Risoluzione dei problemi di reindirizzamento NHRP per la fase 3 di DMVPN

Introduzione

In questo documento viene descritto come DMVPN Phase3, NHRP Redirect è una funzione chiave che consente a un router spoke di rilevare il percorso diretto a un altro dispositivo spoke.

Premesse

Per poter costruire il tunnel spoke, l'hub DMVPN (Virtual Private Network) dinamico su più punti deve essere in grado di generare un pacchetto di controllo di reindirizzamento del protocollo NHRP (Next Hop Resolution Protocol) dal piano dati e di inviare successivamente questo reindirizzamento al dispositivo spoke. In alcune situazioni, è necessario eseguire alcune operazioni di ottimizzazione affinché questa funzionalità possa essere utilizzata in un'installazione DMVPN di grandi dimensioni. In questo articolo vengono illustrate alcune di queste considerazioni.

Problema

Limitazione pacchetti di controllo NHRP

In un ambiente su larga scala, un hub DMVPN deve gestire molti pacchetti di reindirizzamento NHRP. I pacchetti di reindirizzamento NHRP possono essere scartati a causa della limitazione sia sul piano dati che sul piano di controllo. Se un spoke DMVPN non riceve un pacchetto di reindirizzamento NHRP prima di poter inviare una richiesta di risoluzione, è possibile prima controllare che i pacchetti di reindirizzamento NHRP non vengano scartati sull'hub. Ci sono 3 posti dove può succedere.

1. Con Cisco IOS®-XE, la richiesta di reindirizzamento deve passare attraverso il percorso punt dal data plane a Cisco IOSd. Se ci sono molti pacchetti data plane che devono essere reindirizzati, allora questi pacchetti potrebbero essere scartati nel percorso punt. Questo punt policer deve essere controllato:

Router#show platform software punt-policer

Per Punt-Cause Policer Configuration and Packet Counters


Punt                                Config Rate(pps)     Conform Packets                   Dropped Packets               Config Burst(pkts)  Config Alert
Cause  Description                   Normal   High     Normal           High             Normal           High             Normal   High     Normal   High
-------------------------------------------------------------------------------------------------------------------------------------------------------------
<snip>
 51    DMVPN NHRP redirect           2000     1000     0                0                0                0                2000     1000     Off      Off
<snip>

2. In Cisco IOSd, i reindirizzamenti NHRP hanno una velocità limitata, in modo che non venga attivato un reindirizzamento per ogni pacchetto data plane in arrivo. L'intervallo predefinito per il limite di velocità è di 8 secondi. È possibile modificare questa impostazione con il comando:

Spoke(config-if)#ip nhrp redirect timeout ?
  <2-30>  Interval in seconds

3. Tutti i pacchetti di controllo NHRP hanno una velocità limitata dalla configurazione nhrp max-send dell'interfaccia del tunnel. Per verificare la presenza di un utilizzo elevato, usare il comando show ip nhrp traffic:

Hub#show ip nhrp traffic
Tunnel0: Max-send limit:100Pkts/10Sec, Usage:0%
   Sent: Total 18740
         0 Resolution Request  3 Resolution Reply  7734 Registration Request  
         0 Registration Reply  3 Purge Request  0 Purge Reply  
         0 Error Indication  11000 Traffic Indication  0 Redirect Suppress  
   Rcvd: Total 7737
         3 Resolution Request  0 Resolution Reply  0 Registration Request  
         7728 Registration Reply  0 Purge Request  3 Purge Reply  
         0 Error Indication  3 Traffic Indication  0 Redirect Suppress  
Spoke2#

Soluzione

Identifica l'origine del reindirizzamento

Il primo e più importante passo per mitigare il problema del reindirizzamento NHRP consiste nell'identificare in primo luogo se questi pacchetti di reindirizzamento sono attesi data la particolare progettazione della DMVPN. Per la maggior parte delle reti DMVPN, un reindirizzamento NHRP può attivare l'origine spoke per costruire un tunnel spoke diretto. Di conseguenza, è possibile installare nella tabella di routing una route NHRP con un prefisso di rete e qualsiasi traffico che raggiunge lo stesso prefisso non potrà attivare reindirizzamenti aggiuntivi finché il tunnel non verrà disattivato a causa di inattività. Se per qualche motivo non è possibile costruire il tunnel spoke diretto, il traffico di dati può continuare a attivare questi reindirizzamenti. Per comprendere il traffico che sta attivando i reindirizzamenti, utilizzare questo comando sull'hub:

Hub#show ip nhrp redirect 
   I/F      NBMA address          Destination           Drop Count    Expiry  

Tunnel0    172.16.1.1             192.168.101.1         16     00:00:00
Tunnel1    172.17.0.9               192.168.1.2         16     00:00:00
Hub#

Se tutto il traffico di dati che attiva questi reindirizzamenti è legittimo, ma un volume elevato di reindirizzamenti è ancora garantito sull'hub a causa della scala della rete, allora le soglie di invio max punt-policer e NHRP possono essere regolate per soddisfare i requisiti.

Regolazione della soglia del punt-policer

Per impostazione predefinita, i reindirizzamenti NHRP di DMVPN utilizzano la coda alta nel percorso punt. Per regolare la frequenza di punt-policer per questa particolare causa, utilizzare questo comando:

Hub(config)#platform punt-policer dmvpn-redir-pkt 20000 20000 high

Tuning della soglia di invio max NHRP

La velocità di invio massima NHRP è stata aumentata da 100 Pkts/10 Sec a 10000 Pkts/10 Sec con ID bug Cisco CSCux58299 (è possibile modificare il limite predefinito di max-invio NHRP ip). Questa soglia può essere ulteriormente aumentata con:

Hub(config-if)#ip nhrp max-send 20000 every 10