Este documento contiene las soluciones más comunes para los problemas de Dynamic Multipoint VPN (DMVPN). Muchas de estas soluciones pueden implementarse antes de la solución de problemas detallada de la conexión de DMVPN. Este documento se presenta como una lista de verificación de procedimientos comunes que puede intentar antes de comenzar a resolver problemas de una conexión y llamar al Soporte Técnico de Cisco.
Si necesita documentos de ejemplo de configuración para DMVPN, consulte Ejemplos de configuración de DMVPN y notas técnicas.
Nota: Consulte Solución de problemas de IPsec: descripción y uso de comandos de depuración para proporcionar una explicación de los comandos de depuración comunes que se usan para solucionar problemas de IPsec.
Cisco recomienda que conozca la configuración de DMVPN en los routers CISCO IOS®.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
IOS de Cisco
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.
Una solución de DMVPN configurada o modificada recientemente no funciona.
Una configuración de DMVPN actual ya no funciona.
Esta sección contiene soluciones para los problemas de DMVPN más comunes.
Estas soluciones (sin un orden concreto) pueden usarse como una lista de comprobación de elementos para verificar o intentar antes de encarar una solución de problemas detallada:
Compruebe si GRE funciona correctamente al eliminar la protección de túnel
Compruebe que se haya establecido el vecino de protocolo de enrutamiento
Nota: Antes de comenzar, compruebe lo siguiente:
Sincronice las marcas de hora entre el concentrador y el dispositivo radial
Habilite la depuración de msec y las marcas de hora de registro:
Router(config)#service timestamps debug datetime msec
Router(config)#service timestamps log datetime msec
Habilite terminal exec prompt timestamp para las sesiones de depuración:
Router#terminal exec prompt timestamp
Nota: De esta forma, puede correlacionar fácilmente la salida de depuración con la salida del comando mostrar.
Ping desde el concentrador a los dispositivos radiales y a la inversa con direcciones NBMA.
Estos pings deben ir directamente a la interfaz física, no a través del túnel de DMVPN. Se espera que no haya un cortafuegos que bloquee los paquetes de ping. Si esto no funciona, compruebe el enrutamiento y los cortafuegos entre los routers de concentrador y de dispositivos radiales.
Además, use traceroute para comprobar la ruta de los paquetes de túnel cifrados.
Use los comandos debug y show para verificar que no haya conectividad:
debug ip icmp
debug ip packet
Nota: El comando debug ip packet genera una cantidad considerable de salidas y usa una cantidad considerable de recursos del sistema. Este comando debe usarse con cuidado en las redes de producción. Siempre debe usarse con el comando access-list.
Nota: Para obtener más información sobre cómo usar access-list con debug ip packet, consulte Solucionar problemas con listas de acceso de IP.
Si las políticas ISAKMP configuradas no coinciden con la política propuesta por el peer remoto, el router intenta la política predeterminada de 65535. Si esto tampoco coincide, se produce un error en la negociación de ISAKMP.
El comando show crypto isakmp sa muestra que ISAKMP SA está en MM_NO_STATE, lo que significa que el modo principal falló.
Si los secretos compartidos previamente no son iguales en ambos lados, se producirá un error en la negociación.
El router devuelve el mensaje "error de comprobación de validez".
Si el conjunto de transformación de IPsec no es compatible o no coincide en los dos dispositivos de IPsec, se producirá un error en la negociación de IPsec.
El router devuelve el mensaje "atts not acceptable" a la propuesta de IPsec.
Router#show crypto isakmp sa IPv4 Crypto ISAKMP SA Dst src state conn-id slot status 172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIVE 172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (deleted) 172.17.0.5 172.16.1.1 MM_NO_STATE 0 0 ACTIVE 172.17.0.5 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (deleted)
Arriba se muestra el túnel VPN intermitente.
Además, compruebe debug crypto isakmp para verificar que el router de los dispositivos radiales esté enviando el paquete udp 500:
Router#debug crypto isakmp
04:14:44.450: ISAKMP:(0):Old State = IKE_READY New State = IKE_I_MM1 04:14:44.450: ISAKMP:(0): beginning Main Mode exchange 04:14:44.450: ISAKMP:(0): sending packet to 172.17.0.1 my_port 500 peer_port 500 (I) MM_NO_STATE 04:14:44.450: ISAKMP:(0):Sending an IKE IPv4 Packet. 04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:14:54.450: ISAKMP (0:0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1 04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE 04:14:54.450: ISAKMP:(0): sending packet to 172.17.0.1 my_port 500 peer_port 500 (I) MM_NO_STATE 04:14:54.450: ISAKMP:(0):Sending an IKE IPv4 Packet. 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:15:04.450: ISAKMP (0:0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
La salida de depuración anterior muestra que el router de los dispositivos radiales está enviando el paquete udp 500 cada 10 segundos.
Compruebe con el ISP para ver si el router de dispositivos radiales está conectado directamente al router del ISP para asegurarse de que permiten el tráfico de udp 500.
Después de que el ISP haya permitido udp 500, agregue la ACL entrante en la interfaz de salida, que es el origen del túnel para permitir udp 500, a fin de asegurarse de que el tráfico de udp 500 esté entrando al router. Use el comando show access-list para comprobar si aumentan los recuentos de coincidencias:
Router#show access-lists 101
Extended IP access list 101 10 permit udp host 172.17.0.1 host 172.16.1.1 eq isakmp log (4 matches) 20 permit udp host 172.17.0.5 host 172.16.1.1 eq isakmp log (4 matches) 30 permit ip any any (295 matches)
Precaución: Asegúrese de que ip any any esté habilitado en la lista de acceso. De lo contrario, se bloqueará todo el tráfico ya que se aplica unalista de acceso entrante en la interfaz de salida.
Si DMVPN no funciona, antes de solucionar problemas con IPsec, compruebe que los túneles de GRE funcionen correctamente sin cifrado de IPsec.
Para obtener más información, consulte Configurar el túnel de GRE.
El túnel VPN entre el concentrador y los dispositivos radiales está activo, pero no deja pasar el tráfico de datos:
Router#show crypto isakmp sa dst src state conn-id slot status 172.17.0.1 172.16.1.1 QM_IDLE 1082 0 ACTIVE
Router#show crypto IPSEC sa local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0) #pkts encaps: 154, #pkts encrypt: 154, #pkts digest: 154 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 inbound esp sas: spi: 0xF830FC95(4163959957) outbound esp sas: spi: 0xD65A7865(3596253285) !--- !--- Output is truncated !---
Muestra que el tráfico devuelto no vuelve del otro extremo del túnel.
Compruebe la entrada de NHS en el router de dispositivos radiales:
Router#show ip nhrp nhs detail Legend: E=Expecting replies, R=Responding Tunnel0: 172.17.0.1 E req-sent 0 req-failed 30 repl-recv 0 Pending Registration Requests: Registration Request: Reqid 4371, Ret 64 NHS 172.17.0.1
Muestra que la solicitud de NHS provoca un error. Para resolver este problema, asegúrese de que la configuración de la interfaz de túnel del router de dispositivos radiales es correcta.
Ejemplo de configuración:
interface Tunnel0 ip address 10.0.0.9 255.255.255.0 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.1 ip nhrp nhs 172.17.0.1 !--- !--- Output is truncated !---
Ejemplo de configuración con la entrada correcta del servidor NHS:
interface Tunnel0 ip address 10.0.0.9 255.255.255.0 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.1 ip nhrp nhs 10.0.0.1 !--- !--- Output is truncated !---
Ahora, compruebe la entrada de NHS y los contadores de cifrado/descifrado de IPsec:
Router#show ip nhrp nhs detail Legend: E=Expecting replies, R=Responding Tunnel0: 10.0.0.1 RE req-sent 4 req-failed 0 repl-recv 3 (00:01:04 ago) Router#show crypto IPSec sa local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0) #pkts encaps: 121, #pkts encrypt: 121, #pkts digest: 121 #pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118 inbound esp sas: spi: 0x1B7670FC(460747004) outbound esp sas: spi: 0x3B31AA86(993110662) !--- !--- Output is truncated !---
Use estos comandos para comprobar la vida útil actual de SA y la hora de la siguiente renegociación:
show crypto isakmp sa detail
show crypto ipsec sa peer <NBMA-address-peer>
Observe los valores de vida útil de SA. Si están cerca de la vida útil configurada (el valor predeterminado es 24 horas para ISAKMP y 1 hora para IPsec), esto significa que estas SA se han negociado recientemente. Si vuelve a observar un poco más tarde y se han renegociado de nuevo, entonces ISAKMP o IPsec pueden tener interrupciones constantes.
Router#show crypto ipsec security-assoc lifetime Security association lifetime: 4608000 kilobytes/3600 seconds Router#show crypto isakmp policy Global IKE policy Protection suite of priority 1 Encryption algorithm: DES-Data Encryption Standard (65 bit keys) Hash algorithm: Message Digest 5 Authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) Lifetime: 86400 seconds, no volume limit Default protection suite Encryption algorithm: DES- Data Encryption Standard (56 bit keys) Hash algorithm: Secure Hash Standard Authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) Lifetime: 86400 seconds, no volume limit Router# show crypto ipsec sa interface: Ethernet0/3 Crypto map tag: vpn, local addr. 172.17.0.1 local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0) current_peer: 172.17.0.1:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19 #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.17.0.1 path mtu 1500, media mtu 1500 current outbound spi: 8E1CB77A inbound esp sas: spi: 0x4579753B(1165587771) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4456885/3531) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x8E1CB77A(2384246650) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4456885/3531) IV size: 8 bytes replay detection support: Y
El túnel VPN entre el router de dispositivos radiales está activo, pero no deja pasar el tráfico de datos:
Spoke1# show crypto ipsec sa peer 172.16.2.11 local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) #pkts encaps: 110, #pkts encrypt: 110 #pkts decaps: 0, #pkts decrypt: 0, local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.16.2.11 inbound esp sas: spi: 0x4C36F4AF(1278669999) outbound esp sas: spi: 0x6AC801F4(1791492596) !--- !--- Output is truncated !--- Spoke2#sh crypto ipsec sa peer 172.16.1.1 local ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) #pkts encaps: 116, #pkts encrypt: 116, #pkts decaps: 110, #pkts decrypt: 110, local crypto endpt.: 172.16.2.11, remote crypto endpt.: 172.16.1.1 inbound esp sas: spi: 0x6AC801F4(1791492596) outbound esp sas: spi: 0x4C36F4AF(1278669999 !--- !--- Output is truncated !---
No hay paquetes de decap en spoke1, lo que significa que los paquetes de esp se descartan en algún punto de la ruta de retorno de spoke2 a spoke1.
El router de spoke2 muestra encap y decap, lo que significa que el tráfico de ESP se filtra antes de alcanzar spoke2. Puede suceder en el extremo de ISP de spoke2 o en cualquier cortafuegos de la ruta entre el router de spoke2 y spoke1. Tras permitir ESP (protocolo IP 50), spoke1 y spoke2 muestran que los contadores de encaps y decaps están aumentando.
spoke1# show crypto ipsec sa peer 172.16.2.11 local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) #pkts encaps: 300, #pkts encrypt: 300 #pkts decaps: 200, #pkts decrypt: 200 !--- !--- Output is truncated !--- spoke2#sh crypto ipsec sa peer 172.16.1.1 local ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) #pkts encaps: 316, #pkts encrypt: 316, #pkts decaps: 300, #pkts decrypt: 310 !--- !--- Output is truncated !---
Los dispositivos radiales no pueden establecer la relación de vecino de protocolo de routing:
Hub# show ip eigrp neighbors H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 2 10.0.0.9 Tu0 13 00:00:37 1 5000 1 0 0 10.0.0.5 Tu0 11 00:00:47 1587 5000 0 1483 1 10.0.0.11 Tu0 13 00:00:56 1 5000 1 0 Syslog message: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 10.0.0.9 (Tunnel0) is down: retry limit exceeded Hub# show ip route eigrp 172.17.0.0/24 is subnetted, 1 subnets C 172.17.0.0 is directly connected, FastEthernet0/0 10.0.0.0/24 is subnetted, 1 subnets C 10.0.0.0 is directly connected, Tunnel0 C 192.168.0.0/24 is directly connected, FastEthernet0/1 S* 0.0.0.0/0 [1/0] via 172.17.0.100
Compruebe si la asignación de multidifusión de NHRP está configurada correctamente en el concentrador.
En el concentrador, la asignación dinámica de multidifusión de nhrp debe estar configurada en la interfaz de túnel del concentrador.
Ejemplo de configuración:
interface Tunnel0 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 no ip next-hop-self eigrp 10 ip nhrp authentication test ip nhrp network-id 10 no ip split-horizon eigrp 10 tunnel mode gre multipoint !--- !--- Output is truncated !---
Ejemplo de configuración con la entrada correcta para la asignación dinámica de multidifusión de nhrp:
interface Tunnel0 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 no ip next-hop-self eigrp 10 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 10 no ip split-horizon eigrp 10 tunnel mode gre multipoint !--- !--- Output is truncated !---
Esto permite que NHRP agregue automáticamente los routers de los dispositivos radiales a las asignaciones de NHRP de multidifusión.
Para obtener más información, consulte la sección sobre ip nhrp map multicastdynamic en los Comandos de NHRP.
Hub#show ip eigrp neighbors IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 2 10.0.0.9 Tu0 12 00:16:48 13 200 0 334 1 10.0.0.11 Tu0 13 00:17:10 11 200 0 258 0 10.0.0.5 Tu0 12 00:48:44 1017 5000 0 1495 Hub#show ip route 172.17.0.0/24 is subnetted, 1 subnets C 172.17.0.0 is directly connected, FastEthernet0/0 D 192.168.11.0/24 [90/2944000] via 10.0.0.11, 00:16:12, Tunnel0 10.0.0.0/24 is subnetted, 1 subnets C 10.0.0.0 is directly connected, Tunnel0 C 192.168.0.0/24 is directly connected, FastEthernet0/1 D 192.168.2.0/24 [90/2818560] via 10.0.0.9, 00:15:45, Tunnel0 S* 0.0.0.0/0 [1/0] via 172.17.0.100
Las rutas a los dispositivos radiales se aprenden a través del protocolo eigrp.
DMVPN funciona correctamente, pero no se puede establecer el RAVPN.
Para ello, use perfiles de ISAKMP y perfiles de IPsec.
Cree perfiles independientes para DMVPN y RAVPN.
Para obtener más información, consulte el Ejemplo de configuración de DMVPN y Easy VPN Server con perfiles de ISAKMP.
Problema con dual-hub-dual-dmvpn. Concretamente, los túneles se desactivan y no se pueden volver a negociar.
Use la palabra clave compartida en la protección de IPsec del túnel para ambas interfaces de túnel del concentrador y en los dispositivos radiales también.
Ejemplo de configuración:
interface Tunnel43 description <<tunnel to primary cloud>> tunnel source interface vlan10 tunnel protection IPSec profile myprofile shared !--- !--- Output is truncated !--- interface Tunnel44 description <<tunnel to secondary cloud>> tunnel source interface vlan10 tunnel protection IPSec profile myprofile shared !--- !--- Output is truncated !---
Para obtener más información, consulte la sección de protección de túnel en la Referencia de comandos de seguridad de Cisco IOS.
Problema al acceder a un servidor a través de la red de DMVPN.
El problema podría estar relacionado con el tamaño de MTU y MSS del paquete que está usando GRE e IPsec.
Ahora, el tamaño del paquete podría ser un problema para la fragmentación. Para eliminar este problema, use estos comandos:
ip mtu 1400 ip tcp adjust-mss 1360 crypto IPSec fragmentation after-encryption (global)
También puede configurar el comando tunnel path-mtu-discovery para detectar el tamaño de MTU de forma dinámica.
Para consultar una explicación más detallada, consulte Resuelva problemas de fragmentación de IP, MTU, MSS y PMTUD con GRE e IPsec.
No se puede acceder a los servidores en DMVPN a través de puertos específicos.
Compruebe desactivando el conjunto de funciones de cortafuegos de IOS y vea si así funciona.
Si funciona correctamente, entonces el problema está relacionado con la configuración de cortafuegos de IOS, no con el DMVPN.