《2020网络DVPN故障排查.docx》由会员分享,可在线阅读,更多相关《2020网络DVPN故障排查.docx(9页珍藏版)》请在第壹文秘上搜索。
1、DVPN故障排查一、开始DVPN采用Client/Server模式,工作在TCP/IP协议栈的应用层。DVPN支持UDP和GRE两种隧道类型,按照工作方式的不同,可将一个VPN域中的设备划分为一个SerVer和多个Client,SerVer的公网地址为静态地址,CIient的公网地址既可以静态配置也可以动态获取,而Client的私网地址则需要按照规划静态分配。在同一个VPN域内,要求所有节点的私网地址在同一个网段内。DVPN排错的定位思路是:首先检查设备间的连通情况,然后检查VAMSerVer上的设备注册情况,最后检查HUb、SPoke间的设备间的隧道建立情况。1 .检查设备连通情况分别查看不
2、同设备间的网络连通情况,如果设备之间不能够Ping通,则怀疑设备间物理连线或者接口配置有问题。命令:Pingdestination-ip-address例如:通过命令设备间的连接情况,如下H3Cping192.168.1.4PING192.168.1.4:56databytes,pressCTRL_CtobreakReplyfrom192.168.1.4:bytes=56Sequence=Ott1=255time=lmsReplyfrom192.168.1.4:byles=56Sequence=Itt1=255time二1msReplyfrom192.168.1.4:bytes=56Seque
3、nce=2tt1=255time=lmsReplyfrom192.168.1.4:bytes=56SeqUence=3111=255time=1msReplyfrom192.168.1.4:by,tes三56SeqUenCe=4t.tl三255Iim=Ims192.168.1.4pingstatistics5 packet(s)transmitted6 packet(s)received7 .00%packetlossround-tripdnavgmax=1/1/1ms2 .检查VAMSeVer上设备注册状态若HUb和Spoke设备中某一设备没有注册到VAMSever,则说明该设备与VAMSe
4、rVer之间的链路存在问题,下一步则要检查该设备与VAMSerVer上的配置参数是否一致。命令:displayvamserveraddress-mapall例如:通过命令查看VAMSerVer上设备的注册状态,如果其中有一台SPoke或者HUb设备没有注册到VAMSerVer上,该设备将不会显示出来。如下,所有的HUb和SPOke设备均已经注册到了VAMServeroTYadispay丫噩serveraddress-napallVPNname:1Totaladdress-mapnumber:4Private-ipPublic-igTypeHoldingtime10.0.1.1192.168.1
5、.1HubOH4119S10.0.1.2192.168.1.2HubOH38三57S10.0.1.3192.168.1.3SpokeOH40M46S10.0.1.4192.168.1.4SpokeOH40M25SVPNname:2Totaladdress-mapnumber:3Private-ipPublic-ijjTypeHoldingtime10.0.2.1192.168.1.1HubOH41K19S10.0.2.2192.168.1.2HubOH38M57S10.0.2.4192.168.1.4SpokeOH40125S3.检查VAMSeVer设备配置情况在VAMSeVer需要检查监听I
6、P地址、预共享密钥、本地用户名及密码,与HUb和SPoke设备上的设置是否一致,如果不一致将会导致HUb和SPoke设备无法注册到VAMSevero#Varoserverip192.168.1.22指定VAMServer上的监听IP地址#Vamservervn1创建VPN,域ID为1serverenablepre-shared-keySinVle123设置帧共享W钥hubprivate-10.0.1.1指定VPN1的两个HUb地址hubprivate-i10.0.1.2#local-userdvpnlhubl创建本地Hub用户passwordSinVIedvpnlhubl/诲置用户而码auth
7、orization-attributelevel3service-typedvpn即矣二型设置为DVPNIocaltiserdvpnlspokT创建7地Spoke用户passwordsimpledvpnlspokel设置用户S?码authorization-attributelevel3sendee-typeyppJ8j!4.检查HUB设备相欠配置检查VAMCIient是否启动,HUb设备上的相关配置参数要与服务器上的相关参数是否一致,必须保持一致,才能够使得该设备正确注册到VAMServerJs,如下:#vainclientnamedvpnlhublclientenableserverpri
8、maryig-address192.168.1.22对应于VAMServer地址userdvpnlhublpasswordsimpledvpnlhubl对应于VAMSerVer上用户名和密码Pre-Shared-keyciphersimple123设置预共享密钥#5检查SPoke设备相关配置检查VAMCIient是否启动,SPoke设备上的相关配置参数要与服务器上的相关参数必须保持一致,才能够使得该设备正确注册到VAMServerJs,如下:#vainclientnamedvpnlspokelclientenableserverprimaryig-address192.168.1.22对应于V
9、AMServer地址userdvpnlspokelpasswordsimpledvpnlspokel对应于VAMSerVer上用户名密码Pre-Shared-keyciphersimple123设置预共享密钥#6.查看设备隧道建立情况HUb设备和SPoke设备之间,HUb设备和HUb设备之间常见的问题主要是链路问题,可在HUb设备上检查HUB与其他设备之间建立起的隧道信息O命令:displaydvpnsessionall例如:查看HUb设备上的隧道建立信息,如果有其中一台设备没有能与之建立起隧道信息,则将不会在信息中显示出来。如下,其他HUb和SPOke设备与该设备之间均正常建立起了隧道。di
10、splaydvpnsessionallInterface:TunnellVPNname:1Totalnumber:3PrivateIP:10.0.1.2PublicIP:192,168.1.2Sessiontype:Hub-HubState:SUCCESSHoldingtime:OhIOm15sInput:81packets,80datapackets,1controlpackets73例簌均0errorsOutput:83packets,82datapackets,1controlpackets71multicasts,0errorsPrivateIP:10.0.1.3PublicIP:19
11、2,168.1.3Sessiontype:Hub-SpokeState:SUCCESSHoldingtime:Oh12n4sInput:98packets,97datapackets,1controlpackets89Inulticasts,0errorsOutput:106packets,105datapackets,1controlpackets90ulticasts,0errors从SPoke设备检查隧道的建立情况时,要首先考虑DVPN的组网类型是属于哪一种。DVPN有两种典型的组网结构,FUll-MeSh网络和HUb-SPOke网络。1、Full-息交换的中心。MeSh网络中,SPOk
12、e之间可以建立隧道直接通信,HIlb主要作为路由信!Administrator2015-12-1303:13:442、HUb-广一二二人SPoke网络中,SPoke之间不能建立隧道直接通信,只能瑞窑寡黑Za蓼亶Shb据,HUb既作为路由信息交换的中心,又作为数据转发第I命令:displaydvpnsessionall版权所有:杭州华三通信技术有限公司例如,在HUB-SPoke网络中,通过该命令检查,SPoke与HUb之间建立起的隧道情况,当链路不通时,将无法建立。spokeldissessionallInterface:TunnellVPNname:1Totalnumber:2PrivateI
13、P:PublicIP:SessiontypeState:Holdingtime10.0.1.2192.168.1.2j:Spoke-HubSUCCESSj:Oh40m2spackets,257datapackets,multicasts.0errorspackets,726datapackets,1controlpackets1controlpacketsInput:Output:258252727250multicasts.0W*v*v*WW*v*v*ZrerrorsPrivatePublic:SessionState:HoldingInput:IP:10.0.1.1P:192,168.1.
14、1type:Spoke-HubSUCCESStime:Oh43m3s299packets,298datapackets,1controlpacketsOutput:281291Inulticasts,0packets,290errorsdatapackets,1controlpackets280multicasts.0errors7检查HUB隧道配置在HUb上需要检查隧道配置参数与其他HUb和SPoke上的隧道配置参数是否一致,对等体预共享密钥、安全协议验证算法、tunnel封装协议以及网络类型是否一致,如果不一致将会导致隧道无法建立起来。ipeerVaJDpre-shared-keyabcde/LIKE对等传#ipsectransforr-setvam/RS匹J安全提议encapsulation-nodetunneltransformespespauthendcation-algorithmshal#ipsecprofilevap/小直IPSo二交全框架pfs-group2ike-peerVamtransforrsetVeuDsadurationtraffic-based6000*interfaceTunnellipaddress10.0.1.1255.255.25