セキュリティと VPN : IPSec ネゴシエーション/IKE プロトコル

ダイヤラ ウォッチを使った ISDN 経由での IPSec 冗長性の設定

2003 年 12 月 26 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 1 月 14 日) | フィードバック

目次

概要
はじめに
     表記法
     前提条件
     使用するコンポーネント
設定
     ネットワーク ダイアグラム
     設定
確認
     コマンド出力例
トラブルシューティング
     トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この文書では、ルータ 1 の背後のネットワークからルータ 2 の背後のネットワークへのトラフィックを暗号化するための設定例について説明します(この例では、ループバック 0 がネットワークとして使われます)。ルータ 1 とルータ 2 の間のプライマリ リンク(イーサネット)がダウン状態になっても、IPSec トラフィックはセカンダリ リンク(ISDN)を経由して流れ続けます。ダイヤラ ウォッチの使用、バックアップ インターフェイスの使用、デマンド回線の使用、フローティング スタティックの使用など、この目的を達成する方法は複数あります。この設定例では、ダイヤラ ウォッチのメカニズムについて説明します。その他の機能の詳細については、『DDR バックアップのためのバックアップ インターフェイス、フローティング スタティック ルート、ダイヤラ ウォッチの比較』を参照してください。

はじめに

表記法

文書表記の詳細は、「シスコ テクニカル ティップスの表記法」を参照してください。

前提条件

この文書に適用される特定の前提条件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • Cisco 2621 および 3640 ルータ

  • Cisco IOS(R) ソフトウェア リリース 12.3(3)

この文書で紹介する情報は、特定の実験環境にあるデバイスを使用して作成されました。この文書内で使用されているデバイスはすべて、クリアな状態(デフォルト)から設定作業を始めています。実稼動中のネットワークで作業する場合は、コマンドの実行によって生じる影響について、事前に理解しておいてください。

設定

この項では、この文書で説明する機能を設定するための情報を提供します。

注: この文書で使用されているコマンドの詳細を調べるには、Command Lookup ツール登録ユーザのみ)。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

この文書では次の図に示すネットワーク構成を使用しています。

ipsec_dialerwatch_01.gif

設定

この文書では、次に示す設定を使用しています。

ルータ 1(2621)

r1#show running-config
   Building configuration...
   Current configuration : 2244 bytes
   !
   version 12.3
   service timestamps debug uptime
   service timestamps log uptime
   no service password-encryption
   !
   hostname r1
   !
   boot-start-marker
   boot-end-marker
   !
   !
   username r2 password 0 cisco
   
   !--- これはリモート ルータ(ルータ 2)のユーザ名と
   !--- 共有秘密パスワードです。共有秘密(Challenge Handshake Authentication Protocol  [CHAP] 用に使用)
   !--- パスワードは両サイドで同じである必要があります。
   
   no aaa new-model
   ip subnet-zero
   ip tcp synwait-time 5
   !
   !
   no ip domain lookup
   !
   ip audit notify log
   ip audit po max-events 100
   ip ssh break-string
   no ftp-server write-enable
   !
   !
   !
   crypto isakmp policy 10
    hash md5
    authentication pre-share
   crypto isakmp key cisco address 222.222.222.222
   !
   !
     crypto ipsec transform-set abc esp-des esp-md5-hmac
   !
   crypto map cisco local-address Loopback1
   crypto map cisco 10 ipsec-isakmp
    set peer 222.222.222.222
   
   !--- ピア アドレス、ルータ 2 のループバック 1。
   
    set transform-set abc
    match address 101
   
   !--- 暗号化するネットワーク(両端のループバック 0)。
   
   !
   isdn switch-type basic-ts013
   !
   !
   !
   !
   !
   !
   !
   !
   !
   no voice hpi capture buffer
   no voice hpi capture destination
   !
   !
   !
   !
   !
   !
   interface Loopback0
   
   !--- 暗号化するネットワーク。
   
    ip address 11.11.11.11 255.255.255.0
   !
   interface Loopback1
   
   !--- IPSec のピア アドレスに使用します。
   
    ip address 111.111.111.111 255.255.255.0
   !
   interface FastEthernet0/0
   
   !--- プライマリ リンク。
   
    ip address 10.1.1.1 255.255.255.0
    no ip route-cache
   
   !--- プロセススイッチングを有効にします。
   
    no ip mroute-cache
    duplex auto
    speed auto
    crypto map cisco
   
   !--- プライマリ インターフェイスに暗号マップを適用します。
   
   !
   interface BRI0/0
    no ip address
    encapsulation ppp
    no ip route-cache
    no ip mroute-cache
    dialer pool-member 1
    isdn switch-type basic-ts013
    no cdp enable
   !
   interface Dialer1
   
   !--- バックアップ リンク。
   
    ip address 20.1.1.1 255.255.255.0
    encapsulation ppp
    no ip route-cache
   
   !--- プロセススイッチングを有効にします。
   
   ip ospf cost 9999
   
   !--- コストを上昇させると、プライマリが再度有効になったときに、
   !--- プライマリ リンクを使用している場合には、
   !--- Open Shortest Path First(OSPF)ルートの方が適切(コスト面で優れている)となります。
   
   no ip mroute-cache
    dialer idle-timeout 180
    dialer pool 1
    dialer string 94134028
   dialer watch-group 1
   
   !--- このバックアップ インターフェイスでダイヤラ ウォッチを有効にします。
   !--- dialer watch-list 1 コマンドで指定したルートを確認します。
   
    dialer-group 1
   
   !--- ダイヤラ リスト 1 で定義した対象トラフィックを適用します。
   
    no peer neighbor-route
    ppp authentication chap
    crypto map cisco
   
   !--- バックアップ インターフェイスに暗号マップを適用します。
   
   !
   router ospf 1
   
   !--- OSPF アドバタイジング ループバック 0、ループバック 1、
   !--- プライマリ リンクおよびセカンダリ リンク。
   
    log-adjacency-changes
    network 10.1.1.0 0.0.0.255 area 0
    network 11.11.11.0 0.0.0.255 area 0
    network 20.1.1.0 0.0.0.255 area 0
    network 111.111.111.0 0.0.0.255 area 0
   !
   ip http server
   no ip http secure-server
   ip classless
   !
   !
   access-list 101 permit ip host 11.11.11.11 host 22.22.22.22
   
   !--- Access control list(ACL; アクセス コントロール リスト)101 は、
   !--- match address で使用される IPSec トラフィックです。
   
   access-list 110 deny   ip any any
   
   !--- ACL 110 は、対象外のすべての IP トラフィックを
   !--- マークするダイヤラ リスト用です。ルートが失われると、
   !--- ダイヤラ ウォッチが ISDN バックアップをトリガーします。
   
   dialer watch-list 1 ip 222.222.222.222 255.255.255.255
   
   !--- ウォッチ対象のルートを定義します。
   !--- これとまったく同じルート(サブネット マスクを含む)が、
   !--- ルーティング テーブルに存在する必要があります。
   !--- dialer watch-group 1 コマンドを使って、
   !--- バックアップ インターフェイスにこのリストを適用します。
   
   dialer watch-list 1 delay route-check initial 10
   dialer-list 1 protocol ip list 110
   
   !--- 対象となるトラフィックは、ACL 110 で定義します。
   !--- これは、ダイヤラ グループ 1 を使用しているダイヤラ 1 に適用されます。
   
   !
   !
   !
   dial-peer cor custom
   !
   !
   !
   !
   !
   line con 0
    exec-timeout 0 0
    logging synchronous
    escape-character 27
   line aux 0
   line vty 0 4
    login
   !
   end

ルータ 2(3640)

r2#show running-config
   Building configuration...
   Current configuration : 2311 bytes
   !
   version 12.3
   service timestamps debug datetime msec
   service timestamps log datetime msec
   no service password-encryption
   !
   hostname r2
   !
   boot-start-marker
   boot-end-marker
   !
   username r1 password 0 cisco
   
   !---  これはリモート ルータ(ルータ 1)のユーザ名と
   !--- 共有秘密パスワードです。共有秘密(CHAP 用に使用)
   !--- パスワードは両サイドで同じである必要があります。
   
   no aaa new-model
   ip subnet-zero
   ip tcp synwait-time 5
   !
   !
   no ip domain lookup
   !
   ip audit notify log
   ip audit po max-events 100
   ip ssh break-string
   no ftp-server write-enable
   !
   !
   !
   crypto isakmp policy 10
    hash md5
    authentication pre-share
   crypto isakmp key cisco address 111.111.111.111
   !
   !
     crypto ipsec transform-set abc esp-des esp-md5-hmac
   !
   !
   crypto map cisco local-address Loopback1
   crypto map cisco 10 ipsec-isakmp
    set peer 111.111.111.111
   
   !--- ピア アドレス、ルータ 1 のループバック 1。
   
    set transform-set abc
    match address 101
   
   !--- 暗号化するネットワーク(両端のループバック 0)。
   
   !
   isdn switch-type basic-ts013
   !
   !
   !
   !
   !
   !
   !
   !
   !
   no voice hpi capture buffer
   no voice hpi capture destination
   !
   !
   !
   !
   !
   !
   interface Loopback0
    ip address 22.22.22.22 255.255.255.0
   
   !--- 暗号化するネットワーク。
   
   !
   interface Loopback1
    ip address 222.222.222.222 255.255.255.0
   
   !--- IPSec のピア アドレスに使用します。
   
   !
   interface BRI0/0
    no ip address
    encapsulation ppp
    no ip route-cache
    no ip mroute-cache
    dialer pool-member 1
    isdn switch-type basic-ts013
   !
   interface Ethernet0/0
   
   !--- プライマリ リンク。
   
    ip address 10.1.1.2 255.255.255.0
    no ip route-cache
   
   !--- プロセススイッチングを有効にします。
   
    no ip mroute-cache
    half-duplex
    crypto map cisco
   
   !--- プライマリ インターフェイスに暗号マップを適用します。
   
   !
   interface Dialer1
    ip address 20.1.1.2 255.255.255.0
    encapsulation ppp
    no ip route-cache
    ip ospf cost 9999
    no ip mroute-cache
    dialer pool 1
    dialer idle-timeout 600
    dialer remote-name r1
   
   !--- ダイヤル ストリングなしのリモート ルータの
   !--- BRI インターフェイス用ダイヤラ。
   
    dialer-group 1
   
   !--- ダイヤラ リスト 1 で定義した対象トラフィックを適用します。
   
    ppp authentication chap
    crypto map cisco
   
   !--- バックアップ インターフェイスに暗号マップを適用します。
   
   !
   router ospf 1
    log-adjacency-changes
    network 10.1.1.0 0.0.0.255 area 0
    network 20.1.1.0 0.0.0.255 area 0
    network 22.22.22.0 0.0.0.255 area 0
    network 222.222.222.0 0.0.0.255 area 0
   !
   no ip http server
   no ip http secure-server
   ip classless
   !
   !
   access-list 101 permit ip host 22.22.22.22 host 11.11.11.11
   access-list 110 deny   ospf any any
   
   !--- 対称外として  OSPF をマーキングします。
   !--- これにより、OSPF hello が 
   !--- リンクをアップさせることを防止できます。
   
   access-list 110 permit ip any any
   dialer-list 1 protocol ip list 110
   
   !--- 対象となるトラフィックは、ACL 110 で定義します。
   !--- これは、ダイヤラ グループ 1 を使用しているダイヤラ 1 に適用されます。
   
   !
   line con 0
    exec-timeout 0 0
    logging synchronous
    escape-character 27
   line aux 0
   line vty 0 4
    login
   !
   end

確認

この項では、設定が正しく動作することを確認するために使用できる情報を提供します。

コマンドの出力例

特定の show コマンドは、Output Interpreter ツール登録ユーザのみ)でサポートされています。このツールを使用すると show コマンドの出力を分析できます。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • ルータ 1(2621)のルーティング テーブル - プライマリ リンクのアップ

    r1#show ip route
       Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, 
    L2 - IS-IS level-2, ia - IS-IS inter area, 
    * - candidate default, U - per-user static route,
    o - ODR, P - periodic downloaded static route
       Gateway of last resort is not set
            222.222.222.0/32 is subnetted, 1 subnets
       O       222.222.222.222 [110/2] via 10.1.1.2, 00:00:25, FastEthernet0/0
             20.0.0.0/24 is subnetted, 1 subnets
       C       20.1.1.0 is directly connected, Dialer1
            22.0.0.0/32 is subnetted, 1 subnets
       O       22.22.22.22 [110/2] via 10.1.1.2, 00:00:25, FastEthernet0/0
            111.0.0.0/24 is subnetted, 1 subnets
       C       111.111.111.0 is directly connected, Loopback1
            10.0.0.0/24 is subnetted, 1 subnets
       C       10.1.1.0 is directly connected, FastEthernet0/0
            11.0.0.0/24 is subnetted, 1 subnets
       C       11.11.11.0 is directly connected, Loopback0
  • ルータ 2(3640)のルーティング テーブル - プライマリ リンクのアップ

    r2#show ip route
       Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2
    i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, 
    L2 - IS-IS level-2, ia - IS-IS inter area, 
    * - candidate default, U - per-user static route,
    o - ODR, P - periodic downloaded static route
       Gateway of last resort is not set
       C    222.222.222.0/24 is directly connected, Loopback1
            20.0.0.0/24 is subnetted, 1 subnets
       C       20.1.1.0 is directly connected, Dialer1
            22.0.0.0/24 is subnetted, 1 subnets
       C       22.22.22.0 is directly connected, Loopback0
            111.0.0.0/32 is subnetted, 1 subnets
       O       111.111.111.111 [110/11] via 10.1.1.1, 00:06:22, Ethernet0/0
            10.0.0.0/24 is subnetted, 1 subnets
       C       10.1.1.0 is directly connected, Ethernet0/0
            11.0.0.0/32 is subnetted, 1 subnets
       O       11.11.11.11 [110/11] via 10.1.1.1, 00:06:23, Ethernet0/0
       
  • ルータ 1(2621)の OSPF 隣接ルータ - プライマリ リンクのアップ

    r1#show ip ospf neighbor
       Neighbor ID     Pri   State      Dead Time   Address    Interface
       222.222.222.222   1   FULL/DR    00:00:33    10.1.1.2   FastEthernet0/0
       
  • ルータ 2(3640)の OSPF 隣接ルータ - プライマリ リンクのアップ

    r2#show ip ospf neighbor
       Neighbor ID     Pri   State      Dead Time   Address    Interface
       111.111.111.111   1   FULL/BDR   00:00:31    10.1.1.1   Ethernet0/0
       
  • ルータ 1(2621)のルーティング テーブル - プライマリ リンクのダウン

    r1#show ip route
       Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
    i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, 
    ia - IS-IS inter area, * - candidate default, 
    U - per-user static route, o - ODR,
    P - periodic downloaded static route
       Gateway of last resort is not set
            222.222.222.0/32 is subnetted, 1 subnets
       O       222.222.222.222 [110/10000] via 20.1.1.2, 00:00:09, Dialer1
            20.0.0.0/24 is subnetted, 1 subnets
       C       20.1.1.0 is directly connected, BRI0/0
            20.0.0.0/24 is subnetted, 1 subnets
       C       20.1.1.0 is directly connected, Dialer1
            22.0.0.0/32 is subnetted, 1 subnets
       O       22.22.22.22 [110/10000] via 20.1.1.2, 00:00:09, Dialer1
            111.0.0.0/24 is subnetted, 1 subnets
       C       111.111.111.0 is directly connected, Loopback1
            10.0.0.0/24 is subnetted, 1 subnets
       O       10.1.1.0 [110/10009] via 20.1.1.2, 00:00:09, Dialer1
            11.0.0.0/24 is subnetted, 1 subnets
       C       11.11.11.0 is directly connected, Loopback0
  • ルータ 2(3640)のルーティング テーブル - プライマリ リンクのダウン

    r2#show ip route
       Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
    D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
    N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
    E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
    i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, 
    ia - IS-IS inter area, * - candidate default, 
    U - per-user static route, o - ODR,
    P - periodic downloaded static route
       Gateway of last resort is not set
       C    222.222.222.0/24 is directly connected, Loopback1
            20.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
       C       20.1.1.0/24 is directly connected, Dialer1
       C       20.1.1.1/32 is directly connected, Dialer1
            22.0.0.0/24 is subnetted, 1 subnets
       C       22.22.22.0 is directly connected, Loopback0
            111.0.0.0/32 is subnetted, 1 subnets
       O       111.111.111.111 [110/10000] via 20.1.1.1, 00:00:07, Dialer1
            10.0.0.0/24 is subnetted, 1 subnets
       C       10.1.1.0 is directly connected, Ethernet0/0
            11.0.0.0/32 is subnetted, 1 subnets
       O       11.11.11.11 [110/10000] via 20.1.1.1, 00:00:08, Dialer1
       
  • ルータ 1(2621)の OSPF 隣接ルータ - プライマリ リンクのダウン

    r1#show ip ospf neighbor
       Neighbor ID     Pri   State      Dead Time   Address     Interface
       222.222.222.222   0   FULL/  -   00:00:32    20.1.1.2    Dialer1
       
  • ルータ 2(3640)の OSPF 隣接ルータ - プライマリ リンクのダウン

    r2#show ip ospf neighbor
       Neighbor ID     Pri   State      Dead Time   Address     Interface
       111.111.111.111   0   FULL/  -   00:00:31    20.1.1.1    Dialer1
       

debug dialer と次に示す複数の show コマンドの出力は、プライマリ リンクの障害と、喪失ルートを認識しているダイヤラ ウォッチを示しています。次にルータはバックアップ リンクを起動し、OSPF はセカンダリ リンクを介して収束します。アイドル タイムアウトが満了するたび、ルータはプライマリ リンクがダウンしているかどうかチェックします。プライマリ リンクがアップしていることが確認されると、ディセーブル タイマーが満了し、コールが切断された後、ダイアラ ウォッチはバックアップ リンクを接続解除し、OSPF はプライマリ リンクを使って通常と同じように収束します。

プライマリ リンクがダウンし再度アップした場合の、ルータ 1(2621)の debug および show コマンド出力を次に示します。

r1#show debug
   Dial on demand:
     Dial on demand events debugging is on
   r1#
   03:00:21: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, 
      changed state to down
   
   !--- スイッチ ポートをディセーブルすることによって、プライマリ リンクを手動でダウンさせました。
   
   03:00:21: %OSPF-5-ADJCHG: Process 1, Nbr 222.222.222.222 on FastEthernet0/0
      from FULL to DOWN, Neighbor Down: Interface down or detached
   
   !--- プライマリ リンクがダウンします。
   !--- OSPF は隣接ルータとの隣接関係を失います。
   
   r1#
   
   !--- ダイヤラ ウォッチがキック インします。
   
   03:00:21: DDR: Dialer Watch: watch-group = 1
   03:00:21: DDR:    network 222.222.222.222/255.255.255.255 DOWN,
   03:00:21: DDR:    primary DOWN
   03:00:21: DDR: Dialer Watch: Dial Reason: Primary of group 1 DOWN
   03:00:21: DDR: Dialer Watch: watch-group = 1, 
   03:00:21: BR0/0 DDR: rotor dialout [best] 
      least recent failure is also most recent failure
   03:00:21: BR0/0 DDR: rotor dialout [best] also has most recent failure
   03:00:21: BR0/0 DDR: rotor dialout [best]
   03:00:21: DDR:    dialing secondary by dialer string 94134028 on Di1
   03:00:21: BR0/0 DDR: Attempting to dial 94134028
   03:00:21: DDR: Dialer Watch: watch-group = 1
   r1#
   03:00:21: DDR:    network 222.222.222.222/255.255.255.255 DOWN,
   03:00:21: DDR:    primary DOWN
   03:00:21: DDR: Dialer Watch: Dial Reason: Secondary of group 1 AVAILABLE
   03:00:21: DDR: Dialer Watch: watch-group = 1, 
   03:00:21: DDR: Dialer Watch: watch-group = 1
   03:00:21: DDR:    network 222.222.222.222/255.255.255.255 DOWN,
   03:00:21: DDR:    primary DOWN
   03:00:21: DDR: Dialer Watch: Dial Reason: Secondary of group 1 AVAILABLE
   03:00:21: DDR: Dialer Watch: watch-group = 1, 
   03:00:21: %ISDN-6-LAYER2UP: Layer 2 for Interface BR0/0, TEI 82 changed to up
   03:00:94489280514: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to up
   03:00:94489280516: BR0/0:1 DDR: Dialer Watch: resetting call in progress
   03:00:94489280512: BR0/0:1: interface must be fifo queue, force fifo
   03:00:94489280512: %DIALER-6-BIND: Interface BR0/0:1 bound to profile Di1
   r1#
   03:00:22: BR0/0:1 DDR: Remote name for r2
   03:00:22: BR0/0:1 DDR: dialer protocol up
   03:00:23: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1, 
      changed state to up
   r1#
   03:00:28: %ISDN-6-CONNECT: Interface BRI0/0:1 is now connected to 94134028 r2
   
   !--- これで、バックアップ リンクがルータ 2 に接続されています。
   
   r1#
   03:00:31: %OSPF-5-ADJCHG: Process 1, Nbr 222.222.222.222 on Dialer1 
      from LOADING to FULL, Loading Done
   
   !--- OSPF はバックアップ リンクを介して収束します。
   
   r1#
   r1#show dialer
   BRI0/0 - dialer type = ISDN
   Dial String   Successes   Failures   Last DNIS   Last status
   0 incoming call(s) have been screened.
   0 incoming call(s) rejected for callback.
   BRI0/0:1 - dialer type = ISDN
   Idle timer (180 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is data link layer up
   Dial reason: Dialing on watched route loss
   
   !--- ダイヤル原因は、喪失ルートです。
   
   Interface bound to profile Di1
   Time until disconnect 154 secs
   
   !--- アイドル タイムアウトが計測されています。
   
   Current call connected 00:00:25
   Connected to 94134028 (r2)
   BRI0/0:2 - dialer type = ISDN
   Idle timer (120 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is idle
   Di1 - dialer type = DIALER PROFILE
   Idle timer (180 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is data link layer up
   Number of active calls = 1
   Dial String      Successes   Failures    Last DNIS   Last status
   94134028      45         24    00:00:27       successful   Default
   r1#show isdn active
   -----------------------------------------------------------------------------
     ISDN ACTIVE CALLS
   -----------------------------------------------------------------------------
   Call    Calling     Called     Remote  Seconds Seconds Seconds Charges
   Type    Number      Number     Name    Used    Left    Idle    Units/Currency
   -----------------------------------------------------------------------------
   Out   ---N/A---   94134028         r2       37     142      37      0        
   -----------------------------------------------------------------------------
   r1#show dialer
   BRI0/0 - dialer type = ISDN
   Dial String      Successes   Failures    Last DNIS   Last status
   0 incoming call(s) have been screened.
   0 incoming call(s) rejected for callback.
   BRI0/0:1 - dialer type = ISDN
   Idle timer (180 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is data link layer up
   Dial reason: Dialing on watched route loss
   Interface bound to profile Di1
   Time until disconnect 47 secs
   
   !--- アイドル タイム アウトが計測されています。
   
   Current call connected 00:02:12
   Connected to 94134028 (r2)
   BRI0/0:2 - dialer type = ISDN
   Idle timer (120 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is idle
   Di1 - dialer type = DIALER PROFILE
   Idle timer (180 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is data link layer up
   Number of active calls = 1
   Dial String   Successes   Failures   Last DNIS   Last status
   94134028   45         24   00:02:14    successful   Default
   r1#show dialer
   BRI0/0 - dialer type = ISDN
   Dial String      Successes   Failures    Last DNIS   Last status
   0 incoming call(s) have been screened.
   0 incoming call(s) rejected for callback.
   BRI0/0:1 - dialer type = ISDN
   Idle timer (180 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is data link layer up
   Dial reason: Dialing on watched route loss
   Interface bound to profile Di1
   Time until disconnect 0 secs
   
   !--- アイドル タイムアウトが計測されています。
   
   Current call connected 00:02:59
   Connected to 94134028 (r2)
   BRI0/0:2 - dialer type = ISDN
   Idle timer (120 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is idle
   Di1 - dialer type = DIALER PROFILE
   Idle timer (180 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is data link layer up
   Number of active calls = 1
   Dial String   Successes   Failures   Last DNIS   Last status
   94134028   45         24   00:03:05    successful   Default
   r1#
   03:03:22: BR0/0:1 DDR: idle timeout
   
   !--- アイドル タイムアウトが発生しました。
   !--- ダイヤラ ウォッチは喪失ルートを再度チェックし、
   !--- アイドル タイムをリセットします。これはプライマリ リンクがまだアップしていないためです。
   
   03:03:22: DDR: Dialer Watch: watch-group = 1
   03:03:22: DDR:    network 222.222.222.222/255.255.255.255 UP,
   03:03:22: DDR:    primary DOWN
   
   !--- プライマリ リンクはまだダウンしたままです。
   
   r1#
   r1#show dialer
   BRI0/0 - dialer type = ISDN
   Dial String    Successes   Failures    Last DNIS   Last status
   0 incoming call(s) have been screened.
   0 incoming call(s) rejected for callback.
   BRI0/0:1 - dialer type = ISDN
   Idle timer (180 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is data link layer up
   Dial reason: Dialing on watched route loss
   Interface bound to profile Di1
   Time until disconnect 154 secs
   
   !--- アイドル タイムアウトが、ダイヤラ ウォッチによってリセットされました。
   
   Current call connected 00:03:25
   Connected to 94134028 (r2)
   BRI0/0:2 - dialer type = ISDN
   Idle timer (120 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is idle
   Di1 - dialer type = DIALER PROFILE
   Idle timer (180 secs), Fast idle timer (20 secs)
   Wait for carrier (30 secs), Re-enable (15 secs)
   Dialer state is data link layer up
   Number of active calls = 1
   Dial String   Successes   Failures   Last DNIS   Last status
   94134028   45         24   00:03:28    successful   Default
   r1#
   03:04:59: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0,
      changed state to up
   
   !--- スイッチ ポートを有効にすることによって、プライマリ リンクを手動でアップしました。
   
   r1#
   r1#
   03:05:50: %OSPF-5-ADJCHG: Process 1, Nbr 222.222.222.222 on FastEthernet0/0
      from LOADING to FULL, Loading Done
   r1#
   r1#show ip ospf neigh
   Neighbor ID     Pri   State      Dead Time   Address     Interface
   222.222.222.222   0   FULL/  -   00:00:02    20.1.1.2    Dialer1
   
   !--- セカンダリ リンクを介した OSPF はまだアップしています。これは、
   !--- コールが切断されておらず、アイドル タイムアウトを待機しているためです。
   
   222.222.222.222   1   FULL/DR    00:00:38    10.1.1.2    FastEthernet0/0
   
   !--- OSPF はプライマリ リンクを介して、収束を開始しました。
   
   r1#
   r1#show ip route 222.222.222.222
   
   !--- ウォッチ対象ルートが、プライマリ ルートを介して学習されました。
   !--- コストをチェックします。
   
   Routing entry for 222.222.222.222/32
     Known via "ospf 1", distance 110, metric 2, type intra area
     Last update from 10.1.1.2 on FastEthernet0/0, 00:00:16 ago
     Routing Descriptor Blocks:
     * 10.1.1.2, from 222.222.222.222, 00:00:16 ago, via FastEthernet0/0
         Route metric is 2, traffic share count is
   r1#
   03:06:22: BR0/0:1 DDR: idle timeout
   
   !--- アイドル タイムアウトが発生しました。
   !--- ダイヤラ ウォッチは喪失ルートを再度チェックします。プライマリ リンクがアップしているため、
   !--- コールが切断されます。
   
   03:06:22: DDR: Dialer Watch: watch-group = 1
   03:06:22: DDR:    network 222.222.222.222/255.255.255.255 UP,
   03:06:22: DDR:    primary UP
   03:06:22: BR0/0:1 DDR: disconnecting call
   03:06:22: BR0/0:1 DDR: Dialer Watch: resetting call in progress
   03:06:22: DDR: Dialer Watch: watch-group = 1
   03:06:22: DDR:    network 222.222.222.222/255.255.255.255 UP,
   03:06:22: DDR:    primary UP
   03:06:22: %ISDN-6-DISCONNECT: Interface BRI0/0:1  
      disconnected from 94134028 r2,
      call lasted 360 seconds
   03:06:96677768412: %LINK-3-UPDOWN: Interface BRI0/0:1, changed state to down
   03:06:94489281195: BR0/0 DDR: has total 0 call(s), dial_out 0, dial_in 0
   r1#
   03:06:94489280544: %DIALER-6-UNBIND: Interface BR0/0:1 
      unbound from profile Di1
   03:06:23: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0/0:1,
      changed state to down
   r1#
   03:06:37: %ISDN-6-LAYER2DOWN: Layer 2 for Interface BR0/0, 
      TEI 82 changed to down
   r1#
   03:07:01: %OSPF-5-ADJCHG: Process 1, Nbr 222.222.222.222 on Dialer1 
      from FULL to DOWN, Neighbor Down: Dead timer expired
   
   !--- セカンダリ リンクがダウンしているため、OSPF 隣接ルータはダウンします。
   !--- デッド タイマーが満了します。
   
   r1#
   r1#show ip ospf neigh
   Neighbor ID     Pri   State       Dead Time   Address     Interface
   222.222.222.222   1   FULL/DR     00:00:38    10.1.1.2    FastEthernet0/0
   
   !--- OSPF 隣接ルータは、プライマリ リンクしか経由しません。
   
   r1#u all
   All possible debugging has been turned off
   r1#

トラブルシューティング

この項では、設定のトラブルシューティングに役立つ情報を説明します。ISDN レイヤ 1、2 および 3 に関する一般的な問題のトラブルシューティングについては、「show isdn status コマンドを使用した BRI のトラブルシューティング」を参照してください。

トラブルシューティングのためのコマンド

特定の show コマンドは、Output Interpreter ツール登録ユーザのみ)でサポートされています。このツールを使用すると show コマンドの出力を分析できます。

一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、「debug コマンドに関する重要な情報」を参照してください。

次の debug コマンドは、両方の IPSec ピアで実行できます。

  • debug crypto isakmp - フェーズ 1 中に発生したエラーを表示します。

  • debug crypto ipsec - フェーズ 2 中に発生したエラーを表示します。

  • debug crypto engine - crypto エンジンに関する情報を表示します。

次の show コマンドは、両方の IPSec ピアで実行できます。.

  • show crypto isakmp sa - ピアにおける、現在の Internet Key Exchange(IKE; インターネット鍵交換)Security Associations(SA; セキュリティアソシエーション)をすべて表示します。

  • show crypto ipsec sa - 現在の [IPSec] SA が使用している設定を表示します。

  • show crypto engine connections active - 現在の接続と、暗号パケットと暗号解除パケットに関する情報を表示します。

次の clear コマンドは、SA のクリアに使用できます。

  • clear crypto isakmp - フェーズ 1 のセキュリティ結合をクリアします。

  • clear crypto sa - フェーズ 2 のセキュリティ結合をクリアします。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 23100