2020网络DVPN故障排查.docx

DVPN故障排查一、开始DVPN采用Client/Server模式，工作在TCP/IP协议栈的应用层。DVPN支持UDP和GRE两种隧道类型，按照工作方式的不同，可将一个VPN域中的设备划分为一个SerVer和多个Client,SerVer的公网地址为静态地址，CIient的公网地址既可以静态配置也可以动态获取，而Client的私网地址则需要按照规划静态分配。在同一个VPN域内，要求所有节点的私网地址在同一个网段内。DVPN排错的定位思路是：首先检查设备间的连通情况，然后检查VAMSerVer上的设备注册情况，最后检查HUb、SPoke间的设备间的隧道建立情况。1 .检查设备连通情况分别查看不同设备间的网络连通情况，如果设备之间不能够Ping通，则怀疑设备间物理连线或者接口配置有问题。命令：Pingdestination-ip-address例如：通过命令设备间的连接情况，如下H3Cping192.168.1.4PING192.168.1.4:56databytes,pressCTRL_CtobreakReplyfrom192.168.1.4：bytes=56Sequence=Ott1=255time=lmsReplyfrom192.168.1.4：byles=56Sequence=Itt1=255time二1msReplyfrom192.168.1.4：bytes=56Sequence=2tt1=255time=lmsReplyfrom192.168.1.4:bytes=56SeqUence=3111=255time=1msReplyfrom192.168.1.4:by,tes三56SeqUenCe=4t.tl三255Iim=Ims192.168.1.4pingstatistics5 packet(s)transmitted6 packet(s)received7 .00%packetlossround-tripdnavgmax=1/1/1ms2 .检查VAMSeVer上设备注册状态若HUb和Spoke设备中某一设备没有注册到VAMSever,则说明该设备与VAMSerVer之间的链路存在问题，下一步则要检查该设备与VAMSerVer上的配置参数是否一致。命令：displayvamserveraddress-mapall例如：通过命令查看VAMSerVer上设备的注册状态，如果其中有一台SPoke或者HUb设备没有注册到VAMSerVer上，该设备将不会显示出来。如下，所有的HUb和SPOke设备均已经注册到了VAMServeroTYa>dispay丫噩serveraddress-napallVPNname：1Totaladdress-mapnumber：4Private-ipPublic-igTypeHoldingtime10.0.1.1192.168.1.1HubOH4119S10.0.1.2192.168.1.2HubOH38三57S10.0.1.3192.168.1.3SpokeOH40M46S10.0.1.4192.168.1.4SpokeOH40M25SVPNname：2Totaladdress-mapnumber：3Private-ipPublic-ijjTypeHoldingtime10.0.2.1192.168.1.1HubOH41K19S10.0.2.2192.168.1.2HubOH38M57S10.0.2.4192.168.1.4SpokeOH40125S3.检查VAMSeVer设备配置情况在VAMSeVer需要检查监听IP地址、预共享密钥、本地用户名及密码，与HUb和SPoke设备上的设置是否一致，如果不一致将会导致HUb和SPoke设备无法注册到VAMSever±o#Varoserverip192.168.1.22指定VAMServer上的监听IP地址#Vamservervn1创建VPN,域ID为1serverenablepre-shared-keySinVle123设置帧共享W钥hubprivate-10.0.1.1指定VPN1的两个HUb地址hubprivate-i10.0.1.2#local-userdvpnlhubl创建本地Hub用户passwordSinVIedvpnlhubl/诲置用户而码authorization-attributelevel3service-typedvpn即矣二型设置为DVPNIocaltiserdvpnlspokT创建7地Spoke用户passwordsimpledvpnlspokel设置用户S?码authorization-attributelevel3sendee-type<yppJ8j!4.检查HUB设备相欠配置检查VAMCIient是否启动，HUb设备上的相关配置参数要与服务器上的相关参数是否一致，必须保持一致，才能够使得该设备正确注册到VAMServerJs,如下：#vainclientnamedvpnlhublclientenableserverprimaryig-address192.168.1.22对应于VAMServer地址userdvpnlhublpasswordsimpledvpnlhubl对应于VAMSerVer上用户名和密码Pre-Shared-keyciphersimple123设置预共享密钥#5检查SPoke设备相关配置检查VAMCIient是否启动，SPoke设备上的相关配置参数要与服务器上的相关参数必须保持一致，才能够使得该设备正确注册到VAMServerJs,如下：#vainclientnamedvpnlspokelclientenableserverprimaryig-address192.168.1.22对应于VAMServer地址userdvpnlspokelpasswordsimpledvpnlspokel对应于VAMSerVer上用户名密码Pre-Shared-keyciphersimple123设置预共享密钥#6.查看设备隧道建立情况HUb设备和SPoke设备之间，HUb设备和HUb设备之间常见的问题主要是链路问题，可在HUb设备上检查HUB与其他设备之间建立起的隧道信息O命令：displaydvpnsessionall例如：查看HUb设备上的隧道建立信息，如果有其中一台设备没有能与之建立起隧道信息，则将不会在信息中显示出来。如下，其他HUb和SPOke设备与该设备之间均正常建立起了隧道。<hubl>displaydvpnsessionallInterface：TunnellVPNname：1Totalnumber：3PrivateIP:10.0.1.2PublicIP:192,168.1.2Sessiontype：Hub-HubState：SUCCESSHoldingtime：OhIOm15sInput：81packets,80datapackets,1controlpackets73例簌均0errorsOutput：83packets,82datapackets,1controlpackets71multicasts,0errorsPrivateIP:10.0.1.3PublicIP:192,168.1.3Sessiontype：Hub-SpokeState:SUCCESSHoldingtime:Oh12n4sInput:98packets,97datapackets,1controlpackets89Inulticasts,0errorsOutput：106packets,105datapackets,1controlpackets90ulticasts,0errors从SPoke设备检查隧道的建立情况时，要首先考虑DVPN的组网类型是属于哪一种。DVPN有两种典型的组网结构，FUll-MeSh网络和HUb-SPOke网络。1、Full-息交换的中心。MeSh网络中，SPOke之间可以建立隧道直接通信，HIlb主要作为路由信!Administrator2015-12-1303:13:442、HUb-广一二二人SPoke网络中，SPoke之间不能建立隧道直接通信，只能瑞窑寡黑Za蓼亶Shb据，HUb既作为路由信息交换的中心，又作为数据转发第I命令：displaydvpnsessionall版权所有:杭州华三通信技术有限公司例如，在HUB-SPoke网络中，通过该命令检查，SPoke与HUb之间建立起的隧道情况,当链路不通时，将无法建立。spokeldissessionallInterface：TunnellVPNname:1Totalnumber:2PrivateIP:PublicIP:SessiontypeState：Holdingtime10.0.1.2192.168.1.2j：Spoke-HubSUCCESSj：Oh40m2spackets,257datapackets,multicasts.0errorspackets,726datapackets,1controlpackets1controlpacketsInput：Output:258252727250multicasts.0W'*v*v*WW*v*v*ZrerrorsPrivatePublic：SessionState：HoldingInput：IP:10.0.1.1P:192,168.1.1type：Spoke-HubSUCCESStime：Oh43m3s299packets,298datapackets,1controlpacketsOutput：281291Inulticasts,0packets,290errorsdatapackets,1controlpackets280multicasts.0errors7检查HUB隧道配置在HUb上需要检查隧道配置参数与其他HUb和SPoke上的隧道配置参数是否一致，对等体预共享密钥、安全协议验证算法、tunnel封装协议以及网络类型是否一致，如果不一致将会导致隧道无法建立起来。ipeerVaJDpre-shared-keyabcde/¾LIKE对等传#ipsectransforr-setvam/RS匹J安全提议encapsulation-nodetunneltransformespespauthendcation-algorithmshal#ipsecprofilevap/小直IPSo二交全框架pfs-group2ike-peerVamtransforrsetVeuDsadurationtraffic-based6000*interfaceTunnellipaddress10.0.1.1255.255.25