Introduzione
In questo documento viene descritto come DMVPN Phase3, NHRP Redirect è una funzione chiave che consente a un router spoke di rilevare il percorso diretto a un altro dispositivo spoke.
Premesse
Per poter costruire il tunnel spoke, l'hub DMVPN (Virtual Private Network) dinamico su più punti deve essere in grado di generare un pacchetto di controllo di reindirizzamento del protocollo NHRP (Next Hop Resolution Protocol) dal piano dati e di inviare successivamente questo reindirizzamento al dispositivo spoke. In alcune situazioni, è necessario eseguire alcune operazioni di ottimizzazione affinché questa funzionalità possa essere utilizzata in un'installazione DMVPN di grandi dimensioni. In questo articolo vengono illustrate alcune di queste considerazioni.
Problema
Limitazione pacchetti di controllo NHRP
In un ambiente su larga scala, un hub DMVPN deve gestire molti pacchetti di reindirizzamento NHRP. I pacchetti di reindirizzamento NHRP possono essere scartati a causa della limitazione sia sul piano dati che sul piano di controllo. Se un spoke DMVPN non riceve un pacchetto di reindirizzamento NHRP prima di poter inviare una richiesta di risoluzione, è possibile prima controllare che i pacchetti di reindirizzamento NHRP non vengano scartati sull'hub. Ci sono 3 posti dove può succedere.
1. Con Cisco IOS®-XE, la richiesta di reindirizzamento deve passare attraverso il percorso punt dal data plane a Cisco IOSd. Se ci sono molti pacchetti data plane che devono essere reindirizzati, allora questi pacchetti potrebbero essere scartati nel percorso punt. Questo punt policer deve essere controllato:
Router#show platform software punt-policer
Per Punt-Cause Policer Configuration and Packet Counters
Punt Config Rate(pps) Conform Packets Dropped Packets Config Burst(pkts) Config Alert
Cause Description Normal High Normal High Normal High Normal High Normal High
-------------------------------------------------------------------------------------------------------------------------------------------------------------
<snip>
51 DMVPN NHRP redirect 2000 1000 0 0 0 0 2000 1000 Off Off
<snip>
2. In Cisco IOSd, i reindirizzamenti NHRP hanno una velocità limitata, in modo che non venga attivato un reindirizzamento per ogni pacchetto data plane in arrivo. L'intervallo predefinito per il limite di velocità è di 8 secondi. È possibile modificare questa impostazione con il comando:
Spoke(config-if)#ip nhrp redirect timeout ?
<2-30> Interval in seconds
3. Tutti i pacchetti di controllo NHRP hanno una velocità limitata dalla configurazione nhrp max-send dell'interfaccia del tunnel. Per verificare la presenza di un utilizzo elevato, usare il comando show ip nhrp traffic:
Hub#show ip nhrp traffic
Tunnel0: Max-send limit:100Pkts/10Sec, Usage:0%
Sent: Total 18740
0 Resolution Request 3 Resolution Reply 7734 Registration Request
0 Registration Reply 3 Purge Request 0 Purge Reply
0 Error Indication 11000 Traffic Indication 0 Redirect Suppress
Rcvd: Total 7737
3 Resolution Request 0 Resolution Reply 0 Registration Request
7728 Registration Reply 0 Purge Request 3 Purge Reply
0 Error Indication 3 Traffic Indication 0 Redirect Suppress
Spoke2#
Soluzione
Identifica l'origine del reindirizzamento
Il primo e più importante passo per mitigare il problema del reindirizzamento NHRP consiste nell'identificare in primo luogo se questi pacchetti di reindirizzamento sono attesi data la particolare progettazione della DMVPN. Per la maggior parte delle reti DMVPN, un reindirizzamento NHRP può attivare l'origine spoke per costruire un tunnel spoke diretto. Di conseguenza, è possibile installare nella tabella di routing una route NHRP con un prefisso di rete e qualsiasi traffico che raggiunge lo stesso prefisso non potrà attivare reindirizzamenti aggiuntivi finché il tunnel non verrà disattivato a causa di inattività. Se per qualche motivo non è possibile costruire il tunnel spoke diretto, il traffico di dati può continuare a attivare questi reindirizzamenti. Per comprendere il traffico che sta attivando i reindirizzamenti, utilizzare questo comando sull'hub:
Hub#show ip nhrp redirect
I/F NBMA address Destination Drop Count Expiry
Tunnel0 172.16.1.1 192.168.101.1 16 00:00:00
Tunnel1 172.17.0.9 192.168.1.2 16 00:00:00
Hub#
Se tutto il traffico di dati che attiva questi reindirizzamenti è legittimo, ma un volume elevato di reindirizzamenti è ancora garantito sull'hub a causa della scala della rete, allora le soglie di invio max punt-policer e NHRP possono essere regolate per soddisfare i requisiti.
Regolazione della soglia del punt-policer
Per impostazione predefinita, i reindirizzamenti NHRP di DMVPN utilizzano la coda alta nel percorso punt. Per regolare la frequenza di punt-policer per questa particolare causa, utilizzare questo comando:
Hub(config)#platform punt-policer dmvpn-redir-pkt 20000 20000 high
Tuning della soglia di invio max NHRP
La velocità di invio massima NHRP è stata aumentata da 100 Pkts/10 Sec a 10000 Pkts/10 Sec con ID bug Cisco CSCux58299 (è possibile modificare il limite predefinito di max-invio NHRP ip). Questa soglia può essere ulteriormente aumentata con:
Hub(config-if)#ip nhrp max-send 20000 every 10