Explorar Cisco
Cómo comprar

¿Tiene una cuenta?

  •   Contenido personalizado
  •   Sus productos y soporte

¿Necesita una cuenta?

Crear una cuenta

Soluciones de problemas de DMVPN más comunes

Opciones de descarga

  • PDF     (191.6 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (89.3 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (81.9 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:6 de mayo de 2010
ID del documento:111976

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento contiene las soluciones más comunes para los problemas de Dynamic Multipoint VPN (DMVPN). Muchas de estas soluciones pueden implementarse antes de la solución de problemas detallada de la conexión de DMVPN. Este documento se presenta como una lista de verificación de procedimientos comunes que puede intentar antes de comenzar a resolver problemas de una conexión y llamar al Soporte Técnico de Cisco.

Si necesita documentos de ejemplo de configuración para DMVPN, consulte Ejemplos de configuración de DMVPN y notas técnicas.

Nota: Refiérase a Troubleshooting de IPSec - Comprensión y Uso de Comandos de debug para proporcionar una explicación de los comandos debug comunes que se utilizan para resolver problemas de IPSec.

Prerequisites

Requirements

Cisco recomienda que conozca la configuración de DMVPN en los routers CISCO IOS®.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • IOS de Cisco

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

La configuración de DMVPN no funciona

Problema

Una solución de DMVPN configurada o modificada recientemente no funciona.

Una configuración de DMVPN actual ya no funciona.

Soluciones

Esta sección contiene soluciones para los problemas de DMVPN más comunes.

Estas soluciones (sin un orden concreto) pueden usarse como una lista de comprobación de elementos para verificar o intentar antes de encarar una solución de problemas detallada:

Nota: Antes de empezar, verifique lo siguiente:

  1. Sincronice las marcas de hora entre el concentrador y el dispositivo radial

  2. Habilite la depuración de msec y las marcas de hora de registro:

    Router(config)#service timestamps debug datetime msec

    Router(config)#service timestamps log datetime msec

  3. Habilite terminal exec prompt timestamp para las sesiones de depuración:

    Router#terminal exec prompt timestamp

Nota: De esta manera, puede correlacionar fácilmente el resultado debug con el resultado del comando show.

Problemas comunes

Compruebe la conectividad básica

  1. Ping desde el concentrador a los dispositivos radiales y a la inversa con direcciones NBMA.

    Estos pings deben ir directamente a la interfaz física, no a través del túnel de DMVPN. Se espera que no haya un cortafuegos que bloquee los paquetes de ping. Si esto no funciona, compruebe el enrutamiento y los cortafuegos entre los routers de concentrador y de dispositivos radiales.

  2. Además, use traceroute para comprobar la ruta de los paquetes de túnel cifrados.

  3. Use los comandos debug y show para verificar que no haya conectividad:

    • debug ip icmp

    • debug ip packet

      Nota: El comando debug ip packet genera una cantidad sustancial de resultados y utiliza una cantidad sustancial de recursos del sistema. Este comando debe usarse con cuidado en las redes de producción. Siempre debe usarse con el comando access-list.

      Nota: Para obtener más información sobre cómo utilizar la lista de acceso con debug ip packet, consulte Solución de Problemas con Listas de Acceso IP.

Compruebe si hay políticas de ISAKMP incompatibles

Si las políticas ISAKMP configuradas no coinciden con la política propuesta por el peer remoto, el router intenta la política predeterminada de 65535. Si esto tampoco coincide, se produce un error en la negociación de ISAKMP.

El comando show crypto isakmp sa muestra que ISAKMP SA está en MM_NO_STATE, lo que significa que el modo principal falló.

Compruebe que la clave secreta compartida previamente sea incorrecta

Si los secretos compartidos previamente no son iguales en ambos lados, se producirá un error en la negociación.

El router devuelve el mensaje "error de comprobación de validez".

Compruebe si el conjunto de transformación de IPsec es incompatible

Si el conjunto de transformación de IPsec no es compatible o no coincide en los dos dispositivos de IPsec, se producirá un error en la negociación de IPsec.

El router devuelve el mensaje "atts not acceptable" a la propuesta de IPsec.

Compruebe si los paquetes de ISAKMP se bloquean en el ISP 

Router#show crypto isakmp sa


IPv4 Crypto ISAKMP SA
Dst	            src	               state	   conn-id	  slot	   status
172.17.0.1	  172.16.1.1	    MM_NO_STATE	     0	           0	   ACTIVE
172.17.0.1	  172.16.1.1	    MM_NO_STATE	     0	           0	   ACTIVE (deleted)
172.17.0.5        172.16.1.1        MM_NO_STATE      0             0	   ACTIVE
172.17.0.5        172.16.1.1        MM_NO_STATE      0             0	   ACTIVE (deleted)

Arriba se muestra el túnel VPN intermitente.

Además, compruebe debug crypto isakmp para verificar que el router de los dispositivos radiales esté enviando el paquete udp 500:

Router#debug crypto isakmp

04:14:44.450: ISAKMP:(0):Old State = IKE_READY  
                       New State = IKE_I_MM1
04:14:44.450: ISAKMP:(0): beginning Main Mode exchange
04:14:44.450: ISAKMP:(0): sending packet to 172.17.0.1 
              my_port 500 peer_port 500 (I) MM_NO_STATE
04:14:44.450: ISAKMP:(0):Sending an IKE IPv4 Packet.
04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
04:14:54.450: ISAKMP (0:0): incrementing error counter on sa, 
              attempt 1 of 5: retransmit phase 1
04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
04:14:54.450: ISAKMP:(0): sending packet to 172.17.0.1 
              my_port 500 peer_port 500 (I) MM_NO_STATE
04:14:54.450: ISAKMP:(0):Sending an IKE IPv4 Packet.
04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
04:15:04.450: ISAKMP (0:0): incrementing error counter on sa, 
              attempt 2 of 5: retransmit phase 1
04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE

La salida de depuración anterior muestra que el router de los dispositivos radiales está enviando el paquete udp 500 cada 10 segundos.

Compruebe con el ISP para ver si el router de dispositivos radiales está conectado directamente al router del ISP para asegurarse de que permiten el tráfico de udp 500.

Después de que el ISP haya permitido udp 500, agregue la ACL entrante en la interfaz de salida, que es el origen del túnel para permitir udp 500, a fin de asegurarse de que el tráfico de udp 500 esté entrando al router. Use el comando show access-list para comprobar si aumentan los recuentos de coincidencias:

Router#show access-lists 101

Extended IP access list 101
    10 permit udp host 172.17.0.1 host 172.16.1.1 eq isakmp log (4 matches)
    20 permit udp host 172.17.0.5 host 172.16.1.1 eq isakmp log (4 matches)
    30 permit ip any any (295 matches)

caution Precaución: Asegúrese de tener ip any any allowed en su lista de acceso. De lo contrario, se bloqueará todo el tráfico ya que se aplica unalista de acceso entrante en la interfaz de salida.

Compruebe si GRE está funcionando al quitar la protección de túnel

Si DMVPN no funciona, antes de solucionar problemas con IPsec, compruebe que los túneles de GRE funcionen correctamente sin cifrado de IPsec.

Para obtener más información, consulte Configurar el túnel de GRE.

El registro NHRP provoca un error

El túnel VPN entre el concentrador y los dispositivos radiales está activo, pero no deja pasar el tráfico de datos:

Router#show crypto isakmp sa
        dst             src             state          conn-id  slot   status
        172.17.0.1      172.16.1.1      QM_IDLE           1082    0    ACTIVE
Router#show crypto IPSEC sa
local  ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
#pkts encaps: 154, #pkts encrypt: 154, #pkts digest: 154
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
inbound esp sas:
spi: 0xF830FC95(4163959957)
outbound esp sas:
spi: 0xD65A7865(3596253285)

!--- !--- Output is truncated !---

Muestra que el tráfico devuelto no vuelve del otro extremo del túnel.

Compruebe la entrada de NHS en el router de dispositivos radiales:

Router#show  ip nhrp nhs detail
Legend: E=Expecting replies, R=Responding
Tunnel0: 172.17.0.1  E  req-sent 0  req-failed 30 repl-recv 0
Pending Registration Requests:
Registration Request: Reqid 4371, Ret 64  NHS 172.17.0.1

Muestra que la solicitud de NHS provoca un error. Para resolver este problema, asegúrese de que la configuración de la interfaz de túnel del router de dispositivos radiales es correcta.

Ejemplo de configuración:

interface Tunnel0
 ip address 10.0.0.9 255.255.255.0
 ip nhrp map 10.0.0.1 172.17.0.1
 ip nhrp map multicast 172.17.0.1
 ip nhrp nhs 172.17.0.1

!--- !--- Output is truncated !---

Ejemplo de configuración con la entrada correcta del servidor NHS:

interface Tunnel0
 ip address 10.0.0.9 255.255.255.0
 ip nhrp map 10.0.0.1 172.17.0.1
 ip nhrp map multicast 172.17.0.1
 ip nhrp nhs 10.0.0.1

!--- !--- Output is truncated !---

Ahora, compruebe la entrada de NHS y los contadores de cifrado/descifrado de IPsec:

Router#show ip nhrp nhs detail
Legend: E=Expecting replies, R=Responding
Tunnel0:        10.0.0.1 RE  req-sent 4  req-failed 0  repl-recv 3 (00:01:04 ago)

Router#show crypto IPSec sa 
local  ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
#pkts encaps: 121, #pkts encrypt: 121, #pkts digest: 121
#pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118
inbound esp sas:
spi: 0x1B7670FC(460747004)
outbound esp sas:
spi: 0x3B31AA86(993110662)

!--- !--- Output is truncated !---

Compruebe si la vida útil está configurada correctamente

Use estos comandos para comprobar la vida útil actual de SA y la hora de la siguiente renegociación:

  • show crypto isakmp sa detail

  • show crypto ipsec sa peer <NBMA-address-peer>

Observe los valores de vida útil de SA. Si están cerca de la vida útil configurada (el valor predeterminado es 24 horas para ISAKMP y 1 hora para IPsec), esto significa que estas SA se han negociado recientemente. Si vuelve a observar un poco más tarde y se han renegociado de nuevo, entonces ISAKMP o IPsec pueden tener interrupciones constantes.

Router#show crypto ipsec security-assoc lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds

Router#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
Encryption algorithm: DES-Data Encryption Standard (65 bit keys)
Hash algorithm: Message Digest 5
Authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
Lifetime: 86400 seconds, no volume limit
Default protection suite
 Encryption algorithm: DES- Data Encryption Standard (56 bit keys)
 Hash algorithm: Secure Hash Standard
 Authentication method: Rivest-Shamir-Adleman Signature
 Diffie-Hellman group: #1 (768 bit)
 Lifetime: 86400 seconds, no volume limit

Router# show crypto ipsec sa
interface: Ethernet0/3
    Crypto map tag: vpn, local addr. 172.17.0.1
   local  ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
   current_peer: 172.17.0.1:500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19
    #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0
     local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.17.0.1
     path mtu 1500, media mtu 1500
     current outbound spi: 8E1CB77A

 inbound esp sas:
      spi: 0x4579753B(1165587771)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn
        sa timing: remaining key lifetime (k/sec): (4456885/3531)
        IV size: 8 bytes
        replay detection support: Y
outbound esp sas:
      spi: 0x8E1CB77A(2384246650)
        transform: esp-3des esp-md5-hmac ,
        in use settings ={Tunnel, }
        slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn
        sa timing: remaining key lifetime (k/sec): (4456885/3531)
        IV size: 8 bytes
        replay detection support: Y

Compruebe si el tráfico fluye en un solo sentido

El túnel VPN entre el router de dispositivos radiales está activo, pero no deja pasar el tráfico de datos:

Spoke1# show crypto ipsec sa peer 172.16.2.11
   local  ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
    #pkts encaps: 110, #pkts encrypt: 110
    #pkts decaps: 0, #pkts decrypt: 0, 
local crypto endpt.: 172.16.1.1, 
remote crypto endpt.: 172.16.2.11
      inbound esp sas:
      spi: 0x4C36F4AF(1278669999)
      outbound esp sas:
      spi: 0x6AC801F4(1791492596)

!--- !--- Output is truncated !---


Spoke2#sh crypto ipsec sa peer 172.16.1.1
   local  ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
   #pkts encaps: 116, #pkts encrypt: 116,             
   #pkts decaps: 110, #pkts decrypt: 110,  
local crypto endpt.: 172.16.2.11, 
remote crypto endpt.: 172.16.1.1
     inbound esp sas:
     spi: 0x6AC801F4(1791492596)
     outbound esp sas:
     spi: 0x4C36F4AF(1278669999

!--- !--- Output is truncated !---

No hay paquetes de decap en spoke1, lo que significa que los paquetes de esp se descartan en algún punto de la ruta de retorno de spoke2 a spoke1.

El router de spoke2 muestra encap y decap, lo que significa que el tráfico de ESP se filtra antes de alcanzar spoke2. Puede suceder en el extremo de ISP de spoke2 o en cualquier cortafuegos de la ruta entre el router de spoke2 y spoke1. Tras permitir ESP (protocolo IP 50), spoke1 y spoke2 muestran que los contadores de encaps y decaps están aumentando.

spoke1# show crypto ipsec sa peer 172.16.2.11
   local  ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
    #pkts encaps: 300, #pkts encrypt: 300
    #pkts decaps: 200, #pkts decrypt: 200

!--- !--- Output is truncated !---

spoke2#sh crypto ipsec sa peer 172.16.1.1
   local  ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
   remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
   #pkts encaps: 316, #pkts encrypt: 316,             
   #pkts decaps: 300, #pkts decrypt: 310

!--- !--- Output is truncated !---

Compruebe que se haya establecido el vecino de protocolo de enrutamiento

Los dispositivos radiales no pueden establecer la relación de vecino de protocolo de routing:

Hub# show ip eigrp neighbors
H   Address     Interface   Hold Uptime     SRTT    RTO  	 Q  	Seq
                                  (sec)             (ms)  Cnt 	Num
2   10.0.0.9     Tu0         13  00:00:37     1    5000  	 1  	0
0   10.0.0.5     Tu0         11	 00:00:47   1587   5000  	 0 	1483
1   10.0.0.11    Tu0         13	 00:00:56     1    5000  	 1  	0
Syslog message: 
%DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: 
Neighbor 10.0.0.9 (Tunnel0) is down: retry limit exceeded

Hub# show ip route eigrp
	172.17.0.0/24 is subnetted, 1 subnets
C       172.17.0.0 is directly connected, FastEthernet0/0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.0.0.0 is directly connected, Tunnel0
C    192.168.0.0/24 is directly connected, FastEthernet0/1
S*   0.0.0.0/0 [1/0] via 172.17.0.100

Compruebe si la asignación de multidifusión de NHRP está configurada correctamente en el concentrador.

En el concentrador, la asignación dinámica de multidifusión de nhrp debe estar configurada en la interfaz de túnel del concentrador.

Ejemplo de configuración:

interface Tunnel0
 ip address 10.0.0.1 255.255.255.0
 ip mtu 1400
 no ip next-hop-self eigrp 10
 ip nhrp authentication test
 ip nhrp network-id 10
 no ip split-horizon eigrp 10
 tunnel mode gre multipoint

!--- !--- Output is truncated !---

Ejemplo de configuración con la entrada correcta para la asignación dinámica de multidifusión de nhrp:

interface Tunnel0
 ip address 10.0.0.1 255.255.255.0
 ip mtu 1400
 no ip next-hop-self eigrp 10
 ip nhrp authentication test
 ip nhrp map multicast dynamic
 ip nhrp network-id 10
 no ip split-horizon eigrp 10
 tunnel mode gre multipoint

!--- !--- Output is truncated !---

Esto permite que NHRP agregue automáticamente los routers de los dispositivos radiales a las asignaciones de NHRP de multidifusión.

Para obtener más información, consulte la sección sobre ip nhrp map multicastdynamic en los Comandos de NHRP.

Hub#show ip eigrp neighbors
IP-EIGRP neighbors for process 10
H   Address     Interface   Hold   Uptime   SRTT    RTO     Q     Seq
                                           (sec)    (ms)   Cnt    Num
2   10.0.0.9     Tu0         12   00:16:48   13     200     0     334
1   10.0.0.11    Tu0         13   00:17:10   11     200     0     258
0   10.0.0.5     Tu0         12   00:48:44  1017    5000    0     1495

Hub#show ip route

     172.17.0.0/24 is subnetted, 1 subnets
C       172.17.0.0 is directly connected, FastEthernet0/0
D    192.168.11.0/24 [90/2944000] via 10.0.0.11, 00:16:12, Tunnel0
     10.0.0.0/24 is subnetted, 1 subnets
C       10.0.0.0 is directly connected, Tunnel0
C    192.168.0.0/24 is directly connected, FastEthernet0/1
D    192.168.2.0/24 [90/2818560] via 10.0.0.9, 00:15:45, Tunnel0
S*   0.0.0.0/0 [1/0] via 172.17.0.100

Las rutas a los dispositivos radiales se aprenden a través del protocolo eigrp.

Problema al integrar VPN de acceso remoto con DMVPN

Problema

DMVPN funciona correctamente, pero no se puede establecer el RAVPN.

Solución

Para ello, use perfiles de ISAKMP y perfiles de IPsec.

Cree perfiles independientes para DMVPN y RAVPN.

Para obtener más información, consulte el Ejemplo de configuración de DMVPN y Easy VPN Server con perfiles de ISAKMP.

Problema con dual-hub-dual-dmvpn.

Problema

Problema con dual-hub-dual-dmvpn. Concretamente, los túneles se desactivan y no se pueden volver a negociar.

Solución

Use la palabra clave compartida en la protección de IPsec del túnel para ambas interfaces de túnel del concentrador y en los dispositivos radiales también.

Ejemplo de configuración:

interface Tunnel43
 description <<tunnel to primary cloud>>
 tunnel source interface vlan10
 tunnel protection IPSec profile myprofile shared

!--- !--- Output is truncated !---

interface Tunnel44
 description <<tunnel to secondary cloud>>
 tunnel source interface vlan10
 tunnel protection IPSec profile myprofile shared

!--- !--- Output is truncated !---

Para obtener más información, consulte la sección de protección de túnel en la Referencia de comandos de seguridad de Cisco IOS.

Problema al iniciar sesión en un servidor a través de DMVPN

Problema

Problema al acceder a un servidor a través de la red de DMVPN.

Solución

El problema podría estar relacionado con el tamaño de MTU y MSS del paquete que está usando GRE e IPsec.

Ahora, el tamaño del paquete podría ser un problema para la fragmentación. Para eliminar este problema, use estos comandos:

ip mtu 1400
ip tcp adjust-mss 1360
crypto IPSec fragmentation after-encryption (global)

También puede configurar el comando tunnel path-mtu-discovery para detectar el tamaño de MTU de forma dinámica.

Para consultar una explicación más detallada, consulte Resuelva problemas de fragmentación de IP, MTU, MSS y PMTUD con GRE e IPsec.

No se pudo acceder a los servidores en DMVPN a través de determinados puertos

Problema

No se puede acceder a los servidores en DMVPN a través de puertos específicos.

Solución

Compruebe desactivando el conjunto de funciones de cortafuegos de IOS y vea si así funciona.

Si funciona correctamente, entonces el problema está relacionado con la configuración de cortafuegos de IOS, no con el DMVPN.

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
06-May-2010
Versión inicial

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos