某局点V5SR路由器对接V7MSR路由器ADVPN私网不通处理经验案例

拓扑如下：

现场总部为SR路由器，分部为MSR路由器。

现场配置ADVPN后，发现私网流量不通。

首先先检查一下两边设备配置（未采用IPSEC 加密，采用本地验证）：

总部侧：

vam server ip xx.xx.2.1  指定监听地址

#

vam server vpn zongbu

server enable

pre-shared-key cipher xxx

hub private-ip xx.xx.20.1     指定vpn域zongbu的hub地址

#

vam client name hub01

client enable

server primary ip-address XX.XX.2.1  指定VAM server地址

user dvpnuser password cipher XXXX   配置本地用户dvpnuser 并指定密钥

vpn vpn1

pre-shared-key cipher XXXX  指定VAM Client 预共享协商密钥

#

local-user dvpnuser   创建本地用户，并配置密钥和服务类型

password cipher XXXX

service-type dvpn

#

# interface Tunnel1   创建VPN域的隧道接口，采用UDP封装。

ip binding vpn-instance dvpn

ip address xx.xx.20.2 255.255.240.0  

tcp mss 1400

tunnel-protocol dvpn udp

source XX.XX.2.1   上面VAM server 的地址

ospf dr-priority 255

vam client hub01

分支侧：

# interface Tunnel1 mode advpn udp

ip address XX.XX.20.1 255.255.240.0

ospf dr-priority 0    不参与DR/BDR选举

tcp mss 1400

source GigabitEthernet0/0

vam client spoke

#

vam client name spoke

advpn-domain vpn1

server primary ip-address XX.XX.2.1 指定对端总部的server地址

pre-shared-key simple xxxx

user dvpnuser password simple xxxx

client enable

#

首先检查两边不通的路由是否学习正常，两边OSPF路由邻居建立失败。

<fenbu>dis ospf peer

         OSPF Process 1 with Router ID XX.XX.XX.XX

               Neighbor Brief Information

 Area: 0.0.0.0       

 Router ID       Address         Pri Dead-Time  State             Interface

  XX.XX.XX.XX      XX.XX.20.1      255 32         Init/ -           Tun1

在总部检查已注册的VAM client的IPV4私网地址映射信息

[zongbu] display vam server address-map all

ADVPN domain name: vpn1

Total private address mappings: 3

Group      Private address  Public address         Type    Holding time

0          xx.xx.20.2      xx.xx.2.1                     Hub       240H 52M  7S

0          xx.xx.20.1      xx.xx.xx.3                     Spoke     3H 28M 25S

0          xx.xx.20.4      xx.xx.xx.xx                    Spoke     1H 19M 15S

显示正常建立

在总部上ping分部上tunnel口地址不通

[zongbu] ping -vpn-instance dvpn XX.XX.20.1

Ping  XX.XX.20.1 : 56 data bytes, press CTRL_C to break

.....

--- Ping statistics for  XX.XX.20.1 ---

此时在分部和总部上分别观察隧道信息

[fenbu] display advpn session

Interface         : Tunnel1

Number of sessions: 2

Private address  Public address              Port  Type  State      Holding time

xx.xx.20.1        xx.xx.xx.3                      --    S-H   Dumb    0H 0M  8S

[Spoke1] display dvpn session all

 Interface: Tunnel1  VPN name: vpn1  Total number: 2

  Private IP:      xx.xx.20.1

  Public IP:       xx.xx.xx.3

  Session type:   Spoke-Hub

  State:  SUCCESS

  Holding time: 0h 0m 22s

 ......

此时我们在分部上发现隧道状态在dumb（静默）状态，说明隧道建立失败。

接着我们在分部上debugging

*Jan  1 00:31:37:180 2011 LS_DaBuDong_AR_01 VAMC/7/PACKET:   Type    : 14 (Error notification)

发现在分部上收到不通类型的报文报错

查询相关文档发现V5和V7 ADVPN报文格式存在差别，V5使用的是ADVPN V0格式的报文。

在分部tunnel 口下配置vam client时加入 compatible advpn0 参数，达到兼容ADVPN V0格式报文。