 (RSA-SIG) 如果需求是使用预共享密匙验证, 则配置更改类似于为分支路由器描述的那些此处相互 HUB BGP 连接确保集线器知道特定前缀哪里查找这变得愈加重要, 因为一些 spoke 被移植了到 FlexVPN, 当一些其他 spoke 在 DMVPN 时这是根据 DMVPN 集线器上配置的相互 HUB BGP 连接 : crypto ikev2 keyring Flex_key peer Spokes address pre-shared-key local cisco pre-shared-key remote cisco crypto ikev2 profile Flex_IKEv2

9 match identity remote address authentication remote pre-share authentication local pre-share keyring local Flex_key aaa authorization group psk list default default virtual-template 1 crypto ikev2 dpd 30 5 on-demand 流量迁移对 BGP 的迁移作为重叠路由协议 [Recommended] BGP 是根据单播交换的路由协议由于其特性, 它是在 DMVPN 网络的最好的扩展的协议在本例中, 使用内部 BGP (ibgp) 分支 BGP 配置分支迁移包括两部分首先, enable (event) BGP 作为动态路由 : crypto ikev2 keyring Flex_key peer Spokes address pre-shared-key local cisco pre-shared-key remote cisco crypto ikev2 profile Flex_IKEv2 match identity remote address authentication remote pre-share authentication local pre-share keyring local Flex_key aaa authorization group psk list default default virtual-template 1 crypto ikev2 dpd 30 5 on-demand 在 BGP 邻居出现 ( 看到下一部分 ) 后, 并且了解在 BGP 的新建的前缀, 您能摇摆从当前 DMVPN 网云的流量到一新的 FlexVPN 网云集线器 BGP 配置 FlexVPN 集线器 - 全双工 BGP 配置在集线器上, 为了避免保持每结邻配置分开发言, 配置动态监听程序在此设置, BGP 不首次新连接, 然而接受从 IP 地址的提供的池的连接在这种情况下, 前述池是 /24, 是所有在新的 FlexVPN 网云的地址注释的两点 : FlexVPN 集线器通告特定前缀到 DMVPN 集线器 ; 因而使用 unsupress 地图请通告 FlexVPN 子网 /24 对路由表或者确保 DMVPN 集线器看到 FlexVPN 集线器作为下一

10 跳本文显示后一个方案 access-list 1 permit any route-map ALL permit 10 match ip address 1 route-map SET_NEXT_HOP permit 10 set ip next-hop router bgp network bgp log-neighbor-changes bgp listen range /24 peer-group Spokes aggregate-address summary-only neighbor Spokes peer-group neighbor Spokes remote-as neighbor remote-as neighbor route-reflector-client neighbor unsuppress-map ALL neighbor route-map SET_NEXT_HOP out DMVPN 集线器 - 全双工 BGP 和 EIGRP 配置在 DMVPN 集线器的配置基本, 因为只接收从从 EIGRP 了解的 FlexVPN 集线器的特定前缀并且通告前缀 access-list 1 permit any route-map ALL permit 10 match ip address 1 route-map SET_NEXT_HOP permit 10 set ip next-hop router bgp network bgp log-neighbor-changes bgp listen range /24 peer-group Spokes aggregate-address summary-only neighbor Spokes peer-group neighbor Spokes remote-as neighbor remote-as neighbor route-reflector-client neighbor unsuppress-map ALL neighbor route-map SET_NEXT_HOP out 对 BGP/FlexVPN 的迁移流量如上所述, 您必须关闭 DMVPN 功能和提出 FlexVPN 为了进行迁移此步骤保证最小影响 : 1. 在每分支, 分开, 请输入此 :

11 access-list 1 permit any route-map ALL permit 10 match ip address 1 route-map SET_NEXT_HOP permit 10 set ip next-hop router bgp network bgp log-neighbor-changes bgp listen range /24 peer-group Spokes aggregate-address summary-only neighbor Spokes peer-group neighbor Spokes remote-as neighbor remote-as neighbor route-reflector-client neighbor unsuppress-map ALL neighbor route-map SET_NEXT_HOP out 这时, 请确保那里是没有 IKEv1 会话建立对此分支如果检查输出 show crypto isakmp sa 命令并且监控 crypto 记录日志生成的系统消息 session 命令, 这可以验证一旦这被确认, 您能继续启动 FlexVPN 2. 在同样分支, 请输入此 : access-list 1 permit any route-map ALL permit 10 match ip address 1 route-map SET_NEXT_HOP permit 10 set ip next-hop router bgp network bgp log-neighbor-changes bgp listen range /24 peer-group Spokes aggregate-address summary-only neighbor Spokes peer-group neighbor Spokes remote-as neighbor remote-as neighbor route-reflector-client neighbor unsuppress-map ALL neighbor route-map SET_NEXT_HOP out 验证步骤 IPsec 稳定性评估 IPsec 稳定性的最佳方法是监控与 crypto 记录日志会话配置 enabled 命令的 sylog 如果看到上升和下降的会话, 这能指示在必须更正的 IKEv2/FlexVPN 级别上的一问题, 在迁移能开始前填充的 BGP 信息如果 IPsec 稳定的, 请确保 BGP 表带有从 spoke 的从集线器的条目 ( 在集线器 ) 和摘要 ( 在 spoke) 一旦 BGP, 这可以用这些命令查看 :

12 access-list 1 permit any route-map ALL permit 10 match ip address 1 route-map SET_NEXT_HOP permit 10 set ip next-hop router bgp network bgp log-neighbor-changes bgp listen range /24 peer-group Spokes aggregate-address summary-only neighbor Spokes peer-group neighbor Spokes remote-as neighbor remote-as neighbor route-reflector-client neighbor unsuppress-map ALL neighbor route-map SET_NEXT_HOP out 这是正确信息示例从 FlexVPN 集线器的 : BGP router identifier , local AS number (...omitted...) Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd * :35: :24:12 4 输出显示集线器了解从其中每一个的一个前缀 spoke, 并且两个 spoke 是动态和明显的与星号 (*) 符号它也显示从相互 HUB 连接的总共四个前缀接收这是相似的信息示例从分支的 : show ip bgp summary BGP router identifier , local AS number (...omitted...) Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd :33:23 2 分支接收从集线器的两个前缀一旦此设置, 一个前缀应该是在 FlexVPN 集线器通告的摘要其他是在 DMVPN 分支重新分配的 DMVPN /24 网络到 BGP 对新的通道的迁移有 EIGRP 的 EIGRP 是在 DMVPN 网络的一普遍的选择由于其相对简单部署和快速收敛然而, 它比 BGP 扩展坏和不提供能由 BGP 直通使用箱外的许多先进的机制下一部分描述其中一个方式移动向与一个新的 EIGRP 进程的 FlexVPN 更新辐条配置新的自治系统 (AS) 添加与一个分开的 EIGRP 进程 :

13 show ip bgp summary BGP router identifier , local AS number (...omitted...) Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd :33:23 2 Note: 不设立在 spoke-to-spoke 通道的路由协议邻接是最佳的所以, 只请使接口 tunnel1 (spoke-to-hub) 不被动更新 FlexVPN 集线器上配置同样地, 对于 FlexVPN 集线器, 请准备在 appopriate AS 的路由协议, 匹配在 spoke 配置的一 show ip bgp summary BGP router identifier , local AS number (...omitted...) Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd :33:23 2 有使用为了提供往分支的摘要上一步的两个方法再分布静态路由对 null0 ( 首选 ) 的该点 show ip bgp summary BGP router identifier , local AS number (...omitted...) Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd :33:23 2 此选项允许对摘要的控制和再分配, 不用对集线器的虚拟化技术 (VT) 配置的修改这是重要, 因为不可能修改集线器的 VT 配置, 如果有活动虚拟访问关联与它设置在虚拟模板的一 DMVPN 斯太尔 summary-address 此配置没有推荐, 由于前述摘要的内部处理和复制对每次虚拟访问的它显示此处供参考 interface Virtual-Template1 type tunnel ip summary-address eigrp 占的另一个方面是相互 HUB 路由交换如果重新分配 EIGRP 实例对 ibgp, 这可以执行 DMVPN 集线器 - 更新 BGP 配置配置依然是基本您必须重新分配特定前缀从 EIGRP 到 BGP: interface Virtual-Template1 type tunnel

14 ip summary-address eigrp FlexVPN 集线器 - 更新 BGP 配置类似于 DMVPN 集线器, 在 FlexVPN, 您必须重新分配新的 EIGRP 进程的前缀到 BGP: interface Virtual-Template1 type tunnel ip summary-address eigrp 对 FlexVPN 的迁移流量您必须关闭 DMVPN 功能和带来 FlexVPN 在每分支, 一次一个, 为了进行迁移此步骤保证最低的影响 : 1. 在每分支, 分开, 请输入此 : interface Virtual-Template1 type tunnel ip summary-address eigrp 这时, 请确保那里是在此分支建立的没有 IKEv1 会话如果检查输出 show crypto isakmp sa 命令并且监控 crypto 记录日志生成的系统消息 session 命令, 这可以验证一旦这被确认, 您能继续启动 FlexVPN 2. 在同样分支, 请输入此 : interface Virtual-Template1 type tunnel ip summary-address eigrp 验证步骤 IPsec 稳定性如果 IPsec 稳定的, 和一旦 BGP, 您必须评估如此要执行的最佳方法是监控与 crypto 记录日志会话配置 enabled 命令的 sylog 如果看到会话上升和下降, 这能指示在必须更正的 IKEv2/FlexVPN 级别上的一问题, 在迁移能开始前 EIGRP 数据在拓扑表里确保您的 EIGRP 拓扑表带有分支在集线器和摘要的 LAN 条目在 spoke 如果输入此 on 命令集线器和分支, 这可以验证 : show ip eigrp [AS_NUMBER] topology 这是从分支的一个输出示例 : Spoke1#show ip eigrp 200 topology EIGRP-IPv4 Topology Table for AS(200)/ID( ) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status

15 P /32, 1 successors, FD is via Rstatic ( /0) via ( /128256), Tunnel1 P /24, 1 successors, FD is via Connected, Ethernet1/0 P /16, 1 successors, FD is via ( / ), Tunnel1 P /32, 1 successors, FD is via Connected, Tunnel1 P /24, 1 successors, FD is via ( / ), Tunnel1 输出显示分支知道关于其 LAN 子网 ( 以斜体字 ) 和那些的摘要 ( 在粗体 ) 这是从集线器的一个输出示例 : hub2# show ip eigrp 200 topology EIGRP-IPv4 Topology Table for AS(200)/ID( ) Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status P /32, 1 successors, FD is via Connected, Loopback200 P /24, 1 successors, FD is via ( /281600), Virtual-Access1 P /16, 1 successors, FD is via Rstatic ( /0) P /24, 1 successors, FD is via Rstatic ( /0) 输出通过协商显示集线器知道关于 spoke 的 LAN 子网 ( 以通告的斜体字 ), 概略的前缀 ( 在粗体 ) 和每个 spoke 的指定的 IP 地址另外的考虑事项已经存在的 spoke-to-spoke 通道由于 DMVPN 隧道接口的关闭造成 NHRP 条目删除, 已经存在的 spoke-to-spoke 通道将被切断清楚 NHRP 条目 FlexVPN 集线器如何不依靠从分支的 NHRP 注册过程为了知道到路由流量上一步然而, 动态 spoke-to-spoke 通道依靠 NHRP 条目在 DMVPN, 如果清除在集线器的 NHRP, 它能导致短期的连接问题在 FlexVPN, 在 spoke 的清除的 NHRP 将引起 FlexVPN IPSec 会话, 涉及与 spoke-to-spoke 通道, 被切断清除在集线器的 NHRP 没有效果在 FlexVPN 会话

16 这是因为, 在 FlexVPN 默认情况下 : Spoke 不注册到集线器集线器仅工作作为 NHRP 转向器和不安装 NHRP 条目 NHRP 快捷方式条目在 spoke-to-spoke 通道的 spoke 安装并且动态已知问题说明 spoke-to-spoke 流量也许受 Cisco Bug ID CSCub07382 的影响相关信息对 FlexVPN 软的迁移配置示例的 DMVPN 技术支持和文档 - Cisco Systems

Quidway S3526系列交换机R0028P01版本发布

Quidway S3526系列交换机R0028P01版本发布 MSR V7 系列路由器和 MSR V5 系列路由器野蛮式对接 L2TP over IPSEC 典型配置一组网需求 : 要求 MSR3020 和 MSR3620 之间路由可达,PCA 使用 MSR3620 上的 loopback 0 口代替,PCB 由 MSR3020 上的 loopback 0 口代替, 并且有如下要求 : 1 双方使用野蛮模式建立 IPsec 隧道 ; 2 双方使用预共享密钥的方式建立