Un túnel GRE no se puede subir después de configurar la detección de keepalive

66 0 0 0

Un túnel GRE no se puede subir después de configurar la detección de keepalive

 

Productos y versiones involucrados

 

Switches serie S ejecutando todas las versiones.

 

Redes


114816gzmnfzniq911i77t.png?image.png

 

Síntoma de falla

 

Después de configurar la detección de Keepalive en el Switch_1, el protocolo de tunelización GRE en el Switch_1 se desactiva, pero el Switch_2 aún puede subir.

 

Análisis de causa

 

Verifique las configuraciones del túnel en Switch_1 y Switch_2.

 

<Switch_1> display current-configuration interface Tunnel 1


interface Tunnel1 
ip address 192.168.230.1 255.255.255.252 
tunnel-protocol gre 
keepalive 
source 183.203.53.12 
destination 183.203.48.197 
#

 

<Switch_2> display current-configuration interface Tunnel 1


interface Tunnel1 
ip address 192.168.230.2 255.255.255.252 
tunnel-protocol gre 
source 183.203.48.197 
destination 183.203.53.12 
#

 

Verifique las configuraciones de los dos Switch. A continuación se usa la configuración de Switch_2 como ejemplo.

 

[Switch_2]display current-configuration interface Eth-Trunk1


interface Eth-Trunk1 
description TO-PC/MB-eth-trunk-3*10G 
port link-type access 
port default vlan 1000 
traffic-policy ABC inbound 
mode lacp 
#

 

[Switch_2]display traffic policy user-defined

User Defined Traffic Policy Information: 
Policy: ABC 
Classifier: guolv 
Operator: OR 
Behavior: guolv 
Permit 
Total policy number is 1

 

[Switch_2]display traffic classifier user-defined

User Defined Classifier Information: 
Classifier: guolv 
Precedence: 5 
Operator: OR 
Rule(s) : if-match acl 3001 
Total classifier number is 1

 

[Switch_2]display acl 3001

Advanced ACL 3001, 18 rules 
Acl's step is 5 
rule 5 permit ip source 183.203.46.0 0.0.0.255 (match-counter 0) 
rule 10 permit ip source 183.203.47.0 0.0.0.128 (match-counter 0) 
rule 15 permit ip source 183.203.48.0 0.0.0.64 (match-counter 0) 
rule 20 permit ip source 183.203.49.0 0.0.0.32 (match-counter 0) 
rule 25 permit tcp source 183.203.52.0 0.0.0.255 (match-counter 0) 
rule 30 permit tcp source 221.131.53.2 0 (match-counter 0) 
rule 35 permit ip source 10.231.140.0 0.0.0.255 (match-counter 0) 
rule 40 permit ip source 10.231.138.0 0.0.0.255 (match-counter 0) 
rule 45 permit ip source 10.231.137.0 0.0.0.255 (match-counter 0) 
rule 50 permit ip source 10.231.136.0 0.0.0.255 (match-counter 0) 
rule 55 permit ip source 10.231.141.0 0.0.0.255 (match-counter 0) 
rule 60 permit ip source 10.231.142.0 0.0.0.255 (match-counter 0) 
rule 65 permit ip source 10.231.143.0 0.0.0.255 (match-counter 0) 
rule 70 permit ip source 10.231.144.0 0.0.0.255 (match-counter 0) 
rule 100 permit tcp destination-port eq www (match-counter 0) 
rule 10000 permit tcp tcp-flag ack (match-counter 0) 
rule 10001 permit tcp tcp-flag rst (match-counter 0) 
rule 4294967294 deny ip (match-counter 0)

 

Obtenga información sobre los paquetes que coinciden con ACL 3001 en Switch_2. Un paquete de Keepalive enviado por Switch_1 es el siguiente:


114840fb3ywlluphhlkl2w.png?image.png

Después de recibir el paquete, Switch_2 primero desencapsula el paquete usando GRE, elimina el encabezado GRE del paquete y detecta que la dirección IP de destino en el encabezado IP interno no es su dirección IP. Switch_2 luego coincide con el paquete usando la política de tráfico ABC. El paquete coincide con la última regla en la ACL 3001 de la política de tráfico y se descarta. Switch_1 no puede recibir un paquete de respuesta Keepalive y el túnel GRE se desactiva.

 

Los paquetes de actividad no se envían a la CPU, sino que se reenvían directamente. Por lo tanto, la redirección tiene efecto para los paquetes Keepalive.

 

Procedimiento de resolución de problemas

 

Modifique la ACL 3001 para desactivar el cambio de descartar paquetes Keepalive.

 

Conclusiones y sugerencias.

 

Switch_1 y Switch_2 están en dos extremos de un túnel GRE. Después de que Keepalive se configure en Switch_1, Switch_1 envía un paquete Keepalive. Switch_2 no envía el paquete Keepalive de Switch_1 a la CPU, sino que reenvía directamente el paquete. Luego, Switch_1 envía el paquete a la CPU después de recibirlo, lo cual es diferente del procesamiento de paquetes de protocolo comunes.

 

La detección de keepalive tiene efecto unidireccional en lugar de bidireccional en un túnel GRE.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba