華為排錯(cuò)專家教程ppt-第6章 安全vpn及撥號(hào)業(yè)務(wù)故障排除

1、第6章 安全VPN及撥號(hào)業(yè)務(wù)故障排除,ISSUE 1.0,2,學(xué)習(xí)目標(biāo),掌握VPN相關(guān)技術(shù)的故障排除方法，包括L2TP， GRE，IPSec 和IKE；掌握防火墻故障排除方法和流程；掌握DCC故障排除的流程，并理解教材所列舉的案例分析。,學(xué)習(xí)完本課程，您應(yīng)該能夠：,3,課程內(nèi)容,包過濾防火墻故障排除,,,,,,,IPSec和IKE故障排除,GRE故障排除,L2TP故障排除,DCC、ISDN故障排除,4,IPSec和IKE故障排除,

2、IPSec和IKE故障排除綜述Display、debugging命令介紹IPSec和IKE故障案例分析,5,IPSec和IKE故障排除綜述,IPSec和IKE知識(shí)簡(jiǎn)介IPSec和IKE配置的一般步驟手工方式下IPSec功能和性能的常見問題協(xié)商方式下IPSec和IKE功能和性能的常見問題IPSec和IKE配置過程的注意事項(xiàng),6,IPSec簡(jiǎn)介,IPSec提供如下安全服務(wù):完整性真實(shí)性機(jī)密性防重放IPSec安全協(xié)議：

3、AH協(xié)議ESP協(xié)議IPSec加密驗(yàn)證算法：驗(yàn)證算法：MD5和SHA1加密算法：DES、3DES、Blowfish、CAST,7,IKE簡(jiǎn)介,IKE全稱：Internet Key ExchangeIKE用于IPSec安全聯(lián)盟及密鑰的自動(dòng)化管理，定時(shí)為IPSec協(xié)商密鑰，創(chuàng)建、刪除安全聯(lián)盟等IKE采用兩個(gè)階段的ISAKMP：協(xié)商認(rèn)證通信信道，為第二階段的通信提供安全保證。即建立IKE SA使用IKE SA 協(xié)商建立IPSec

4、 SA，用于IPSec通信。,8,IPSec 與IKE,,IKE,IPSec,IKE,,IPSec,,IKE SA Negotiation,,,SA,SA,9,IPSec和IKE配置的一般步驟,IPSec和IKE配置的一般步驟 ：what，where，how手工模式IPSec基本配置明確要保護(hù)什么（what），也就是定義ACL。明確實(shí)施保護(hù)的位置（where）。明確如何保護(hù)（how），定義proposal。定義安全策略（ips

5、ec policy），定義安全策略的模式為manual定義安全聯(lián)盟所用的密鑰。在合適的接口上應(yīng)用安全策略。協(xié)商模式IPSec基本配置What，where，how，ipsec policy配置IKE的參數(shù)（IKE的proposal和共享密鑰）。在合適的接口上應(yīng)用安全策略。,10,手工方式下IPSec功能和性能的常見問題,手工方式下安全聯(lián)盟不能建立相應(yīng)的安全策略是否應(yīng)用到了接口上檢查安全策略是否設(shè)置了要保護(hù)的數(shù)據(jù)流檢查安全

6、策略是否設(shè)置了安全提議檢查安全策略是否設(shè)置了隧道端點(diǎn)檢查安全聯(lián)盟的SPI檢查安全聯(lián)盟的密鑰是否設(shè)置正確檢查密鑰的長(zhǎng)度是否與算法要求的相同,11,手工方式下IPSec功能和性能的常見問題（續(xù)）,手工方式下建立了安全聯(lián)盟，但不能通信安全聯(lián)盟兩端的配置的ACL是否互為鏡像選用的安全協(xié)議是否一樣選用的算法是否一致SPI是否匹配密鑰是否匹配定義的隧道端點(diǎn)是否相同手工方式下建立了安全聯(lián)盟，部分?jǐn)?shù)據(jù)流能通信，部分不能通信安全聯(lián)

7、盟兩端的配置的ACL是否互為鏡像,12,協(xié)商方式下IPSec和IKE功能和性能常見問題,協(xié)商方式的IPSec安全聯(lián)盟是由IKE協(xié)商生成的。要診斷此類故障，首先要清楚安全聯(lián)盟的建立過程。,第一步,第二步,第三步,第四步,合適的數(shù)據(jù)流從應(yīng)用IPSec的接口轉(zhuǎn)發(fā)出去,第一步,觸發(fā)IKE協(xié)商階段1的SA,第二步,第三步,在階段2安全聯(lián)盟的保護(hù)下進(jìn)行通信,第四步,Router A,Router A,Router B,Router B,Router

8、 A,Router A,Router A,Router A,Router A,Router A,Router B,Router B,Router B,Router B,Router B,Router B,在IKE階段1安全聯(lián)盟的保護(hù)下協(xié)商階段2的IPSec SA,,,,,13,協(xié)商方式下IPSec和IKE功能和性能常見問題（續(xù)）,階段1的SA沒有建立接口是否應(yīng)用了安全策略是否有匹配的數(shù)據(jù)流觸發(fā)是否為對(duì)方配置了共享密鑰，以及共享密鑰

9、是否一致階段2的SA沒有建立ACL是否匹配安全提議是否一致設(shè)置的隧道對(duì)端地址是否匹配應(yīng)用的接口是否正確兩個(gè)階段的SA都成功建立，但不能通信一般都是由于ACL的配置不當(dāng)引起的，檢查ACL的配置是否符合要求,14,IPSec和IKE配置過程的注意事項(xiàng),確定要保護(hù)的數(shù)據(jù)流時(shí)的注意事項(xiàng) IPSec保護(hù)的數(shù)據(jù)流是雙向的所以定義的雙向數(shù)據(jù)流應(yīng)該保持完全重疊確定實(shí)施保護(hù)的位置時(shí)的注意事項(xiàng)網(wǎng)關(guān)到網(wǎng)關(guān)主機(jī)到網(wǎng)關(guān)主機(jī)到主機(jī)網(wǎng)關(guān)到

10、主機(jī),15,IPSec和IKE配置過程的注意事項(xiàng)（續(xù)）,確定如何保護(hù)數(shù)據(jù)時(shí)的注意事項(xiàng)安全協(xié)議選擇加密算法選擇驗(yàn)證算法選擇定義安全策略時(shí)的注意事項(xiàng)選擇恰當(dāng)?shù)臄?shù)據(jù)流規(guī)則選擇恰當(dāng)?shù)陌踩嶙h正確配置實(shí)施安全策略的端點(diǎn)IKE的配置IKE Proposal的全局性（對(duì)整個(gè)路由器有效）缺省IKE Proposal的應(yīng)用,16,IPSec和IKE配置過程的注意事項(xiàng)（續(xù)）,應(yīng)用所定義的安全策略應(yīng)用接口的選擇確保所有數(shù)據(jù)流出口都應(yīng)用

11、安全策略確保對(duì)端也配置了安全策略IPSec和IKE的其它配置IKE定時(shí)器參數(shù)（interval和timeout）的匹配,17,Display、debugging命令介紹,display ipsec policy { all | brief | name policy-name [ sequence-number ] } display ipsec proposal [ proposal-name ] display ipsec

12、 sa { all | brief | remote ip-address | policy policy-name [ sequence-number ] | parameters dest-address protocol spi }display ike proposal display ike sadebugging ipsec { misc | packet | sa } debugging ike { all | c

13、rypto | error | message | misc | sysdep | timer | transport },18,IPSec和IKE故障案例分析 （一）,兩端的SPI不匹配導(dǎo)致SA協(xié)商失敗 :在RouterA和RouterB之間建立IPSec隧道，保護(hù)PC A和PC B之間的通信。采用ESP安全協(xié)議，確保數(shù)據(jù)的完整性、機(jī)密性。問題：在10.1.1.10上執(zhí)行ping 10.1.2.20，發(fā)現(xiàn)不通,19,IPSec和I

14、KE故障案例分析 （一）,原因分析RouterB上的調(diào)試信息表明已經(jīng)收到從RouterA發(fā)出的IPSec報(bào)文，但是找不到SPI為12345的SA。察看RouterB的安全策略的定義，入方向ESP的SPI定義為54321，這就是找不到SPI的原因。 處理過程將RouterB上的入方向ESP的SPI改為12345即可[RouterB]ipsec policy policy1 10 manual [RouterB-ipsec-pol

15、icy-policy1-10] sa inbound esp spi 12345,20,IPSec和IKE故障案例分析（二）,密鑰不匹配造成無法通信在RouterA和RouterB之間建立IPSec隧道，保護(hù)PC A和PC B之間的通信。采用ESP安全協(xié)議 問題如下：從主機(jī)10.1.1.10上執(zhí)行ping 10.1.2.20，發(fā)現(xiàn)不通,21,IPSec和IKE故障案例分析（二）,原因分析:RouterB的Inbound處理過程中

16、解密失敗。檢查RouterB的Inbound的密鑰，為1234567891234567，而RouterA的Outbound密鑰是1234567890123456，由于密鑰不同，造成無法解密，通信失敗。處理過程:解決方法是修改RouterA的Outbound方向的加密算法密鑰[RouterA]ipsec policy policy1 10 manual [RouterA-ipsec-policy-policy1-10] sa ou

17、tbound esp encryption-hex 1234567891234567,22,IPSec和IKE故障案例分析（三）,兩端ACL不匹配導(dǎo)致階段2協(xié)商失敗 在RouterA和RouterB間建立IPSec隧道，采用ESP協(xié)議。RouterB的Ethernet0口連接子網(wǎng)，Serial0連接Internet從主機(jī)10.1.1.10上執(zhí)行ping 10.1.2.20不通。在RouterA和RouterB上查看安全聯(lián)盟的信息，發(fā)

18、現(xiàn)階段1協(xié)商成功，階段2沒有協(xié)商起來。,23,IPSec和IKE故障案例分析（三）,原因分析應(yīng)用的接口是要保護(hù)的數(shù)據(jù)流外出的接口，完全正確?？赡苁前踩呗灾械哪承┒x錯(cuò)誤。按照安全策略的三個(gè)要素：What、Where、How進(jìn)行檢查。在RouterA中要保護(hù)的數(shù)據(jù)流是10.1.1.0/24～10.1.2.0/24之間的IP數(shù)據(jù)，是一個(gè)子網(wǎng)；而在RouterB上定義的要保護(hù)的數(shù)據(jù)是10.1.2.20～10.1.1.10兩個(gè)主機(jī)之間的數(shù)

19、據(jù)。顯然兩者之間不能完全匹配。所以安全策略不匹配處理過程將RouterB的數(shù)據(jù)流改為如下形式便可通信。[RouterB]acl 101 match-order auto[RouterB-acl-101]rule normal permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255,24,IPSec和IKE故障案例分析（四）,兩端pre-shared不一

20、致導(dǎo)致階段1的SA協(xié)商失敗 在RouterA和RouterB之間建立IPSec隧道，保護(hù)PC A和PC B之間的通信。采用ESP安全協(xié)議 從主機(jī)10.1.1.10上執(zhí)行ping 10.1.2.20，發(fā)現(xiàn)不通,25,IPSec和IKE故障案例分析（四）,原因分析調(diào)試信息表明，發(fā)現(xiàn)安全聯(lián)盟沒有建立。并且RouterA有需要保護(hù)的數(shù)據(jù)外出，觸發(fā)了IKE協(xié)商安全聯(lián)盟，但從對(duì)端收到了一條INVALID_PAYLOAD_TYPE通知消息。在

21、RouterB上顯示收到的載荷中有一個(gè)類型非法。檢查配置發(fā)現(xiàn)共享密鑰不同。由于共享密鑰不同，造成雙方產(chǎn)生的用于通信的加密密鑰和驗(yàn)證密鑰不同，而不能解釋對(duì)方的數(shù)據(jù)。 處理過程將RouterB上的共享密鑰改為與RouterA一樣，便可通信。[RouterB]ike pre-shared-key abcde remote 202.38.162.1,26,IPSec和IKE故障案例分析（五）,應(yīng)用接口錯(cuò)誤導(dǎo)致階段2協(xié)商失敗 在Route

22、rA和RouterB間建立IPSec隧道，保護(hù)A,B間通信。采用ESP協(xié)議,RouterB的Ethernet0口連接子網(wǎng)，Serial0連接Internet 從主機(jī)10.1.1.10上執(zhí)行ping 10.1.2.20，發(fā)現(xiàn)不通。,27,IPSec和IKE故障案例分析,原因分析在RouterA和B上查看安全聯(lián)盟信息，發(fā)現(xiàn)階段1的安全聯(lián)盟建立了，而階段2的SA沒有建立。調(diào)試信息顯示在RouterB上沒有找到匹配的安全策略。檢查配置，

23、發(fā)現(xiàn)從10.1.2.0/24到10.1.1.0/24的數(shù)據(jù)流是從RouterB的Serial0口上外出到公網(wǎng)的，而此接口沒有應(yīng)用IPSec，而是應(yīng)用到了連接內(nèi)部子網(wǎng)的Ethernet0口上。處理過程在B上將Ethernet0口上的map去掉，應(yīng)用到Serial0口上[RouterB] interface ethernet 0 [RouterB-Ethernet0]undo ipsec policy[RouterB-Ethern

24、et0]interface serial 0[RouterB-Serial0]ipsec policy policy2,28,IPSec和IKE故障案例分析（六）,ACL配置重疊導(dǎo)致通訊失?。号渲萌齻€(gè)IPSec隧道，從B、C、D ping A，觸發(fā)建立隧道正常。用ESP協(xié)議。RouterB的Ethernet0口連子網(wǎng)，Serial0連Internet。 PCB能ping通PCA；PCC不能ping通PCA；PCD不能ping通PC

25、A。反過來從PCA能ping通PCB，不能ping通PCC和PCD。,29,IPSec和IKE故障案例分析（六）,原因分析由于ACL配置的數(shù)據(jù)流允許所有不匹配的數(shù)據(jù)包通過從PC_A到PC_C和從PC_A到PC_D的數(shù)據(jù)流都被匹配到從PC_A到PC_B的數(shù)據(jù)流中處理過程把RouterA上的permit ip any any 改成 deny ip any any 即可。[RouterA-acl-101]rule deny ip s

26、ource any destination any[RouterA-acl-102]rule deny ip source any destination any[RouterA-acl-103]rule deny ip source any destination any,30,課程內(nèi)容,包過濾防火墻故障排除,,,,,,,,,IPSec和IKE故障排除,GRE故障排除,L2TP故障排除,DCC、ISDN故障,31,包過濾防火墻故障

27、排除綜述,包過濾防火墻知識(shí)簡(jiǎn)介包過濾防火墻故障排除的一般步驟Display、debugging命令介紹 故障案例分析,32,包過濾防火墻知識(shí)簡(jiǎn)介,防火墻概述包過濾和訪問控制列表概述構(gòu)建包過濾防火墻應(yīng)用的基本方法配置訪問控制列表的基本方法其他相關(guān)問題,33,包過濾防火墻知識(shí)簡(jiǎn)介,其他相關(guān)問題配置多條規(guī)則時(shí)，某條規(guī)則被匹配則立刻停止后續(xù)規(guī)則查找訪問控制列表缺省情況下采用 “深度優(yōu)先”的規(guī)則進(jìn)行自動(dòng)排序，當(dāng)使用了acl ac

28、cess-list-number match-order config命令時(shí)，則按照輸入順序進(jìn)行排序訪問控制列表定義網(wǎng)絡(luò)范圍采用 “通配位”（即反掩碼形式），它和掩碼正好相反，在使用的時(shí)候注意這種差別。支持默認(rèn)過濾規(guī)則，默認(rèn)為允許轉(zhuǎn)發(fā)，并可以通過命令firewall default命令靈活修改默認(rèn)值。,34,包過濾防火墻故障排除的一般步驟,防火墻故障排除的一般步驟display firewall firewall enable

29、debugging ip packet debugging filter 訪問控制列表故障排除的一般步 Display acl 繪制拓?fù)鋱D，查看防火墻實(shí)施的方向和連接是否對(duì)應(yīng)檢查TCP/UDP端口的方向檢查訪問控制列表的通配位是否正確,35,Display、debugging命令介紹,display acl [ all | access-list-number | interface type number ]displ

30、ay firewallFirewall is enable, default filtering method is 'permit'.TimeRange packet-filtering disable.輸入/輸出報(bào)文被允許通過和被拒絕的數(shù)目統(tǒng)計(jì)[ undo ] debugging filter { all | icmp | tcp | udp },36,包過濾防火墻故障案例分析（一）,訪問控制策略錯(cuò)誤

31、導(dǎo)致防火墻失效配置防火墻，只有PC2可通過FTP訪問內(nèi)部網(wǎng)中的FTP服務(wù)器，并且只有內(nèi)網(wǎng)中的PC1可以訪問Internet網(wǎng)絡(luò)上的WWW服務(wù)器。從PC2訪問FTP Server不能成功，PC1不能訪問WWW Server。,37,包過濾防火墻故障案例分析（一）,原因分析在Serial0入方向上源地址為210.10.0.1、源端口為80的報(bào)文被拒絕了，說明序號(hào)為100的規(guī)則拒絕了HTTP訪問的返回報(bào)文。在Serial0的出口方向上

32、源地址為129.10.0.1、源端口為21的報(bào)文被拒絕了，說明序號(hào)為101的規(guī)則拒絕了FTP訪問的返回報(bào)文。處理過程[RouteA-acl-100]rule normal permit tcp source 210.10.0.1 0.0.0.0 source-port equal www destination 129.10.0.10 0.0.0.0[RouteA-acl-101]rule normal permit tcp so

33、urce 129.10.0.1 0.0.0.0 source-port equal ftp destination 210.10.0.10 0.0.0.0[RouteA-acl-101]rule normal permit tcp source 129.10.0.1 0.0.0.0 source-port equal ftp-data destination 210.10.0.10 0.0.0.0[RouteA-acl-100] r

34、ule normal permit tcp source 210.10.0.10 0.0.0.0 destination 129.10.0.1 0.0.0.0 destination-port equal ftp-data,38,包過濾防火墻故障案例分析（二）,忽略其他信息使防火墻不通：Router1啟動(dòng)防火墻，要求只有PC2可以訪問PC1。配置完后，從PC2可以訪問PC1，但是一段時(shí)間后PC2不能訪問PC1。,39,包過濾防火墻故障

35、案例分析（二）,原因分析開始可以ping通，一會(huì)兒之后不通關(guān)閉防火墻后通說明與防火墻有關(guān)，檢查發(fā)現(xiàn)動(dòng)態(tài)路由協(xié)議的數(shù)據(jù)包也被禁止處理過程從原因分析可以得出，修改ACL規(guī)則，允許RIP協(xié)議數(shù)據(jù)包通過即可[Router1-acl-102] rule normal permit udp source any destination any,40,課程內(nèi)容,包過濾防火墻故障,,,,,,,,,IPSec和IKE故障排除,GRE故障排除,

36、L2TP故障排除,DCC、ISDN故障,41,L2TP故障排除綜述,L2TP知識(shí)簡(jiǎn)介L(zhǎng)2TP功能和性能的常見問題L2TP故障排除的一般步驟與L2TP故障相關(guān)的display、debugging命令介紹 L2TP故障案例分析,42,L2TP知識(shí)簡(jiǎn)介-VPDN概述,Virtual Private Dial Network隧道協(xié)議包括PPTP、L2F和L2TP三種，目前最廣泛使用的是L2TP。L2TP（Layer 2 Tunneli

37、ng Protocol ）成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。 L2TP Access Concentrator L2TP Network Server,43,L2TP知識(shí)簡(jiǎn)介-L2TP規(guī)范,L2TP提供了對(duì)PPP鏈路層數(shù)據(jù)包的隧道（Tunnel）傳輸支持，允許二層鏈路端點(diǎn)和PPP會(huì)話點(diǎn)駐留在不同設(shè)備上并且采用包交換網(wǎng)絡(luò)技術(shù)進(jìn)行信息交互，從而擴(kuò)展了PPP模型。 隧道（Tunnel）連接會(huì)話（Session）連

38、接L2TP中存在兩種消息：控制消息和數(shù)據(jù)消息。,44,L2TP功能和性能的常見問題,Quidway系列路由器之間無法正確建立隧道LAC與LNS之間相連的接口在網(wǎng)絡(luò)層無法互通LAC或LNS上沒有啟動(dòng)L2TP服務(wù)VPDN用戶未通過LAC端的認(rèn)證VPDN組中的相關(guān)參數(shù)配置錯(cuò)誤,45,L2TP功能和性能的常見問題,L2TP性能問題地址池中的IP地址數(shù)目少于VPN用戶數(shù)L2TP中所有會(huì)話結(jié)構(gòu)占用的內(nèi)存容量超過了路由器實(shí)際內(nèi)存容量，即

39、沒有空閑內(nèi)存資源供新建會(huì)話使用VPDN用戶不能訪問企業(yè)網(wǎng)內(nèi)部如果LNS端分給用戶的地址與企業(yè)網(wǎng)內(nèi)部網(wǎng)段不屬于同一個(gè)子網(wǎng)段，則在VPDN用戶端將缺少到企業(yè)網(wǎng)內(nèi)部網(wǎng)段的路由LNS端沒有增加相應(yīng)的路由信息。,46,L2TP故障排除的一般步驟,檢查L(zhǎng)AC與LNS是否連通。檢查VPDN用戶是否通過LAC端的驗(yàn)證。debugging radius { event | packet | primitive }檢查L(zhǎng)AC端是否發(fā)起L2TP隧

40、道連接debugging l2tp { all | control | error | event | hidden | payload | time-stamp } 檢查L(zhǎng)NS端是否接收L2TP隧道連接debugging l2tp { all | control | error | event | hidden | payload | time-stamp } 檢查L(zhǎng)NS端的用戶路由信息display ip routing-

41、table查詢是否存在VPDN用戶的路由信息,47,與L2TP故障相關(guān)的show、debug命令介紹,[Quidway] display l2tp sessionLocalIDRemoteIDTunnelID 112 Total session = 1[Quidway] display l2tp tunnelLocalIDRemoteID RemName RemAddress Se

42、ssions Port 1 8 AS8010 172.168.10.2 1 1701Total tunnels = 1[undo] debugging l2tp { all | control | error | event | hidden | payload | time-stamp },48,L2TP故障案例分析（一）,路由器

43、LAC和LNS之間能正常建立隧道但不能創(chuàng)建會(huì)話：正常配置完后，VPDN用戶端不能獲得IP地址，鏈路不UP。 在LNS側(cè)使用debugging l2tp control命令打開調(diào)試開關(guān)，顯示信息表明隧道都已經(jīng)正確創(chuàng)建，而且正在傳輸數(shù)據(jù)在LNS側(cè)使用debugging radius primitive 命令打開AAA的debugging開關(guān)，發(fā)現(xiàn)AAA驗(yàn)證沒有通過 ，VPDN用戶在LNS側(cè)驗(yàn)證失敗。在LNS端配置VPDN用戶名及相應(yīng)

44、的密碼，即在系統(tǒng)視圖下配置：[lns]local-user vpdnuser service-type ppp password simple 12345,49,L2TP故障案例分析（二）,問題：正常配置后，VPDN用戶端不能獲得IP地址，鏈路不UPdisplay l2tp tunnel，debugging l2tp all，隧道會(huì)話均創(chuàng)建，且傳輸數(shù)據(jù)在LNS側(cè)使用debugging radius primitive ，發(fā)現(xiàn)AAA

45、驗(yàn)證沒有通過(缺少CHAP認(rèn)證信息）。原因分析LNS端強(qiáng)制本地CHAP驗(yàn)證，但VPDN用戶端沒有送CHAP驗(yàn)證信息處理過程在VPDN用戶端，配置同時(shí)發(fā)送PAP和CHAP認(rèn)證信息,,,50,L2TP故障案例分析（三）,問題VPDN用戶端不能獲得IP地址，不能正常使用VPN服務(wù)從調(diào)試信息可以看出3COM接入服務(wù)器和LNS之間隧道已建立，但會(huì)話沒有正常建立，并且LNS端的VA虛擬子接口沒有UP。原因分析由于LNS端配置為代理驗(yàn)證

46、，而3COM接入服務(wù)器向LNS發(fā)送的代理驗(yàn)證信息中包含一些PPP協(xié)商不支持的屬性，因而導(dǎo)致LNS側(cè)VA虛擬子接口無法UP。處理過程在LNS端（使用mandatory-lcp命令）配置LCP重協(xié)商，通過讓LNS與VPDN用戶重新協(xié)商LCP，從而成功創(chuàng)建會(huì)話,51,課程內(nèi)容,包過濾防火墻故障,,,,,,,IPSec和IKE故障排除,GRE故障排除,L2TP故障排除,DCC、ISDN故障,52,GRE故障排除,GRE故障排除綜述GRE

47、知識(shí)簡(jiǎn)介GRE功能和性能的常見問題GRE故障排除的一般步驟與GRE故障相關(guān)的display、debugging命令介紹GRE故障案例分析,53,GRE知識(shí)簡(jiǎn)介,GRE協(xié)議概述網(wǎng)絡(luò)隧道協(xié)議、承載協(xié)議和被承載協(xié)議GRE（Generic Routing Encapsulation）是第三層隧道封裝協(xié)議GRE工作過程：加封裝過程 和解封裝的過程GRE能實(shí)現(xiàn)的服務(wù)類型多協(xié)議的本地網(wǎng)通過單一協(xié)議的骨干網(wǎng)傳輸；擴(kuò)大了包含跳數(shù)受

48、限協(xié)議網(wǎng)的工作范圍；將一些不能連續(xù)的子網(wǎng)連接起來，用于組建VPN。,54,GRE功能和性能的常見問題,路由器之間的GRE隧道不能互通對(duì)于兩臺(tái)Quidway系列路由器，如果之間的GRE隧道不能互通，首先確認(rèn)物理連接是否存在問題Tunnel兩端的網(wǎng)絡(luò)地址沒有配置在同一個(gè)網(wǎng)段Tunnel兩端配置的識(shí)別關(guān)鍵字Key不一致,55,GRE故障排除的一般步驟,第一步：檢查Tunnel兩端設(shè)備是否連通在Tunnel端使用ping命令測(cè)試與Tun

49、nel對(duì)端的連通性，檢查兩端的物理連接是否正確或鏈路層協(xié)議是否配對(duì)第二步：檢查Tunnel兩端的配置參數(shù)和接口信息在Tunnel兩端，查看系統(tǒng)配置信息，并查看Tunnel接口的狀態(tài)（display interfaces tunnel [ tunnel-number ]命令）。第三步：檢查Tunnel兩端系統(tǒng)路由表在Tunnel兩端，查詢系統(tǒng)路由表（display ip routing-table命令），確保存在到達(dá)Tunnel對(duì)

50、端的路由。如果沒有路由，請(qǐng)?zhí)砑屿o態(tài)路由。,56,Display、debugging命令介紹,display interfaces tunnel [ tunnel-number ]Tunnel1 is up, line protocol is up該信息表示Tunnel1接口處于UP狀態(tài)，鏈路層也處于UP狀態(tài)。Maximum Transmission Unit is 128該信息表示MTU為128字節(jié)。Internet addr

51、ess is 3.1.1.1 255.255.255.0該信息表示Tunnel1的網(wǎng)絡(luò)地址為3.1.1.1；輸入/輸出報(bào)文數(shù)目和錯(cuò)誤統(tǒng)計(jì),57,GRE故障案例分析,Tunnel兩端接口配置正確，且Tunnel兩端可以互相ping通，但PC A和PC B之間卻無法ping通。 原因分析由于Tunnel兩端路由器A和B上都沒有到達(dá)對(duì)端PC機(jī)的路由，因此PC A和PC B之間無法互相ping通。處理過程在路由器A上配置到10.2.

52、0.0/16網(wǎng)段的路由經(jīng)過tunnel0接口，在路由器B上配置到10.1.0.0/16網(wǎng)段的路由經(jīng)過tunnel0接口。（添加靜態(tài)路由或運(yùn)行動(dòng)態(tài)路由協(xié)議）,58,課程內(nèi)容,包過濾防火墻故障,,,,,,,,,IPSec和IKE故障排除,GRE故障排除,L2TP故障排除,DCC、ISDN故障,59,DCC、ISDN故障排除,DCC、ISDN故障排除綜述DCC、ISDN知識(shí)簡(jiǎn)介DCC功能和性能的常見問題DCC故障排除的一般步驟

53、與DCC故障相關(guān)的display、debugging命令介紹DCC故障案例分析,60,DCC、ISDN知識(shí)簡(jiǎn)介,DCC、ISDN知識(shí)簡(jiǎn)介DCC介紹Dial Control Center，指路由器間通過PSTN和ISDN互連時(shí)所采用的路由技術(shù)DCC呼叫可連接PSTN網(wǎng)絡(luò)（或者ISDN網(wǎng)絡(luò)）撥號(hào)DCC撥號(hào)過程：鏈路建立階段，鏈路協(xié)議協(xié)商階段，數(shù)據(jù)傳輸階段，鏈路掛斷階段ISDN介紹Integrated Services Dig

54、ital Network提供端到端的數(shù)字連接兩種接口結(jié)構(gòu)：基本接口（BRI）和一次群速率接口（PRI），BRI帶寬為2B+D，PRI帶寬為30B+D或23B+D,61,DCC功能和性能的常見問題,ISDN接口的物理故障ISDN接口的鏈路故障Modem的物理故障同/異步Modem撥號(hào)的配置問題無法發(fā)起撥號(hào)撥號(hào)串設(shè)置錯(cuò)誤呼叫的建鏈過程失敗呼叫沖突用戶認(rèn)證失敗IP地址協(xié)商錯(cuò)誤PPP回呼失敗ISDN回呼失敗呼叫掛斷后，再

55、次呼叫失敗,62,DCC故障排除的一般步驟,檢查物理連接、接口和協(xié)議查看電纜、Modem連接檢查是否存在DCC或者用戶認(rèn)證等其它配置錯(cuò)誤使用display和debugging命令查看統(tǒng)計(jì)和調(diào)試信息,63,與DCC故障相關(guān)的display、debugging命令介紹,display dialer interface [ interface-type interface-number ]display dialer route [

56、detail ]display isdn active-channel [ interface type number ]display isdn call-info [ interface type number ][ undo] debugging dialer { event | packet },64,DCC故障案例分析（一）,Dialer接口借用Ethernet0口地址時(shí)ping不通問題Router A發(fā)起撥號(hào)時(shí)，不

57、撥號(hào)。故障處理查看DCC不撥號(hào)的原因------IP報(bào)文被禁止撥號(hào)原因分析對(duì)于IP報(bào)文被禁止撥號(hào)的問題：未配置dialer-rule、dialer-group命令,65,DCC故障案例分析（二）,遠(yuǎn)程撥號(hào)Modem配置引起無法登錄 故障檢查：打開Modem調(diào)試開關(guān)，看到路由器接收呼叫，但Modem總不摘機(jī)，呼叫超時(shí)原因：Modem為自動(dòng)撥號(hào)，則撥號(hào)接口為不自動(dòng)撥號(hào)；Modem為非自動(dòng)撥號(hào)，撥號(hào)口Modem屬性則應(yīng)為自動(dòng)撥號(hào)

58、處理：通過atS0=1（或者atS0=0）at&w命令配置Modem。路由器上，采用[undo] modem auto-answer改變Modem的配置。,66,DCC故障案例分析（三）,與NT Workstation無法互通NT通過RS-232串口與Quidway路由器的一個(gè)異步串口相連。NT上發(fā)起空撥號(hào)連接，無法登錄到路由器檢查：查看路由器串口信息，鏈路為DOWN狀態(tài)原因分析：NT設(shè)置空撥號(hào)時(shí)，虛擬Modem串口速率缺

59、省為19200bps，路由器的異步串口速率缺省為9600bps。處理過程：將NT的虛擬Modem串口速率改為9600bps，或者將路由器異步串口速率改為19200bps,67,DCC故障案例分析（四）,遠(yuǎn)路由器ISDN撥號(hào)不成功問題：路由器一端連局域網(wǎng)，一端用ISDN撥號(hào)上網(wǎng)，不成功檢查：打開調(diào)試信息，撥號(hào)正常并開始PPP協(xié)商；打開PPP報(bào)文調(diào)試開關(guān)，發(fā)現(xiàn)用戶名協(xié)商不通過，估計(jì)認(rèn)證配置有誤。原因：當(dāng)配置了ppp authenti

60、cation-mode pap命令后，意味著路由器在PPP協(xié)商時(shí)還需對(duì)對(duì)端接入服務(wù)器進(jìn)行PAP驗(yàn)證。處理：刪除BRI接口模式下的ppp authentication-mode pap命令,68,DCC故障案例分析（五）,AUX接口數(shù)據(jù)配置錯(cuò)誤導(dǎo)致超級(jí)終端顯示亂碼 路由器AUX口連Modem，通過PSTN撥號(hào)，與遠(yuǎn)端的Modem和PC相連，終端窗口亂碼檢查：接口和Modem應(yīng)用模式（或?qū)傩裕┎黄ヅ浞治觯寒惒酱诳梢杂袃煞N建立鏈路方

61、式protocol：撥號(hào)成功后，采用鏈路層協(xié)議參數(shù)建鏈flow：撥號(hào)成功后，主叫向?qū)Χ税l(fā)送配置命令處理：將AUX口的建立鏈路方式由protocol改為flow,69,本章總結(jié),本章重點(diǎn)講述了二三層VPN故障排除方法，相關(guān)的隧道，會(huì)話，以及加密相關(guān)故障;在QoS故障排除中重點(diǎn)介紹了相關(guān)故障排除命令，簡(jiǎn)單介紹了幾個(gè)案例;在理解DCC工作的基本流程和DCC故障排除的基本流程后,重點(diǎn)講述了一些撥號(hào)的故障案例.,華為3Com技術(shù)有限公司