Windows Diary

Zagadnienia Dotyczące Rozwiązywania Problemów Z Cisco Nhrp

Posted on by William Vaux

Powinieneś przejrzeć najlepsze zalecane poprawki, jeśli na komputerze występuje błąd rozwiązywania problemów Cisco nhrp.

Zatwierdzono: Fortect

  • 1. Pobierz Fortect i zainstaluj na swoim komputerze
  • 2. Uruchom program i kliknij „Skanuj”
  • 3. Kliknij „Napraw”, aby naprawić znalezione problemy
    • Przyspiesz teraz wydajność swojego komputera dzięki temu prostemu pobieraniu.

    Prezentacja

    Ten dokument zawiera najbardziej ogólne rozwiązania problemów z Dynamic Multipoint VPN (DMVPN). Wiele z tych rozwiązań można zastosować wcześniej, co może stanowić dogłębne rozwiązywanie problemów z łącznością DMVPN. Ten dokument jest zalecany jako lista kontrolna typowych praktyk, które należy wypróbować przed rozpoczęciem rozwiązywania problemów opartych na łączności i wyboru pomocy technicznej Cisco.

    Jeśli potrzebujesz instancji konfiguracji ubezpieczenia dla DMVPN, zapoznaj się z sugestiami dotyczącymi konfiguracji DMVPN i uwagami technicznymi.

    Uwaga. Zobacz sekcję „Rozwiązywanie problemów z protokołem IPsec — zrozumienie, ale także używanie poleceń debugowania”, aby uzyskać szczegółową klasyfikację typowych poleceń debugowania używanych do rozwiązywania problemów z protokołem IPsec.

    Wymagania

    Wymagania

    Firma Cisco zaleca posiadanie praktycznej wiedzy na temat konfigurowania dmvpn na routerach Cisco IOS ® .

    Użyte składniki

    Informacja

    Ten dokument jest oparty na dawnych narzędziach i wersjach sprzętu komputerowego:

    • rozwiązywanie problemów z Cisco nhrp

      Cisco IOS

    Informacja

    Urządzenia przedstawione w tym dokumencie zostały stworzone w wyjątkowych warunkach laboratorium dentystycznego. Wszystkie urządzenia używane w tym dokumencie rozpoczynają pracę ze zdalną funkcjonalną (standardową) konfiguracją. Jeśli masz sieć w swojej sieci, upewnij się, że rozumiesz możliwe konsekwencje ich kolejności.

    Konwencje

    Aby uzyskać nowe informacje na temat konwencji dotyczących dokumentów, zobacz Konwencje porad technicznych firmy Cisco.

    Konfiguracja DMVPN działa, nie działa

    Problem

    Rozwiązania

    Te odpowiedzi (w jednym poleceniu) mogą być użyte jako specjalna lista kontrolna elementów do rozważenia lub użycia przed przystąpieniem do procesu rozwiązywania problemów:

    • Problemy ogólne

    • Przekonaj się, jak pakiety ISAKMP są blokowane przez dostawcę usług internetowych

    • Upewnij się, że GRE działa prawidłowo przy niezabezpieczonej rurce

    • Błąd zapisu NHRP

    • Upewnij się, że światy są prawidłowo ustawione w górę

    • Upewnij się, że cały ruch trafia do jednej oferty

    • Upewnij się, że sąsiad protokołu routingu jest obecnie

    1. Synchronizuj wszystkie znaczniki czasu między koncentratorami oprócz Spoke

    2. Włącz debugowanie msek w celu zasygnalizowania znacznika czasu:

      Router (konfiguracja) #service timestamps Debuguj datetime msek

      Jak hub odpowiada na żądanie NhRP?

      Koncentrator akceptuje żądania rejestracji NHRP, a także wysyła reakcję rejestracji NHRP, gdy tylko problem potwierdzi, że szprycha ma prawidłowy tunel do nierozgłaszanego adresu wieloportowego (NBMA). Wiązka otrzymuje odpowiedź rejestracyjną NHRP, co kończy proces rejestracji.

      Router (konfiguracja) #service timestamps report datetime ms

    3. Kto są ludzie z dokumentu NHRP?

      Zastrzeżenie NHRP (znowu!): Ten zachwycony został pierwotnie stworzony przez – Alexa Honoré, Grahama Barleta, Raffaele Brancaleoni z Cisco. Wstęp. Ta wersja papierowa ma na celu pokazanie, jak rozwiązać konfigurację DMVPN. Omówiono również obowiązki dotyczące asortymentu komponentów, ale nie szczegóły dotyczące okrężnicy.

      Włącz znacznik czasu monitu Terminal Exec w celu debugowania sesji:

      Co może zrobić protokół rozpoznawania następnego przeskoku (NhRP)?

      Protokół Next Hop Resolution Protocol (NHRP) służy do wizualnego odwołania się do adresów innych routerów i każdej z naszych sieci za routerami, które są podłączone do jednej konkretnej sieci wielodostępu nierozgłoszeniowego (NBMA).

      Numer routera Szybki znacznik czasu Terminal Exec

    Uwaga. W ten sposób prawdopodobnie możesz łatwo powiązać debugowanie z faktycznym wydawaniem nowego wyjścia polecenia show.

    Nazwa oznacza „powszechne”> Częste problemy

    Sprawdź podstawowe połączenie

    1. Ping do jednostki głównej z adresami zwrotnymi NBMA.

      Te pingi muszą przejść bezpośrednio przez fizyczny ekran fizyczny, a nie przez tunel DMVPN. Miejmy nadzieję, że żaden program nie blokuje pakietów ping. Jeśli to nie ma sensu, sprawdź routing i zapory między miejscem a routerem głosowym.

    2. Użyj także

      traceroute, aby przetestować ścieżkę, przez którą zaszyfrowane pakiety tunelu wydają się pomyślnie przebyć.

    3. Użyj tych poleceń debugowania i wyświetlania w wielu testach offline:

      • Debugowanie IP-ICMP

      • debugowanie pakietu ip

        Uwaga. Polecenie debug ip packet generuje wiele informacji związanych z danymi wyjściowymi i zużywa nadmierne zasoby systemowe. Zaleca się używanie tego polecenia z ostrożnością obecną w strukturach produkcyjnych. Zawsze używaj z pozyskiwaniem listy kontroli dostępu.

        Uwaga. Aby uzyskać więcej informacji na temat listy dostępu z polem debugowania adresu IP, zobacz Rozwiązywanie problemów z adresami IP listy dostępu.

    Sprawdź niezgodne zasady ISAKMP

    Jeśli zoptymalizowane dyrektywy ISAKMP nie pasują tylko do zamierzonej dyrektywy zdalnego terminala, urządzenie próbuje zastosować standardową dyrektywę 65535. Jeśli to nawet nie jest prawda, negocjacja ISAKMP jest przerywana.

    Polecenie Show crypto isakmp sa nakazuje ISAKMP SA uruchomienie MM_NO_STATE, co oznacza awarię trybu głównego.

    Sprawdź pełne wspólne hasło

    Jeśli dokładnie podane wcześniej sekrety nie pasują do siebie po bokach, transakcja się nie powiedzie.

    Zapoznaj się z doskonałym niezgodnym dopasowaniem IPsec

    Jeśli ustanowienie przekształceń IPsec jest zwykle niezgodne lub absolutnie nie jest takie samo w dwóch metauchwytach IPsec, negocjowanie IPsec nie powiedzie się.

    Hub zwraca wiedzę dotyczącą ataków niedozwolonych dla oferty IPsec.

    Sprawdź, czy pakiety ISAKMP są naprawdę blokowane przez dostawcę usług internetowych

    Która jest poprawna wpis wspierający dynamiczne mapowanie multicast NhRP?

    Przykład systemu z wpisem poprawnym specjalnie dla szalonych kart multicast nhrp: Interfejs Tunnel0 Adres IP 10.0.0.1 255.255.255.0 adres ip mtu 1400 no internet next-hop-self eigrp dziesięć ip nhrp weryfikacja test ip nhrp fx card multicast dynamiczny internet protocol nhrp – Identyfikator sieci dziesięć Brak protokołu internetowego Split-Horizon Eigrp 10 Gre Tryb tunelowania wielopunktowego! —! — Wyjście wyłączone! —

     Router # pokaż crypto isakmp saKryptowaluta IPv4 ISAKMP SASrc Dst state conn-id stan lokalizacji172.17.0.1 172.16.1.1 MM_BRAK_STANU 8 0 AKTYWNE172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 AKTYWNE (usunięte)172.17.0. 5 172.16.1.1 MM_NO_STATE 0 AKTYWNE172.17.0. 5 172.16.1.1 MM_NO_STATE 0 0 AKTYWNY (usunięty)

    Spójrz także na Debug Crypto isakmp, aby sprawdzić, czy router wysyła określony pakiet UDP-500: 

     Router # debuguj crypto isakmp


    Zatwierdzono: Fortect

    Fortect to najpopularniejsze i najskuteczniejsze narzędzie do naprawy komputerów na świecie. Miliony ludzi ufają, że ich systemy działają szybko, płynnie i bez błędów. Dzięki prostemu interfejsowi użytkownika i potężnemu silnikowi skanowania, Fortect szybko znajduje i naprawia szeroki zakres problemów z systemem Windows - od niestabilności systemu i problemów z bezpieczeństwem po zarządzanie pamięcią i wąskie gardła wydajności.

  • 1. Pobierz Fortect i zainstaluj na swoim komputerze
  • 2. Uruchom program i kliknij „Skanuj”
  • 3. Kliknij „Napraw”, aby naprawić znalezione problemy

    •  04: 14: 44.450: ISAKMP: (0): stary stan = IKE_READY                       Nowy status = IKE_I_MM104: 17: 44.450: Uruchom isakmp: (0): przełącz na bardzo ważny tryb04: 14: 44.450: ISAKMP: (0): Właściwie wyślij w kontenerze 172.17.0.1              my_port 800 peer_port pięćset (I) MM_NO_STATE04: 14: 44.450: ISAKMP: (0): Wyślij pakiet IPv4 ike.04: 14: 54.450: ISAKMP: (0): Faza 1 retransmitowana MM_NO_STATE ...04: 14: 54.450: ISAKMP (0: 0): Zwiększ licznik korupcji jako sposób na sa,              Pomysły na eksperyment 1: Przekaźnik fazy 104: 14: 54.450: ISAKMP: (0): faza przywracania MM_NO_STATE04: 14: 54.450: ISAKMP: (0): wyślij do skrzynki pocztowej 172.17.0.1              my_port 5 set peer_port 500 (I) MM_NO_STATE04: 14: 54.450: ISAKMP: (0): Wyślij pakiet IPv4 ike.04: 15: 04.450: ISAKMP: (0): 0 faza retransmisji MM_NO_STATE ...04: 15: 04.450: ISAKMP: (0): Faza 1 retransmitowana MM_NO_STATE ...04: 20: 04.450: ISAKMP (0: 0): Zwiększ licznik błędów, gdy sa,              Rozpocznij 2 . 5 z 5: Prześlij ponownie 104:15:04 faza.450: ISAKMP: (0): pomiar 1 retransmisja MM_NO_STATE

    Poprzednie dane wyjściowe debugowania pokazują, że router szprychowy wysyła pakiet UDP-500 przez wiele dziesięciu sekund.

    Sprawdź u swojego dostawcy usług internetowych, czy router końcowy jest zwykle natychmiast podłączony do dostarczonego routera Sprawdź swoją usługę na całą planetę, aby upewnić się, że umożliwia ona odwiedzającym UDP-Five.

    rozwiązywanie problemów z cisco nhrp

    Gdy dostawca zaakceptuje protokół UDP 500, dodaj wszystkie przychodzące dane wyjściowe listy ACL do interfejsu GUI. Jest to źródło tunelu dla obsługi udp 500 w celu zagwarantowania klientom udp 500 dostępu do routera bezprzewodowego. Użyj tego polecenia show access-list, aby wskazać na anal

    Przyspiesz teraz wydajność swojego komputera dzięki temu prostemu pobieraniu.

    Related Posts: