تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يصف هذا المستند الحلول الأكثر شيوعا لمشاكل Dynamic Multipoint VPN (DMVPN).
cisco يوصي أن يتلقى أنت معرفة من DMVPN تشكيل على cisco ios ®مسحاج تخديد.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
IOS من Cisco
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
يصف هذا المستند الحلول الأكثر شيوعا لمشاكل Dynamic Multipoint VPN (DMVPN). يمكن تنفيذ العديد من هذه الحلول قبل أي أستكشاف أخطاء اتصال DMVPN وإصلاحها بشكل متعمق. يتم تقديم هذا المستند كقائمة تحقق من الإجراءات المشتركة لمحاولة بدء أستكشاف أخطاء الاتصال وإصلاحها واستدعاء دعم Cisco التقني.
أحلت ل كثير معلومة، حركي Multipoint VPN تشكيل مرشد، cisco ios إطلاق 15M&T .
ارجع إلى فهم أوامر تصحيح الأخطاء واستخدامها لاستكشاف أخطاء IPsec وإصلاحها لتوفير شرح لأوامر تصحيح الأخطاء الشائعة التي يتم إستخدامها لاستكشاف أخطاء IPsec وإصلاحها.
لا يعمل حل DMVPN الذي تم تكوينه أو تعديله مؤخرا.
لم يعد تكوين DMVPN الحالي يعمل.
يحتوي هذا القسم على حلول لأكثر مشاكل DMVPN شيوعا.
يمكن إستخدام هذه الحلول (بدون ترتيب معين) كقائمة تحقق من العناصر للتحقق منها أو المحاولة قبل أستكشاف الأخطاء وإصلاحها بشكل متعمق:
التحقق من حظر حزم اقتران أمان الإنترنت وبروتوكول إدارة المفاتيح (ISAKMP) في موفر خدمة الإنترنت (ISP)
التحقق من عمل تضمين التوجيه العام (GRE) عند إزالة حماية النفق
ملاحظة: قبل البدء، تحقق من الخطوات التالية:
قم بمزامنة الطوابع الزمنية بين لوحة الوصل
تمكين تصحيح أخطاء MSEC والأختام الزمنية للسجل:
مسحاج تخديد(config)#service timestamp debug datetime msec
الموجه(config)#service timestamp log datetime msec
تمكين الطابع الزمني لمطالبة EXEC للمحطة الطرفية لجلسات تصحيح الأخطاء:
الطابع الزمني لمطالبة Router#terminal EXEC
ملاحظة: بهذه الطريقة، يمكنك بسهولة ربط إخراج تصحيح الأخطاء بمخرج الأمر show.
يتم الآن إختبار الاتصال من المركز إلى المحادثة باستخدام عناوين NBMA والعكس.
يجب أن تخرج هذه إختبارات الاتصال مباشرة من الواجهة المادية، وليس من خلال نفق DMVPN. نأمل، ليس هناك جدار حماية يمنع حزم إختبار الاتصال. إذا لم ينجح ذلك، فتحقق من التوجيه وأي جدران حماية بين الموجه والموجهات التي تتحدث.
أستخدم أيضا traceroute للتحقق من المسار الذي تسلكه حزم النفق المشفرة.
أستخدم أوامر debug وshow للتحقق من عدم الاتصال:
debug ip icmp
حزمة ip debug
ملاحظة: ينتج الأمر debug ip packet كمية كبيرة من الإخراج ويستخدم كمية كبيرة من موارد النظام. يجب إستخدام هذا الأمر بحذر في شبكات الإنتاج. أستخدم دائما مع أمر قائمة الوصول. للحصول على مزيد من المعلومات حول كيفية إستخدام قائمة الوصول مع حزمة IP debug، ارجع إلى أستكشاف الأخطاء وإصلاحها باستخدام قوائم الوصول إلى IP.
إذا لم تتطابق سياسات ISAKMP التي تم تكوينها مع السياسة المقترحة بواسطة النظير البعيد، فسيحاول الموجه النهج الافتراضي ل 65535. إذا لم يكن ذلك متطابقا أيضا، فإنه يفشل تفاوض ISAKMP.
يعرض الأمر show crypto isakmp sa بروتوكول ISAKMP SA ليكون في MM_NO_STATE، مما يعني أن الوضع الرئيسي فشل.
إذا لم تكن الأسرار المشتركة مسبقا هي نفسها على كلا الجانبين، يفشل التفاوض.
يقوم الموجه بإرجاع الرسالة الفاشلة للتحقق من سلامة النظام.
إذا لم تكن مجموعة تحويل IPsec متوافقة أو غير متطابقة على جهازي IPsec، فسيفشل تفاوض IPsec.
يقوم الموجه بإرجاع الرسالة غير المقبولة لمقترح IPsec.
Router#show crypto isakmp sa IPv4 Crypto ISAKMP SA Dst src state conn-id slot status 172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIVE 172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (deleted) 172.17.0.5 172.16.1.1 MM_NO_STATE 0 0 ACTIVE 172.17.0.5 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (deleted)
يوضح المثال السابق وميض نفق VPN.
علاوة على ذلك، تحققdebug crypto isakmp
للتحقق من أن الموجه المتصل يرسل حزمة UDP 500:
Router#debug crypto isakmp
04:14:44.450: ISAKMP:(0):Old State = IKE_READY New State = IKE_I_MM1 04:14:44.450: ISAKMP:(0): beginning Main Mode exchange 04:14:44.450: ISAKMP:(0): sending packet to 172.17.0.1 my_port 500 peer_port 500 (I) MM_NO_STATE 04:14:44.450: ISAKMP:(0):Sending an IKE IPv4 Packet. 04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:14:54.450: ISAKMP (0:0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1 04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE 04:14:54.450: ISAKMP:(0): sending packet to 172.17.0.1 my_port 500 peer_port 500 (I) MM_NO_STATE 04:14:54.450: ISAKMP:(0):Sending an IKE IPv4 Packet. 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:15:04.450: ISAKMP (0:0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
يرسلdebug
الإخراج السابق الموجه الذي تم التحدث به حزمة UDP 500 في كل 10 ثوان.
تحقق من مع ISP لمعرفة ما إذا كان الموجه الذي يتحدث متصل مباشرة بموجه ISP للتأكد من أنها تسمح بحركة مرور UDP 500.
بعد أن يسمح ISP UDP 500، أضف قائمة التحكم في الوصول (ACL) واردة في واجهة الخروج، وهو مصدر النفق للسماح لحركة مرور UDP 500 للتأكد من دخول حركة مرور UDP 500 إلى الموجه. أستخدمshow access-list
الأمر للتحقق مما إذا كان عدد مرات الوصول يتزايد أم لا.
Router#show access-lists 101
Extended IP access list 101 10 permit udp host 172.17.0.1 host 172.16.1.1 eq isakmp log (4 matches) 20 permit udp host 172.17.0.5 host 172.16.1.1 eq isakmp log (4 matches) 30 permit ip any any (295 matches)
تحذير: تأكد من وجود IP لأي عنوان مسموح به في قائمة الوصول الخاصة بك. وإلا، يمكن حظر جميع حركات المرور الأخرى كقائمة وصول يتم تطبيقها داخل على واجهة المخرج.
عند عدم عمل DMVPN، قبل أستكشاف أخطاء IPsec وإصلاحها، تحقق من أن أنفاق GRE تعمل بشكل جيد دون تشفير IPsec.
لمزيد من المعلومات، ارجع إلى كيفية تكوين نفق GRE.
تم تشغيل نفق VPN بين لوحة الوصل والشبكة، ولكن يتعذر تمرير حركة مرور البيانات:
Router#show crypto isakmp sa dst src state conn-id slot status 172.17.0.1 172.16.1.1 QM_IDLE 1082 0 ACTIVE
Router#show crypto IPSEC sa local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0) #pkts encaps: 154, #pkts encrypt: 154, #pkts digest: 154 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 inbound esp sas: spi: 0xF830FC95(4163959957) outbound esp sas: spi: 0xD65A7865(3596253285) !--- !--- Output is truncated !---
إنها تظهر أن حركة المرور العائدة لا تعود من الطرف الآخر من النفق.
تحقق من إدخال NHS في الموجه المتصل:
Router#show ip nhrp nhs detail Legend: E=Expecting replies, R=Responding Tunnel0: 172.17.0.1 E req-sent 0 req-failed 30 repl-recv 0 Pending Registration Requests: Registration Request: Reqid 4371, Ret 64 NHS 172.17.0.1
وهو يوضح أن طلب NHS فشل. لحل هذه المشكلة، تأكد من صحة التكوين الموجود على واجهة نفق الموجه المتكلم.
مثال التكوين:
interface Tunnel0 ip address 10.0.0.9 255.255.255.0 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.1 ip nhrp nhs 172.17.0.1 !--- !--- Output is truncated !---
مثال التكوين مع الإدخال الصحيح لخادم NHS:
interface Tunnel0 ip address 10.0.0.9 255.255.255.0 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.1 ip nhrp nhs 10.0.0.1 !--- !--- Output is truncated !---
تحقق الآن من إدخال NHS وعدادات تشفير/فك تشفير IPsec:
Router#show ip nhrp nhs detail Legend: E=Expecting replies, R=Responding Tunnel0: 10.0.0.1 RE req-sent 4 req-failed 0 repl-recv 3 (00:01:04 ago) Router#show crypto IPSec sa local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0) #pkts encaps: 121, #pkts encrypt: 121, #pkts digest: 121 #pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118 inbound esp sas: spi: 0x1B7670FC(460747004) outbound esp sas: spi: 0x3B31AA86(993110662) !--- !--- Output is truncated !---
استعملت هذا أمر أن يدقق الحالي SA عمر والوقت ل بعد إعادة التفاوض:
show crypto isakmp sa detail
show crypto ipSec sa peer<NBMA-address-peer>
إشعار قيم مدة بقاء SA. إذا كانت قريبة من فترات الحياة التي تم تكوينها (الإعداد الافتراضي هو 24 ساعة ل ISAKMP و 1 ساعة ل IPsec)، فهذا يعني أنه قد تم التفاوض مؤخرا على نقاط الوصول هذه. إذا نظرت بعد قليل وتم التفاوض معهم مرة أخرى، فيمكن أن يرتد بروتوكول ISAKMP و/أو IPsec صعودا وهبوطا.
Router#show crypto ipsec security-assoc lifetime Security association lifetime: 4608000 kilobytes/3600 seconds Router#show crypto isakmp policy Global IKE policy Protection suite of priority 1 Encryption algorithm: DES-Data Encryption Standard (65 bit keys) Hash algorithm: Message Digest 5 Authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) Lifetime: 86400 seconds, no volume limit Default protection suite Encryption algorithm: DES- Data Encryption Standard (56 bit keys) Hash algorithm: Secure Hash Standard Authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) Lifetime: 86400 seconds, no volume limit Router# show crypto ipsec sa interface: Ethernet0/3 Crypto map tag: vpn, local addr. 172.17.0.1 local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0) current_peer: 172.17.0.1:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19 #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.17.0.1 path mtu 1500, media mtu 1500 current outbound spi: 8E1CB77A inbound esp sas: spi: 0x4579753B(1165587771) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4456885/3531) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x8E1CB77A(2384246650) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4456885/3531) IV size: 8 bytes replay detection support: Y
تم تشغيل نفق VPN بين الموجه الذي يتم التحدث إليه، ولكن يتعذر تمرير حركة مرور البيانات.
Spoke1# show crypto ipsec sa peer 172.16.2.11 local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) #pkts encaps: 110, #pkts encrypt: 110 #pkts decaps: 0, #pkts decrypt: 0, local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.16.2.11 inbound esp sas: spi: 0x4C36F4AF(1278669999) outbound esp sas: spi: 0x6AC801F4(1791492596) !--- !--- Output is truncated !--- Spoke2#sh crypto ipsec sa peer 172.16.1.1 local ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) #pkts encaps: 116, #pkts encrypt: 116, #pkts decaps: 110, #pkts decrypt: 110, local crypto endpt.: 172.16.2.11, remote crypto endpt.: 172.16.1.1 inbound esp sas: spi: 0x6AC801F4(1791492596) outbound esp sas: spi: 0x4C36F4AF(1278669999 !--- !--- Output is truncated !---
لا توجد حزم DECap في talk1، مما يعني أنه يتم إسقاط حزم ESP في مكان ما في المسار العائد من TALK2 إلى TALK1.
يعرض الموجه talk2 كلا من encap و decap، مما يعني أن حركة مرور ESP تتم تصفيتها قبل أن تصل إلى talk2. يمكن أن يحدث ذلك عند نهاية بروتوكول ISP في TALK2 أو في أي جدار حماية في المسار بين الموجه TALK2 والموجه TALK1. بعد أن تسمح ب ESP (بروتوكول IP 50)، تحدث 1 وتكلم 2، تظهر كل من عمليات التضمين والعدادات.
spoke1# show crypto ipsec sa peer 172.16.2.11 local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) #pkts encaps: 300, #pkts encrypt: 300 #pkts decaps: 200, #pkts decrypt: 200 !--- !--- Output is truncated !--- spoke2#sh crypto ipsec sa peer 172.16.1.1 local ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) #pkts encaps: 316, #pkts encrypt: 316, #pkts decaps: 300, #pkts decrypt: 310 !--- !--- Output is truncated !---
يتعذر على المحددات إنشاء علاقة جوار بروتوكول التوجيه:
Hub# show ip eigrp neighbors H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 2 10.0.0.9 Tu0 13 00:00:37 1 5000 1 0 0 10.0.0.5 Tu0 11 00:00:47 1587 5000 0 1483 1 10.0.0.11 Tu0 13 00:00:56 1 5000 1 0 Syslog message: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 10.0.0.9 (Tunnel0) is down: retry limit exceeded Hub# show ip route eigrp 172.17.0.0/24 is subnetted, 1 subnets C 172.17.0.0 is directly connected, FastEthernet0/0 10.0.0.0/24 is subnetted, 1 subnets C 10.0.0.0 is directly connected, Tunnel0 C 192.168.0.0/24 is directly connected, FastEthernet0/1 S* 0.0.0.0/0 [1/0] via 172.17.0.100
دققت إن شكلت NHRP multicast يخطط يكون بشكل صحيح في الصرة.
في الصرة، تطلبت أن يتلقى حركي NHRP multicast يخطط يشكل في الصرة نفق قارن.
مثال التكوين:
interface Tunnel0 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 no ip next-hop-self eigrp 10 ip nhrp authentication test ip nhrp network-id 10 no ip split-horizon eigrp 10 tunnel mode gre multipoint !--- !--- Output is truncated !---
مثال التكوين مع الإدخال الصحيح لتعيين NHRP المتعدد الديناميكي:
interface Tunnel0 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 no ip next-hop-self eigrp 10 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 10 no ip split-horizon eigrp 10 tunnel mode gre multipoint !--- !--- Output is truncated !---
وهذا يسمح ل NHRP بإضافة موجهات تم التحدث إليها تلقائيا إلى تعيينات NHRP للبث المتعدد.
لمزيد من المعلومات، ارجع إلىip nhrp map multicast dynamic
الأمر في مرجع أوامر خدمات عنونة IP من Cisco IOS.
Hub#show ip eigrp neighbors IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 2 10.0.0.9 Tu0 12 00:16:48 13 200 0 334 1 10.0.0.11 Tu0 13 00:17:10 11 200 0 258 0 10.0.0.5 Tu0 12 00:48:44 1017 5000 0 1495 Hub#show ip route 172.17.0.0/24 is subnetted, 1 subnets C 172.17.0.0 is directly connected, FastEthernet0/0 D 192.168.11.0/24 [90/2944000] via 10.0.0.11, 00:16:12, Tunnel0 10.0.0.0/24 is subnetted, 1 subnets C 10.0.0.0 is directly connected, Tunnel0 C 192.168.0.0/24 is directly connected, FastEthernet0/1 D 192.168.2.0/24 [90/2818560] via 10.0.0.9, 00:15:45, Tunnel0 S* 0.0.0.0/0 [1/0] via 172.17.0.100
يتم التعرف على المسارات إلى الفروع من خلال بروتوكول EIGRP.
يعمل DMVPN بشكل جيد، ولكنه غير قادر على إنشاء RAVPN.
أستخدم توصيفات ISAKMP وتوصيفات IPsec لتحقيق ذلك. إنشاء ملفات تعريف منفصلة ل DMVPN و RAVPN.
أحلت ل كثير معلومة، DMVPN وسهل VPN نادل مع ISAKMP تشكيل مثال.
مشكلة مع DMVPN ثنائي المراكز. وعلى وجه التحديد، تنهار الأنفاق ولا يمكنها إعادة التفاوض.
أستخدم الكلمة الأساسية المشتركة في حماية IPsec للنفق لكل من واجهات النفق على الصرة، وأيضا على الكلمة.
مثال تكوين:
interface Tunnel43 description <<tunnel to primary cloud>> tunnel source interface vlan10 tunnel protection IPSec profile myprofile shared !--- !--- Output is truncated !--- interface Tunnel44 description <<tunnel to secondary cloud>> tunnel source interface vlan10 tunnel protection IPSec profile myprofile shared !--- !--- Output is truncated !---
لمزيد من المعلومات، ارجع إلىtunnel protection
الأمر في مرجع أمر أمان Cisco IOS (A-C).
لا يمكن الوصول إلى حركة مرور البيانات عبر خادم شبكة DMVPN.
يمكن أن تكون المشكلة متعلقة بحجم MTU و MSS للحزمة التي تستخدم GRE و IPsec.
الآن، الربط حجم يستطيع كنت إصدار مع التجزئة. للقضاء على هذه المشكلة، أستخدم الأوامر التالية:
ip mtu 1400 ip tcp adjust-mss 1360 crypto IPSec fragmentation after-encryption (global)
يمكنك أيضا تكوين الأمر tunnel path-mtu-discovery
لاكتشاف حجم MTU بشكل ديناميكي.
للحصول على شرح أكثر تفصيلا، ارجع إلى حل مشاكل تجزئة IP و MTU و MSS و PMTUD مع GRE و IPSec.
تعذر الوصول إلى الخوادم على DMVPN من خلال منافذ معينة.
للتحقق من تعطيل مجموعة ميزات جدار حماية Cisco IOS ومعرفة ما إذا كانت تعمل.
إذا كان يعمل بشكل صحيح، فحينئذ تكون المشكلة مرتبطة بتكوين جدار حماية Cisco IOS، وليس مع DMVPN.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
3.0 |
29-Aug-2024 |
الارتباطات التي تم تصحيحها، تنبيهات CCW المصححة، إعادة الاعتماد، حالة العنوان. |
2.0 |
24-Mar-2023 |
إرتباطات تم تصحيحها، تنبيهات CCW التي تم تصحيحها. إعادة الاعتماد. |
1.0 |
27-Apr-2010 |
الإصدار الأولي |