DP500307 安全VPN及拨号业务故障排除 ISSUE1.0_20061229_A.ppt

1、2019/9/28,DP500307 安全VPN及拨号业务故障排除,ISSUE1.0,Page 2,学习完此课程，您将会： 掌握安全VPN及拨号业务故障排除。,目 标,Page 3,第1章 DDR故障排除 第2章 L2TP故障排除 第3章 GRE故障排除 第4章 MPLS 网络综合故障排除,内容介绍,Page 4,DDR故障排除,DDR、故障排除综述 DDR知识简介 DDR功能和性能的常见问题 DDR故障排除的一般步骤 与DDR故障相关的display、debug命令介绍 DDR故障案例分析,Page 5,DDR知识简介,DDR知识简介 DDR介绍 Dial-on-Demand Routing

2、，指路由器间通过PSTN和ISDN互连时所采用的路由技术 DDR呼叫可连接PSTN网络（或者ISDN网络）拨号 DDR拨号过程：链路建立阶段，链路协议协商阶段，数据传输阶段，链路挂断阶段,Page 6,DDR功能和性能的常见问题,ISDN接口的物理故障 ISDN接口的链路故障 Modem的物理故障 同/异步Modem拨号的配置问题 无法发起拨号 拨号串设置错误 呼叫的建链过程失败,呼叫冲突 用户认证失败 IP地址协商错误 PPP回呼失败 ISDN回呼失败 呼叫挂断后，再次呼叫失败,Page 7,DDR故障排除的一般步骤,检查物理连接、接口和协议 查看电缆、Modem连接 检查是否存在DDR或者

3、用户认证等其它配置错误 使用display和debug命令查看统计和调试信息,Page 8,DDR故障案例分析,Dialer接口借用Ethernet0口地址时ping不通 问题 故障检查 查看DDR不拨号的原因-IP报文被禁止拨号 Dialer接口能够接收报文，但报文没有从Dialer接口发送，路由配置错误 原因分析 对于IP报文被禁止拨号的问题：未配置dialer-list、dialer-group命令 D发现缺少到ip local pool命令中主机的路由。,Page 9,DDR故障案例分析,远程拨号Modem配置引起无法登录 故障检查：打开Modem调试开关，看到路由器接收呼叫，但Mod

4、em总不摘机，呼叫超时 原因：Modem为自动拨号，则拨号接口为不自动拨号；Modem为非自动拨号，拨号口Modem属性要为自动拨号 处理：通过atS0=1（或者atS0=0）at&w命令配置Modem。路由器上，采用no modem-autoanswer改变Modem的配置。,Page 10,DDR故障案例分析,与NT Workstation无法互通 NT通过RS-232串口与Quidway路由器的一个异步串口相连。NT上发起空拨号连接，无法登录到路由器 检查：查看路由器串口信息，链路为DOWN状态 原因分析：NT设置空拨号时，虚拟Modem串口速率缺省为19200bps，路由器的异步串口速

5、率缺省为9600bps。 处理过程：将NT的虚拟Modem串口速率改为9600bps，或者将路由器异步串口速率改为19200bps,Page 11,DDR故障案例分析,远路由器ISDN拨号不成功 问题：路由器一端连局域网，一端用ISDN拨号上网，不成功 检查：打开调试信息，拨号正常并开始PPP协商；打开PPP报文调试开关，发现用户名协商不通过，估计认证配置有误。 原因：当配置了ppp authentication pap命令后，意味着路由器在PPP协商时还需对对端接入服务器进行PAP验证。 处理：删除BRI接口模式下的ppp authentication pap命令,Page 12,DDR故障

6、案例分析,路由器不能正常提供接入服务器功能 PC以拨号访问局域网内的服务器，路由器为用户分配IP地址。PC拨入后，能ping通Dialer口，无法ping通以太网口 检查：在PC上查询路由表 原因：PC机能ping通路由器Dialer接口，说明拨号正常；问题在于PC机网卡的地址和路由器以太网口地址在同一个网段,Page 13,DDR故障案例分析,AUX接口数据配置错误导致超级终端显示乱码 路由器AUX口连Modem，通过PSTN拨号，与远端的Modem和PC相连，终端窗口乱码 检查：接口和Modem应用模式（或属性）不匹配 分析：异步串口可以有两种建立链路方式 Dedicate：拨号成功后，采

7、用链路层协议参数建链 Interactive：拨号成功后，主叫向对端发送配置命令 处理：将AUX口的建立链路方式由Dedicate改为Interactive,Page 14,DDR故障案例分析,用户可访问Internet而无法访问局域网内服务器 路由器利用串口0（DDN）连接Internet，异步串口接入远端用户，局域网内连服务器。异步串口上利用IP Unnumbered借用以太口地址。远端用户可访问Internet，无法访问局域网内服务器。,Page 15,DDR故障案例分析,用户可访问Internet而无法访问局域网（续） 检查：个人用户能访问Internet，说明拨号正常，但路由器能收到

8、个人用户的访问报文，但没有报文发送出去 原因：由于拨号用户被分配的IP地址与局域网内的服务器的IP地址在同一个网段（利用了IP Unnumbered功能） 处理：在路由器的以太网口上配置ip proxy-arp命令启动ARP代理功能，路由器将可以将不属于本局域网的IP包转发出去,Page 16,第1章 DDR故障排除 第2章 L2TP故障排除 第3章 GRE故障排除 第4章 MPLS 网络综合故障排除,内容介绍,Page 17,L2TP知识简介-VPDN概述,Virtual Private Dial Network隧道协议可分为PPTP、L2F和L2TP三种，目前最广泛使用的是L2TP。 L2

9、TP（Layer 2 Tunneling Protocol ）成为IETF有关二层隧道协议的工业标准。L2TP Access Concentrator L2TP Network Server,Page 18,L2TP知识简介-L2TP规范,L2TP提供了对PPP链路层数据包的隧道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互，从而扩展了PPP模型。 隧道（Tunnel）连接 会话（Session）连接 L2TP中存在两种消息：控制消息和数据消息。,Page 19,L2TP功能和性能的常见问题,Quidway系列路由器之间无法正确建立隧

10、道 LAC与LNS之间相连的接口在网络层无法互通 LAC或LNS上没有启动VPDN服务 VPDN用户未通过LAC端的认证 VPDN组中的相关参数配置错误,Page 20,L2TP功能和性能的常见问题,L2TP性能问题 地址池中的IP地址数目少于VPN用户数 L2TP中所有会话结构占用的内存容量超过了路由器实际内存容量，即没有空闲内存资源供新建会话使用 VPDN用户不能访问企业网内部 如果LNS端分给用户的地址与企业网内部网段不属于同一个子网段，则在VPDN用户端将缺少到企业网内部网段的路由 LNS端没有增加相应的路由信息。,Page 21,L2TP故障排除的一般步骤,检查LAC与LNS是否连通

11、。 检查VPDN用户是否通过LAC端的验证。 debugging radius event | packet | primitive ，是否认证成功 检查LAC端是否发起L2TP隧道连接 debugging l2tp all | control | dump | error | event | hidden | payload | raw-dump | time-stamp ，LAC端是否发起隧道连接 检查LNS端是否接收L2TP隧道连接 debugging l2tp all | control | dump | error | event | hidden | payload | raw-d

12、ump | time-stamp ，LNS端是否接收到L2TP隧道连接 检查LNS端的用户路由信息 display ip routing-table查询是否存在VPDN用户的路由信息,Page 22,与L2TP故障相关的show、debug命令介绍,Quidway# display l2tp session LocID RemID TunID1 1 2Total session = 1 Quidway# display l2tp tunnel LocID RemID Remote Name Remote Address Port Sessions1 8 AS8010 172.168.10.2

13、1701 1Total tunnels = 1 no debugging l2tp all | control | dump | error | event | hidden | payload | raw-dump | time-stamp ,Page 23,L2TP故障案例分析,路由器LAC和LNS之间能正常建立隧道但不能创建会话:正常配置完后，VPDN用户端不能获得IP地址，链路不UP。 在LNS侧使用debugging l2tp all命令打开调试开关，显示信息表明隧道和会话都已经正确创建，而且正在传输数据 在LNS侧使用debugging radius primitive 命令打开A

14、AA的debug开关，发现AAA验证没有通过 ,VPDN用户在LNS侧验证失败。 在LNS端配置VPDN用户名及相应的密码，即在全局模式下配置：Quidway(config)# user password 0 vpdn,Page 24,L2TP故障案例分析,问题：正常配置后，VPDN用户端不能获得IP地址，链路不UP display l2tp tunnel，debugging l2tp all，隧道会话均创建，且传输数据 在LNS侧使用debugging radius primitive ，发现AAA验证没有通过(缺少CHAP认证信息）。 原因分析 LNS端强制本地CHAP验证，但VPDN用

15、户端没有送CHAP验证信息 处理过程 在VPDN用户端，配置同时发送PAP和CHAP认证信息,Page 25,接入服务器与路由器LNS之间不能互通,问题: VPDN用户端不能获得IP地址，不能正常使用VPN服务 从调试信息可以看出3COM接入服务器和LNS之间隧道已建立，但会话没有正常建立，并且LNS端的VA虚拟子接口没有UP。 原因分析：由于LNS端配置为代理验证，而3COM接入服务器向LNS发送的代理验证信息中包含一些PPP协商不支持的属性，因而导致LNS侧VA虚拟子接口无法UP。 处理过程：在LNS端（使用lcp renegotiation命令）配置LCP重协商，通过让LNS与VPDN用

16、户重新协商LCP，从而成功创建会话,Page 26,第1章 DDR故障排除 第2章 L2TP故障排除 第3章 GRE故障排除 第4章 MPLS 网络综合故障排除,内容介绍,Page 27,GRE知识简介,GRE协议概述 网络隧道协议、承载协议和被承载协议 GRE（Generic Routing Encapulation）是第三层隧道封装协议 GRE工作过程：加封装过程 & 解封装的过程 GRE能实现的服务类型 多协议的本地网通过单一协议的骨干网传输；扩大了包含跳数受限协议网的工作范围；将一些不能连续的子网连接起来，用于组建VPN。,Page 28,GRE功能和性能的常见问题,路由器之间的GRE

17、隧道不能互通 对于两台Quidway系列路由器，如果之间的GRE隧道不能互通，首先确认物理连接是否存在问题 Tunnel两端的网络地址没有配置在同一个网段 Tunnel两端配置的识别关键字Key不一致,Page 29,GRE故障排除的一般步骤,第一步：检查Tunnel两端设备是否连通 在Tunnel一端使用ping命令测试与Tunnel对端的连通性，检查两端的物理连接是否正确或链路层协议是否配对 第二步：检查Tunnel两端的配置参数和接口信息 在Tunnel两端，查看系统配置信息，并查看Tunnel接口的状态（display interfaces tunnel tunnel-number 命

18、令）。 第三步：检查Tunnel两端系统路由表 在Tunnel两端，查询系统路由表（display ip routing-table命令），确保存在到达Tunnel对端的路由。如果没有路由，请添加静态路由。,Page 30,与GRE故障相关的show、debug命令介绍,display interfaces tunnel tunnel-number Tunnel1 is up, line protocol is up 该信息表示Tunnel1接口处于UP状态，链路层也处于UP状态。 Maximum Transmission Unit is 128 该信息表示MTU为128字节。 Interne

19、t address is 3.1.1.1 255.255.255.0 该信息表示Tunnel1的网络地址为3.1.1.1； 输入/输出报文数目和错误统计,Page 31,GRE故障案例分析-GRE隧道两端的PC之间不能互相ping通,Tunnel两端接口配置正确，且Tunnel两端可以互相ping通，但PC A和PC B之间却无法ping通。 原因分析 由于Tunnel两端路由器A和B上都没有到达对端PC机的路由，因此PC A和PC B之间无法互相ping通。 处理过程 在路由器A上配置到10.2.0.0/16网段的路由经过tunnel0接口，在路由器B上配置到10.1.0.0/16网段的路由

20、经过tunnel0接口（添加静态路由或用动态路由协议）,Page 32,第1章 DDR故障排除 第2章 L2TP故障排除 第3章 GRE故障排除 第4章 MPLS 网络综合故障排除,内容介绍,Page 33,MPLS L3 VPN 故障排除,由于MPLS/VPN的报文转发是基于LSP，而LSP是依附于路由的。所以定位故障的思路是：先查路由、再查标签；先查私网、再查公网。,查看私网路由,Y,查看私网标签,Y,查看公网标签,Y,N,查看BGP邻居关系,N,查看公网路由,查看MBGP以及对端PE与 CE之间的路由协议配置,N,查看公网IGP配置,查看LDP邻居,Y,N,查看MPLS配置,Y,Y,N,

21、查看BGP配置,N,Y,Y,Y,Y,拨打800热线求助,Page 34,查看私网路由,Y,N,查看BGP邻居关系,N,查看公网路由,N,查看公网IGP配置,Y,Y,MPLS L3 VPN 故障排除,查看私网路由： 分别查看两端PE路由器的VRF中是否存在对端PE的VRF路由 命令： display ip routing-table vpn-instance 查看BGP邻居关系： 邻居状态机是否达到Established状态 命令：display bgp peer Peer AS-number Version Queued-Tx Msg-Rx Msg-Tx Up/Down State 220.1

22、63.42.62 65400 4 6818 6895 0 14h48m Established 查看公网路由：是否在公网LSP途径的所有设备上都存在对端PE的loopback地址的精确路由？（必须是32位mask） 查看公网IGP配置： 是否通过IGP将PE的loopback地址的路由发布出去,Page 35,查看私网标签,查看MBGP以及对端PE与 CE之间的路由协议配置,查看BGP配置,MPLS L3 VPN 故障排除,查看私网标签： 查看本端PE路由器的私网标签是否为对端PE所分配，相关命令： display mpls lsp vpn-instance brief ID I/O-Labe

23、l In-Interface Prefix/Mask Next-Hop -/141|17 - 1.1.1.1/32 220.163.42.62 对端 display bgp vpnv4 all routing-table Network Next Hop Label(I/O) Metric LocPrf Path * 1.1.1.1/32 0.0.0.0 17/0 ? 查看MBGP以及对端PE与CE之间的路由协议配置： /*对于每个VRF，是否将该VRF的路由发布到BGP中*/ ipv4-family vpn-instance vpnHW import-route direct /*对于普通的

24、邻居，是否使能，使其可以传递vpnv4的路由*/ipv4-family vpnv4 peer 10.5.80.240 enable 查看BGP配置： 查看普通BGP的配置，是否正确的配置了BGP邻居,Page 36,查看公网标签,查看LDP邻居,N,查看MPLS配置,N,MPLS L3 VPN 故障排除,查看公网标签：查看整个LSP上的所有设备是否已经为两个PE的loopback地址正确的分配了公网标签，相关命令： display mpls lsp brief每台设备的入标签是否为其下 一跳的出标签。ID I/O-Label In-Interface Prefix/Mask Next-Hop

25、22 382/264 VT20 10.5.61.250/32 10.5.3.94 查看LDP邻居： 查看两台相邻的PE或P路由器之间是否正确建立了LDPsession 相关命令：display mpls ldp session Session State: Operational 查看MPLS配置： 查看该设备是否在全局使能了MPLS，以及在相应的接口上使能了LDP。 全局命令： mpls lsr-id 10.5.80.250 mpls ldp 在接口上启动LDP Session interface Ethernet4/1/0 mpls ldp enable,Page 37,配置排错：CCC,

26、CE1、CE2建立远程连接 CE1、CE3建立本地连接 配置步骤 配置虚电路 使能MPLS 配置静态L2VPN LSP 注意配置L2VPN类型的STATIC-LSP的时候下一跳为严格的下一跳， 使能MPLS L2VPN 创建CCC连接,LSP,PEA,PEB,CE1,CE2,CE3,P,Page 38,配置排错：CCC要点,Page 39,配置排错：CCC结果检查,PEAdis ccc total connections : 2 local connections : 1, 1 up remote connections : 1, 1 up name: 1-2, type: remote, s

27、tate: up, intf: Ethernet3/0/0.1 (up), tran-lsp: 1-2 (up), rcv-lsp: 2-1 (up) name: 1-3, type: local, state: up, intf1: Ethernet3/0/0.2 (up), intf2: Ethernet4/2/0.2 (up),Page 40,配置排错：SVC,配置步骤 配置虚电路 使能MPLS 使能MPLS L2VPN 配置两个PE之间的隧道（LDP|GRE） 创建SVC方式L2VPN连接,PEA,PEB,CE1,CE2,P,LSP,Page 41,配置排错：SVC要点和结果检查,PE

28、Bdis mpls static-l2vc total connections: 1, 1 up, 0 down ce-intf state destination tr-label rcv-label tnl-type tnl-index Serial1/0.1 up 202.202.202.2 100 100 LSP 7,Page 42,配置排错：Martini,配置步骤 配置虚电路 使能MPLS 使能MPLS L2VPN 配置两个PE之间的隧道（LDP|GRE） 配置LDP Remote Peer 创建LDP方式L2VPN连接,PEA,PEB,CE1,CE2,P,LSP,Page 43,

29、配置排错：Martini要点和检查,PEADIS MPLS L2VC VC-ID Destination State Lcl-Label/Rmt-Label Tunnel/Index Interface: Ethernet3/0/0.1, Encapsulation: vlan, Service: VLL 101 202.202.202.7 up 1024/1024 LSP/4,Page 44,配置排错：Kompella,CE1、CE2建立远程连接 CE1、CE8建立本地连接 配置步骤 配置虚电路 使能MPLS 使能MPLS L2VPN 配置各个PE间的隧道 配置BGP参数 创建和配置VPN

30、创建CE 创建连接,PEA,PEB,CE1,CE2,CE8,P,LSP,Page 45,配置排错：Kompella要点-PEA,Page 46,配置排错：Kompella要点-PEB,Page 47,配置排错：Kompella结果检查,PEADIS MPLS L2VPN CONN total connections: 3, connections: 3 up, 0 down, 2 local, 1 remote, 0 unknown VPN-Instance Name: vpntest, total connections: 3, connections: 3 up, 0 down, 2 lo

31、cal, 1 remote, 0 unknownCE Name: ce2, id: 2,Rid type status peer-id route-distinguisher intf1 rmt up 202.202.202.2 1:1 Ethernet2/0.18 loc up - - Ethernet2/0.100CE Name: ce8, id: 8,Rid type status peer-id route-distinguisher intf2 loc up - - Ethernet5/1.100,Page 48,配置排错：L2VPN排错篇,常见错误 VC状态是DOWN的 可能错误 隧道没有UP FR封装时DTE、DCE要配对 FR封装时DLCI要一致 VLAN封装时VID要一致 MARINI的CEID不一致 KOMPELLA的CEID不匹配或者存在冲突或者超出LABEL RANGE ,