Dieses Dokument enthält die gängigsten Behandlungsmethoden für Probleme mit Dynamic Multipoint VPN (DMVPN). Viele dieser Lösungen können vor einer ausführlichen Fehlerbehebung bei der DMVPN-Konnektivität ergriffen werden. Dieses Dokument wird dringend als Checkliste für allgemeine Vorgehensweisen empfohlen, die Sie berücksichtigen sollten, bevor Sie mit der konnektivitätsbasierten Fehlerbehebung beginnen und den technischen Support von Cisco anrufen.
Wenn Sie eine Instanz des Dokumentenlayouts für DMVPN benötigen, lesen Sie die DMVPN-Konfigurationsbeispiele sowie die technischen Hinweise.
Hinweis. Im Abschnitt “IPsec-Fehlerbehebung – Debug-Befehle verstehen und verwenden” finden Sie eine ausführliche Erläuterung zu den allgemeinen Debug-Befehlen, die zum Beheben von IPsec-Problemen verwendet werden.
Dieses Dokument basiert auf den folgenden PC-Tools und Hardwareversionen:
Cisco IOS
Information
Die in diesem Dokument beschriebenen Geräte wurden unter außergewöhnlichen Laborbeschwerden hergestellt. Alle in diesem Dokument verwendeten Geräte wurden mit einer Remote-Funktions-(Standard-)Konfiguration erstellt. Wenn eine Person ein Netzwerk in Ihrem Netzwerk hat, machen Sie sich die möglichen Auswirkungen des Bedarfs wirklich bewusst.
Diese Lösungen (in einem von ihnen Befehl) können als benutzerdefinierte Schritte von Elementen verwendet werden, die Sie berücksichtigen oder verwenden sollten, bevor Sie sich mit dem Fehlerbehebungsprozess befassen:
Allgemeine Probleme
ÜberzeugenSie, dass ISAKMP-Pakete von Ihrem ISP blockiert werden
Stellen Sie ohne Zweifel sicher, dass GRE durch ungesichertes Rohr ordnungsgemäß funktioniert
NHRP kann Fehler schreiben
Stellen Sie sicher, dass die Welten richtig eingerichtet sind
Stellen Sie sicher, dass der gesamte Traffic in eine Anzeige fließt
Okay, der Nachbar des Routing-Protokolls ist verfügbar
Synchronisieren Sie alle Zeitstempel zwischen den Zentren zusätzlich zu Spoke
ms-Debugging und Zeitstempel für Warnungen aktivieren:
Router (config) #service timestamps Debug datetime ms
Wie reagiert der Hub direkt auf eine NhRP-Anfrage?< /h2>Der Hub akzeptiert eine NHRP-Registrierungsanfrage und sendet auch eine NHRP-Registrierungsantwort, sobald das Problem bestätigt, dass der gesprochene Kanal einen gültigen Tunnel zusammen mit einer Nicht-Broadcast-Multiport-Adresse (NBMA) hat. Der Strahl empfängt diese NHRP-Registrierungsantwort, die den Registrierungsprozess abschließt.
Wer? Sind die Autoren mit dem NhRP-Dokument verknüpft?
NHRP-Disclaimer (wieder!): Dieser Inhalt wurde ursprünglich erstellt von – Alex Honoré, Graham Barlet, Raffaele Brancaleoni von Cisco. Einführung. Dieses Dokument soll Ihnen zeigen, wie Sie Ihre DMVPN-Konfiguration beheben können. Auch die Verantwortlichkeiten der verschiedenen Attribute werden besprochen, nicht jedoch die internen Details.
Zeitstempel der Terminal Exec-Eingabeaufforderung für Debug-Trips aktivieren:
Was macht das Direkt-After-Hop-Resolution-Protokoll (NhRP)?
Das Next Hop Resolution Protocol (NHRP) wird verwendet, um aufsteigend die Adressen anderer Router und die Multilevel hinter Routern zu suchen, die mit einem bestimmten Nicht-Broadcast-Multiple-Access-(NBMA)-Netzwerk verbunden sind.
Router # Terminal Exec schneller Zeitstempel
Hinweis. Auf diese Weise können Sie das Debugging wahrscheinlich leicht mit der allgemeinen Ausgabe neuer show-Befehlsausgaben in Verbindung bringen.
Pingen Sie den Auftraggeber an Abteilungen, die NBMA-Rücksendeadressen haben.
Diese Pings-Anforderungen gehen direkt über die physische Schnittstelle, eigentlich über einen DMVPN-Tunnel. Hoffentlich blockiert keine Firewall Ping-Pakete. Wenn dies nicht funktioniert, besuchen Sie das Routing und die Firewalls zwischen dem Hub sowie dem Voice-Router.
Verwenden Sie auch
traceroute, um genau den Weg zu überprüfen, den verschlüsselte Tunnelpakete zu durchlaufen scheinen.
Verwenden Sie diese Debug- und Show-Befehle für reale Tests:
Debug-IP-ICMP
IP-Paket debuggen
Hinweis. Der Befehl debug ip packet erzeugt viele Ergebnisse und verbraucht übermäßige Systemressourcen. Es wird empfohlen, diesen Befehl in Epochenstrukturen mit Vorsicht zu verwenden. Immer mit dem Befehl access-list verwenden.
Hinweis. Weitere Informationen zur Verwendung einer beliebigen Zugriffsliste mit einem Debug-IP-Paket finden Sie unter Fehlerbehebung bei IP-Adressen von Zugriffslisten.
Wenn die optimierten ISAKMP-Direktiven nicht mit der beabsichtigten Remote-Terminal-Direktive konkurrieren, bemüht sich das Modem um die Standard-Direktive 65535. Wenn dies auch nicht unbedingt richtig ist, wird die ISAKMP-Aushandlung abgebrochen.
Der Befehl “Krypto isakmp sa anzeigen” weist ISAKMP SA an, MM_NO_STATE zu starten, was normalerweise einen schwerwiegenden Modusfehler bedeutet.
Wenn der Satz innerhalb der IPsec-Transformationen normalerweise inkompatibel oder einfach nicht unbedingt auf den beiden IPsec-Geräten gleich ist, schlägt die IPsec-Aushandlung fehl.
Der Hub gibt die Lektion “Nicht zulässige Angriffe” zurück, um das IPsec-Angebot zu erhalten.
Was ist richtig Eintrag für variable NhRP-Multicast-Zuordnung?
Ein Beispiel für eine Konfiguration dank eines speziell für nhrp-live-multicast-Karten korrekten Eintrags: Interface Tunnel0 IP-Adresse 10.0.0.1 255.255.255.0 Internet Protocol-Adresse mtu 1400 no internet next-hop-self eigrp 10 ip address nhrp verify test ip nhrp card multicast Beziehung Internetprotokoll nhrp – Netzwerk-ID 10 Nein Internetprotokoll Split-Horizon Eigrp 10 Gre Multipoint Tunneling Mode! —! — Ausgabe deaktiviert! —
Fortect ist das weltweit beliebteste und effektivste PC-Reparaturtool. Millionen von Menschen vertrauen darauf, dass ihre Systeme schnell, reibungslos und fehlerfrei laufen. Mit seiner einfachen Benutzeroberfläche und leistungsstarken Scan-Engine findet und behebt Fortect schnell eine breite Palette von Windows-Problemen - von Systeminstabilität und Sicherheitsproblemen bis hin zu Speicherverwaltung und Leistungsengpässen.
1. Laden Sie Fortect herunter und installieren Sie es auf Ihrem Computer
2. Starten Sie das Programm und klicken Sie auf "Scannen"
3. Klicken Sie auf "Reparieren", um alle gefundenen Probleme zu beheben
04: 14: 44.450: ISAKMP: (0): alter Zustand = IKE_READY Neuer Status = IKE_I_MM104: 14: 44.450: Start isakmp: (0): Wechsel in den Hauptmodus04: zwei Wochen: 44.450: ISAKMP: (0): Eigentlich Tüte 172.17.0.1 einsenden my_port sechshundert peer_port fünfhundert (I) MM_NO_STATE04: 14: 44.450: ISAKMP: (0): IPv4-Paket ike senden.04: 14: 54.450: ISAKMP: (0): Phase 1 erneut gesendet MM_NO_STATE ...04: 14: 54.450: ISAKMP (0: 0): Korruptionszähler auf sa erhöhen, Experiment 1 Ideen: Phase 1 Relais04: 14: 54.450: ISAKMP: (0): Rückweg MM_NO_STATE04: 14: 54.450: ISAKMP: (0): nach Hause senden 172.17.0.1 my_port 500 peer_port 500 (I) MM_NO_STATE04: 14: 54.450: ISAKMP: (0): IPv4-Paket ike senden.04: 15: 04.450: ISAKMP: (0): 0 Neuübertragungsphase MM_NO_STATE ...04: 15: 04.450: ISAKMP: (0): Phase 1 erneut gesendet MM_NO_STATE ...04: 15: 04.450: ISAKMP (0: 0): Erhöhen Sie den Fehlerzähler, um sa zu erreichen, Beginnen Sie 2 mit 5 verbunden: Erneut einreichen 104:15:04 phase.450: ISAKMP: (0): Phase eine definitive Neuübertragung MM_NO_STATE
Die vorherige Debug-Ausgabe zeigt, dass der Haupt-Spoke-Router alle 10 Sekunden ein UDP-500-Paket sendet.
Überprüfen Sie in Begleitung Ihres Internetdienstanbieters, dass der Endrouter sofort mit dem mitgelieferten Router verbunden ist. Überprüfen Sie bei Ihrem Internetanbieter, ob er UDP-Five-Datenverkehr zulässt.
Nachdem der Anbieter UDP 500 akzeptiert hat, fügen Sie die eingehende ACL-Ausgabe zur GUI hinzu. Dies ist die Art von Tunnelquelle für die UDP 500-Unterstützung, um sicherzustellen, dass UDP 500-Clients auf den Router zugreifen. Verwenden Sie diesen Befehl show access-list, um anal anzuzeigen
