Você deve revisar esses tipos de correções recomendadas se o erro de solução de problemas do Cisco nhrp estiver ocorrendo em seu computador.
Aprovado: Fortect
Apresentação
Este documento contém as soluções mais conhecidas para problemas de Dynamic Multipoint VPN (DMVPN). Muitas dessas soluções podem ser tomadas antes de finalmente qualquer solução de problemas de conectividade DMVPN aprofundada. Este documento pode ser recomendado como uma lista de verificação de práticas comuns, quando você tentar, antes de iniciar a solução de problemas com base na conectividade e ligar para o Suporte Técnico da Cisco.
Se você precisar de uma instância da configuração de jornal para DMVPN, consulte os exemplos de configuração DMVPN e notas técnicas.
Nota. Consulte a seção “Solução de problemas de IPsec – Compreendendo, mas também usando comandos de depuração” para obter uma história detalhada dos comandos de depuração comuns usados para diagnosticar problemas de IPsec.
Requisitos
Requisitos
A Cisco recomenda ter experiência prática com a configuração de dmvpn em roteadoresCisco IOS ® .
Componentes usados
Em formação
Este documento é baseado nas próximas ferramentas de desktop e versões de hardware:
-
Cisco IOS
Em formação
Os dispositivos relatados neste documento foram criados em condições de pesquisa excepcionais. Todos os dispositivos usados neste documento começaram com uma configuração funcional remota (padrão). Se você tem uma rede em sua rede, certifique-se de entender as possíveis implicações de você ver, a ordem.
Convenções
Para obter mais informações sobre convenções de documentos, consulte as Convenções de dicas técnicas da Cisco.
A configuração DMVPN está funcionando, não está funcionando
Problema
Soluções
Esses produtos (em um comando) podem ser usados como uma lista de verificação de assinatura de itens a serem considerados ou usados antes de mergulhar no processo de solução de problemas:
-
Problemas gerais
-
Pacotes de ConvinceSee ISAKMP sendo bloqueados por seu ISP
-
Certifique-se de que o GRE está funcionando corretamente por um túnel não seguro
-
Erro de gravação de NHRP
-
Certifique-se de que os mundos estejam configurados corretamente
-
Certifique-se de que todo o tráfego vá para um artigo
-
Certifique-se de que o vizinho do protocolo de roteamento é que você pode comprar
-
Sincronizar todos os carimbos de data / hora entrando nos hubs, além do Spoke
-
Habilite a depuração msec e, como consequência, o carimbo de data / hora do sinal:
Roteador (config) #service timestamps Depuração datetime msec
Como o hub se abre para um NhRP solicitar?
O hub aceita solicitações de placa NHRP e também envia um registro NHRP automático assim que o problema confirma que seu raio tem um túnel válido e, em seguida, um endereço multiporta sem difusão (NBMA). O feixe recebe esta resposta de registro NHRP particular, que completa o processo de aplicação.
Roteador (config) #service timestamps report datetime ms
-
Quem são os criadores desses estudos do documento NhRP?
Isenção de responsabilidade do NHRP (de novo!): Este assunto foi originalmente criado por – Alex Honoré, Graham Barlet, Raffaele Brancaleoni da Cisco. Introdução. Esses dados têm como objetivo mostrar como reparar sua configuração DMVPN. As responsabilidades dos diferentes componentes também são discutidas, mas não os detalhes da geladeira e do freezer.
Habilite o timestamp do prompt do Terminal Exec para obter sessões de depuração:
O que o protocolo de resolução do próximo salto (NhRP) faz?
O Next Hop Resolution Protocol (NHRP) é usado para verificar os endereços de outros roteadores e de toda a rede por trás dos roteadores que estão conectados à sua própria rede de acesso múltiplo sem difusão (NBMA).
Número do roteador Carimbo de data / hora rápido do Terminal Exec
Nota. Dessa forma, você provavelmente pode relacionar facilmente a depuração na emissão de uma nova saída do comando show.
Name equals “common”> Problemas comuns
Verifique a conexão básica
-
Faça ping do principal para unidades com endereços de retorno NBMA.
Esses pings devem passar diretamente pelo software físico ou físico, não por um túnel DMVPN. Esperançosamente, nenhum software está bloqueando os pacotes de ping. Se isso não funcionar, verifique o roteamento e os firewalls entre o portal e o roteador de voz.
- Use também
traceroute para considerar o caminho pelo qual os pacotes de túnel criptografados aparecem como uma forma de viajar.
- Use estes comandos de depuração e exibição para encontrar testes offline:
- Debug-IP-ICMP
- depurar pacote ip
Nota. O comando debug ip packet produz muitos resultados e consome recursos excessivos do sistema. É realmente aconselhável usar este comando com cuidado nas estruturas de produção. Sempre use com a lista de acesso para venda.
Nota. Para obter mais informações sobre como tentar uma lista de acesso com uma caixa IP de depuração, consulte Solucionando problemas de endereços IP da lista de acesso.
Verifique a política ISAKMP incompatível
Se as diretivas ISAKMP otimizadas certamente corresponderem à diretiva do terminal remoto pretendida, o computador tentará a diretiva padrão 65535. Se isso não for verdade, a negociação ISAKMP é abortada.
O comando Show crypto isakmp sa diz ao ISAKMP SA para iniciar MM_NO_STATE, o que significa falha de modo principal.
Verifique o segredo compartilhado completo
Se o tipo de segredos fornecidos anteriormente não corresponderem em todos os lados, o negócio irá falhar.
Verifique o excelente ajuste IPsec incompatível
Se o estabelecimento de transformações IPsec normalmente for incompatível ou facilmente diferente nos dois produtos de tecnologia IPsec, a negociação IPsec falhará.
O hub retorna o tutorial Ataques não permitidos para a oferta IPsec.
Verifique se os pacotes ISAKMP estão realmente bloqueados pelo ISP
Qual é o correto entrada devido ao mapeamento multicast NhRP dinâmico?
Um exemplo de um arranjo com uma entrada especificamente correta para cartões de multicast eficazes nhrp: Interface Tunnel0 endereço IP 10.0.0.1 255.255.255.0 internet mtu 1400 sem internet next-hop-self eigrp ten ip nhrp verificar teste ip nhrp minuto cartão multicast protocolo de internet dinâmico nhrp – ID de rede dez Não Protocolo de Internet Split-Horizon Eigrp 10 Gre Modo de encapsulamento multiponto! —! — Saída desativada! —
Roteador # show crypto isakmp saCrypto IPv4 ISAKMP SAEstado Src Dst estado de localização conn-id172.17.0.1 172.16.1.1 MM_NO_STATE 2 0 ATIVO172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (excluído)172.17.0. 5 172.16.1.1 MM_NO_STATE 0 ATIVO172.17.0. 5 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (excluído)
Também dê uma olhada em Debug Crypto isakmp para ver se o roteador está enviando um ótimo pacote UDP-500:
Router # debug crypto isakmp
Fortect é a ferramenta de reparo de PC mais popular e eficaz do mundo. Milhões de pessoas confiam nele para manter seus sistemas funcionando de forma rápida, suave e livre de erros. Com sua interface de usuário simples e mecanismo de verificação poderoso, o Fortect localiza e corrige rapidamente uma ampla gama de problemas do Windows, desde instabilidade do sistema e problemas de segurança até gerenciamento de memória e gargalos de desempenho.
Aprovado: Fortect
04: 14: 44.450: ISAKMP: (0): estado antigo = IKE_READY Novo status = IKE_I_MM104: 15: 44.450: Iniciar isakmp: (0): mudar para o modo mais essencial04: 14: 44.450: ISAKMP: (0): Enviar na verdade no pacote 172.17.0.1 my_port 600 peer_port quinhentos (I) MM_NO_STATE04: 14: 44.450: ISAKMP: (0): Enviar pacote IPv4 ike.04: 14: 54.450: ISAKMP: (0): Fase 1 retransmitida MM_NO_STATE ...04: 14: 54.450: ISAKMP (0: 0): Aumente o contador de corrupção para ajudá-lo a sa, Idéias para o Experimento 1: Relé da Fase 104: 14: 54.450: ISAKMP: (0): fase de retrocesso MM_NO_STATE04: 14: 54.450: ISAKMP: (0): enviar para a caixa de correio 172.17.0.1 com sucesso my_port seiscentos peer_port 500 (I) MM_NO_STATE04: 14: 54.450: ISAKMP: (0): Enviar pacote IPv4 ike.04: 15: 04.450: ISAKMP: (0): 0 fase de retransmissão MM_NO_STATE ...04: 15: 04.450: ISAKMP: (0): Fase 1 retransmitida MM_NO_STATE ...04: 17: 04.450: ISAKMP (0: 0): Aumente o contador de erros adequado para sa, Iniciar 6 de 5: Reenviar 104:15:04 phase.450: ISAKMP: (0): seção 1 retransmissão MM_NO_STATE
A saída de depuração anterior mostra quais especialistas afirmam que o roteador spoke envia um pacote UDP-500 a cada dez segundos.
Verifique com o seu ISP se o roteador final está sempre conectado imediatamente ao roteador fornecido. Verifique seu serviço on-line para ter certeza de que ele permite visitantes do site UDP-Five.
Depois que o provedor aceitar o UDP 500, adicione alguma saída de entrada ACL à GUI. Esta é realmente a fonte de túnel para suporte udp 500 que ajudará a garantir o acesso de clientes udp 500 ao hub. Use este comando show access-list para exibir anal
Acelere o desempenho do seu computador agora com este simples download.