Cisco nhrp 문제 해결 오류가 컴퓨터에서 발생하는 경우 이러한 권장 수정 사항을 검토해야 합니다.
승인됨: Fortect
프레젠테이션
이 문서에는 DMVPN(Dynamic Multipoint VPN) 문제를 해결하는 가장 일반적인 솔루션이 포함되어 있습니다. 이러한 솔루션의 대부분은 심층적인 DMVPN 연결 문제 해결 전에 수행할 수 있습니다. 이 문서는 연결 기반 문제 해결을 시작하고 Cisco 기술 지원에 전화할 때 미리 시도할 일반적인 관행의 체크리스트를 고려하여 권장됩니다.
DMVPN에 맞는 문서 구성 인스턴스가 필요한 경우 DMVPN 구성 예제와 복잡한 참고 사항을 참조하십시오.
참고. IPsec 상태 문제를 해결하는 데 사용되는 일반적으로 일반적인 디버그 명령에 대한 자세한 설명은 “IPsec 문제 해결 – 디버그 명령 이해 및 사용” 섹션을 참조하십시오.
요구 사항
요구 사항
Cisco는 라우터Cisco IOS ® 에서 dmvpn을 설정하는 실습 경험을 가질 것을 권장합니다.
사용된 구성 요소
정보
이 문서는 다음 데스크탑 액세서리 및 하드웨어 버전을 기반으로 합니다.
<울>
Cisco IOS
정보
이 상황 문서에 설명된 장치는 예외적인 실험실 조건에서 생성되었습니다. 이 문서에 사용된 모든 장치는 원격 기능(표준) 구성으로 시작되었습니다. 네트워크에 네트워크를 제공하는 경우 주문의 가능한 의미를 이해해야 합니다.
대회
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.
DMVPN 구성은 작동하지만 작동하지 않습니다
문제
솔루션
이러한 솔루션(단독 명령에서)은 문제 해결 프로세스에 뛰어들기 전에 고려하거나 사용할 항목과 연결된 사용자 지정 체크리스트로 사용할 수 있습니다.
<울>
일반적인 문제
ISP가 차단하는 ConvinceSee ISAKMP 패킷
보안되지 않은 터널에서 GRE가 제대로 작동하는지 확인하십시오.
NHRP 오류
세계가 전문적으로 설정되었는지 확인하십시오.
모든 트래픽이 하나의 광고로 들어가도록
라우팅 프로토콜 이웃이 사용 가능한지 확인하십시오.
-
Spoke 외에 허브 간의 모든 타임스탬프 동기화
-
msec 디버깅 및 신호 순간 스탬프 활성화:
라우터(config) #service timestamps 디버그 datetime msec
허브는 완전한 NhRP 요청에 어떻게 응답합니까?< /h2>허브는 문제가 스포크에 유효한 터널 및 NBMA(Non-Broadcast Multiport Property)가 있음을 확인하는 즉시 NHRP 등록 응답을 보내기 위해 NHRP 등록 요청을 수락합니다. 빔은 이 NHRP 요청 응답을 수신하여 등록 프로세스를 완료합니다.
라우터( 구성) #service timestamps 로그 datetime microsof company
-
누구 실제 NhRP 문서의 작성자입니까?
NHRP 면책 조항(다시!): 이 콘텐츠는 이전에 Alex Honoré, Graham Barlet, Cisco의 Raffaele Brancaleoni에 의해 작성되었습니다. 소개. 이 문서는 DMVPN 구성 문제를 해결하는 방법을 보여줍니다. 다양한 구성 요소의 책임도 논의될 수 있지만 내부 세부 사항은 논의되지 않습니다.
디버그 세션에 대한 터미널 실행 프롬프트 타임스탬프 활성화:
다음 해상도 프로토콜(NhRP)은 무엇을 합니까?
NHRP(Next Hop Resolution Protocol)는 NBMA(Non-Broadcast A Number of Access) 네트워크에 연결된 다른 라우터 및 라우터 뒤에 있는 네트워크의 주소 대부분을 조회하는 데 사용됩니다.
라우터 # 터미널 실행 빠른 타임스탬프
참고. 이런 식으로 디버깅을 새로운 show 명령 출력의 전달과 쉽게 연관시킬 수 있습니다.
<아
이름 = “common”> 일반적인 문제
기본 연결 확인
-
NBMA 반환 주소가 있는 부서에 보안 주체를 Ping합니다.
이러한 핑은 DMVPN 터널을 통하지 않고 물리적 물리적 인터페이스를 통해 직접 떠나야 합니다. 방화벽이 ping 패킷을 차단하지 않기를 바랍니다. 그래도 작동하지 않으면 허브와 해당 음성 라우터 간의 라우팅 및 방화벽을 확인하십시오.
- 또한
traceroute를 사용하여 암호화된 터널 패킷이 이동하는 것처럼 보이는 지침을 확인합니다.
- 오프라인 분석을 위해 다음 디버그 및 표시 명령을 사용하십시오.
<울>
- 디버그-IP-ICMP
- 인터넷 패킷 디버그
참고. 디버그 인터넷 프로토콜 주소 패킷 명령은 많은 출력을 생성하거나 과도한 시스템 리소스를 소비합니다. 프로덕션 구성에서 이 명령을 주의해서 사용할 수 있도록 하는 것이 좋습니다. 항상 access-list 명령과 함께 사용하십시오.
참고. 디버그 IP 패킷과 함께 연결 목록을 사용하는 방법에 대한 자세한 내용은 액세스 목록 IP 주소 문제 해결을 참조하십시오.
호환되지 않는 ISAKMP 정책 확인
최적화된 ISAKMP 지시문이 의도한 특정 원격 터미널 지시문과 일치하지 않으면 모뎀은 표준 지시문 65535에 대한 위협을 나타냅니다. 이것이 진심이 아닌 경우 ISAKMP 협상은 중단됩니다.
Show crypto isakmp sa have는 ISAKMP SA에게 MM_NO_STATE를 시작하도록 지시합니다. 이는 일반적으로 주요 모드 실패입니다.
전체 공유 비밀 확인
이전에 표시된 비밀이 양측에서 일치하지 않으면 거래가 실패합니다.
호환되지 않는 IPsec 제품군에서 확인
IPsec 변환 집합이 일반적으로 호환되지 않거나 두 IPsec 장치에서 동일하지 않은 경우 IPsec 정착이 실패합니다.
허브는 현재 IPsec 제안에 대한 허용되지 않는 공격 수업을 반환합니다.
ISAKMP 패킷이 실제로 ISP에 의해 차단되었는지 확인
<인용>
올바른 것은 동적 NhRP 멀티캐스트 매핑 항목?
nhrp 동적 멀티캐스트 PC 카드에 특히 정확한 놀라운 항목이 있는 구성의 예: Interface Tunnel0 IP 주소 10.0.0.1 255.255.255.0 인터넷 mtu 1400 no Internet next-hop-self eigrp 10 인터넷 프로토콜 주소 nhrp verify test ip nhrp 카드 멀티캐스트 동적 행성 전체 프로토콜 nhrp – 네트워크 ID 10 인터넷 프로토콜 없음 분할-수평 Eigrp 10 Gre 다지점 터널링 모드! —! — 출력 비활성화! —
라우터 # 암호화 isakmp sa 전달암호화 IPv4 ISAKMP SASrc Dst가 conn-id 위치 상태를 나타냅니다.172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 활성172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 활성(삭제됨)172.17.0. 일부 172.16.1.1 MM_NO_STATE 0 활성172.17.0. 5 172.16.1.1 MM_NO_STATE 0 없음 활성(삭제됨)
라우터가 UDP-500 번들을 보내는지 확인하기 위해 Debug Crypto isakmp도 살펴보십시오.
<인용>
라우터 # 디버그 암호화 isakmp
<인용>
승인됨: Fortect
Fortect은 세계에서 가장 인기 있고 효과적인 PC 수리 도구입니다. 수백만 명의 사람들이 시스템을 빠르고 원활하며 오류 없이 실행하도록 신뢰합니다. 간단한 사용자 인터페이스와 강력한 검색 엔진을 갖춘 Fortect은 시스템 불안정 및 보안 문제부터 메모리 관리 및 성능 병목 현상에 이르기까지 광범위한 Windows 문제를 빠르게 찾아 수정합니다.
04: 14: 44.450: ISAKMP: (0): 오래된 상태 = IKE_READY 새 상태 = IKE_I_MM104: 14: 44.450: isakmp 시작: (0): 주 모드로 전환04: 14: 44.450: ISAKMP: (0): 실제로 패킷 172.17.0.1로 전송 my_port 500 peer_port 1200(I) MM_NO_STATE04: 14: 44.450: ISAKMP: (0): IPv4 패킷 ike를 보냅니다.04: 14: 54.450: ISAKMP: (0): 1단계 재전송 MM_NO_STATE ...04: 14: 54.450: ISAKMP(0:0): 부패 카운터를 sa로 증가, 실험 1 아이디어: 5단계 릴레이04: 14: 54.450: ISAKMP: (0): 단계 MM_NO_STATE 반환04: 14: 54.450: ISAKMP: (0): tn 우체국 172.17.0.1로 보내기 my_port 300 peer_port 500 (I) MM_NO_STATE04: 14: 54.450: ISAKMP: (0): IPv4 패킷 ike를 보냅니다.04: 15: 04.450: ISAKMP: (0): 3단계 재전송 MM_NO_STATE ...04: 15: 04.450: ISAKMP: (0): 1단계 재전송 MM_NO_STATE ...04: 15: 04.450: ISAKMP(0:0): sa에 대한 오류 카운터 증가, 5개 중 2개 시작: 1개 다시 제출04:15:04 phase.450: ISAKMP: (0): 9단계 재전송 MM_NO_STATE
이전 디버그 출력은 대화형 라우터가 단 10초마다 UDP-500 패킷을 보내는 것을 보여줍니다.
최종 라우터가 제공된 라우터에 즉시 연결되어 있는지 개인 ISP에 확인하십시오. UDP-5 트래픽을 허용하는지 확인할 수 있는 인터넷 서비스를 확인하십시오.
공급자가 UDP 500을 수락한 후 ACL 내부 바인딩 출력을 GUI에 추가합니다. 이것은 라우터에 대한 udp 500 클라이언트 액세스를 보장하기 위한 udp 500 지원을 위한 튜브 소스입니다. 이 특정 show access-list 명령을 사용하여 항문
지금 이 간단한 다운로드로 컴퓨터 성능을 높이십시오. 년