DMVPNフェーズ3 NHRPリダイレクト問題のトラブルシューティング

概要

このドキュメントでは、DMVPNフェーズ3、NHRPリダイレクトが、スポークルータが別のスポークルータへの直接パスを検出できるようにする重要な機能である仕組みについて説明します。

背景説明

スポーク間トンネルを確立するには、Dynamic Multipoint Virtual Private Network(DMVPN)ハブがデータプレーンからNext Hop Resolution Protocol(NHRP)リダイレクト制御パケットを生成し、このリダイレクトをスポークのデバイスに送信できる必要があります。状況によっては、大規模なDMVPNの導入でこれを機能させるために、いくつかの調整を行う必要があります。この記事では、これらの考慮事項の一部について説明します。

問題

NHRP制御パケットスロットリング

大規模な環境では、DMVPNハブは多数のNHRPリダイレクトパケットを処理する必要があります。NHRPリダイレクトパケットは、データプレーンまたはコントロールプレーンのいずれかのスロットリングによってドロップされる可能性があります。DMVPNスポークが解決要求を送信する前にNHRPリダイレクトパケットを受信していない場合、最初にNHRPリダイレクトパケットがハブでドロップされていないことを確認できます。これが発生する可能性のある場所は3つあります。

1. Cisco IOS®-XEでは、リダイレクト要求はデータプレーンからCisco IOSdへのパントパスを経由する必要があります。リダイレクトが必要なデータプレーンパケットが大量にある場合、これらのパケットはパントパスでドロップされる可能性があります。このパントポリサーをチェックする必要があります。

Router#show platform software punt-policer

Per Punt-Cause Policer Configuration and Packet Counters


Punt                                Config Rate(pps)     Conform Packets                   Dropped Packets               Config Burst(pkts)  Config Alert
Cause  Description                   Normal   High     Normal           High             Normal           High             Normal   High     Normal   High
-------------------------------------------------------------------------------------------------------------------------------------------------------------
<snip>
 51    DMVPN NHRP redirect           2000     1000     0                0                0                0                2000     1000     Off      Off
<snip>

2. Cisco IOSdでは、NHRPリダイレクトはレート制限されているため、着信するすべてのデータプレーンパケットに対してリダイレクトがトリガーされることはありません。デフォルトのレート制限間隔は8秒で、これは次のコマンドで調整できます。

Spoke(config-if)#ip nhrp redirect timeout ?
  <2-30>  Interval in seconds

3.すべてのNHRP制御パケットは、トンネルインターフェイスのnhrp max-send設定によってレート制限されており、show ip nhrp trafficコマンドを使用して使用率が高いかどうかを確認できます。

Hub#show ip nhrp traffic
Tunnel0: Max-send limit:100Pkts/10Sec, Usage:0%
   Sent: Total 18740
         0 Resolution Request  3 Resolution Reply  7734 Registration Request  
         0 Registration Reply  3 Purge Request  0 Purge Reply  
         0 Error Indication  11000 Traffic Indication  0 Redirect Suppress  
   Rcvd: Total 7737
         3 Resolution Request  0 Resolution Reply  0 Registration Request  
         7728 Registration Reply  0 Purge Request  3 Purge Reply  
         0 Error Indication  3 Traffic Indication  0 Redirect Suppress  
Spoke2#

解決方法

リダイレクトのソースを特定します。

NHRPリダイレクトドロップの問題を軽減するための最初の最も重要な手順は、特定のDMVPN設計でリダイレクトパケットが予想されるかどうかを最初に特定することです。ほとんどのDMVPNネットワークでは、NHRPリダイレクトによって送信元スポークが直接スポーク間トンネルを構築するようにトリガーできます。その結果、ネットワークプレフィクス付きのNHRPルートをルーティングテーブルに設定でき、同じプレフィクスに向かうトラフィックは、非アクティブによってトンネルが切断されるまで、追加のリダイレクトをトリガーできません。何らかの理由で直接スポーク間トンネルを構築できない場合は、データトラフィックがこれらのリダイレクトを引き続きトリガーする可能性があります。リダイレクトをトリガーしているトラフィックを理解するには、ハブで次のコマンドを使用します。

Hub#show ip nhrp redirect 
   I/F      NBMA address          Destination           Drop Count    Expiry  

Tunnel0    172.16.1.1             192.168.101.1         16     00:00:00
Tunnel1    172.17.0.9               192.168.1.2         16     00:00:00
Hub#

これらのリダイレクトをトリガーするすべてのデータトラフィックが正当であるが、ネットワークの規模が原因で大量のリダイレクトが依然としてハブ上で保証されている場合は、要件に合わせてパントポリサーおよびNHRPのmax-sendしきい値を調整できます。

パントポリサーしきい値の調整

デフォルトでは、DMVPN NHRPリダイレクトはパントパスのハイキューを使用します。この特定の原因に対するパントポリサーレートを調整するには、次のコマンドを使用します。

Hub(config)#platform punt-policer dmvpn-redir-pkt 20000 20000 high

NHRPの最大送信しきい値の調整

Cisco Bug ID CSCuxにより、NHRPの最大送信レートが100Pkts/10Secから1000058299 Pkts/10Secに増加しました （ip NHRP max-sendのデフォルト制限は調整可能）。このしきい値は、次の方法でさらに増加させることができます。

Hub(config-if)#ip nhrp max-send 20000 every 10