Este documento contiene la mayoría de las soluciones comunes a los problemas del Dynamic Multipoint VPN (DMVPN). Muchas de estas soluciones se pueden implementar antes del troubleshooting profundizado de la conexión DMVPN. Este documento se presenta como una lista de verificación de procedimientos comunes que puede intentar antes de comenzar a resolver problemas de una conexión y llamar al Soporte Técnico de Cisco.
Si usted necesita los documentos del ejemplo de configuración para el DMVPN, refiera a los ejemplos de configuración y lista de notas técnicas DMVPN.
Note: Refiera al Troubleshooting de IPSec - Entendiendo y con los comandos debug de proporcionar los comandos debug de una explicación de común que se utilizan para resolver problemas los problemas del IPSec.
Cisco recomienda que usted tiene conocimiento de la configuración DMVPN en el Routers del ® del Cisco IOS.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
IOS de Cisco
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.
Una solución DMVPN recientemente configurada o modificada no trabaja.
Trabajos actuales de una configuración DMVPN no más.
Esta sección contiene las soluciones a los problemas mas comunes DMVPN.
Estas soluciones (en ningún orden particular) se pueden utilizar como lista de verificación de elementos para verificar o de intento antes de que usted enganche al troubleshooting profundizado:
Verifique si el GRE está trabajando muy bien quitando la protección del túnel
Verifique si los cursos de la vida estén configurados correctamente
Verifique si los flujos de tráfico en solamente una dirección
Note: Antes de que usted comience, marque éstos:
Sincronización-para arriba los grupos fecha/hora entre el hub and spoke
Grupos fecha/hora del debug y del registro milisegundo del permiso:
Debug de los grupos fecha/hora de Router(config)#service datetime msec
Registro de los grupos fecha/hora de Router(config)#service datetime msec
Grupo fecha/hora terminal del prompt exec del permiso para las sesiones de debugging:
Grupo fecha/hora del prompt exec de Router#terminal
Note: Esta manera, usted puede correlacionar fácilmente la salida de los debugs con la salida del comando show.
Haga ping del concentrador al rayo usando los direccionamientos NBMA e invierta.
Estos ping deben pasar directamente hacia fuera la interfaz física, no a través del túnel DMVPN. Esperanzadamente, no hay un Firewall que bloquea los paquetes ping. Si esto no trabaja, marque la encaminamiento y cualquier Firewall entre el Routers del hub and spoke.
También, traceroute del uso para marcar la trayectoria que los paquetes del túnel encriptado están tomando.
Utilice los comandos debug and show de no verificar ninguna Conectividad:
haga el debug del ICMP del IP
haga el debug del paquete del IP
Note: El comando debug ip packet genera una cantidad sustancial de salida y utiliza a una cantidad sustancial de recursos del sistema. Este comando se debe utilizar con cautela en las redes de producción. Utilice siempre con el comando access-list.
Note: Para más información sobre cómo utilizar la lista de acceso con el paquete del IP del debug, refiera al Troubleshooting con las listas de acceso IP.
Si las políticas ISAKMP configuradas no coinciden con la política propuesta por el peer remoto, el router intenta la política predeterminada de 65535. Si eso no hace juego tampoco, falla la negociación ISAKMP.
El comando show crypto isakmp sa muestra ISAKMP SA para estar adentro MM_NO_STATE, significando al modo principal fallado.
Si los Secretos previamente compartidos no son lo mismo en los ambos lados, la negociación fallará.
El router vuelve el mensaje fallado “verificación de integridad”.
Si el transforme el conjunto del IPSec no es compatible o unido mal en los dos dispositivos del IPSec, el IPSec Negotiation fallará.
El router vuelve el mensaje no aceptable de los “atts” para la oferta del IPSec.
Router#show crypto isakmp sa IPv4 Crypto ISAKMP SA Dst src state conn-id slot status 172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIVE 172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (deleted) 172.17.0.5 172.16.1.1 MM_NO_STATE 0 0 ACTIVE 172.17.0.5 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (deleted)
El antedicho muestra el cambio del túnel VPN.
Además, isakmp del debug crypto del control a verificar que el router radial esté enviando el paquete UDP 500:
Router#debug crypto isakmp
04:14:44.450: ISAKMP:(0):Old State = IKE_READY New State = IKE_I_MM1 04:14:44.450: ISAKMP:(0): beginning Main Mode exchange 04:14:44.450: ISAKMP:(0): sending packet to 172.17.0.1 my_port 500 peer_port 500 (I) MM_NO_STATE 04:14:44.450: ISAKMP:(0):Sending an IKE IPv4 Packet. 04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:14:54.450: ISAKMP (0:0): incrementing error counter on sa, attempt 1 of 5: retransmit phase 1 04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE 04:14:54.450: ISAKMP:(0): sending packet to 172.17.0.1 my_port 500 peer_port 500 (I) MM_NO_STATE 04:14:54.450: ISAKMP:(0):Sending an IKE IPv4 Packet. 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE... 04:15:04.450: ISAKMP (0:0): incrementing error counter on sa, attempt 2 of 5: retransmit phase 1 04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
El router radial antedicho de las demostraciones de la salida de los debugs está enviando el paquete UDP 500 en cada 10 segundos.
Marque con el ISP para ver si el router radial está conectado directamente con el router del ISP para aseegurarse los está permitiendo el tráfico UDP 500.
Después de que el ISP permitiera UDP 500, agregue el ACL entrante en la interfaz de egreso, que es origen de túnel para permitir que el UDP 500 se aseegure el tráfico UDP 500 está entrando en al router. Utilice el comando show access-list de verificar si las cuentas del golpe están incrementando:
Router#show access-lists 101
Extended IP access list 101 10 permit udp host 172.17.0.1 host 172.16.1.1 eq isakmp log (4 matches) 20 permit udp host 172.17.0.5 host 172.16.1.1 eq isakmp log (4 matches) 30 permit ip any any (295 matches)
Caution: Aseegurese le tener cualquier del IP permitido en su lista de acceso. Si no, el resto del tráfico será bloqueado como entrante aplicado lista de acceso en la interfaz de egreso.
Cuando el DMVPN no está trabajando, antes de resolver problemas con el IPSec, verifique que los túneles GRE estén funcionando muy bien sin la encripción de IPSec.
Para más información, refiera a la configuración el túnel GRE.
El túnel VPN entre el hub and spoke está para arriba, pero incapaz de pasar el tráfico de datos:
Router#show crypto isakmp sa dst src state conn-id slot status 172.17.0.1 172.16.1.1 QM_IDLE 1082 0 ACTIVE
Router#show crypto IPSEC sa local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0) #pkts encaps: 154, #pkts encrypt: 154, #pkts digest: 154 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 inbound esp sas: spi: 0xF830FC95(4163959957) outbound esp sas: spi: 0xD65A7865(3596253285) !--- !--- Output is truncated !---
Muestra que el tráfico de retorno no se está volviendo del otro extremo del túnel.
Entrada del control NHS en el router radial:
Router#show ip nhrp nhs detail Legend: E=Expecting replies, R=Responding Tunnel0: 172.17.0.1 E req-sent 0 req-failed 30 repl-recv 0 Pending Registration Requests: Registration Request: Reqid 4371, Ret 64 NHS 172.17.0.1
Muestra que la petición NHS está fallando. Para resolver este problema, aseegurese la configuración en el router radial que la interfaz del túnel está correcta.
Ejemplo de configuración:
interface Tunnel0 ip address 10.0.0.9 255.255.255.0 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.1 ip nhrp nhs 172.17.0.1 !--- !--- Output is truncated !---
Ejemplo de configuración con la entrada correcta para el servidor NHS:
interface Tunnel0 ip address 10.0.0.9 255.255.255.0 ip nhrp map 10.0.0.1 172.17.0.1 ip nhrp map multicast 172.17.0.1 ip nhrp nhs 10.0.0.1 !--- !--- Output is truncated !---
Ahora, verifique la entrada NHS y el IPSec cifra/los contadores del decrypt:
Router#show ip nhrp nhs detail Legend: E=Expecting replies, R=Responding Tunnel0: 10.0.0.1 RE req-sent 4 req-failed 0 repl-recv 3 (00:01:04 ago) Router#show crypto IPSec sa local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0) #pkts encaps: 121, #pkts encrypt: 121, #pkts digest: 121 #pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118 inbound esp sas: spi: 0x1B7670FC(460747004) outbound esp sas: spi: 0x3B31AA86(993110662) !--- !--- Output is truncated !---
Utilice estos comandos de verificar el curso de la vida actual SA y la época para la renegociación siguiente:
muestre el detalle crypto isakmp sa
muestre el <NBMA-address-peer> crypto del par IPSec sa
Note los valores del curso de la vida SA. Si están cercanos a los cursos de la vida configurados (el valor por defecto es 24 horas para el ISAKMP y 1 hora para el IPSec), después ese significa que estos SA se han negociado recientemente. Si usted mira un poco mientras que más adelante y se han renegociado otra vez, después el ISAKMP y/o el IPSec pueden despedir hacia arriba y hacia abajo.
Router#show crypto ipsec security-assoc lifetime Security association lifetime: 4608000 kilobytes/3600 seconds Router#show crypto isakmp policy Global IKE policy Protection suite of priority 1 Encryption algorithm: DES-Data Encryption Standard (65 bit keys) Hash algorithm: Message Digest 5 Authentication method: Pre-Shared Key Diffie-Hellman group: #1 (768 bit) Lifetime: 86400 seconds, no volume limit Default protection suite Encryption algorithm: DES- Data Encryption Standard (56 bit keys) Hash algorithm: Secure Hash Standard Authentication method: Rivest-Shamir-Adleman Signature Diffie-Hellman group: #1 (768 bit) Lifetime: 86400 seconds, no volume limit Router# show crypto ipsec sa interface: Ethernet0/3 Crypto map tag: vpn, local addr. 172.17.0.1 local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0) current_peer: 172.17.0.1:500 PERMIT, flags={origin_is_acl,} #pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19 #pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.17.0.1 path mtu 1500, media mtu 1500 current outbound spi: 8E1CB77A inbound esp sas: spi: 0x4579753B(1165587771) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4456885/3531) IV size: 8 bytes replay detection support: Y outbound esp sas: spi: 0x8E1CB77A(2384246650) transform: esp-3des esp-md5-hmac , in use settings ={Tunnel, } slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn sa timing: remaining key lifetime (k/sec): (4456885/3531) IV size: 8 bytes replay detection support: Y
El túnel VPN entre el router del spoke al spoke está para arriba, pero incapaz de pasar el tráfico de datos:
Spoke1# show crypto ipsec sa peer 172.16.2.11 local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) #pkts encaps: 110, #pkts encrypt: 110 #pkts decaps: 0, #pkts decrypt: 0, local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.16.2.11 inbound esp sas: spi: 0x4C36F4AF(1278669999) outbound esp sas: spi: 0x6AC801F4(1791492596) !--- !--- Output is truncated !--- Spoke2#sh crypto ipsec sa peer 172.16.1.1 local ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) #pkts encaps: 116, #pkts encrypt: 116, #pkts decaps: 110, #pkts decrypt: 110, local crypto endpt.: 172.16.2.11, remote crypto endpt.: 172.16.1.1 inbound esp sas: spi: 0x6AC801F4(1791492596) outbound esp sas: spi: 0x4C36F4AF(1278669999 !--- !--- Output is truncated !---
No hay paquetes del decap en spoke1, que significa que especialmente los paquetes están caídos en alguna parte en la vuelta de la trayectoria de spoke2 hacia spoke1.
El router spoke2 muestra el encap y el decap, así que significa que el tráfico ESP está filtrado antes de spoke2 que alcanza. Puede suceder en el extremo ISP en spoke2 o en cualquier Firewall en la trayectoria entre el router spoke2 y el router spoke1. Después de permitir ESP (protocolo IP 50), spoke1 y spoke2 muestran que el encaps y los contadores de los decaps estén incrementando.
spoke1# show crypto ipsec sa peer 172.16.2.11 local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) #pkts encaps: 300, #pkts encrypt: 300 #pkts decaps: 200, #pkts decrypt: 200 !--- !--- Output is truncated !--- spoke2#sh crypto ipsec sa peer 172.16.1.1 local ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0) remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0) #pkts encaps: 316, #pkts encrypt: 316, #pkts decaps: 300, #pkts decrypt: 310 !--- !--- Output is truncated !---
El spokes no puede establecer la relación del vecino del Routing Protocol:
Hub# show ip eigrp neighbors H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 2 10.0.0.9 Tu0 13 00:00:37 1 5000 1 0 0 10.0.0.5 Tu0 11 00:00:47 1587 5000 0 1483 1 10.0.0.11 Tu0 13 00:00:56 1 5000 1 0 Syslog message: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 10: Neighbor 10.0.0.9 (Tunnel0) is down: retry limit exceeded Hub# show ip route eigrp 172.17.0.0/24 is subnetted, 1 subnets C 172.17.0.0 is directly connected, FastEthernet0/0 10.0.0.0/24 is subnetted, 1 subnets C 10.0.0.0 is directly connected, Tunnel0 C 192.168.0.0/24 is directly connected, FastEthernet0/1 S* 0.0.0.0/0 [1/0] via 172.17.0.100
Verifique si el mapeo multidifusión NHRP se configura correctamente en el concentrador.
En el concentrador, se requiere para tener mapeo multidifusión dinámico del nhrp configurado en la interfaz del túnel del concentrador.
Ejemplo de configuración:
interface Tunnel0 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 no ip next-hop-self eigrp 10 ip nhrp authentication test ip nhrp network-id 10 no ip split-horizon eigrp 10 tunnel mode gre multipoint !--- !--- Output is truncated !---
Ejemplo de configuración con la entrada correcta para el mapeo multidifusión dinámico del nhrp:
interface Tunnel0 ip address 10.0.0.1 255.255.255.0 ip mtu 1400 no ip next-hop-self eigrp 10 ip nhrp authentication test ip nhrp map multicast dynamic ip nhrp network-id 10 no ip split-horizon eigrp 10 tunnel mode gre multipoint !--- !--- Output is truncated !---
Esto permite que el NHRP agregue automáticamente a los routeres radiales a los mapeos NHRP del Multicast.
Para más información, refiera a la sección dinámica del Multicast de la correspondencia del nhrp del IP de los comandos NHRP.
Hub#show ip eigrp neighbors IP-EIGRP neighbors for process 10 H Address Interface Hold Uptime SRTT RTO Q Seq (sec) (ms) Cnt Num 2 10.0.0.9 Tu0 12 00:16:48 13 200 0 334 1 10.0.0.11 Tu0 13 00:17:10 11 200 0 258 0 10.0.0.5 Tu0 12 00:48:44 1017 5000 0 1495 Hub#show ip route 172.17.0.0/24 is subnetted, 1 subnets C 172.17.0.0 is directly connected, FastEthernet0/0 D 192.168.11.0/24 [90/2944000] via 10.0.0.11, 00:16:12, Tunnel0 10.0.0.0/24 is subnetted, 1 subnets C 10.0.0.0 is directly connected, Tunnel0 C 192.168.0.0/24 is directly connected, FastEthernet0/1 D 192.168.2.0/24 [90/2818560] via 10.0.0.9, 00:15:45, Tunnel0 S* 0.0.0.0/0 [1/0] via 172.17.0.100
Las rutas al spokes son doctas con el protocolo del eigrp.
El DMVPN está trabajando muy bien, pero incapaz de establecer el RAVPN.
Utilice los perfiles y los perfiles de ipsec ISAKMP para alcanzar esto.
Cree los perfiles separados para el DMVPN y el RAVPN.
Para más información, refiera al DMVPN y al Easy VPN Server con el ejemplo de configuración de los perfiles ISAKMP.
Problema con el dual-concentrador-dual-DMVPN. Específicamente, los túneles van abajo e incapaz de renegociar.
Utilice la palabra clave compartida en el túnel protección IPSec para ambas las interfaces del túnel en el concentrador, y en el spoke también.
Ejemplo de configuración:
interface Tunnel43 description <<tunnel to primary cloud>> tunnel source interface vlan10 tunnel protection IPSec profile myprofile shared !--- !--- Output is truncated !--- interface Tunnel44 description <<tunnel to secondary cloud>> tunnel source interface vlan10 tunnel protection IPSec profile myprofile shared !--- !--- Output is truncated !---
Para más información, refiera a la sección de la protección del túnel en la referencia de comandos de la Seguridad de Cisco IOS.
Publique con acceder un servidor a través de la red DMVPN.
El problema se podría relacionar con el tamaño MTU y MSS del paquete que está utilizando el GRE y el IPSec.
Ahora, el tamaño de paquetes podía ser un problema con la fragmentación. Para eliminar este problema, utilice estos comandos:
ip mtu 1400 ip tcp adjust-mss 1360 crypto IPSec fragmentation after-encryption (global)
Usted podría también configurar el comando tunnel path-mtu-discovery de descubrir dinámicamente la talla del MTU.
Para una más explicación detallada, refiera a la resolución fragmentación de IP, los problemas MTU, MSS, y PMTUD con el GRE y el IPSEC.
Incapaz al Access Servers en el DMVPN a través de los puertos específicos.
Verifique inhabilitando al conjunto de características del escudo de protección IOS y vea si trabaja.
Si trabaja muy bien, después el problema se relaciona con los config del escudo de protección IOS, no con el DMVPN.