Inleiding
Dit document beschrijft de meest voorkomende oplossingen voor Dynamic Multipoint VPN (DMVPN) problemen.
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van DMVPN-configuratie op Cisco IOS®-routers.
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Conventies
Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.
Achtergrondinformatie
Dit document beschrijft de meest voorkomende oplossingen voor Dynamic Multipoint VPN (DMVPN) problemen. Veel van deze oplossingen kunnen worden geïmplementeerd voorafgaand aan een diepgaande probleemoplossing van de DMVPN-verbinding. Dit document wordt gepresenteerd als een checklist met veelvoorkomende procedures die u kunt proberen voordat u problemen met een verbinding oplost en Cisco Technical Support belt.
Raadpleeg voor meer informatie de Dynamic Multipoint VPN Configuration Guide, Cisco IOS Release 15M&T.
Raadpleeg Begrijpen en gebruik foutopsporingsopdrachten om IPsec-problemen op te lossen om een uitleg te geven van veelvoorkomende foutopsporingsopdrachten die worden gebruikt om IPsec-problemen op te lossen.
DMVPN-configuratie werkt niet
Probleem
Een onlangs geconfigureerde of aangepaste DMVPN-oplossing werkt niet.
Een huidige DMVPN-configuratie werkt niet meer.
Oplossingen
Deze sectie bevat oplossingen voor de meest voorkomende DMVPN problemen.
Deze oplossingen (in willekeurige volgorde) kunnen worden gebruikt als een checklist van items om te controleren of te proberen voordat u problemen grondig oplost:
Opmerking: Controleer de volgende stappen voordat u begint:
-
Synchroniseer de tijdstempels tussen de hub en de spaak
-
Msec-foutopsporings- en logtijdstempels inschakelen:
Router(config)#service timestamps debug datetime msec
Router(config)#service timestamps log datetime msec
-
Schakel de terminal exec prompt timestamp in voor de debugging sessies:
Router#terminal exec prompt timestamp
Opmerking: Op deze manier kunt u de foutopsporingsuitvoer eenvoudig correleren met de uitvoer van de opdracht show.
Veelvoorkomende problemen
De basisconnectiviteit controleren
-
Ping van de hub naar de spaak met NBMA-adressen en omgekeerd.
Deze pings moeten rechtstreeks uit de fysieke interface gaan, niet via de DMVPN-tunnel. Hopelijk is er geen firewall die ping-pakketten blokkeert. Als dit niet werkt, controleert u de routering en eventuele firewalls tussen de hub en spaakrouters.
-
Gebruik ook traceroute om het pad te controleren dat de gecodeerde tunnelpakketten nemen.
-
Gebruik de foutopsporingsfunctie en toon opdrachten om te controleren of er geen verbinding is:
Opmerking: De debug IP-pakketopdracht genereert een aanzienlijke hoeveelheid uitvoer en gebruikt een aanzienlijke hoeveelheid systeembronnen. Dit commando moet met voorzichtigheid worden gebruikt in productienetwerken. Gebruik altijd met de opdracht access-list. Raadpleeg Problemen oplossen met IP-toegangslijsten voor meer informatie over het gebruik van de toegangslijst met het IP-pakket voor foutopsporing.
Controleren op incompatibel ISAKMP-beleid
Als het geconfigureerde ISAKMP-beleid niet overeenkomt met het beleid dat door de externe peer wordt voorgesteld, probeert de router het standaardbeleid van 65535. Als dat ook niet klopt, mislukt de ISAKMP-onderhandeling.
De opdracht show crypto isakmp sa toont de ISAKMP SA in MM_NO_STATE, wat betekent dat de hoofdmodus is mislukt.
Controleren op onjuist vooraf gedeeld sleutelgeheim
Als de vooraf gedeelde geheimen niet aan beide kanten hetzelfde zijn, mislukt de onderhandeling.
De router geeft het bericht Mislukte sanitaire controle terug.
Controleren op incompatibele IPsec-transformatieset
Als de IPsec-transformatieset niet compatibel is of niet overeenkomt met de twee IPsec-apparaten, mislukt de IPsec-onderhandeling.
De router retourneert het atts-bericht voor het IPsec-voorstel dat niet aanvaardbaar is.
Controleer of ISAKMP-pakketten zijn geblokkeerd bij ISP
Router#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
Dst src state conn-id slot status
172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIVE
172.17.0.1 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (deleted)
172.17.0.5 172.16.1.1 MM_NO_STATE 0 0 ACTIVE
172.17.0.5 172.16.1.1 MM_NO_STATE 0 0 ACTIVE (deleted)
Het vorige voorbeeld toont het flapperen van de VPN-tunnel.
Controleer verder of de spaakrouter udp 500-pakket verzendtdebug crypto isakmp
om te controleren:
Router#debug crypto isakmp
04:14:44.450: ISAKMP:(0):Old State = IKE_READY
New State = IKE_I_MM1
04:14:44.450: ISAKMP:(0): beginning Main Mode exchange
04:14:44.450: ISAKMP:(0): sending packet to 172.17.0.1
my_port 500 peer_port 500 (I) MM_NO_STATE
04:14:44.450: ISAKMP:(0):Sending an IKE IPv4 Packet.
04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
04:14:54.450: ISAKMP (0:0): incrementing error counter on sa,
attempt 1 of 5: retransmit phase 1
04:14:54.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
04:14:54.450: ISAKMP:(0): sending packet to 172.17.0.1
my_port 500 peer_port 500 (I) MM_NO_STATE
04:14:54.450: ISAKMP:(0):Sending an IKE IPv4 Packet.
04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE...
04:15:04.450: ISAKMP (0:0): incrementing error counter on sa,
attempt 2 of 5: retransmit phase 1
04:15:04.450: ISAKMP:(0): retransmitting phase 1 MM_NO_STATE
De vorigedebug
uitvoer laat zien dat de gesproken router elke 10 seconden UDP 500-pakket verzendt.
Neem contact op met ISP om te zien of de spaakrouter rechtstreeks is aangesloten op de ISP-router om ervoor te zorgen dat ze UDP 500-verkeer toestaan.
Nadat ISP UDP 500 heeft toegestaan, voegt u inkomende ACL toe in de uitgang-interface, die een tunnelbron is om UDP 500 toe te staan om ervoor te zorgen dat UDP 500-verkeer de router binnenkomt. Gebruik deshow access-list
opdracht om te controleren of het aantal treffers toeneemt.
Router#show access-lists 101
Extended IP access list 101
10 permit udp host 172.17.0.1 host 172.16.1.1 eq isakmp log (4 matches)
20 permit udp host 172.17.0.5 host 172.16.1.1 eq isakmp log (4 matches)
30 permit ip any any (295 matches)
Let op: Zorg ervoor dat u IP-adressen hebt die zijn toegestaan in uw toegangslijst. Anders kan al het andere verkeer worden geblokkeerd als een toegangslijst die inbound wordt toegepast op de uitgang-interface.
Controleer of GRE werkt wanneer de tunnelbeveiliging is verwijderd
Wanneer DMVPN niet werkt, moet u, voordat u problemen met IPsec oplost, controleren of de GRE-tunnels goed werken zonder IPsec-codering.
Raadpleeg Een GRE-tunnel configureren voor meer informatie.
NHRP registratie mislukt
De VPN-tunnel tussen hub en spoke is omhoog, maar kan geen dataverkeer doorgeven:
Router#show crypto isakmp sa
dst src state conn-id slot status
172.17.0.1 172.16.1.1 QM_IDLE 1082 0 ACTIVE
Router#show crypto IPSEC sa
local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
#pkts encaps: 154, #pkts encrypt: 154, #pkts digest: 154
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
inbound esp sas:
spi: 0xF830FC95(4163959957)
outbound esp sas:
spi: 0xD65A7865(3596253285)
!--- !--- Output is truncated !---
Het toont aan dat het retourverkeer niet terugkomt van het andere uiteinde van de tunnel.
Controleer NHS-invoer in de spaakrouter:
Router#show ip nhrp nhs detail
Legend: E=Expecting replies, R=Responding
Tunnel0: 172.17.0.1 E req-sent 0 req-failed 30 repl-recv 0
Pending Registration Requests:
Registration Request: Reqid 4371, Ret 64 NHS 172.17.0.1
Hieruit blijkt dat het verzoek van de NHS is mislukt. Om dit probleem op te lossen, moet u ervoor zorgen dat de configuratie op de spaakroutertunnelinterface correct is.
Configuratievoorbeeld:
interface Tunnel0
ip address 10.0.0.9 255.255.255.0
ip nhrp map 10.0.0.1 172.17.0.1
ip nhrp map multicast 172.17.0.1
ip nhrp nhs 172.17.0.1
!--- !--- Output is truncated !---
Configuratievoorbeeld met de juiste vermelding voor de NHS-server:
interface Tunnel0
ip address 10.0.0.9 255.255.255.0
ip nhrp map 10.0.0.1 172.17.0.1
ip nhrp map multicast 172.17.0.1
ip nhrp nhs 10.0.0.1
!--- !--- Output is truncated !---
Controleer nu de NHS-invoer en IPsec-codeer- / decoderingstellers:
Router#show ip nhrp nhs detail
Legend: E=Expecting replies, R=Responding
Tunnel0: 10.0.0.1 RE req-sent 4 req-failed 0 repl-recv 3 (00:01:04 ago)
Router#show crypto IPSec sa
local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
#pkts encaps: 121, #pkts encrypt: 121, #pkts digest: 121
#pkts decaps: 118, #pkts decrypt: 118, #pkts verify: 118
inbound esp sas:
spi: 0x1B7670FC(460747004)
outbound esp sas:
spi: 0x3B31AA86(993110662)
!--- !--- Output is truncated !---
Controleer of de levensduur correct is geconfigureerd
Gebruik deze opdrachten om de huidige SA-levensduur en de tijd voor de volgende heronderhandeling te verifiëren:
Merk SA levensduurwaarden op. Als ze dicht bij de geconfigureerde levensduur zijn (standaard is 24 uur voor ISAKMP en 1 uur voor IPsec), betekent dit dat deze SA's onlangs zijn onderhandeld. Als u even later kijkt en er is opnieuw over onderhandeld, kunnen de ISAKMP en / of IPsec op en neer stuiteren.
Router#show crypto ipsec security-assoc lifetime
Security association lifetime: 4608000 kilobytes/3600 seconds
Router#show crypto isakmp policy
Global IKE policy
Protection suite of priority 1
Encryption algorithm: DES-Data Encryption Standard (65 bit keys)
Hash algorithm: Message Digest 5
Authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
Lifetime: 86400 seconds, no volume limit
Default protection suite
Encryption algorithm: DES- Data Encryption Standard (56 bit keys)
Hash algorithm: Secure Hash Standard
Authentication method: Rivest-Shamir-Adleman Signature
Diffie-Hellman group: #1 (768 bit)
Lifetime: 86400 seconds, no volume limit
Router# show crypto ipsec sa
interface: Ethernet0/3
Crypto map tag: vpn, local addr. 172.17.0.1
local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.17.0.1/255.255.255.255/47/0)
current_peer: 172.17.0.1:500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 19, #pkts encrypt: 19, #pkts digest 19
#pkts decaps: 19, #pkts decrypt: 19, #pkts verify 19
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0, #pkts decompress failed: 0
#send errors 1, #recv errors 0
local crypto endpt.: 172.16.1.1, remote crypto endpt.: 172.17.0.1
path mtu 1500, media mtu 1500
current outbound spi: 8E1CB77A
inbound esp sas:
spi: 0x4579753B(1165587771)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2000, flow_id: 1, crypto map: vpn
sa timing: remaining key lifetime (k/sec): (4456885/3531)
IV size: 8 bytes
replay detection support: Y
outbound esp sas:
spi: 0x8E1CB77A(2384246650)
transform: esp-3des esp-md5-hmac ,
in use settings ={Tunnel, }
slot: 0, conn id: 2001, flow_id: 2, crypto map: vpn
sa timing: remaining key lifetime (k/sec): (4456885/3531)
IV size: 8 bytes
replay detection support: Y
Controleer of het verkeer in slechts één richting stroomt
De VPN-tunnel tussen de spraakgestuurde router is ingeschakeld, maar kan geen dataverkeer doorgeven.
Spoke1# show crypto ipsec sa peer 172.16.2.11
local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
#pkts encaps: 110, #pkts encrypt: 110
#pkts decaps: 0, #pkts decrypt: 0,
local crypto endpt.: 172.16.1.1,
remote crypto endpt.: 172.16.2.11
inbound esp sas:
spi: 0x4C36F4AF(1278669999)
outbound esp sas:
spi: 0x6AC801F4(1791492596)
!--- !--- Output is truncated !---
Spoke2#sh crypto ipsec sa peer 172.16.1.1
local ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
#pkts encaps: 116, #pkts encrypt: 116,
#pkts decaps: 110, #pkts decrypt: 110,
local crypto endpt.: 172.16.2.11,
remote crypto endpt.: 172.16.1.1
inbound esp sas:
spi: 0x6AC801F4(1791492596)
outbound esp sas:
spi: 0x4C36F4AF(1278669999
!--- !--- Output is truncated !---
Er zijn geen decappakketten in spoke1, wat betekent dat esp-pakketten ergens in het pad worden gedropt dat terugkeert van spoke2 naar spoke1.
De spoke2-router toont zowel encap als decap, wat betekent dat ESP-verkeer wordt gefilterd voordat het spoke2 bereikt. Het kan gebeuren aan het ISP-einde bij spoke2 of bij elke firewall in het pad tussen spoke2 router en spoke1 router. Nadat ze ESP (IP Protocol 50) hebben toegestaan, laten spoke1 en spoke2 zowel encaps als decaps-tellers toenemen.
spoke1# show crypto ipsec sa peer 172.16.2.11
local ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
#pkts encaps: 300, #pkts encrypt: 300
#pkts decaps: 200, #pkts decrypt: 200
!--- !--- Output is truncated !---
spoke2#sh crypto ipsec sa peer 172.16.1.1
local ident (addr/mask/prot/port): (172.16.2.11/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (172.16.1.1/255.255.255.255/47/0)
#pkts encaps: 316, #pkts encrypt: 316,
#pkts decaps: 300, #pkts decrypt: 310
!--- !--- Output is truncated !---
Controleer of het routeringsprotocol voor de buur is ingesteld
Spokes kunnen geen routeringsprotocol of buurrelatie instellen:
Hub# show ip eigrp neighbors
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
2 10.0.0.9 Tu0 13 00:00:37 1 5000 1 0
0 10.0.0.5 Tu0 11 00:00:47 1587 5000 0 1483
1 10.0.0.11 Tu0 13 00:00:56 1 5000 1 0
Syslog message:
%DUAL-5-NBRCHANGE: IP-EIGRP(0) 10:
Neighbor 10.0.0.9 (Tunnel0) is down: retry limit exceeded
Hub# show ip route eigrp
172.17.0.0/24 is subnetted, 1 subnets
C 172.17.0.0 is directly connected, FastEthernet0/0
10.0.0.0/24 is subnetted, 1 subnets
C 10.0.0.0 is directly connected, Tunnel0
C 192.168.0.0/24 is directly connected, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 172.17.0.100
Controleer of NHRP multicast mapping correct is geconfigureerd in de hub.
In de hub moet de dynamische NHRP-multicasttoewijzing zijn geconfigureerd in de interface van de hubtunnel.
Configuratievoorbeeld:
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip mtu 1400
no ip next-hop-self eigrp 10
ip nhrp authentication test
ip nhrp network-id 10
no ip split-horizon eigrp 10
tunnel mode gre multipoint
!--- !--- Output is truncated !---
Configuratievoorbeeld met de juiste vermelding voor dynamische NHRP-multicasttoewijzing:
interface Tunnel0
ip address 10.0.0.1 255.255.255.0
ip mtu 1400
no ip next-hop-self eigrp 10
ip nhrp authentication test
ip nhrp map multicast dynamic
ip nhrp network-id 10
no ip split-horizon eigrp 10
tunnel mode gre multipoint
!--- !--- Output is truncated !---
Hierdoor kan NHRP automatisch spaakrouters toevoegen aan de multicast NHRP-toewijzingen.
Raadpleeg voor meer informatie deip nhrp map multicast dynamic
opdracht in de opdracht Cisco IOS IP Addressing Services Command Reference.
Hub#show ip eigrp neighbors
IP-EIGRP neighbors for process 10
H Address Interface Hold Uptime SRTT RTO Q Seq
(sec) (ms) Cnt Num
2 10.0.0.9 Tu0 12 00:16:48 13 200 0 334
1 10.0.0.11 Tu0 13 00:17:10 11 200 0 258
0 10.0.0.5 Tu0 12 00:48:44 1017 5000 0 1495
Hub#show ip route
172.17.0.0/24 is subnetted, 1 subnets
C 172.17.0.0 is directly connected, FastEthernet0/0
D 192.168.11.0/24 [90/2944000] via 10.0.0.11, 00:16:12, Tunnel0
10.0.0.0/24 is subnetted, 1 subnets
C 10.0.0.0 is directly connected, Tunnel0
C 192.168.0.0/24 is directly connected, FastEthernet0/1
D 192.168.2.0/24 [90/2818560] via 10.0.0.9, 00:15:45, Tunnel0
S* 0.0.0.0/0 [1/0] via 172.17.0.100
Routes naar de spaken worden geleerd via het EIGRP-protocol.
Probleem met Remote Access VPN met DMVPN-integratie
Probleem
DMVPN werkt prima, maar kan de RAVPN niet instellen.
Oplossing
Gebruik ISAKMP-profielen en IPsec-profielen om dit te bereiken. Maak afzonderlijke profielen voor de DMVPN en RAVPN.
Raadpleeg voor meer informatie DMVPN en Easy VPN Server with ISAKMP Profiles Configuration Voorbeeld.
Probleem met Dual-hub-dual-dmvpn
Probleem
Probleem met dual-hub-dual-dmvpn. Tunnels gaan naar beneden en kunnen niet opnieuw onderhandelen.
Oplossing
Gebruik het gedeelde trefwoord in de tunnel IPsec-bescherming voor zowel de tunnelinterfaces op de hub als op de spaak.
Een configuratievoorbeeld:
interface Tunnel43
description <<tunnel to primary cloud>>
tunnel source interface vlan10
tunnel protection IPSec profile myprofile shared
!--- !--- Output is truncated !---
interface Tunnel44
description <<tunnel to secondary cloud>>
tunnel source interface vlan10
tunnel protection IPSec profile myprofile shared
!--- !--- Output is truncated !---
Raadpleeg voor meer informatie detunnel protection
opdracht in de Cisco IOS Security Command Reference (A-C).
Problemen met aanmelden bij een server via DMVPN
Probleem
Probleemverkeer via de DMVPN-netwerkserver kan niet worden geopend.
Oplossing
Het probleem kan verband houden met de MTU- en MSS-grootte van het pakket dat GRE en IPsec gebruikt.
De pakketgrootte kan een probleem zijn met de fragmentatie. Om dit probleem op te lossen, gebruikt u de volgende commando's:
ip mtu 1400
ip tcp adjust-mss 1360
crypto IPSec fragmentation after-encryption (global)
U kunt de opdracht ook configureren tunnel path-mtu-discovery
om de MTU-grootte dynamisch te detecteren.
Voor een meer gedetailleerde uitleg, zie IP-fragmentatie, MTU-, MSS- en PMTUD-problemen oplossen met GRE en IPSEC.
Kan de servers op DMVPN niet openen via bepaalde poorten
Probleem
Kan geen toegang krijgen tot servers op DMVPN via specifieke poorten.
Oplossing
Om te controleren of de IOS-firewallfunctionaliteit van Cisco is uitgeschakeld en te controleren of deze werkt.
Als het goed werkt, dan is het probleem gerelateerd aan de Cisco IOS firewall configuratie, niet met de DMVPN.
Gerelateerde informatie