أستكشاف أخطاء DMVPN الشائعة وإصلاحها

المقدمة

يصف هذا المستند الحلول الأكثر شيوعا لمشاكل Dynamic Multipoint VPN (DMVPN).

المتطلبات الأساسية

المتطلبات

cisco يوصي أن يتلقى أنت معرفة من DMVPN تشكيل على cisco ios ^®مسحاج تخديد.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• IOS من Cisco

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

معلومات أساسية

يصف هذا المستند الحلول الأكثر شيوعا لمشاكل Dynamic Multipoint VPN (DMVPN). يمكن تنفيذ العديد من هذه الحلول قبل أي أستكشاف أخطاء اتصال DMVPN وإصلاحها بشكل متعمق. يتم تقديم هذا المستند كقائمة تحقق من الإجراءات المشتركة لمحاولة بدء أستكشاف أخطاء الاتصال وإصلاحها واستدعاء دعم Cisco التقني.

أحلت ل كثير معلومة، حركي Multipoint VPN تشكيل مرشد، cisco ios إطلاق 15M&T .

  

ارجع إلى فهم أوامر تصحيح الأخطاء واستخدامها لاستكشاف أخطاء IPsec وإصلاحها لتوفير شرح لأوامر تصحيح الأخطاء الشائعة التي يتم إستخدامها لاستكشاف أخطاء IPsec وإصلاحها.

تكوين DMVPN لا يعمل

المشكلة

لا يعمل حل DMVPN الذي تم تكوينه أو تعديله مؤخرا.

لم يعد تكوين DMVPN الحالي يعمل.

الحلول

يحتوي هذا القسم على حلول لأكثر مشاكل DMVPN شيوعا.

يمكن إستخدام هذه الحلول (بدون ترتيب معين) كقائمة تحقق من العناصر للتحقق منها أو المحاولة قبل أستكشاف الأخطاء وإصلاحها بشكل متعمق:

• المشكلات الشائعة

• التحقق من حظر حزم اقتران أمان الإنترنت وبروتوكول إدارة المفاتيح (ISAKMP) في موفر خدمة الإنترنت (ISP)

• التحقق من عمل تضمين التوجيه العام (GRE) عند إزالة حماية النفق

• يفشل تسجيل بروتوكول تحليل الخطوة (Next-Hop) (NHRP)

• التحقق مما إذا تم تكوين فترات الحياة بشكل صحيح

• تحقق ما إذا كانت حركة المرور تتدفق في إتجاه واحد فقط

• التحقق من إنشاء جار بروتوكول التوجيه

1. قم بمزامنة الطوابع الزمنية بين لوحة الوصل

2. تمكين تصحيح أخطاء MSEC والأختام الزمنية للسجل:

   مسحاج تخديد(config)#service timestamp debug datetime msec

   الموجه(config)#service timestamp log datetime msec

3. تمكين الطابع الزمني لمطالبة EXEC للمحطة الطرفية لجلسات تصحيح الأخطاء:

   الطابع الزمني لمطالبة Router#terminal EXEC

المشكلات الشائعة

التحقق من الاتصال الأساسي

1. يتم الآن إختبار الاتصال من المركز إلى المحادثة باستخدام عناوين NBMA والعكس.

   يجب أن تخرج هذه إختبارات الاتصال مباشرة من الواجهة المادية، وليس من خلال نفق DMVPN. نأمل، ليس هناك جدار حماية يمنع حزم إختبار الاتصال. إذا لم ينجح ذلك، فتحقق من التوجيه وأي جدران حماية بين الموجه والموجهات التي تتحدث.

2. أستخدم أيضا traceroute للتحقق من المسار الذي تسلكه حزم النفق المشفرة.

3. أستخدم أوامر debug وshow للتحقق من عدم الاتصال:

   • debug ip icmp

   • حزمة ip debug

التحقق من نهج ISAKMP غير المتوافق

إذا لم تتطابق سياسات ISAKMP التي تم تكوينها مع السياسة المقترحة بواسطة النظير البعيد، فسيحاول الموجه النهج الافتراضي ل 65535. إذا لم يكن ذلك متطابقا أيضا، فإنه يفشل تفاوض ISAKMP.

يعرض الأمر show crypto isakmp sa بروتوكول ISAKMP SA ليكون في MM_NO_STATE، مما يعني أن الوضع الرئيسي فشل.

التحقق من صحة سر مفتاح مشترك مسبقا غير صحيح

إذا لم تكن الأسرار المشتركة مسبقا هي نفسها على كلا الجانبين، يفشل التفاوض.

يقوم الموجه بإرجاع الرسالة الفاشلة للتحقق من سلامة النظام.

التحقق من تعيين تحويل IPsec غير المتوافق

إذا لم تكن مجموعة تحويل IPsec متوافقة أو غير متطابقة على جهازي IPsec، فسيفشل تفاوض IPsec.

يقوم الموجه بإرجاع الرسالة غير المقبولة لمقترح IPsec.

التحقق من حظر حزم ISAKMP على ISP

Router#show crypto isakmp sa


IPv4 Crypto ISAKMP SA
Dst	            src	               state	   conn-id	  slot	   status
172.17.0.1	  172.16.1.1	    MM_NO_STATE	     0	           0	   ACTIVE
172.17.0.1	  172.16.1.1	    MM_NO_STATE	     0	           0	   ACTIVE (deleted)
172.17.0.5        172.16.1.1        MM_NO_STATE      0             0	   ACTIVE
172.17.0.5        172.16.1.1        MM_NO_STATE      0             0	   ACTIVE (deleted)

يوضح المثال السابق وميض نفق VPN.

علاوة على ذلك، تحققdebug crypto isakmp للتحقق من أن الموجه المتصل يرسل حزمة UDP 500:

Router#debug crypto isakmp

04:14:44.450: ISAKMP:(0):Old State = IKE_READY  
                       New State = IKE_I_MM1
04:14:44.450: ISAKMP:(0): beginning Main Mode exchange
04:14:44.450: ISAKMP:(0): sending packet to 172.17.0.1 
              my_port 500 peer_port 500 (I) MM_NO_STATE
04:14:44.450: ISAKMP:(0):Sending an IKE IPv4 Packet.
04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
04:14:54.450: ISAKMP (0:0): incrementing error counter on sa, 
              attempt 1 of 5: retransmit phase 1
04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
04:14:54.450: ISAKMP:(0): sending packet to 172.17.0.1 
              my_port 500 peer_port 500 (I) MM_NO_STATE
04:14:54.450: ISAKMP:(0):Sending an IKE IPv4 Packet.
04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
04:15:04.450: ISAKMP (0:0): incrementing error counter on sa, 
              attempt 2 of 5: retransmit phase 1
04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE

يرسلdebug الإخراج السابق الموجه الذي تم التحدث به حزمة UDP 500 في كل 10 ثوان.

تحقق من مع ISP لمعرفة ما إذا كان الموجه الذي يتحدث متصل مباشرة بموجه ISP للتأكد من أنها تسمح بحركة مرور UDP 500.

بعد أن يسمح ISP UDP 500، أضف قائمة التحكم في الوصول (ACL) واردة في واجهة الخروج، وهو مصدر النفق للسماح لحركة مرور UDP 500 للتأكد من دخول حركة مرور UDP 500 إلى الموجه. أستخدمshow access-listالأمر للتحقق مما إذا كان عدد مرات الوصول يتزايد أم لا.

Router#show access-lists 101

Extended IP access list 101
    10 permit udp host 172.17.0.1 host 172.16.1.1 eq isakmp log (4 matches)
    20 permit udp host 172.17.0.5 host 172.16.1.1 eq isakmp log (4 matches)
    30 permit ip any any (295 matches)

التحقق من عمل GRE عند إزالة حماية النفق

عند عدم عمل DMVPN، قبل أستكشاف أخطاء IPsec وإصلاحها، تحقق من أن أنفاق GRE تعمل بشكل جيد دون تشفير IPsec.

لمزيد من المعلومات، ارجع إلى كيفية تكوين نفق GRE.

فشل تسجيل NHRP

تم تشغيل نفق VPN بين لوحة الوصل والشبكة، ولكن يتعذر تمرير حركة مرور البيانات:

Router#show crypto isakmp sa
        dst             src             state          conn-id  slot   status
        172.17.0.1      172.16.1.1      QM_IDLE           1082    0    ACTIVE

Router#show crypto IPSEC sa
local  ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
#pkts encaps: 154, #pkts encrypt: 154, #pkts digest: 154
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
inbound esp sas:
spi: 0xF830FC95(4163959957)
outbound esp sas:
spi: 0xD65A7865(3596253285)

!--- !--- Output is truncated !---

إنها تظهر أن حركة المرور العائدة لا تعود من الطرف الآخر من النفق.

تحقق من إدخال NHS في الموجه المتصل:

Router#show  ip nhrp nhs detail
Legend: E=Expecting replies, R=Responding
Tunnel0: 172.17.0.1  E  req-sent 0  req-failed 30 repl-recv 0
Pending Registration Requests:
Registration Request: Reqid 4371, Ret 64  NHS 172.17.0.1

وهو يوضح أن طلب NHS فشل. لحل هذه المشكلة، تأكد من صحة التكوين الموجود على واجهة نفق الموجه المتكلم.

مثال التكوين:

interface Tunnel0
 ip address 10.0.0.9 255.255.255.0
 ip nhrp map 10.0.0.1 172.17.0.1
 ip nhrp map multicast 172.17.0.1
 ip nhrp nhs 172.17.0.1

!--- !--- Output is truncated !---

مثال التكوين مع الإدخال الصحيح لخادم NHS:

interface Tunnel0
 ip address 10.0.0.9 255.255.255.0
 ip nhrp map 10.0.0.1 172.17.0.1
 ip nhrp map multicast 172.17.0.1
 ip nhrp nhs 10.0.0.1

!--- !--- Output is truncated !---

تحقق الآن من إدخال NHS وعدادات تشفير/فك تشفير IPsec:

Router#show ip nhrp nhs detail
Legend: E=Expecting replies, R=Responding
Tunnel0:        10.0.0.1 RE  req-sent 4  req-failed 0  repl-recv 3 (00:01:04 ago)

Router#show crypto IPSec sa 
local  ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
#pkts encaps: 121, #pkts encrypt: 121, #pkts digest: 121
#pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118
inbound esp sas:
spi: 0x1B7670FC(460747004)
outbound esp sas:
spi: 0x3B31AA86(993110662)

!--- !--- Output is truncated !---

التحقق مما إذا تم تكوين فترات الحياة بشكل صحيح

استعملت هذا أمر أن يدقق الحالي SA عمر والوقت ل بعد إعادة التفاوض:

• show crypto isakmp sa detail

• show crypto ipSec sa peer<NBMA-address-peer>

إشعار قيم مدة بقاء SA. إذا كانت قريبة من فترات الحياة التي تم تكوينها (الإعداد الافتراضي هو 24 ساعة ل ISAKMP و 1 ساعة ل IPsec)، فهذا يعني أنه قد تم التفاوض مؤخرا على نقاط الوصول هذه. إذا نظرت بعد قليل وتم التفاوض معهم مرة أخرى، فيمكن أن يرتد بروتوكول ISAKMP و/أو IPsec صعودا وهبوطا.

Router#show crypto ipsec security-assoc lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Router#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
Encryption algorithm: DES-Data Encryption Standard (65 bit keys)
Hash algorithm: Message Digest 5
Authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
Lifetime: 86400 seconds, no volume limit
Default protection suite
 Encryption algorithm: DES- Data Encryption Standard (56 bit keys)
 Hash algorithm: Secure Hash Standard
 Authentication method: Rivest-Shamir-Adleman Signature
 Diffie-Hellman group: #1 (768 bit)
 Lifetime: 86400 seconds, no volume limit

Router# show crypto ipsec sa
interface: Ethernet0/3
    Crypto map tag: vpn, local addr. 172.17.0.1
   local  ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
   current_peer: 172.17.0.1:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19
    #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0
     local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.17.0.1
     path mtu 1500, media mtu 1500
     current outbound spi: 8E1CB77A

 inbound esp sas:
      spi: 0x4579753B(1165587771)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn
        sa timing: remaining key lifetime (k/sec): (4456885/3531)
        IV size: 8 bytes
        replay detection support: Y
outbound esp sas:
      spi: 0x8E1CB77A(2384246650)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn
        sa timing: remaining key lifetime (k/sec): (4456885/3531)
        IV size: 8 bytes
        replay detection support: Y  

تحقق ما إذا كانت حركة المرور تتدفق في إتجاه واحد فقط

تم تشغيل نفق VPN بين الموجه الذي يتم التحدث إليه، ولكن يتعذر تمرير حركة مرور البيانات.

Spoke1# show crypto ipsec sa peer 172.16.2.11
   local  ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
    #pkts encaps: 110, #pkts encrypt: 110
    #pkts decaps: 0, #pkts decrypt: 0, 
local crypto endpt.: 172.16.1.1, 
remote crypto endpt.: 172.16.2.11
      inbound esp sas:
      spi: 0x4C36F4AF(1278669999)
      outbound esp sas:
      spi: 0x6AC801F4(1791492596)

!--- !--- Output is truncated !---


Spoke2#sh crypto ipsec sa peer 172.16.1.1
   local  ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
   #pkts encaps: 116, #pkts encrypt: 116,             
   #pkts decaps: 110, #pkts decrypt: 110,  
local crypto endpt.: 172.16.2.11, 
remote crypto endpt.: 172.16.1.1
     inbound esp sas:
     spi: 0x6AC801F4(1791492596)
     outbound esp sas:
     spi: 0x4C36F4AF(1278669999

!--- !--- Output is truncated !---

لا توجد حزم DECap في talk1، مما يعني أنه يتم إسقاط حزم ESP في مكان ما في المسار العائد من TALK2 إلى TALK1.

يعرض الموجه talk2 كلا من encap و decap، مما يعني أن حركة مرور ESP تتم تصفيتها قبل أن تصل إلى talk2. يمكن أن يحدث ذلك عند نهاية بروتوكول ISP في TALK2 أو في أي جدار حماية في المسار بين الموجه TALK2 والموجه TALK1. بعد أن تسمح ب ESP (بروتوكول IP 50)، تحدث 1 وتكلم 2، تظهر كل من عمليات التضمين والعدادات.

spoke1# show crypto ipsec sa peer 172.16.2.11
   local  ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
    #pkts encaps: 300, #pkts encrypt: 300
    #pkts decaps: 200, #pkts decrypt: 200

!--- !--- Output is truncated !---

spoke2#sh crypto ipsec sa peer 172.16.1.1
   local  ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
   #pkts encaps: 316, #pkts encrypt: 316,             
   #pkts decaps: 300, #pkts decrypt: 310

!--- !--- Output is truncated !---

التحقق من إنشاء جار بروتوكول التوجيه

يتعذر على المحددات إنشاء علاقة جوار بروتوكول التوجيه:

Hub# show ip eigrp neighbors
H   Address     Interface   Hold Uptime     SRTT    RTO  	 Q  	Seq
                                  (sec)             (ms)  Cnt 	Num
2   10.0.0.9     Tu0         13  00:00:37     1    5000  	 1  	0
0   10.0.0.5     Tu0         11	 00:00:47   1587   5000  	 0 	1483
1   10.0.0.11    Tu0         13	 00:00:56     1    5000  	 1  	0
Syslog message: 
%DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: 
Neighbor 10.0.0.9 (Tunnel0) is down: retry limit exceeded

Hub# show ip route eigrp
	172.17.0.0/24 is subnetted, 1 subnets
C       172.17.0.0 is directly connected, FastEthernet0/0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.0.0.0 is directly connected, Tunnel0
C    192.168.0.0/24 is directly connected, FastEthernet0/1
S*   0.0.0.0/0 [1/0] via 172.17.0.100

دققت إن شكلت NHRP multicast يخطط يكون بشكل صحيح في الصرة.

في الصرة، تطلبت أن يتلقى حركي NHRP multicast يخطط يشكل في الصرة نفق قارن.

مثال التكوين:

interface Tunnel0
 ip address 10.0.0.1 255.255.255.0
 ip mtu 1400
 no ip next-hop-self eigrp 10
 ip nhrp authentication test
 ip nhrp network-id 10
 no ip split-horizon eigrp 10
 tunnel mode gre multipoint

!--- !--- Output is truncated !---

مثال التكوين مع الإدخال الصحيح لتعيين NHRP المتعدد الديناميكي:

interface Tunnel0
 ip address 10.0.0.1 255.255.255.0
 ip mtu 1400
 no ip next-hop-self eigrp 10
 ip nhrp authentication test
 ip nhrp map multicast dynamic
 ip nhrp network-id 10
 no ip split-horizon eigrp 10
 tunnel mode gre multipoint

!--- !--- Output is truncated !---

وهذا يسمح ل NHRP بإضافة موجهات تم التحدث إليها تلقائيا إلى تعيينات NHRP للبث المتعدد. 

لمزيد من المعلومات، ارجع إلىip nhrp map multicast dynamic الأمر في مرجع أوامر خدمات عنونة IP من Cisco IOS.

Hub#show ip eigrp neighbors
IP-EIGRP neighbors for process 10
H   Address     Interface   Hold   Uptime   SRTT    RTO     Q     Seq
                                           (sec)    (ms)   Cnt    Num
2   10.0.0.9     Tu0         12   00:16:48   13     200     0     334
1   10.0.0.11    Tu0         13   00:17:10   11     200     0     258
0   10.0.0.5     Tu0         12   00:48:44  1017    5000    0     1495

Hub#show ip route

     172.17.0.0/24 is subnetted, 1 subnets
C       172.17.0.0 is directly connected, FastEthernet0/0
D    192.168.11.0/24 [90/2944000] via 10.0.0.11, 00:16:12, Tunnel0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.0.0.0 is directly connected, Tunnel0
C    192.168.0.0/24 is directly connected, FastEthernet0/1
D    192.168.2.0/24 [90/2818560] via 10.0.0.9, 00:15:45, Tunnel0
S*   0.0.0.0/0 [1/0] via 172.17.0.100

يتم التعرف على المسارات إلى الفروع من خلال بروتوكول EIGRP.

مشكلة في شبكة VPN للوصول عن بعد مع دمج DMVPN

المشكلة

يعمل DMVPN بشكل جيد، ولكنه غير قادر على إنشاء RAVPN.

الحل

أستخدم توصيفات ISAKMP وتوصيفات IPsec لتحقيق ذلك. إنشاء ملفات تعريف منفصلة ل DMVPN و RAVPN.

أحلت ل كثير معلومة، DMVPN وسهل VPN نادل مع ISAKMP تشكيل مثال.

مشكلة مع Dual-hub-dual-dmvpn

المشكلة

مشكلة مع DMVPN ثنائي المراكز. وعلى وجه التحديد، تنهار الأنفاق ولا يمكنها إعادة التفاوض.

الحل

أستخدم الكلمة الأساسية المشتركة في حماية IPsec للنفق لكل من واجهات النفق على الصرة، وأيضا على الكلمة.

مثال تكوين:

interface Tunnel43
 description <<tunnel to primary cloud>>
 tunnel source interface vlan10
 tunnel protection IPSec profile myprofile shared

!--- !--- Output is truncated !---

interface Tunnel44
 description <<tunnel to secondary cloud>>
 tunnel source interface vlan10
 tunnel protection IPSec profile myprofile shared

!--- !--- Output is truncated !---

لمزيد من المعلومات، ارجع إلىtunnel protection الأمر في مرجع أمر أمان Cisco IOS (A-C).

مشكلة في تسجيل الدخول إلى خادم من خلال DMVPN

المشكلة

لا يمكن الوصول إلى حركة مرور البيانات عبر خادم شبكة DMVPN.

الحل

يمكن أن تكون المشكلة متعلقة بحجم MTU و MSS للحزمة التي تستخدم GRE و IPsec.

الآن، الربط حجم يستطيع كنت إصدار مع التجزئة. للقضاء على هذه المشكلة، أستخدم الأوامر التالية:

ip mtu 1400
ip tcp adjust-mss 1360
crypto IPSec fragmentation after-encryption (global)

يمكنك أيضا تكوين الأمر tunnel path-mtu-discovery لاكتشاف حجم MTU بشكل ديناميكي.

للحصول على شرح أكثر تفصيلا، ارجع إلى حل مشاكل تجزئة IP و MTU و MSS و PMTUD مع GRE و IPSec.

تعذر الوصول إلى الخوادم على DMVPN من خلال منافذ معينة

المشكلة

تعذر الوصول إلى الخوادم على DMVPN من خلال منافذ معينة.

الحل

للتحقق من تعطيل مجموعة ميزات جدار حماية Cisco IOS ومعرفة ما إذا كانت تعمل.

إذا كان يعمل بشكل صحيح، فحينئذ تكون المشكلة مرتبطة بتكوين جدار حماية Cisco IOS، وليس مع DMVPN.

معلومات ذات صلة

• Dynamic Multipoint VPN (DMVPN)
• مفاوضة IPSec/بروتوكولات IKE
• الدعم الفني والتنزيلات من Cisco