Sie sollten diese empfohlenen Korrekturen überprüfen, wenn der Cisco nhrp-Fehlerbehebungsfehler tatsächlich auf Ihrem Computer auftritt.
Genehmigt: Fortect
Präsentation
Dieses Dokument enthält die gängigsten Behandlungsmethoden für Probleme mit Dynamic Multipoint VPN (DMVPN). Viele dieser Lösungen können vor einer ausführlichen Fehlerbehebung bei der DMVPN-Konnektivität ergriffen werden. Dieses Dokument wird dringend als Checkliste für allgemeine Vorgehensweisen empfohlen, die Sie berücksichtigen sollten, bevor Sie mit der konnektivitätsbasierten Fehlerbehebung beginnen und den technischen Support von Cisco anrufen.
Wenn Sie eine Instanz des Dokumentenlayouts für DMVPN benötigen, lesen Sie die DMVPN-Konfigurationsbeispiele sowie die technischen Hinweise.
Hinweis. Im Abschnitt “IPsec-Fehlerbehebung – Debug-Befehle verstehen und verwenden” finden Sie eine ausführliche Erläuterung zu den allgemeinen Debug-Befehlen, die zum Beheben von IPsec-Problemen verwendet werden.
Anforderungen
Anforderungen
Cisco empfiehlt, praktische Erfahrungen mit der Konfiguration von dmvpn auf Routern Cisco IOS ® zu sammeln.
Verwendete Komponenten
Information
Dieses Dokument basiert auf den folgenden PC-Tools und Hardwareversionen:
-
Cisco IOS
Information
Die in diesem Dokument beschriebenen Geräte wurden unter außergewöhnlichen Laborbeschwerden hergestellt. Alle in diesem Dokument verwendeten Geräte wurden mit einer Remote-Funktions-(Standard-)Konfiguration erstellt. Wenn eine Person ein Netzwerk in Ihrem Netzwerk hat, machen Sie sich die möglichen Auswirkungen des Bedarfs wirklich bewusst.
Konventionen
Weitere wichtige Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions.
DMVPN-Konfiguration funktioniert, funktioniert nicht
Problem
Lösungen
Diese Lösungen (in einem von ihnen Befehl) können als benutzerdefinierte Schritte von Elementen verwendet werden, die Sie berücksichtigen oder verwenden sollten, bevor Sie sich mit dem Fehlerbehebungsprozess befassen:
-
Allgemeine Probleme
-
ÜberzeugenSie, dass ISAKMP-Pakete von Ihrem ISP blockiert werden
-
Stellen Sie ohne Zweifel sicher, dass GRE durch ungesichertes Rohr ordnungsgemäß funktioniert
-
NHRP kann Fehler schreiben
-
Stellen Sie sicher, dass die Welten richtig eingerichtet sind
-
Stellen Sie sicher, dass der gesamte Traffic in eine Anzeige fließt
-
Okay, der Nachbar des Routing-Protokolls ist verfügbar
-
Synchronisieren Sie alle Zeitstempel zwischen den Zentren zusätzlich zu Spoke
-
ms-Debugging und Zeitstempel für Warnungen aktivieren:
Router (config) #service timestamps Debug datetime ms
Wie reagiert der Hub direkt auf eine NhRP-Anfrage?< /h2>Der Hub akzeptiert eine NHRP-Registrierungsanfrage und sendet auch eine NHRP-Registrierungsantwort, sobald das Problem bestätigt, dass der gesprochene Kanal einen gültigen Tunnel zusammen mit einer Nicht-Broadcast-Multiport-Adresse (NBMA) hat. Der Strahl empfängt diese NHRP-Registrierungsantwort, die den Registrierungsprozess abschließt.
Router ( config) #service timestamps log datetime Organisation
-
Wer? Sind die Autoren mit dem NhRP-Dokument verknüpft?
NHRP-Disclaimer (wieder!): Dieser Inhalt wurde ursprünglich erstellt von – Alex Honoré, Graham Barlet, Raffaele Brancaleoni von Cisco. Einführung. Dieses Dokument soll Ihnen zeigen, wie Sie Ihre DMVPN-Konfiguration beheben können. Auch die Verantwortlichkeiten der verschiedenen Attribute werden besprochen, nicht jedoch die internen Details.
Zeitstempel der Terminal Exec-Eingabeaufforderung für Debug-Trips aktivieren:
Was macht das Direkt-After-Hop-Resolution-Protokoll (NhRP)?
Das Next Hop Resolution Protocol (NHRP) wird verwendet, um aufsteigend die Adressen anderer Router und die Multilevel hinter Routern zu suchen, die mit einem bestimmten Nicht-Broadcast-Multiple-Access-(NBMA)-Netzwerk verbunden sind.
Router # Terminal Exec schneller Zeitstempel
Hinweis. Auf diese Weise können Sie das Debugging wahrscheinlich leicht mit der allgemeinen Ausgabe neuer show-Befehlsausgaben in Verbindung bringen.
Name = “common”> Häufige Probleme
Basisverbindung prüfen
-
Pingen Sie den Auftraggeber an Abteilungen, die NBMA-Rücksendeadressen haben.
Diese Pings-Anforderungen gehen direkt über die physische Schnittstelle, eigentlich über einen DMVPN-Tunnel. Hoffentlich blockiert keine Firewall Ping-Pakete. Wenn dies nicht funktioniert, besuchen Sie das Routing und die Firewalls zwischen dem Hub sowie dem Voice-Router.
- Verwenden Sie auch
traceroute, um genau den Weg zu überprüfen, den verschlüsselte Tunnelpakete zu durchlaufen scheinen.
- Verwenden Sie diese Debug- und Show-Befehle für reale Tests:
- Debug-IP-ICMP
- IP-Paket debuggen
Hinweis. Der Befehl debug ip packet erzeugt viele Ergebnisse und verbraucht übermäßige Systemressourcen. Es wird empfohlen, diesen Befehl in Epochenstrukturen mit Vorsicht zu verwenden. Immer mit dem Befehl access-list verwenden.
Hinweis. Weitere Informationen zur Verwendung einer beliebigen Zugriffsliste mit einem Debug-IP-Paket finden Sie unter Fehlerbehebung bei IP-Adressen von Zugriffslisten.
Nicht übereinstimmende ISAKMP-Richtlinie prüfen
Wenn die optimierten ISAKMP-Direktiven nicht mit der beabsichtigten Remote-Terminal-Direktive konkurrieren, bemüht sich das Modem um die Standard-Direktive 65535. Wenn dies auch nicht unbedingt richtig ist, wird die ISAKMP-Aushandlung abgebrochen.
Der Befehl “Krypto isakmp sa anzeigen” weist ISAKMP SA an, MM_NO_STATE zu starten, was normalerweise einen schwerwiegenden Modusfehler bedeutet.
Vollständiges gemeinsames Geheimnis prüfen
Wenn die zuvor bereitgestellten Geheimnisse nicht auf beiden Wänden übereinstimmen, schlägt der Deal fehl.
Sehen Sie sich die großartige inkompatible IPsec-Suite an
Wenn der Satz innerhalb der IPsec-Transformationen normalerweise inkompatibel oder einfach nicht unbedingt auf den beiden IPsec-Geräten gleich ist, schlägt die IPsec-Aushandlung fehl.
Der Hub gibt die Lektion “Nicht zulässige Angriffe” zurück, um das IPsec-Angebot zu erhalten.
Prüfen Sie, ob ISAKMP-Pakete wirklich vom ISP blockiert werden
Was ist richtig Eintrag für variable NhRP-Multicast-Zuordnung?
Ein Beispiel für eine Konfiguration dank eines speziell für nhrp-live-multicast-Karten korrekten Eintrags: Interface Tunnel0 IP-Adresse 10.0.0.1 255.255.255.0 Internet Protocol-Adresse mtu 1400 no internet next-hop-self eigrp 10 ip address nhrp verify test ip nhrp card multicast Beziehung Internetprotokoll nhrp – Netzwerk-ID 10 Nein Internetprotokoll Split-Horizon Eigrp 10 Gre Multipoint Tunneling Mode! —! — Ausgabe deaktiviert! —
Routernummer zeigen crypto isakmp saKrypto IPv4 ISAKMP SASrc Dst state conn-id location state172.17.0.1 172.16.1.1 MM_NO_STATE 0 8 AKTIV172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (gelöscht)172.17.0. nachgewiesen 172.16.1.1 MM_NO_STATE 0 ACTIVE172.17.0. 5 172.16.1.1 MM_NO_STATE 3 0 AKTIV (gelöscht)
Sehen Sie sich auch Debug Crypto isakmp an, um zu sehen, ob der Router ein UDP-500-Paket sendet:
Router # debug crypto isakmp
Fortect ist das weltweit beliebteste und effektivste PC-Reparaturtool. Millionen von Menschen vertrauen darauf, dass ihre Systeme schnell, reibungslos und fehlerfrei laufen. Mit seiner einfachen Benutzeroberfläche und leistungsstarken Scan-Engine findet und behebt Fortect schnell eine breite Palette von Windows-Problemen - von Systeminstabilität und Sicherheitsproblemen bis hin zu Speicherverwaltung und Leistungsengpässen.Genehmigt: Fortect
04: 14: 44.450: ISAKMP: (0): alter Zustand = IKE_READY Neuer Status = IKE_I_MM104: 14: 44.450: Start isakmp: (0): Wechsel in den Hauptmodus04: zwei Wochen: 44.450: ISAKMP: (0): Eigentlich Tüte 172.17.0.1 einsenden my_port sechshundert peer_port fünfhundert (I) MM_NO_STATE04: 14: 44.450: ISAKMP: (0): IPv4-Paket ike senden.04: 14: 54.450: ISAKMP: (0): Phase 1 erneut gesendet MM_NO_STATE ...04: 14: 54.450: ISAKMP (0: 0): Korruptionszähler auf sa erhöhen, Experiment 1 Ideen: Phase 1 Relais04: 14: 54.450: ISAKMP: (0): Rückweg MM_NO_STATE04: 14: 54.450: ISAKMP: (0): nach Hause senden 172.17.0.1 my_port 500 peer_port 500 (I) MM_NO_STATE04: 14: 54.450: ISAKMP: (0): IPv4-Paket ike senden.04: 15: 04.450: ISAKMP: (0): 0 Neuübertragungsphase MM_NO_STATE ...04: 15: 04.450: ISAKMP: (0): Phase 1 erneut gesendet MM_NO_STATE ...04: 15: 04.450: ISAKMP (0: 0): Erhöhen Sie den Fehlerzähler, um sa zu erreichen, Beginnen Sie 2 mit 5 verbunden: Erneut einreichen 104:15:04 phase.450: ISAKMP: (0): Phase eine definitive Neuübertragung MM_NO_STATE
Die vorherige Debug-Ausgabe zeigt, dass der Haupt-Spoke-Router alle 10 Sekunden ein UDP-500-Paket sendet.
Überprüfen Sie in Begleitung Ihres Internetdienstanbieters, dass der Endrouter sofort mit dem mitgelieferten Router verbunden ist. Überprüfen Sie bei Ihrem Internetanbieter, ob er UDP-Five-Datenverkehr zulässt.
Nachdem der Anbieter UDP 500 akzeptiert hat, fügen Sie die eingehende ACL-Ausgabe zur GUI hinzu. Dies ist die Art von Tunnelquelle für die UDP 500-Unterstützung, um sicherzustellen, dass UDP 500-Clients auf den Router zugreifen. Verwenden Sie diesen Befehl show access-list, um anal anzuzeigen
Beschleunigen Sie jetzt die Leistung Ihres Computers mit diesem einfachen Download.