助け合いフォーラム
GNS3上で、3拠点間のDMVPN検証を構築し上手く動作しているように見えるのですが、
以下のコマンドで「UpDn Tm」がneverとなっているところが理解できていません。
Ciscoのドキュメントやコミュニティの回答を探しても自分では解決できなかったのですが、どなたかご存じの方はいらっしゃいますでしょうか。
R1#
R1#show dmvpn
~省略~
Tunnel0, Type:Hub, NHRP Peers:2,
"# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
"----- --------------- --------------- ----- -------- -----
1 100.20.0.1 192.168.0.2 UP never D
1 100.30.0.1 192.168.0.3 UP never D
構成としてはR1(ハブ),R2,R3間でDMVPNを組んでおり、ルータ間にはインターネット環境の代わりにR4を置いています。
各ルータのコンフィグは以下の通りです。
〇R1
R1#show run | sec interface
interface Tunnel0
ip address 192.168.0.1 255.255.255.0
no ip redirects
ip nhrp authentication TEST
ip nhrp map multicast dynamic
ip nhrp network-id 100
ip ospf network broadcast
ip ospf priority 5
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key 100
tunnel protection ipsec profile DMVPN_PROFILE
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
R1#
R1#show run | sec nhrp
ip nhrp authentication TEST
ip nhrp map multicast dynamic
ip nhrp network-id 100
〇R2
R2#show run | sec interface
interface Tunnel0
ip address 192.168.0.2 255.255.255.0
no ip redirects
ip nhrp authentication TEST
ip nhrp map multicast 100.10.0.1
ip nhrp map 192.168.0.1 100.10.0.1
ip nhrp network-id 100
ip nhrp nhs 192.168.0.1
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key 100
tunnel protection ipsec profile DMVPN_PROFILE
interface FastEthernet0/0
ip address 192.168.2.1 255.255.255.0
duplex auto
speed auto
R2#show run | sec nhrp
ip nhrp authentication TEST
ip nhrp map multicast 100.10.0.1
ip nhrp map 192.168.0.1 100.10.0.1
ip nhrp network-id 100
ip nhrp nhs 192.168.0.1
〇R3
R3#show run | sec interface
interface Tunnel0
ip address 192.168.0.3 255.255.255.0
no ip redirects
ip nhrp authentication TEST
ip nhrp map multicast 100.10.0.1
ip nhrp map 192.168.0.1 100.10.0.1
ip nhrp network-id 100
ip nhrp nhs 192.168.0.1
ip ospf network broadcast
ip ospf priority 0
tunnel source FastEthernet0/1
tunnel mode gre multipoint
tunnel key 100
tunnel protection ipsec profile DMVPN_PROFILE
interface FastEthernet0/0
ip address 192.168.3.1 255.255.255.0
duplex auto
speed auto
R3#show run | sec nhrp
ip nhrp authentication TEST
ip nhrp map multicast 100.10.0.1
ip nhrp map 192.168.0.1 100.10.0.1
ip nhrp network-id 100
ip nhrp nhs 192.168.0.1
〇R4
R4#show run | sec interface
interface FastEthernet0/0
ip address 100.10.0.2 255.255.255.248
duplex auto
speed auto
interface FastEthernet0/1
ip address 100.20.0.2 255.255.255.248
duplex auto
speed auto
interface FastEthernet1/0
ip address 100.30.0.2 255.255.255.248
duplex auto
speed auto
2点確認させてください。
tunnel protection ipsec profile DMVPN_PROFILEがあるのですが、IPSec 関連の設定が見えません。ちゃんと設定できている前提で良いのでしょうか?show dmvpn detailではどう見えていますか?
コメント
ありがとうございます。それぞれ確認しました。
ipsecに関して、WireSharkで拠点間のパケットをキャプチャし、暗号化されていることは確認しています。
1.tunnel protection ipsec profile DMVPN_PROFILE
〇R1
R1#show run | sec isakmp
crypto isakmp policy 1
encr aes
authentication pre-share
group 5
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30
R1#
R1#show run | sec ipsec
crypto ipsec transform-set DMVPN_TRANSFORM_SET esp-aes esp-sha-hmac
mode transport
crypto ipsec profile DMVPN_PROFILE
set transform-set DMVPN_TRANSFORM_SET
tunnel protection ipsec profile DMVPN_PROFILE
R1#
〇R2
R2#show run | sec isakmp
crypto isakmp policy 1
encr aes
authentication pre-share
group 5
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30
R2#
R2#show run | sec ipsec
crypto ipsec transform-set DMVPN_TRANSFORM_SET esp-aes esp-sha-hmac
mode transport
crypto ipsec profile DMVPN_PROFILE
set transform-set DMVPN_TRANSFORM_SET
tunnel protection ipsec profile DMVPN_PROFILE
R2#
〇R3
R3#show run | sec isakmp
crypto isakmp policy 1
encr aes
authentication pre-share
group 5
crypto isakmp key cisco address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 30
R3#
R3#show run | sec ipsec
crypto ipsec transform-set DMVPN_TRANSFORM_SET esp-aes esp-sha-hmac
mode transport
crypto ipsec profile DMVPN_PROFILE
set transform-set DMVPN_TRANSFORM_SET
tunnel protection ipsec profile DMVPN_PROFILE
R3#
2.show dmvpn detail
少し見づらくて恐縮ですがdetailコマンドでは時間が表記されていました。
detailなしだと変わらずneverになっていましたが・・・
R1#show dmvpn detail
Legend: Attrb --> S - Static, D - Dynamic, I - Incompletea
N - NATed, L - Local, X - No Socket
"# Ent --> Number of NHRP entries with same NBMA peer
"-------------- Interface Tunnel0 info: --------------
Intf. is up, Line Protocol is up, Addr. is 192.168.0.1
Source addr: 100.10.0.1, Dest addr: MGRE
Protocol/Transport: "multi-GRE/IP", Protect "DMVPN_PROFILE",
Tunnel VRF "", ip vrf forwarding ""
NHRP Details:
Type:Hub, NBMA Peers:2
"# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network
"----- --------------- --------------- ----- -------- ----- -----------------
1 100.20.0.1 192.168.0.2 UP 00:33:19 D 192.168.0.2/32
Interface: Tunnel0
Session: [0x67496684]
IKE SA: local 100.10.0.1/500 remote 100.20.0.1/500 Active
Capabilities:D connid:1002 lifetime:23:26:40
Crypto Session Status: UP-ACTIVE
fvrf: (none), Phase1_id: 100.20.0.1
IPSEC FLOW: permit 47 host 100.10.0.1 host 100.20.0.1
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 229 drop 0 life (KB/Sec) 4584840/1600
Outbound: #pkts enc'ed 235 drop 1 life (KB/Sec) 4584839/1600
Outbound SPI : 0xD8E1EC49, transform : esp-aes esp-sha-hmac
Socket State: Open
"# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network
"----- --------------- --------------- ----- -------- ----- -----------------
1 100.30.0.1 192.168.0.3 UP 00:33:22 D 192.168.0.3/32
Interface: Tunnel0
Session: [0x67496594]
IKE SA: local 100.10.0.1/500 remote 100.30.0.1/500 Active
Capabilities:D connid:1001 lifetime:23:26:40
Crypto Session Status: UP-ACTIVE
fvrf: (none), Phase1_id: 100.30.0.1
IPSEC FLOW: permit 47 host 100.10.0.1 host 100.30.0.1
Active SAs: 2, origin: crypto map
Inbound: #pkts dec'ed 225 drop 0 life (KB/Sec) 4390557/1600
Outbound: #pkts enc'ed 234 drop 0 life (KB/Sec) 4390553/1600
Outbound SPI : 0x52DEE635, transform : esp-aes esp-sha-hmac
Socket State: Open
Pending DMVPN Sessions:
R1#
コメント
ありがとうございます。
コードブロック形式の記載方法を知らずでした・・・
mFRE+NHRPでも結果は特に変わりませんでした。
スポークルータで確認してみると、スタティックでは時間が表記されるようで、
GNS3の仕様なのかがありそうな気がします。
R2#show dmvpn
Legend: Attrb --> S - Static, D - Dynamic, I - Incompletea
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
Tunnel0, Type:Spoke, NHRP Peers:2,
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb
----- --------------- --------------- ----- -------- -----
1 100.10.0.1 192.168.0.1 UP 00:21:56 S
1 100.30.0.1 192.168.0.3 UP never D
*Mar 1 00:22:29.767: %SYS-5-CONFIG_I: Configured from console by console
R2#show dmvpn detail
Legend: Attrb --> S - Static, D - Dynamic, I - Incompletea
N - NATed, L - Local, X - No Socket
# Ent --> Number of NHRP entries with same NBMA peer
-------------- Interface Tunnel0 info: --------------
Intf. is up, Line Protocol is up, Addr. is 192.168.0.2
Source addr: 100.20.0.1, Dest addr: MGRE
Protocol/Transport: "multi-GRE/IP", Protect "",
Tunnel VRF "", ip vrf forwarding ""
NHRP Details: NHS: 192.168.0.1 RE
Type:Spoke, NBMA Peers:2
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network
----- --------------- --------------- ----- -------- ----- -----------------
1 100.10.0.1 192.168.0.1 UP 00:22:01 S 192.168.0.1/32
# Ent Peer NBMA Addr Peer Tunnel Add State UpDn Tm Attrb Target Network
----- --------------- --------------- ----- -------- ----- -----------------
1 100.30.0.1 192.168.0.3 UP 00:12:37 D 192.168.0.3/32
Pending DMVPN Sessions:
R2#
コメント
この投稿に対して返信しませんか?
a arashi1977
2025/05/06 23:49
ありがとうございます。 この結果だけ見ると、show dmvpn の出力だけのようにも見えますね。GNS3とのことなのでなんとも言い難いですが、ご利用の環境の問題なのかなぁとも思えます。 ちなみに、IPSec を使わない mGRE+NHRP だけで構築しても結果は変わらないですか?