排除故障解决方案的最普通的DMVPN

Size: px

Start display at page:

Download "排除故障解决方案的最普通的DMVPN"

汉潮王
5 years ago
Views:

1 排除故障解决方案的最普通的 DMVPN 目录简介先决条件要求使用的组件规则 DMVPN 配置不工作问题解决方案常见问题如果 ISAKMP 信息包阻塞在 ISP, 请验证请验证, 如果 GRE 通过删除通道保护工作 NHRP 注册失败验证寿命是否适当地配置是否只验证在一个方向的通信流验证路由协议邻接建立关于集成远程访问 VPN 的问题与 DMVPN 问题解决方案与 DUAL HUB DUAL DMVPN 的问题问题解决方案登录服务器的麻烦通过 DMVPN 问题解决方案无法通过特定端口访问在 DMVPN 的服务器问题解决方案相关信息简介本文包含多数同一解决方案对动态多点 VPN (DMVPN) 问题许多这些解决方案可以在 DMVPN 连接的详细故障排除之前实现在您开始排除故障连接和呼叫思科技术支持前, 提交本文, 当普通的步骤清单尝试如果需要 DMVPN 的配置示例文档, 参考 DMVPN 配置示例和 TechNotes 注意 : 参考的 IPSec 排除故障 - 了解和使用调试指令提供使用排除故障 IPsec 问题普通的调试指令的

2 说明先决条件要求思科建议您有 DMVPN 配置知识在 isco IOS 路由器的使用的组件本文档中的信息基于以下软件和硬件版本 : isco IOS 本文档中的信息都是基于特定实验室环境中的设备编写的本文档中使用的所有设备最初均采用原始 ( 默认 ) 配置如果您使用的是真实网络, 请确保您已经了解所有命令的潜在影响规则有关文档规则的详细信息, 请参阅 isco 技术提示规则 DMVPN 配置不工作问题一最近已配置的或已修改 DMVPN 解决方案不工作不再一当前 DMVPN 配置工作解决方案此部分包含解决方案对最普通的 DMVPN 问题这些解决方案 ( 在没有特定顺序 ) 可以用于作为项目验证或尝试清单, 在您参与详细故障排除前 : 常见问题如果 ISAKMP 信息包阻塞在 ISP, 请验证请验证, 如果 GRE 通过删除通道保护优良工作 NHRP 注册失败验证寿命是否适当地配置是否只验证在一个方向的通信流验证路由协议邻接建立注意 : 在您开始前, 请检查这些 : 1. 同步在星型网之间的时间戳 2. Enable (event) 毫秒调试和日志时间戳 :Router(config)#serviceRouter(config)#service 3. 调试会话的 Enable (event) 终端的 EXE 提示时间戳 :Router#terminal EXE 注意 : 这样, 您能容易地关联 debug 输出与 show 命令输出

3 常见问题验证基本连通性 1. 从集线器 ping 到 spoke 的使用 NBMA 地址并且倒转这些 ping 应该直接地通过物理接口, 不 DMVPN 通道有希望地, 没有阻塞 ping 信息包的防火墙如果这不工作, 请检查路由和所有防火墙在星型网路由器之间 2. 并且, 检查加密隧道数据包采取的路径的使用 traceroute 3. 请勿请使用 Debug 与 Show 调试指令验证连接 :debug ip icmpdebug ip packet 注意 : debug ip packet 命令生成大量的输出并且使用大量的系统资源此 should 命令在生产网络小心地使用请用访问列表命令总是请使用注意 : 关于如何以调试 ip 数据包使用的更多信息 accesslist, 参考排除故障与 IP 访问列表为不兼容 ISAKMP 策略验证如果配置的 ISAKMP 策略与远程对等体提议的策略不匹配, 则路由器会尝试使用默认策略如果那不配比, 发生故障 ISAKMP 协商 show crypto isakmp sa 命令显示 ISAKMP SA 在 MM_NO_STATE, 含义失败的主模式为不正确预先共享密钥机密验证如果预共享秘密不是相同的在两边, 协商将发生故障路由器返回健全性检查失败的消息为不兼容 IPsec 转换集验证如果 Ipsec transform-set 不是兼容或不匹配的在两个 IPSec 设备, IPsec 协商将发生故障路由器返回 IPsec 建议的 atts 不可接受消息如果 ISAKMP 信息包阻塞在 ISP, 请验证 Router#show crypto isakmp sa IPv4 rypto ISAKMP SA Dst src state conn-id slot status MM_NO_STATE 0 0 ATIVE MM_NO_STATE 0 0 ATIVE (deleted) MM_NO_STATE 0 0 ATIVE MM_NO_STATE 0 0 ATIVE (deleted) 以上显示 VPN 通道飘荡进一步, 验证检查的 debug crypto isakmp 分支路由器发送 udp 500 数据包 : Router#debug crypto isakmp

4 04:14:44.450: ISAKMP:(0):Old State = IKE_READY New State = IKE_I_MM1 04:14:44.450: ISAKMP:(0): beginning Main Mode exchange 04:14:44.450: ISAKMP:(0): sending packet to my_port 500 peer_port 500 (I) MM_NO_STATE 04:14:44.450: ISAKMP:(0):Sending an IKE IPv4 Packet. 04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:14:54.450: ISAKMP (0:0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1 04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE 04:14:54.450: ISAKMP:(0): sending packet to my_port 500 peer_port 500 (I) MM_NO_STATE 04:14:54.450: ISAKMP:(0):Sending an IKE IPv4 Packet. 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:15:04.450: ISAKMP (0:0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE 上述 debug 输出在每 10 秒显示分支路由器发送 udp 500 数据包检查与 ISP 发现分支路由器是否直接地连接到 ISP 路由器确保他们允许 udp 500 流量在 ISP 允许的 udp 500 以后, 请添加在出口接口的入站 AL, 是允许 udp 的隧道源 500 确保 udp 500 流量进入路由器请使用 show access-list 命令验证命中数计数是否增加 : Router#show access-lists 101 Router#show access-lists 101 警告 : 确保您有 ip 所有其中任一允许在您 access-list 否则, 其他流量将阻塞作为一 access-list 已应用入站在出口接口请验证, 如果 GRE 通过删除通道保护工作当 DMVPN 不在排除故障工作时, 与 IPsec 前, 请验证 GRE 隧道优良工作, 不用 IPSec 加密欲知更多信息, 参考配置 GRE 隧道 NHRP 注册失败在星型网之间的 VPN 通道是 UP, 但是无法通过数据流 : Router#show crypto isakmp sa dst src state conn-id slot status QM_IDLE ATIVE Router#show crypto IPSE sa local ident (addr/mask/prot/port): ( / /47/0) remote ident (addr/mask/prot/port): ( / /47/0) #pkts encaps: 154, #pkts encrypt: 154, #pkts digest: 154 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0

5 inbound esp sas: spi: 0xF830F95( ) outbound esp sas: spi: 0xD65A7865( ) 它显示回程数据流不从通道的另一端回来检查在分支路由器的 NHS 条目 : Router#show ip nhrp nhs detail Legend: E=Expecting replies, R=Responding Tunnel0: E req-sent 0 req-failed 30 repl-recv 0 Pending Registration Requests: Registration Request: Reqid 4371, Ret 64 NHS 它显示 NHS 请求失败要解决此问题, 请确保在隧道接口正确的分支路由器的配置配置示例 : interface Tunnel0 ip address ip nhrp map ip nhrp map multicast ip nhrp nhs 与正确条目的配置示例 NHS 服务器的 : interface Tunnel0 ip address ip nhrp map ip nhrp map multicast ip nhrp nhs 现在, 请验证 NHS 条目, 并且 IPsec 加密 / 解密计数器 : Router#show ip nhrp nhs detail Legend: E=Expecting replies, R=Responding Tunnel0: RE req-sent 4 req-failed 0 repl-recv 3 (00:01:04 ago) Router#show crypto IPSec sa local ident (addr/mask/prot/port): ( / /47/0) remote ident (addr/mask/prot/port): ( / /47/0) #pkts encaps: 121, #pkts encrypt: 121, #pkts digest: 121 #pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118 inbound esp sas: spi: 0x1B7670F( ) outbound esp sas: spi: 0x3B31AA86( ) 验证寿命是否适当地配置请使用这些命令验证 SA 当前寿命和时期的下重新协商 : show crypto isakmp sa 详细信息

6 show crypto ipsec sa 对等体 <NBMA-address-peer> SA 公告寿命值如果他们是接近已配置的寿命 ( 默认是 ISAKMP 的 24 小时和 IPsec 的 1 个小时 ), 则该含义这些 SAS 最近协商如果过了一会儿查找, 并且他们再重新了协商, 则 ISAKMP 和 IPsec 可能上下反弹 Router#show crypto ipsec security-assoc lifetime Security association lifetime: kilobytes/3600 seconds Router#show crypto isakmp policy Global IKE policy Protection suite of priority 1 Encryption algorithm: DES-Data Encryption Standard (65 bit keys) Hash algorithm: Message Digest 5 Authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) Lifetime: seconds, no volume limit Default protection suite Encryption algorithm: DES- Data Encryption Standard (56 bit keys) Hash algorithm: Secure Hash Standard Authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) Lifetime: seconds, no volume limit Router# show crypto ipsec sa interface: Ethernet0/3 rypto map tag: vpn, local addr local ident (addr/mask/prot/port): ( / /47/0) remote ident (addr/mask/prot/port): ( / /47/0) current_peer: :500 PERMIT, flags={origin_is_acl,} #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19 #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 local crypto endpt.: , remote crypto endpt.: path mtu 1500, media mtu 1500 current outbound spi: 8E1B77A inbound esp sas: spi: 0x B( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn sa timing: remaining key lifetime (k/sec): ( /3531) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x8E1B77A( ) transform: esp-3des esp-md5-hmac, in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn sa timing: remaining key lifetime (k/sec): ( /3531) IV size: 8 bytes replay detection support: Y 是否只验证在一个方向的通信流在 spoke-to-spoke 路由器之间的 VPN 通道是 UP, 但是无法通过数据流 :

7 Spoke1# show crypto ipsec sa peer local ident (addr/mask/prot/port): ( / /47/0) remote ident (addr/mask/prot/port): ( / /47/0) #pkts encaps: 110, #pkts encrypt: 110 #pkts decaps: 0, #pkts decrypt: 0, local crypto endpt.: , remote crypto endpt.: inbound esp sas: spi: 0x436F4AF( ) outbound esp sas: spi: 0x6A801F4( ) Spoke2#sh crypto ipsec sa peer local ident (addr/mask/prot/port): ( / /47/0) remote ident (addr/mask/prot/port): ( / /47/0) #pkts encaps: 116, #pkts encrypt: 116, #pkts decaps: 110, #pkts decrypt: 110, local crypto endpt.: , remote crypto endpt.: inbound esp sas: spi: 0x6A801F4( ) outbound esp sas: spi: 0x436F4AF( 没有在分支 1 的 decap 数据包, 含义特别是数据包在路径返回丢弃某处从往分支 1 的分支 2 分支 2 路由器显示 encap 和 decap, 因此意味着 ESP 流量在到达的分支 2 前被过滤它可能发生在 ISP 末端在分支 2 或在所有防火墙在分支 2 路由器和分支 1 路由器之间的路径在允许 ESP 以后 (IP 协议 50), 分支 1 和分支 2 两个显示 encaps, 并且 decap 计数器增加 spoke1# show crypto ipsec sa peer local ident (addr/mask/prot/port): ( / /47/0) remote ident (addr/mask/prot/port): ( / /47/0) #pkts encaps: 300, #pkts encrypt: 300 #pkts decaps: 200, #pkts decrypt: 200 spoke2#sh crypto ipsec sa peer local ident (addr/mask/prot/port): ( / /47/0) remote ident (addr/mask/prot/port): ( / /47/0) #pkts encaps: 316, #pkts encrypt: 316, #pkts decaps: 300, #pkts decrypt: 310 验证路由协议邻接建立 Spoke 无法建立路由协议邻接关系 : Hub# show ip eigrp neighbors H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) nt Num Tu :00: Tu :00: Tu :00: Syslog message: %DUAL-5-NBRHANGE: IP-EIGRP(0) 10: Neighbor (Tunnel0) is down: retry limit exceeded Hub# show ip route eigrp /24 is subnetted, 1 subnets is directly connected, FastEthernet0/0

8 /24 is subnetted, 1 subnets is directly connected, Tunnel /24 is directly connected, FastEthernet0/1 S* /0 [1/0] via 如果 NHRP 组播映射在集线器, 适当地配置请验证在集线器中, 它要求有在集线器隧道接口配置的动态 NHRP 组播映射配置示例 : Hub# show ip eigrp neighbors H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) nt Num Tu :00: Tu :00: Tu :00: Syslog message: %DUAL-5-NBRHANGE: IP-EIGRP(0) 10: Neighbor (Tunnel0) is down: retry limit exceeded Hub# show ip route eigrp /24 is subnetted, 1 subnets is directly connected, FastEthernet0/ /24 is subnetted, 1 subnets is directly connected, Tunnel /24 is directly connected, FastEthernet0/1 S* /0 [1/0] via 与正确条目的配置示例动态 NHRP 组播映射的 : interface Tunnel0 ip address ip mtu 1400 no ip next-hop-self eigrp 10 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 10 no ip split-horizon eigrp 10 tunnel mode gre multipoint 这允许 NHRP 自动地添加分支路由器到组播 NHRP 映射欲知更多信息, 参考 NHRP 命令的 ip nhrp map multicast 动态部分 Hub#show ip eigrp neighbors IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) nt Num Tu :16: Tu :17: Tu :48: Hub#show ip route D /24 is subnetted, 1 subnets is directly connected, FastEthernet0/ /24 [90/ ] via , 00:16:12, Tunnel /24 is subnetted, 1 subnets

9 D is directly connected, Tunnel /24 is directly connected, FastEthernet0/ /24 [90/ ] via , 00:15:45, Tunnel0 S* /0 [1/0] via 了解对 spoke 的路由通过 eigrp 协议关于集成远程访问 VPN 的问题与 DMVPN 问题 DMVPN 优良工作, 但是无法设立 RAVPN 解决方案请使用 ISAKMP 配置文件和 IPSec 简档达到此创建 DMVPN 和 RAVPN 的独立的配置文件欲知更多信息, 参考 DMVPN 和 Easy VPN Server 与 ISAKMP 配置文件配置示例与 DUAL HUB DUAL DMVPN 的问题问题与 DUAL HUB DUAL DMVPN 的问题特别地, 通道断开和无法重新协商解决方案也请使用共享关键字在通道 IPSec 保护两个隧道接口在集线器和在分支配置示例 : Hub#show ip eigrp neighbors IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) nt Num Tu :16: Tu :17: Tu :48: Hub#show ip route D D /24 is subnetted, 1 subnets is directly connected, FastEthernet0/ /24 [90/ ] via , 00:16:12, Tunnel /24 is subnetted, 1 subnets is directly connected, Tunnel /24 is directly connected, FastEthernet0/ /24 [90/ ] via , 00:15:45, Tunnel0 S* /0 [1/0] via 欲知更多信息, 参考在 isco IOS 安全命令参考的通道保护部分

10 登录服务器的麻烦通过 DMVPN 问题关于访问一个服务器的问题通过 DMVPN 网络解决方案问题可能与使用 GRE 和 IPsec 数据包的 MTU 和 MSS 大小涉及现在, 数据包大小能是与分段的一个问题要消除此问题, 请使用这些命令 : ip mtu 1400 ip tcp adjust-mss 1360 crypto IPSec fragmentation after-encryption (global) 您可能也配置 tunnel path-mtu-discovery 命令动态地发现 MTU 大小对于更多详细说明, 参考解决 IP 分段, MTU MSS 和 PMTUD 问题与 GRE 和 IPSE 无法通过特定端口访问在 DMVPN 的服务器问题无法对在 DMVPN 的接入服务器通过特定端口解决方案验证由禁用 IOS 防火墙特性组并且看到是否工作如果它良好工作, 则问题涉及与 IOS 防火墙设置, 不与 DMVPN 相关信息动态多点 VPN (DMVPN) IPsec 协商 /IKE 协议技术支持和文档 - isco Systems

配置 Cisco 827 上带VPN IPSec NAT 超载的PPPoE

配置 Cisco 827 上带VPN IPSec NAT 超载的PPPoE 配置 Cisco 827 上带 VPN IPSec NAT 超载的 PPPoE 目录简介开始使用前规则先决条件使用的组件配置网络图配置验证故障排除故障排除命令相关信息简介 Cisco 827 路由器通常是 DSL 客户端前置设备 (CPE) 在此示例配置中, 思科 827 配置用于以太网点对点协议 (PPPoE 的 ), 用作使用思科 3600 路由器的 LAN-to-LAN IPSec 隧道中的对端