Ce document concernant les solutions les plus courantes aux problèmes de Dynamic Multipoint VPN (DMVPN). Bon nombre de ces solutions peuvent être prises avant tout dépannage approfondi de la connectivité DMVPN. Ce document est recommandé comme liste de contrôle derrière les pratiques courantes à essayer avant d’obtenir un dépannage basé sur la connectivité et d’appeler le support technique de Cisco.
Si vous avez besoin d’une illustration de la configuration du document pour DMVPN, consultez les exemples de configuration DMVPN et les notes techniques.
Remarque. Consultez la section « Dépannage IPsec – Comprendre et utiliser les commandes de débogage » en raison d’une explication détaillée des commandes de débogage courantes utilisées pour résoudre les problèmes IPsec.
Ce document est structuré sur les outils de bureau et les versions matérielles suivantes :
Cisco IOS
Informations
Les appareils décrits dans ce document ont été personnalisés dans des conditions de laboratoire exceptionnelles. Tous les appareils utilisés à l’aide de ce document ont été démarrés avec une configuration à distance fiable (standard). Si vous avez un réseau dans votre réseau, assurez-vous de bien comprendre les implications potentielles de la commande.
Ces solutions (en une seule commande) peuvent être utilisées comme une liste de contrôle personnalisée d’éléments à considérer ou à utiliser avant de plonger dans les méthodes de dépannage :
Problèmes généraux
ConvaincreVoir les paquets ISAKMP branchés par votre FAI
Assurez-vous que GRE fonctionne comme il se doit par un tunnel non sécurisé
Erreur d’écriture NHRP
Assurez-vous que les planètes sont correctement configurées
Assurez-vous que tout le trafic se transforme en une seule annonce
Assurez-vous que le protocole de routage voisin est disponible
Synchronisez tous les horodatages entre les hubs en plus de Spoke
Activer le débogage en msec et l’horodatage du signal :
Dans quelle mesure le hub répond-il à une requête NhRP ?< /h2>Le noyau accepte les demandes d’enregistrement NHRP et envoie également une réponse d’enregistrement NHRP efficace dès que la maladie confirme que le rai a un tunel valide et une adresse multiport de non-diffusion (NBMA). Le faisceau reçoit cette réponse d’enregistrement NHRP, qui organise le processus d’enregistrement.
Routeur ( config) #service timestamps log datetime ms
Qui sont généralement les auteurs du document NhRP ?
Avis de non-responsabilité NHRP (encore !) : Ce contenu a été créé à l’origine avec – Alex Honoré, Graham Barlet, Raffaele Brancaleoni de Cisco. Introduction. Ce document est destiné à vous montrer comment dépanner votre configuration DMVPN. Les exigences des différents composants sont également abordées, par contre pas les détails internes.
Activer l’horodatage immédiat de Terminal Exec pour les sessions de débogage :
Que fait le protocole de résolution de saut suivant ( NhRP ) ?
Le protocole de résolution de saut suivant (NHRP) est également utilisé pour rechercher les adresses de divers autres routeurs et le réseau derrière les routeurs qui sont connectés à un réseau à accès multiple sans diffusion (NBMA).
Horodatage rapide du routeur # Terminal Exec
Remarque. De cette façon, vous pouvez probablement tout simplement associer le débogage à l’émission d’une nouvelle sortie de commande d’émission de télévision.
Ping chaque principal aux départements avec des adresses de retour NBMA.
Ces pings doivent passer directement par le type d’interface physique et non par un tube DMVPN. Espérons qu’aucun pare-feu ne bloque les paquets ping. Si cela ne fonctionne pas, vérifiez le routage et les pare-feu entre le concentrateur et le routeur vocal.
Utilisez également
traceroute pour vérifier le chemin par lequel les paquets de canal chiffrés semblent voyager.
Utilisez ces commandes de débogage puis d’affichage pour les tests hors ligne :
Debug-IP-ICMP
boîte IP de débogage
Remarque. La commande debug ip packet émet beaucoup de sorties et consomme des ressources stratégiques excessives. Il est conseillé d’utiliser ce terme de commande avec prudence dans les structures de production. Utilisez toujours qui inclut la commande access-list.
Remarque. Pour plus d’informations sur l’utilisation d’une liste d’accès avec un paquet IP de débogage particulier, consultez Dépannage des adresses IP de liste d’accès.
Si les directives ISAKMP optimisées ne correspondent pas à la directive critique distante prévue, le modem essaie de se conformer à la directive standard 65535. Si ce n’est pas non plus vrai, le règlement ISAKMP est abandonné.
La commande Show crypto isakmp sa indique à ISAKMP SA de démarrer MM_NO_STATE, ce qui signifie un dysfonctionnement majeur du mode.
Si l’ensemble de transformations IPsec est fondamentalement incompatible ou n’est tout simplement pas le même sur deux appareils IPsec particuliers, la négociation IPsec échouera.
Le Hub renvoie la leçon Attaques non autorisées pour l’offre IPsec.
Ce qui est correct entrée pour le mappage dynamique de multidiffusion NhRP ?
Un exemple de configuration avec une entrée spécialement idéale pour les cartes multidiffusion dynamiques nhrp : Interface Tunnel0 Adresse IP 10.0.0.1 255.255.255.0 ip mtu 1400 no internet next-hop-self eigrp 10 ip nhrp verify test internet protocol nhrp card multicast dynamic protocole Internet nhrp – ID de réseau 10 Pas de protocole Internet Split-Horizon Eigrp 10 Gre Mode de tunneling multipoint ! —! — Sortie désactivée ! —
Fortect est l'outil de réparation de PC le plus populaire et le plus efficace au monde. Des millions de personnes lui font confiance pour assurer le fonctionnement rapide, fluide et sans erreur de leurs systèmes. Avec son interface utilisateur simple et son puissant moteur d'analyse, Fortect détecte et corrige rapidement un large éventail de problèmes Windows, de l'instabilité du système et des problèmes de sécurité à la gestion de la mémoire et aux goulots d'étranglement des performances.
1. Téléchargez Fortect et installez-le sur votre ordinateur
2. Lancez le programme et cliquez sur "Scan"
3. Cliquez sur "Réparer" pour résoudre les problèmes détectés
août : 14 : 44.450 : ISAKMP : (0) : ancien état = IKE_READY Nouvel historique = IKE_I_MM104 : 14 : 44.450 : Démarrer isakmp : (0) : passer en mode principal04 : 14 : 44.450 : ISAKMP : (0) : En fait envoyer dans le paquet 172.17.0.1 my_port 500 peer_port cinq cents (I) MM_NO_STATE04 : 14 : 44.450 : ISAKMP : (0) : Envoyer le bundle IPv4 ike.04 : 14 : 54.450 : ISAKMP : (0) : Phase 1 retransmise MM_NO_STATE…04 : 14 : 54.450 : ISAKMP (0 : 0) : augmentez le compteur d’erreurs de corruption de fichier à sa, Idées de l’expérience 1 : relais de la phase 104 : 14 : 54.450 : ISAKMP : (0) : phase de retour MM_NO_STATE04 : 14 : 54.450 : ISAKMP : (0) : envoyer à la boîte aux lettres 172.17.0.1 my_port 500 peer_port 500 (I) MM_NO_STATE04 : 14 : 54.450 : ISAKMP : (0) : Envoyer la fourniture IPv4 ike.04 : 15 : 04.450 : ISAKMP : (0) : 0 phase de retransmission MM_NO_STATE …04 : 15 : 04.450 : ISAKMP : (0) : Phase 5 retransmise MM_NO_STATE…04 : 15 : 04.450 : ISAKMP (0 : 0) : Augmenter le compteur d’erreurs pour sa, Début 2 sur 5 : Soumettre à nouveau 104:15:04 phase.450 : ISAKMP : (0) : phase 1 retransmission MM_NO_STATE
La première sortie de débogage montre que le routeur en étoile envoie le meilleur paquet UDP-500 toutes les dix secondes.
Vérifiez auprès de votre FAI que le routeur final spécifique est immédiatement connecté au routeur sans fil fourni Vérifiez votre service Internet pour vous assurer que le problème autorise le trafic UDP-Five.
Une fois que le fournisseur accepte UDP 500, ajoutez la sortie entrante ACL à notre interface graphique. Il s’agit de la source du tunnel pour prendre en charge udp 500 pour garantir que les clients udp 500 récupèrent vers le routeur. Utilisez cette liste d’accès pour recevoir pour montrer l’anal
