Могут ли два маршрутизатора SD-WAN с одинаковым глобальным IP-адресом установить туннельное соединение?
-
У меня в офисе есть два маршрутизатора SD-WAN, и я хочу установить с ними туннельную сессию.
IP-адрес WAN каждого маршрутизатора SD-WAN установлен как частный IP-адрес и преобразуется FW в один и тот же глобальный IP-адрес. Могут ли два маршрутизатора SD-WAN с одинаковым глобальным IP-адресом установить туннельную сессию друг с другом?
Я попытался настроить, но сессия BFD не запускается. -
Если два устройства находятся в одном и том же сайте-id, BFD по умолчанию не будет работать. Предполагается, что они находятся в одном и том же месте и могут связываться друг с другом через LAN/Service side. Если вы все же хотите иметь сеанс BFD, необходимо разрешить туннели one-site-tunnels https://www.cisco.com/c/en/us/td/docs/routers/sdwan/command/sdwan-cr-book/config-cmd.html?dtid=osscdc000283#r_allow_same_site_tunnels_6958.xml HTH
-
Необходимо разрешить SDWAN между двумя маршрутизаторами с одинаковым идентификатором сайта MHM
-
Спасибо за ответ.
Я присвоил другой идентификатор сайта.
Вот конфигурация. Маршрутизатор1
================== ISR4331#show sdwan running-config
system
system-ip 10.10.10.2
domain-id 1
site-id 200
port-offset 0
admin-tech-on-failure
sp-organization-name CDCS-US-1A
organization-name "CDCS-US-1A-va-890a54cf - 738355"
no port-hop
vbond vbond-423750355.sdwan.cisco.com port 12346
!
memory free low-watermark processor 67460
service timestamps debug datetime msec
service timestamps log datetime msec
no service tcp-small-servers
no service udp-small-серверы
платформа qfp использование монитор нагрузка 80
имя хоста ISR4331
имя пользователя admin привилегия 15 секрет 5 $1$dY49$RQoPFDRuifFhpWsoOrdfN1
определение vrf Mgmt-intf
адресная семья ipv4
выходная адресная семья
!
адресная семья ipv6
выходная адресная семья
!
!
нет ip finger
нет ip rcmd rcp-enable
нет ip rcmd rsh-enable
ip dhcp пул PnPWebUI1
vrf 65500
dns-сервер 192.168.1.1
хост 192.168.1.3 255.255.255.0
client-identifier 7765.6275.69
exit
no ip dhcp use class
ip tftp source-interface GigabitEthernet0
no ip http server
ip http secure-server
ip nat settings central-policy
ip nat settings gatekeeper-size 1024
interface GigabitEthernet0
no shutdown
vrf forwarding Mgmt-intf
negotiation auto
exit
interface GigabitEthernet0/0/0
no shutdown
ip address dhcp
negotiation auto
exit
interface GigabitEthernet0/0/1
no shutdown
negotiation auto
exit
interface GigabitEthernet0/0/2
no shutdown
negotiation auto
exit
interface Tunnel0
no shutdown
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan
exit
aaa authentication enable default enable
aaa authentication login default local
aaa authorization console
aaa authorization exec default local
login on-success log
line aux 0
stopbits 1
!
line con 0
stopbits 1
!
line vty 0 4
transport input ssh
!
line vty 5 14
transport input ssh
!
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation ipsec weight 1
no border
color biz-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 4
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
allow-service bgp
no allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
appqoe
no tcpopt enable
no dreopt enable
!
omp
нет shutdown
graceful-restart
нет as-dot-notation
адрес-семейство ipv4
рекламировать подключенное
рекламировать статическое
!
адрес-семейство ipv6
рекламировать подключенное
рекламировать статическое
!
!
!
licensing config enable false
licensing config privacy hostname false
licensing config privacy version false
licensing config utility utility-enable false
security
ipsec
integrity-type ip-udp-esp esp
!
!
sslproxy
no enable
rsa-key-modulus 2048
certificate-lifetime 730
eckey-type P256
ca-tp-label PROXY-SIGNING-CA
настройки expired-certificate drop
настройки untrusted-certificate drop
настройки unknown-status drop
настройки certificate-revocation-check none
настройки unsupported-protocol-versions drop
настройки unsupported-cipher-suites drop
настройки failure-mode close
настройки minimum-tls-ver TLSv1
dual-side optimization enable
! ISR4331#$
=================== Маршрутизатор 2
============== C1111#show sdwan running-config
system
gps-location latitude 33.08785
gps-location longitude -96.81911
system-ip 10.10.10.1
domain-id 1
site-id 100
port-offset 0
admin-tech-on-failure
sp-organization-name CDCS-US-1A
organization-name "CDCS-US-1A-va-890a54cf - 738355"
нет port-hop
vbond vbond-423750355.sdwan.cisco.com порт 12346
!
память free low-watermark процессор 70154
call-home
contact-email-addr sch-smart-licensing@cisco.com
профиль CiscoTAC-1
активный
destination transport-method http
!
!
service timestamps debug datetime msec
service timestamps log datetime msec
service call-home
no service tcp-small-servers
no service udp-small-servers
platform qfp utilization monitor load 80
hostname C1111
username admin privilege 15 secret 5 $1$u0R6$/Y.Xma6khkNeUA1cgcxdB0
определение vrf 65500
адресная семья ipv4
выходная адресная семья
!
!
нет ip finger
нет ip rcmd rcp-enable
нет ip rcmd rsh-enable
ip dhcp пул PnPWebUI1
vrf 65500
dns-сервер 192.168.1.1
хост 192.168.1.3 255.255.255.0
идентификатор клиента 7765.6275.69
exit
no ip dhcp use class
ip tftp source-interface GigabitEthernet0/0/0
ip http authentication local
ip http server
ip http secure-server
ip http client source-interface GigabitEthernet0/0/0
ip nat settings central-policy
ip nat settings gatekeeper-size 1024
vlan internal allocation policy ascending
interface GigabitEthernet0/0/0
description **** В Интернет ****
no shutdown
ip address dhcp
ip dhcp client client-id ascii FGL2613LGYZ
negotiation auto
exit
interface GigabitEthernet0/0/1
no shutdown
negotiation auto
exit
interface GigabitEthernet0/1/0
no shutdown
exit
interface GigabitEthernet0/1/1
no shutdown
exit
interface GigabitEthernet0/1/2
no shutdown
exit
interface GigabitEthernet0/1/3
no shutdown
exit
interface GigabitEthernet0/1/4
no shutdown
exit
interface GigabitEthernet0/1/5
no shutdown
exit
interface GigabitEthernet0/1/6
no shutdown
exit
interface GigabitEthernet0/1/7
no shutdown
exit
interface Vlan1
no shutdown
vrf forwarding 65500
ip address 192.168.1.1 255.255.255.0
exit
interface Tunnel0
no shutdown
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan
exit
aaa authentication enable default enable
aaa authentication login default local
aaa authorization console
aaa authorization exec default local
login on-success log
line con 0
speed 9600
stopbits 1
!
line vty 0 4
access-class ssh_acl in vrf-also
transport input ssh
!
line vty 5 80
access-class ssh_acl in vrf-also
transport input ssh
!
pnp profile pnp_redirection_profile
!
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation ipsec weight 1
no border
color biz-internet
no last-resort-circuit
no low-bandwidth-link
no vbond-as-stun-server
vmanage-connection-preference 4
port-hop
carrier default
nat-refresh-interval 5
hello-interval 1000
hello-tolerance 12
no allow-service all
allow-service bgp
no allow-service dhcp
allow-service dns
allow-service icmp
allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
no allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
appqoe
no tcpopt enable
no dreopt enable
!
omp
нет shutdown
graceful-restart
нет as-dot-notation
адрес-семейство ipv4
рекламировать подключенное
рекламировать статическое
!
адрес-семейство ipv6
рекламировать подключенное
рекламировать статическое
!
!
!
лицензирование конфигурация включить ложное
лицензирование конфигурация конфиденциальность имя хоста ложное
лицензирование конфигурация конфиденциальность версия ложная
лицензирование конфигурация утилита утилита-включить ложное
безопасность
ipsec
тип целостности ip-udp-esp esp
!
! C1111#
============================= C1111#show sdwan bfd sessions
ИСТОЧНИК TLOC УДАЛЕННЫЙ TLOC ПУБЛИЧНЫЙ ПУБЛИЧНЫЙ ОБНАРУЖЕНИЕ TX
СИСТЕМА IP ИДЕНТИФИКАТОР САЙТА СОСТОЯНИЕ ЦВЕТ ЦВЕТ ИСТОЧНИК IP IP ПОРТ ENCAP МНОЖИТЕЛЬ ИНТЕРВАЛ (мс ВРЕМЯ РАБОТЫ
ПЕРЕХОДЫ-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10.10.10.2 200 down biz-internet biz-internet 192.168.7.56 4.71.14.110 12386 ipsec 7 1000 NA 0 C1111# -
Убедитесь, что у вас есть доступ к подложке. Вы можете проверить, например: выполнив ping транспортного IP-адреса.
-
@yutashimamura2920 По умолчанию идентификатор того же сайта запрещен, поэтому,
если вы все же хотите иметь сеанс BFD, необходимо разрешить туннели того же сайта
https://www.cisco.com/c/en/us/td/docs/routers/sdwan/command/sdwan-cr-book/config-cmd.html?dtid=osscdc000283#r_allow_same_site_tunnels_6958.xml Отметьте меня, чтобы я мог отслеживать ситуацию. Если это
так, отметьте ответ как «Полезный» и/или «Принятое решение». Спасибо, что снова упростили инженерную работу.
Свяжитесь со мной для получения дополнительной информации на Linkedin https://www.linkedin.com/in/rubencocheno/ -
Да, я не использовал тот же идентификатор...
-
Один маршрутизатор SD-WAN имеет идентификатор сайта 100, другой — 200. Таким образом, проблема не в идентификаторе сайта.
Может ли кто-нибудь проверить мою конфигурацию? -
Да, доступность подключения в порядке. Я могу выполнить ping с WAN IP маршрутизатора 1 на WAN IP маршрутизатора 2.
Буду рад, если кто-нибудь проверит мою конфигурацию.
Кроме того,
могут ли два маршрутизатора SD-WAN с одинаковым глобальным IP-адресом установить между собой туннельную сессию? -
Да. Убедитесь, что NAT включен на транспортных (туннельных) интерфейсах. Кроме того, не ясно, какой модем, если он есть, у вас установлен в северном направлении. Мы обнаружили некоторые проблемы с модемами Dinky, которые не поддерживают уникальные потоки с точки зрения NAT, если устройства Edge находятся за модемом. То есть они не могут поддерживать уникальные потоки. Это задокументировано в нашем руководстве по проектированию. https://www.cisco.com/c/en/us/td/docs/solutions/CVD/SDWAN/cisco-sdwan-design-guide.html?dtid=osscdc000283#FirewallPortConsiderations Если это так, вам необходимо настроить смещение порта HTH.
-
Да, это то, что я ищу.
Туннель построен с использованием публичного IP-адреса, который одинаков в обоих маршрутизаторах, а не с использованием частного IP-адреса.
Можете поделиться?
show control connections-history <<- from both routers -
Дизайн немного отличается. У вас есть два сайта с двумя разными идентификаторами, но оба используют DHCP для IP-адреса интерфейса, и он является частным? Вы говорите, что можете пинговать друг друга, вы тестируете с частными адресами? Надеюсь, это помогло.
Пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо из предоставленной информации полезной. -
Ребята,
я изменил идентификатор сайта 100 для обоих маршрутизаторов и настроил «allow-same-site-tunnels», после чего сеанс BFD заработал.
Спасибо за помощь. -
Рад слышать, что все получилось! Удачи в дальнейших испытаниях!
-
Привет всем, У нас такая же топология, но нам нужно использовать разные идентификаторы сайтов. Есть ли способ это реализовать? Спасибо!
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти