第6章安全VPN及拨号业务故障排除.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第6章安全VPN及拨号业务故障排除,学习目标,掌握VPN相关技术的故障排除方法，包括L2TP，GRE，IPSec和IKE；,掌握防火墙故障排除方法和流程；,掌握DCC故障排除的流程，并理解教材所列举的案例分析。,学习完本课程，您应该能够：,2,课程内容,包过滤防火墙故障排除,IPSec,和,IKE,故障排除,GRE,故障排除,L2TP,故障排除,DCC,、,ISDN,故障排除,3,IPSec和IKE故障排除,IPSec和IKE故障排除综述,display、debugging命令介绍,IPSec和IKE故障案

2、例分析,4,IPSec和IKE故障排除综述,IPSec和IKE知识简介,IPSec和IKE配置的一般步骤,手工方式下IPSec功能和性能的常见问题,协商方式下IPSec、IKE功能和性能的常见问题,IPSec和IKE配置过程的注意事项,5,IPSec简介,IPSec提供如下安全服务:,完整性,真实性,机密性,防重放,IPSec安全协议:,AH协议,ESP协议,IPSec加密验证算法:,验证算法：MD5、SHA1,加密算法：DES、3DES、AES,6,IKE简介,IKE全称：Internet Key Exchange,IKE用于IPSec安全联盟及密钥的自动化管理，定时为IPSec协商密钥，创

3、建、删除安全联盟等,IKE采用两个阶段的ISAKMP：,协商认证通信信道，为第二阶段的通信提供安全保证，即建立IKE SA。,使用IKE SA 协商建立IPSec SA，用于IPSec通信。,7,IPSec 与IKE,IKE,TCP,UDP,IPSec,IKE,TCP,UDP,IPSec,encrypted ip packet,IP,IKE SA Negotiation,SA,SA,8,IPSec和IKE配置的一般步骤,IPSec和IKE配置的一般步骤：what，where，how,手工模式IPSec基本配置,明确要保护什么（what），也就是定义ACL,明确实施保护的位置（where）,明确

4、如何保护（how），定义proposal,定义安全策略（ipsec policy），定义安全策略的模式为manual,定义安全联盟所用的密钥,在合适的接口上应用安全策略,协商模式IPSec基本配置,What，where，how，ipsec policy,配置IKE的参数（IKE的proposal和共享密钥）,在合适的接口上应用安全策略,9,手工方式下IPSec功能和性能的常见问题,手工方式下安全联盟不能建立,相,应的安全策略是否应用到了接口上,检查安全策略是否设置了要保护的数据流,检查安全策略是否设置了安全提议,检查安全策略是否设置了隧道端点,检查安全联盟的SPI,检查安全联盟的密钥是否设置正

5、确,检查密钥的长度是否与算法要求的相同,10,手工方式下IPSec功能和性能的常见问题（续）,手工方式下建立了安全联盟，但不能通信,安全联盟两端的配置的ACL是否互为镜像,选用的安全协议是否一样,选用的算法是否一致,SPI是否匹配,密钥是否匹配,定义的隧道端点是否相同,手工方式下建立了安全联盟，部分数据流能通信，部分不能通信,安全联盟两端的配置的ACL是否互为镜像,11,协商方式下IPSec和IKE功能和性能常见问题,协商方式的IPSec安全联盟是由IKE协商生成的。要诊断此类故障，首先要清楚安全联盟的建立过程。,第一步,第二步,第三步,第四步,合适的数据流从应用IPSec的接口转发出去,第一

6、步,触发IKE协商阶段1的SA,第二步,第三步,在阶段2安全联盟的保护下进行通信,第四步,Router A,Router A,Router B,Router B,Router A,Router A,Router A,Router A,Router A,Router A,Router B,Router B,Router B,Router B,Router B,Router B,在IKE阶段1安全联盟的保护下协商阶段2的IPSec SA,12,协商方式下IPSec和IKE功能和性能常见问题（续）,阶段一的SA没有建立,接口是否应用了安全策略,是否有匹配的数据流触发,是否为对方配置了共享密钥，以及共

7、享密钥是否一致,阶段二的SA没有建立,ACL是否匹配,安全提议是否一致,设置的隧道对端地址是否匹配,应用的接口是否正确,两个阶段的SA都成功建立，但不能通信,一般都是由于ACL的配置不当引起的，检查ACL的配置是否符合要求,13,IPSec和IKE配置过程的注意事项,确定要保护的数据流时的注意事项,IPSec保护的数据流是双向的,所以定义的双向数据流应该保持完全重叠,确定实施保护的位置时的注意事项,网关到网关,主机到网关,主机到主机,网关到主机,14,IPSec和IKE配置过程的注意事项（续）,确定如何保护数据时的注意事项,安全协议选择,加密算法选择,验证算法选择,定义安全策略时的注意事项,选

8、择恰当的ACL,选择恰当的安全提议,正确配置实施安全策略的端点,IKE的配置,IKE Proposal的全局性（对整个路由器有效）,缺省IKE Proposal的应用,15,IPSec和IKE配置过程的注意事项（续）,应用所定义的安全策略,应用接口的选择,确保所有数据流出口都应用安全策略,确保对端也配置了安全策略,IPSec和IKE的其它配置,IKE定时器参数（interval和timeout）的匹配,16,display、debugging命令介绍,display ipsec policy brief|name,policy-name,sequence-number,display ipse

9、c proposal,proposal-name,display ipsec sa brief|remote,ip-address,|policy,policy-name,sequence-number,|duration ,display ike proposal,display ike peer peer-name,display ike sa verbose connection-id,id,|remote-address,ip address,debugging ipsec all|misc|packet|sa,debugging ike all|error|exchange|mess

10、age|misc|transport,17,IPSec和IKE故障案例分析（一）,两端的SPI不匹配导致SA协商失败:,在RouterA和RouterB之间建立IPSec隧道，保护PC A和PC B之间的通信。采用ESP安全协议，确保数据的完整性、机密性。,问题：在10.1.1.10上执行ping 10.1.2.20，发现不通,PC B,10.1.2.20/24,SPI=12345,Protocol=,esp,Dst,=202.38.163.1,Src,=202.38.162.1,SPI=,Protocol=,esp,Dst,=202.38.162.1,Src,=202.38.163.1,20

11、2.38.163.1,PC A,10.1.1.10/24,SPI=12345,Protocol=,esp,Dst,Src,=202.38.162.1,SPI=54321,Protocol=,esp,Dst,=202.38.16,Src,=202.38.16,S0/0,202.38.162.1,S0/0,202.38.163.1,Router A,Router B,IPSec,tunnel,IPSec,tunnel,18,IPSec和IKE故障案例分析（一）,原因分析,RouterB上的调试信息表明已经收到从RouterA发出的IPSec报文，但是找不到SPI为12345的SA。察看Router

12、B的安全策略的定义，入方向ESP的SPI定义为54321，这就是找不到SPI的原因。,处理过程,将RouterB上的入方向ESP的SPI改为12345即可,RouterB,ipsec policy policy1 10 manual,RouterB-ipsec-policy-policy1-10,sa spi inbound esp 12345,19,IPSec和IKE故障案例分析（二）,密钥不匹配造成无法通信,在RouterA和RouterB之间建立IPSec隧道，保护PC A和PC B之间的通信。采用ESP安全协议,问题如下：从主机10.1.1.10上执行ping 10.1.2.20，发现

13、不通,PC B,10.1.2.20/24,SPI=12345,Protocol=,esp,Dst,=202.38.163.1,Src,=202.38.162.1,SPI=,Protocol=,esp,Dst,=202.38.162.1,Src,=202.38.163.1,202.38.163.1,PC A,10.1.1.10/24,SPI=12345,Protocol=,esp,Dst,Src,=202.38.162.1,SPI=12345,Protocol=,esp,Dst,=202.38.16,Src,=202.38.16,S0/0,202.38.162.1,S0/0,202.38.163

14、1,Router A,Router B,IPSec,tunnel,IPSec,tunnel,20,IPSec和IKE故障案例分析（二）,原因分析:,RouterB的Inbound处理过程中解密失败。检查RouterB的Inbound的密钥，为1234567891234567，而RouterA的Outbound密钥是1234567890123456，由于密钥不同，造成无法解密，通信失败。,处理过程:,解决方法是修改RouterA的Outbound方向的加密算法密钥,RouterA,ipsec policy policy1 10 manual,RouterA-ipsec-policy-polic

15、y1-10,sa encryption-hex out esp 1234567891234567,21,IPSec和IKE故障案例分析（三）,两端ACL不匹配导致阶段二协商失败,在RouterA和RouterB间建立IPSec隧道，采用ESP协议。RouterB的Ethernet0/0口连接子网，Serial0/0连接Internet,从主机10.1.1.10上执行ping 10.1.2.20不通。在RouterA和RouterB上查看安全联盟的信息，发现阶段一协商成功，阶段二没有协商起来。,PC B,10.1.2.20/24,Protocol=,esp,Dst,=202.38.163.1,S

16、rc,=202.38.162.1,Protocol=,esp,Dst,=202.38.162.1,Src,=202.38.163.1,S0,202.38.163.1,PC A,10.1.1.10/24,Protocol=,esp,Dst,Src,=202.38.162.1,Protocol=,esp,Dst,=202.38.16,Src,=202.38.16,S0/0,202.38.162.1,S0/0,202.38.163.1,Router A,Router B,IPSec,tunnel,IPSec,tunnel,22,IPSec和IKE故障案例分析（三）,原因分析,应用的接口是要保护的数据

17、流外出的接口，完全正确。可能是安全策略中的某些定义错误。按照安全策略的三个要素：What、Where、How进行检查。,在RouterA中要保护的数据流是10.1.1.0/2410.1.2.0/24之间的IP数据，是一个子网；而在RouterB上定义的要保护的数据是10.1.2.2010.1.1.10两个主机之间的数据。显然两者之间不能完全匹配。所以安全策略不匹配。,处理过程,将RouterB的数据流改为如下形式便可通信。,RouterB,acl number 3001 match-order auto,RouterB-acl-adv-3001,rule permit ip source 10

18、1.2.0 0.0.0.255,destination 10.1.1.0 0.0.0.255,23,IPSec和IKE故障案例分析（四）,两端,pre-shared-key,不一致导致阶段一的SA协商失败,在RouterA和RouterB之间建立IPSec隧道，保护PC A和PC B之间的通信。采用ESP安全协议,从主机10.1.1.10上执行ping 10.1.2.20，发现不通,PC B,10.1.2.20/24,Protocol=,esp,Dst,=202.38.163.1,Src,=202.38.162.1,Protocol=,esp,Dst,=202.38.162.1,Src,=2

19、02.38.163.1,PC A,10.1.1.10/24,Protocol=,esp,Dst,Src,=202.38.162.1,Protocol=,esp,Dst,=202.38.16,Src,=202.38.16,S0/0,202.38.162.1,S0/0,202.38.163.1,Router A,Router B,IPSec,tunnel,IPSec,tunnel,24,IPSec和IKE故障案例分析（四）,原因分析,调试信息表明，发现安全联盟没有建立。,RouterA有需要保护的数据外出，触发了IKE协商安全联盟，但从对端收到了一条INVALID_PAYLOAD_TYPE通知消息

20、在RouterB上显示收到的载荷中有一个类型非法。检查配置发现共享密钥不同。由于共享密钥不同，造成双方产生的用于通信的加密密钥和验证密钥不同，而不能解释对方的数据。,处理过程,将RouterB上的共享密钥改为与RouterA一样，便可通信。,RouterB-ike-peer-peer,pre-shared-key abcde,25,IPSec和IKE故障案例分析（五）,应用接口错误导致阶段二协商失败,在RouterA和RouterB间建立IPSec隧道，保护A、B间通信。采用ESP协议，RouterB的Ethernet0/0口连接子网，Serial0/0连接Internet。,从主机10.1

21、1.10上执行ping 10.1.2.20，发现不通。,PC B,10.1.2.20/24,Protocol=,esp,Dst,=202.38.163.1,Src,=202.38.162.1,Protocol=,esp,Dst,=202.38.162.1,Src,=202.38.163.1,202.38.163.1,PC A,10.1.1.10/24,Protocol=,esp,Dst,Src,=202.38.162.1,Protocol=,esp,Dst,=202.38.16,Src,=202.38.16,S0/0,202.38.162.1,S0/0,202.38.163.1,Router

22、 A,Router B,IPSec,tunnel,IPSec,tunnel,E0/0,26,IPSec和IKE故障案例分析（五）,原因分析,在RouterA和B上查看安全联盟信息，发现阶段1的安全联盟建立了，而阶段2的SA没有建立。,调试信息显示在RouterB上没有找到匹配的安全策略。,检查配置，发现从10.1.2.0/24到10.1.1.0/24的数据流是从RouterB的Serial0/0口上外出到公网的，而此接口没有应用IPSec，而是应用到了连接内部子网的Ethernet0/0口上。,处理过程,在Router B上将Ethernet0/0口上的Ipsec policy去掉，应用到Se

23、rial0/0口上,RouterB,interface ethernet 0/0,RouterB-Ethernet0/0,undo ipsec policy,RouterB-Ethernet0/0,interface serial 0/0,RouterB-Serial0/0,ipsec policy policy2,27,IPSec和IKE故障案例分析（六）,ACL配置重叠导致通讯失败：,配置三个IPSec隧道，从B、C、D ping A，触发建立隧道正常。用ESP协议。RouterB的Ethernet0/0口连子网，Serial0/0连Internet。,PCB能ping通PCA；PCC不能

24、ping通PCA；PCD不能ping通PCA。反过来从PCA能ping通PCB，不能ping通PCC和PCD。,Router A,Router B,Router C,Router D,PCD,172.19.0.1,172.19.1.1,172.19.2.1,172.19.3.1,PCC,PCB,PCA,28,IPSec和IKE故障案例分析（六）,原因分析,由于ACL配置的数据流为允许所有数据包通过,从PCA到PCC和从PCA到PCD的数据流都被匹配到从PCA到PCB的数据流中,处理过程,把RouterA上的允许所有数据包通过改为拒绝。,RouterA-acl-3001,rule deny ip

25、 source any destination any,RouterA-acl-3002,rule deny ip source any destination any,RouterA-acl-3003,rule deny ip source any destination any,29,课程内容,包过滤防火墙故障排除,IPSec,和,IKE,故障排除,GRE,故障排除,L2TP,故障排除,DCC,、,ISDN,故障,30,包过滤防火墙故障排除综述,包过滤防火墙知识简介,包过滤防火墙故障排除的一般步骤,display、debugging命令介绍,故障案例分析,31,包过滤防火墙知识简介,防火墙

26、概述,包过滤和访问控制列表概述,构建包过滤防火墙应用的基本方法,配置访问控制列表的基本方法,其他相关问题,Ethernet,Ethernet,Inbound,Server 1,PC 1,PC 2,Server 2,Ethernet,Ethernet,Interface1,Interface2,Interface2,Interface1,Inbound,Outbound,Outbound,Connection 1,Connection 2,32,包过滤防火墙知识简介,其他相关问题,配置多条规则时，某条规则被匹配则立刻停止后续规则查找,访问控制列表缺省情况下采用“深度优先”的规则进行自动排序，当使

27、用了,acl number,access-list-number,match-order config,命令时，则按照输入顺序进行排序,访问控制列表定义网络范围采用“通配位”（即反掩码形式），它和掩码正好相反，在使用的时候注意这种差别,支持默认过滤规则，默认为允许转发，并可以通过命令firewall default命令灵活修改默认值,33,包过滤防火墙故障排除的一般步骤,防火墙故障排除的一般步骤,display firewall-statistics,是否使能防火墙功能 firewall enable,debugging ip packet,debugging firewall,访问控制列表故

28、障排除的一般步骤,display acl,绘制拓扑图，查看防火墙实施的方向和连接是否对应,检查TCP/UDP端口的方向,检查访问控制列表的通配位是否正确,34,display、debugging命令介绍,display acl all|,access-list-number,|interface,type,number,display firewall-statistics all,Firewall is enable,default filtering method is permit.,Interface:Ethernet1/0,In-bound Policy:acl 3000,输入/输出

29、报文被允许通过和被拒绝的数目统计,undo debugging firewall all|icmp|tcp|udp|fragments-inspect|others interface,type number,35,包过滤防火墙故障案例分析（一）,访问控制策略错误导致防火墙失效,配置防火墙，要求只有,PC2,可通过,FTP,访问内部网中的,FTP,服务器，并且只有内网中的,PC1,可以访问,Internet,网络上的,WWW,服务器。,配置完后,发现从,PC2,访问,FTP,Server,不能成功，,PC1,不能访问,WWW,Server,。,Ethernet,FTP Server,PC1,1

30、29.10.0.10,PC2,210.10.0.10,202.10.0.1,Ser0/0,192.10.0.1,Eth1/0,Ethernet,129.10.0.1,WWW Server,36,包过滤防火墙故障案例分析（一）,原因分析,在Serial0/0入方向上源地址为210.10.0.1、源端口为80的报文被拒绝了，说明序号为3000的规则拒绝了HTTP访问的返回报文。,在Serial0/0的出口方向上源地址为129.10.0.1、源端口为21的报文被拒绝了，说明序号为3001的规则拒绝了FTP访问的返回报文。,处理过程,Quidway-acl-adv-3000,rule permit t

31、cp source 210.10.0.1 0.0.0.0 source-port eq www destination 129.10.0.10 0.0.0.0,Quidway-acl-adv-3001,rule permit tcp source 129.10.0.1 0.0.0.0 source-port eq ftp destination 210.10.0.10 0.0.0.0,Quidway-acl-adv-3001,rule permit tcp source 129.10.0.1 0.0.0.0 source-port eq ftp-data destination 210.10.

32、0.10 0.0.0.0,Quidway-acl-adv-3000,rule permit tcp source 210.10.0.10 0.0.0.0 destination 129.10.0.1 0.0.0.0 destination-port eq ftp-data,37,包过滤防火墙故障案例分析（二）,忽略其他信息使防火墙不通：,RTA启动防火墙，要求只有PC2可以访问PC1，PC1不能访问PC2,。配置完后，从PC2可以访问PC1，但是一段时间后PC2不能访问PC1。,Ethernet,PC1,129.10.0.10,PC2,210.10.0.10,E0/0,Ethernet,RTA

33、RTB,38,包过滤防火墙故障案例分析（二）,原因分析,开始可以ping通，一段时间之后不通,关闭防火墙后能够ping通,说明与防火墙有关，检查发现动态路由协议的数据包也被禁止,处理过程,从原因分析可以得出，修改ACL规则，允许RIP协议数据包通过即可,RTA-acl-adv-3002,rule permit udp source any destination any,39,课程内容,包过滤防火墙故障,IPSec,和,IKE,故障排除,GRE,故障排除,L2TP,故障排除,DCC,、,ISDN,故障,40,L2TP故障排除综述,L2TP知识简介,L2TP功能和性能的常见问题,L2TP故障排

34、除的一般步骤,与L2TP故障相关的display、debugging命令介绍,L2TP故障案例分析,41,L2TP知识简介-VPDN概述,Virtual Private Dial Network隧道协议包括PPTP、L2F和L2TP三种，目前最广泛使用的是L2TP。,L2TP（Layer 2 Tunneling Protocol）成为IETF有关二层隧道协议的工业标准。,L2TP Access Concentrator,L2TP Network Server,PSTN/ISDN,LAC,Internet,LNS,Branch,Inner Server,L2TP,隧道,PSTN/ISDN,LAC

35、Remote access user,L2TP Tunnel,42,L2TP知识简介-L2TP规范,L2TP提供了对PPP链路层数据包的隧道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互，从而扩展了PPP模型。,隧道（Tunnel）连接,会话（Session）连接,L2TP中存在两种消息：控制消息和数据消息。,43,L2TP功能和性能的常见问题,Quidway系列路由器之间无法正确建立隧道,LA,C与LNS之间相连的接口在网络层无法互通,LAC或LNS上没有启动L2TP服务,VPDN用户未通过LAC端的认证,VPDN组中的相关参数配

36、置错误,44,L2TP功能和性能的常见问题,L2TP性能问题,地址池中的IP地址数目少于VPN用户数,L2TP中所有会话结构占用的内存容量超过了路由器实际内存容量，即没有空闲内存资源供新建会话使用,VPDN用户不能访问企业网内部,如果LNS端分给用户的地址与企业网内部网段不属于同一个子网段，则在VPDN用户端将缺少到企业网内部网段的路由,LNS端没有增加相应的路由信息,45,L2TP故障排除的一般步骤,检查LAC与LNS是否连通,检查VPDN用户是否通过LAC端的验证,debugging radius packet,检查LAC端是否发起L2TP隧道连接,debugging l2tp,all,|

37、control,|,dump,|,error,|,event,|,hidden,|,payload,|,timestamp,检查LNS端是否接收L2TP隧道连接,debugging l2tp,all,|,control,|,dump,|,error,|,event,|,hidden,|,payload,|,time-stamp,检查LNS端的用户路由信息,display ip routing-table,查询是否存在VPDN用户的路由信息,46,与L2TP故障相关的display、debug命令介绍,display l2tp session,LocalSID RemoteSID LocalT

38、ID IdleTimeLeft,1 1 2,Total session=1,display l2tp tunnel,LocalTID RemoteTID RemoteAddress Port Sessions RemoteName KeepStanding,1 8 172.168.10.2 17011 AS8010,Total tunnels=1,undo debugging l2tp all|control|,dump,|error|event|hidden|payload|time-stamp,47,L2TP故障案例分析（一）,路由器LAC和LNS之间能正常建立隧道但不能创建会话：,正常配

39、置完后，VPDN用户端不能获得IP地址，链路不UP,在LNS侧使用debugging l2tp control命令打开调试开关，显示信息表明隧道都已经正确创建，而且正在传输数据,在LNS侧使用debugging radius packet 命令打开AAA的debugging开关，发现AAA验证没有通过,，,VPDN用户在LNS侧验证失败,在LNS端配置VPDN用户名及相应的密码，即在系统视图下配置：,LNS,local-user vpdnuser,LNS-luser-vpdnuser,password simple 12345,LNS-luser-vpdnuser,service-type p

40、pp,LAC,LNS,S0/0,S0/0,VPDN User,48,L2TP故障案例分析（二）,问题：正常配置后，VPDN用户端不能获得IP地址，链路不UP,display l2tp tunnel、debugging l2tp all，隧道会话均创建，且传输数据,在LNS侧使用debugging radius packet，发现AAA验证没有通过(缺少CHAP认证信息）。,原因分析,LNS端强制本地CHAP验证，但VPDN用户端没有送CHAP验证信息,处理过程,在VPDN用户端，配置同时发送PAP和CHAP认证信息,LAC,LNS,S0/0,S0/0,VPDN User,49,L2TP故障案例

41、分析（三）,问题VPDN用户端不能获得IP地址，不能正常使用VPN服务,从调试信息可以看出3COM接入服务器和LNS之间隧道已建立，但会话没有正常建立，并且LNS端的VA虚拟子接口没有UP。,原因分析,由于LNS端配置为代理验证，而3COM接入服务器向LNS发送的代理验证信息中包含一些PPP协商不支持的属性，因而导致LNS侧VT虚拟子接口无法UP。,处理过程,在LNS端（使用,mandatory-lcp,命令）配置LCP重协商，通过让LNS与VPDN用户重新协商LCP，从而成功创建会话。,LAC,VPDN User,PC,LAC,LNS,3COM access Server,50,课程内容,包

42、过滤防火墙故障,IPSec,和,IKE,故障排除,GRE,故障排除,L2TP,故障排除,DCC,、,ISDN,故障,51,GRE故障排除,GRE故障排除综述,GRE知识简介,GRE功能和性能的常见问题,GRE故障排除的一般步骤,与GRE故障相关的display、debugging命令介绍,GRE故障案例分析,52,GRE,知识简介,GRE协议概述,网络隧道协议、承载协议和被承载协议,GRE（Generic Routing Encapsulation）是第三层隧道封装协议,GRE工作过程：加封装过程和解封装的过程,GRE能实现的服务类型,多协议的本地网通过单一协议的骨干网传输；扩大了包含跳数受限

43、协议网的工作范围；将一些不能连续的子网连接起来，用于组建VPN。,IP,GRE,IPX,乘客协议,（Passager Protocol),运载协议或封装协议,（Carrier Protocol),(Encapsulation Protocol),运输协议,（Transport Protocol),53,GRE功能和性能的常见问题,路由器之间的GRE隧道不能互通,对于两台Quidway系列路由器，如果之间的GRE隧道不能互通，首先确认物理连接是否存在问题,Tunnel两端的网络地址是否配置在同一个网段,Tunnel两端配置的识别关键字Key是否一致,54,GRE故障排除的一般步骤,第一步：检查T

44、unnel两端设备是否连通,在Tunnel端使用ping命令测试与Tunnel对端的连通性，检查两端的物理连接是否正确或链路层协议是否配对,第二步：检查Tunnel两端的配置参数和接口信息,在Tunnel两端，查看系统配置信息，并查看Tunnel接口的状态（display interface tunnel,tunnel-number,命令）。,第三步：检查Tunnel两端系统路由表,在Tunnel两端，查询系统路由表（display ip routing-table命令），确保存在到达Tunnel对端的路由。如果没有路由，请添加静态路由。,55,display、debugging,命令介绍,d

45、isplay interfaces tunnel,tunnel-number,Tunnel1 current state:UP,Line protocol current state:UP,该信息表示Tunnel1接口处于UP状态，链路层也处于UP状态。,The Maximum Transmission Unit is 64000,该信息表示MTU为64000字节。,Internet address is 3.1.1.1 255.255.255.0,该信息表示Tunnel1的网络地址为3.1.1.1；,输入/输出报文数目和错误统计,56,GRE故障案例分析,Tunnel两端接口配置正确，且Tu

46、nnel两端可以互相ping通，但PC A和PC B之间却无法ping通。,原因分析,由于Tunnel两端路由器A和B上都没有到达对端PC机的路由，因此PC A和PC B之间无法互相ping通。,处理过程,在RouterA上配置到10.2.0.0/16网段的路由经过Tunnel0接口，在路由器B上配置到10.1.0.0/16网段的路由经过Tunnel0接口。（添加静态路由或运行动态路由协议）,tunnel,PC A,PC B,S0/0,10.1.0.0/16,10.2.0.0/16,tunnel,PC A,PC B,S1/0,10.1.0.0/16,10.2.0.0/16,Router A,R

47、outer B,Router C,57,课程内容,包过滤防火墙故障,IPSec,和,IKE,故障排除,GRE,故障排除,L2TP,故障排除,DCC,、,ISDN,故障,58,DCC、ISDN故障排除,DCC、ISDN故障排除综述,DCC、ISDN知识简介,DCC功能和性能的常见问题,DCC故障排除的一般步骤,与DCC故障相关的display、debugging命令介绍,DCC故障案例分析,59,DCC、ISDN知识简介,DCC、ISDN知识简介,DCC介绍,Dial Control Center，指路由器间通过PSTN或ISDN互连时所采用的路由技术,DCC呼叫可连接PSTN网络（或者ISDN

48、网络）拨号,DCC拨号过程：链路建立阶段，链路协议协商阶段，数据传输阶段，链路挂断阶段,ISDN介绍,Integrated Services Digital Network提供端到端的数字连接,两种接口结构：基本接口（BRI）和一次群速率接口（PRI），BRI带宽为2B+D，PRI带宽为30B+D或23B+D,60,DCC功能和性能的常见问题,ISDN接口的物理故障,ISDN接口的链路故障,Modem的物理故障,同/异步Modem拨号的配置问题,无法发起拨号,拨号串设置错误,呼叫的建链过程失败呼叫冲突,用户认证失败,IP地址协商错误,PPP回呼失败,ISDN回呼失败,呼叫挂断后，再次呼叫失败,

49、61,DCC故障排除的一般步骤,检查物理连接、接口和协议,查看电缆、Modem连接,检查是否存在DCC或者用户认证等其它配置错误,使用display和debugging命令查看统计和调试信息,62,与DCC故障相关的display、debugging命令介绍,display dialer interface,interface-type interface-number,display dialer,display isdn active-channel interface t,ype number,display isdn call-info interface,type number,un

50、do debugging dialer all|event|packet,63,DCC故障案例分析（一）,Dialer接口借用Ethernet0/0 口地址时PC ping不通Router B,问题,Router A发起拨号时，实际并没有拨号。,故障处理,查看DCC不拨号的原因-IP报文被禁止拨号,原因分析,对于IP报文被禁止拨号的问题：未配置,dialer-rule,、,dialer-group,命令,Modem,Modem,PC,Modem,Async 0/0,Modem,Router A,Router B,64,DCC故障案例分析（二）,远程拨号Modem配置引起无法登录,故障检查：打开