Vous devez consulter ces correctifs recommandés si l’erreur de dépannage Cisco nhrp se produit sur votre incroyable ordinateur.
Approuvé : Fortect
Présentation
Ce document concernant les solutions les plus courantes aux problèmes de Dynamic Multipoint VPN (DMVPN). Bon nombre de ces solutions peuvent être prises avant tout dépannage approfondi de la connectivité DMVPN. Ce document est recommandé comme liste de contrôle derrière les pratiques courantes à essayer avant d’obtenir un dépannage basé sur la connectivité et d’appeler le support technique de Cisco.
Si vous avez besoin d’une illustration de la configuration du document pour DMVPN, consultez les exemples de configuration DMVPN et les notes techniques.
Remarque. Consultez la section « Dépannage IPsec – Comprendre et utiliser les commandes de débogage » en raison d’une explication détaillée des commandes de débogage courantes utilisées pour résoudre les problèmes IPsec.
Exigences
Exigences
Cisco peut suggérer d’avoir une expérience pratique de la configuration des routeurs de transfert dmvpn Cisco IOS ® .
Composants utilisés
Informations
Ce document est structuré sur les outils de bureau et les versions matérielles suivantes :
Cisco IOS
Informations
Les appareils décrits dans ce document ont été personnalisés dans des conditions de laboratoire exceptionnelles. Tous les appareils utilisés à l’aide de ce document ont été démarrés avec une configuration à distance fiable (standard). Si vous avez un réseau dans votre réseau, assurez-vous de bien comprendre les implications potentielles de la commande.
Conventions
Pour plus d’informations sur les conventions de document, décidez des conventions de conseils techniques de Cisco.
La configuration DMVPN fonctionne, ne fonctionne pas
Problème
Solutions
Ces solutions (en une seule commande) peuvent être utilisées comme une liste de contrôle personnalisée d’éléments à considérer ou à utiliser avant de plonger dans les méthodes de dépannage :
-
Problèmes généraux
-
ConvaincreVoir les paquets ISAKMP branchés par votre FAI
-
Assurez-vous que GRE fonctionne comme il se doit par un tunnel non sécurisé
-
Erreur d’écriture NHRP
-
Assurez-vous que les planètes sont correctement configurées
-
Assurez-vous que tout le trafic se transforme en une seule annonce
-
Assurez-vous que le protocole de routage voisin est disponible
-
Synchronisez tous les horodatages entre les hubs en plus de Spoke
-
Activer le débogage en msec et l’horodatage du signal :
Routeur (config) #service timestamps Debug datetime msec
Dans quelle mesure le hub répond-il à une requête NhRP ?< /h2>Le noyau accepte les demandes d’enregistrement NHRP et envoie également une réponse d’enregistrement NHRP efficace dès que la maladie confirme que le rai a un tunel valide et une adresse multiport de non-diffusion (NBMA). Le faisceau reçoit cette réponse d’enregistrement NHRP, qui organise le processus d’enregistrement.
Routeur ( config) #service timestamps log datetime ms
-
Qui sont généralement les auteurs du document NhRP ?
Avis de non-responsabilité NHRP (encore !) : Ce contenu a été créé à l’origine avec – Alex Honoré, Graham Barlet, Raffaele Brancaleoni de Cisco. Introduction. Ce document est destiné à vous montrer comment dépanner votre configuration DMVPN. Les exigences des différents composants sont également abordées, par contre pas les détails internes.
Activer l’horodatage immédiat de Terminal Exec pour les sessions de débogage :
Que fait le protocole de résolution de saut suivant ( NhRP ) ?
Le protocole de résolution de saut suivant (NHRP) est également utilisé pour rechercher les adresses de divers autres routeurs et le réseau derrière les routeurs qui sont connectés à un réseau à accès multiple sans diffusion (NBMA).
Horodatage rapide du routeur # Terminal Exec
Remarque. De cette façon, vous pouvez probablement tout simplement associer le débogage à l’émission d’une nouvelle sortie de commande d’émission de télévision.
Name = “common”> Problèmes courants
Vérifier la connexion de base
Ping chaque principal aux départements avec des adresses de retour NBMA.
Ces pings doivent passer directement par le type d’interface physique et non par un tube DMVPN. Espérons qu’aucun pare-feu ne bloque les paquets ping. Si cela ne fonctionne pas, vérifiez le routage et les pare-feu entre le concentrateur et le routeur vocal.
traceroute pour vérifier le chemin par lequel les paquets de canal chiffrés semblent voyager.
- Debug-IP-ICMP
- boîte IP de débogage
Remarque. La commande debug ip packet émet beaucoup de sorties et consomme des ressources stratégiques excessives. Il est conseillé d’utiliser ce terme de commande avec prudence dans les structures de production. Utilisez toujours qui inclut la commande access-list.
Remarque. Pour plus d’informations sur l’utilisation d’une liste d’accès avec un paquet IP de débogage particulier, consultez Dépannage des adresses IP de liste d’accès.
Vérifier la politique ISAKMP incompatible
Si les directives ISAKMP optimisées ne correspondent pas à la directive critique distante prévue, le modem essaie de se conformer à la directive standard 65535. Si ce n’est pas non plus vrai, le règlement ISAKMP est abandonné.
La commande Show crypto isakmp sa indique à ISAKMP SA de démarrer MM_NO_STATE, ce qui signifie un dysfonctionnement majeur du mode.
Vérifier le secret partagé complet
Si les secrets précédemment fournis ne correspondent probablement pas des deux côtés, l’accord sera perdu.
Découvrez la grande suite IPsec incompatible
Si l’ensemble de transformations IPsec est fondamentalement incompatible ou n’est tout simplement pas le même sur deux appareils IPsec particuliers, la négociation IPsec échouera.
Le Hub renvoie la leçon Attaques non autorisées pour l’offre IPsec.
Vérifier si les paquets ISAKMP sont vraiment bloqués par le FAI
Ce qui est correct entrée pour le mappage dynamique de multidiffusion NhRP ?
Un exemple de configuration avec une entrée spécialement idéale pour les cartes multidiffusion dynamiques nhrp : Interface Tunnel0 Adresse IP 10.0.0.1 255.255.255.0 ip mtu 1400 no internet next-hop-self eigrp 10 ip nhrp verify test internet protocol nhrp card multicast dynamic protocole Internet nhrp – ID de réseau 10 Pas de protocole Internet Split-Horizon Eigrp 10 Gre Mode de tunneling multipoint ! —! — Sortie désactivée ! —
Routeur # show crypto isakmp saCrypto IPv4 ISAKMP SASrc Dst état conn-id état de position172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIF172.17.0.1 172.16.1.1 MM_NO_STATE 0 ACTIF (supprimé)172.17.0. 5 172.16.1.1 MM_NO_STATE 0 ACTIF172.17.0. 5 172.16.1.1 MM_NO_STATE 0 0 ACTIF (supprimé)
Consultez également Debug Crypto isakmp pour voir si le commutateur envoie un paquet UDP-500 :
Numéro de routeur debug crypto isakmp
Fortect est l'outil de réparation de PC le plus populaire et le plus efficace au monde. Des millions de personnes lui font confiance pour assurer le fonctionnement rapide, fluide et sans erreur de leurs systèmes. Avec son interface utilisateur simple et son puissant moteur d'analyse, Fortect détecte et corrige rapidement un large éventail de problèmes Windows, de l'instabilité du système et des problèmes de sécurité à la gestion de la mémoire et aux goulots d'étranglement des performances.Approuvé : Fortect
La première sortie de débogage montre que le routeur en étoile envoie le meilleur paquet UDP-500 toutes les dix secondes.
Vérifiez auprès de votre FAI que le routeur final spécifique est immédiatement connecté au routeur sans fil fourni Vérifiez votre service Internet pour vous assurer que le problème autorise le trafic UDP-Five.
Une fois que le fournisseur accepte UDP 500, ajoutez la sortie entrante ACL à notre interface graphique. Il s’agit de la source du tunnel pour prendre en charge udp 500 pour garantir que les clients udp 500 récupèrent vers le routeur. Utilisez cette liste d’accès pour recevoir pour montrer l’anal
Accélérez les performances de votre ordinateur dès maintenant avec ce simple téléchargement.
