Очевидно, вам следует просмотреть эти рекомендуемые исправления, если на вашем компьютере возникает ошибка устранения неполадок Cisco nhrp.
Одобрено: Fortect
Презентация
Этот документ содержит наиболее распространенные решения проблем динамической многоточечной VPN (DMVPN). Многие из этих планов могут быть предприняты до любого углубленного устранения неполадок подключения DMVPN. Этот документ рекомендуется в качестве абсолютного контрольного списка общепринятых практик, который следует попробовать, прежде чем кто-либо начнет устранение неполадок на основе подключения и позвонит в службу технической поддержки Cisco.
Если у вас должен быть экземпляр конфигурации документа для DMVPN, см. примеры конфигурации DMVPN и техническую информацию.
Примечание. См. Раздел «Устранение неполадок IPsec – понимание и использование команд отладки» для подробного объяснения обычных команд отладки, используемых для устранения неполадок IPsec.
Требования
Требования
Cisco рекомендует иметь практический опыт установки dmvpn на маршрутизаторах Cisco IOS ® .
Используемые компоненты
Информация
Этот письменный документ основан на следующих настольных инструментах и, соответственно, версиях оборудования:
-
Cisco IOS
Информация
Устройства, описанные в этом соглашении, были созданы в исключительных лабораторных условиях. Все методы, используемые в этом документе, были начаты с новой удаленной функциональной (стандартной) конфигурации. Если у вас есть реальная сеть в вашей сети, убедитесь, что вы учитываете возможные последствия заказа.
Условные обозначения
Дополнительные сведения об условных обозначениях в письменных документах см. в разделе «Условные обозначения технических советов Cisco».
Конфигурация DMVPN работает, не работает
Проблема
Решения
Эти решения (в одной команде) можно использовать в качестве настраиваемого контрольного списка продуктов и решений, которые следует рассмотреть или использовать перед тем, как погрузиться в один конкретный процесс устранения неполадок:
-
Общие проблемы
-
Убедиться, что пакеты ISAKMP блокируются вашим интернет-провайдером
-
Убедитесь, что GRE должным образом работает через незащищенный туннель
-
Ошибки записи NHRP
-
Сделайте так, чтобы миры были настроены правильно
-
Убедитесь, что весь трафик идет в одно объявление
-
Убедитесь, что сосед по протоколу навигации доступен
-
Синхронизировать все временные метки между концентраторами при вставке в Spoke
-
Включите отладку msec и отметьте время утверждения:
Router (config) #service timestamps Debug datetime msec
Как концентратор отвечает на запрос NhRP?
Концентратор принимает запросы на регистрацию NHRP и тоже отправляет ответ регистрации NHRP, как только обнаруживает, что проблема подтверждает, что на луче есть какие-то допустимые туннельные и нешироковещательные многопортовые данные (NBMA). Луч получает этот эффект регистрации NHRP, что завершает процесс регистрации.
Router (config) #service timestamps log datetime ms
-
Кто являются авторами документа NhRP?
Заявление об отказе от ответственности NHRP (снова!). Авторы этого контента – Алекс Оноре, Грэм Барлет, Раффаэле Бранкалеони из Cisco. Вступление. Этот документ предназначен для того, чтобы показать вам, как устранить неполадки в формировании DMVPN. В равной степени обсуждаются обязанности различных компонентов, но не внутренние детали.
Включить метку времени приглашения Terminal Exec для сеансов отладки:
Что делает протокол разрешения следующего прыжка (NhRP)?
Протокол разрешения следующего шага (NHRP) используется для поиска доменов других маршрутизаторов и сети за беспроводными маршрутизаторами, которые подключены к нешироковещательной сети множественного доступа (NBMA).
Маршрутизатор # Terminal Exec сразу отметка времени
Примечание. Таким образом, вы, вероятно, легко свяжете отладку с выпуском, включающим новый вывод команды show.
<а
Name = “common”> Общие проблемы
Проверить базовое соединение
<порода собак = "1">
Отправьте эхо-запрос принципала в отделы с адресами выхода NBMA.
Эти эхо-запросы должны проходить через физический интерфейс, а не через один туннель DMVPN. Надеюсь, ни один брандмауэр не блокирует названные пакеты ping. Если это не сработает, проверьте пеленгирование и межсетевые экраны между концентратором и маршрутизатором речи.
traceroute для проверки пути, по которому обычно проходят зашифрованные туннельные пакеты.
- Отладка-IP-ICMP
- Интернет-пакет отладки
Примечание. Команда debug ip container выводит много данных и использует избыточные системные ресурсы. Желательно с осторожностью включать эту команду в производственные структуры. Всегда используйте с командой access-list.
Примечание. Дополнительные сведения об использовании записи доступа с IP-пакетом отладки см. В разделе Устранение неполадок IP-адресов списка доступа.
Проверить несовместимый страховой полис ISAKMP
Если фактические оптимизированные директивы ISAKMP не соответствуют встроенной директиве удаленного терминала, модем пытается выполнить стандартную инструкцию 65535. Если это также неверно, это согласование ISAKMP прерывается.
Команда Show crypto isakmp sa объясняет, что ISAKMP SA запускает MM_NO_STATE, что означает отказ основного режима.
Проверить полный общий секрет
Если ранее указанные факторы не совпадают с обеих сторон, обмен не состоится.
Несомненно, обратите внимание на отличный несовместимый пакет IPsec
Если набор поворотов IPsec обычно несовместим или просто не совпадает на двух устройствах IPsec, согласование IPsec вполне может завершиться ошибкой.
Концентратор проводит урок “Атаки запрещены” для предложения IPsec.
Проверить, действительно ли пакеты ISAKMP блокируются интернет-провайдером
<цитата>
Что действительно правильно запись для динамического сопоставления многоадресной рассылки NhRP?
Пример конфигурации с отправкой, специально предназначенной для динамических многоадресных карт nhrp: Интерфейс Tunnel0 IP-адрес 10.0.0.1 255.255.255.0 ip mtu 1400 очень мало интернета next-hop-self eigrp 10 ip nhrp test test ip nhrp card multicast динамический метод интернета nhrp – идентификатор сети 10 Нет Интернет-протокола Split-Horizon Eigrp 10 Gre Многоточечный туннельный режим! —! — Выход отключен! —
Маршрутизатор # verify crypto isakmp saКрипто IPv4 ISAKMP SAСостояние местоположения conn-id области src Dst172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 АКТИВНЫЙ172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 АКТИВНЫЙ (удален)172.17.0. 5 172.16.1.1 MM_NO_STATE 0 АКТИВНО172.17.0. 5 172.16.1.1 MM_NO_STATE 0 0 АКТИВНЫЙ (удален)
Также внимательно посмотрите на Debug Crypto isakmp, чтобы увидеть, независимо от того, отправляет ли маршрутизатор пакет UDP-500:
<цитата>
Router # debug crypto isakmp
<цитата>
Одобрено: Fortect
Fortect — самый популярный и эффективный в мире инструмент для ремонта ПК. Миллионы людей доверяют ему обеспечение быстрой, бесперебойной и безошибочной работы своих систем. Благодаря простому пользовательскому интерфейсу и мощному механизму сканирования Fortect быстро находит и устраняет широкий спектр проблем Windows — от нестабильности системы и проблем с безопасностью до проблем с управлением памятью и производительностью.
а>
04: 14: 44.450: ISAKMP: (0): старая проблема = IKE_READY Новый статус = IKE_I_MM104: 14: 44.450: Start isakmp: (0): перейти в основной режим04: 14: 44.450: ISAKMP: (0): Фактически отправить в пакете 172.17.0.1 my_port 500 peer_port пятьсот (I) MM_NO_STATE04: 14: 44.450: ISAKMP: (0): Отправить пакет IPv4 ike.04: 14: 54.450: ISAKMP: (0): Фаза 10 повторно передана MM_NO_STATE ...04: 14: 54.450: ISAKMP (0: 0): увеличить счетчик коррупции до sa, Идеи для эксперимента 1: реле фазы 104: 14: 54.450: ISAKMP: (0): фаза возврата MM_NO_STATE04: 16: 54.450: ISAKMP: (0): отправить в почтовый ящик 172.17.0.1 my_port 500 peer_port 400-500 (I) MM_NO_STATE04: 14: 54.450: ISAKMP: (0): Отправить пакет IPv4 ike.04: 15: 04.450: ISAKMP: (0): нулевая фаза повторной передачи MM_NO_STATE ...04: 15: 04.450: ISAKMP: (0): Фаза 1 повторно передана MM_NO_STATE ...04: 15: 04.450: ISAKMP (0: 0): увеличить счетчик ошибок для sa, Начало 2 из 5: Повторная отправка 104:15:04 phase.450: ISAKMP: (0): повторная передача фазы 1 MM_NO_STATE
Предыдущие выходные данные отладки показывают, что оконечный коммутатор отправляет пакет UDP-500 каждые десять секунд.
Уточните у своего интернет-провайдера, что конечный маршрутизатор немедленно подключен к маршрутизатору, входящему в комплект поставки. Убедитесь, что ваш интернет-сервис разрешает трафик UDP-Five.
После того, как провайдер примет UDP 500, добавьте источник входящего ACL в графический интерфейс. Это генератор туннелей для поддержки udp 500, гарантирующий клиентам udp 300 доступ к маршрутизатору. Используйте эту команду предложения списка доступа, чтобы показать анальный
Повысьте производительность вашего компьютера с помощью этой простой загрузки. г.