【路由器】路由器3G类异常，即3G拨号成功但业务不通，导致3G路由器下的业务无法正常办理

1、故障现象

（1）3G路由器下的业务无法正常办理。

（2）在3G客户端路由器上通过show ip interface brief可以看到async接口能够成功获取到IP地址：

Ruijie#show ip interface brief

Interface                        IP-Address(Pri)      IP-Address(Sec)      Status                 Protocol

Async 1                          10.10.0.2              no address                 up                         up  

2、故障可能原因

（1）SIM卡欠费或VPDN业务末正确开通

（2）IPSEC ISKAMP SA协商不成功

（3）IPSEC SA协商不成功

（4）3G客户端的IPSEC感兴趣流存在重叠

（5）3G路由器或LNS路由条目错误导致数据无法正确转发

3、故障处理流程

4、故障处理步骤

步骤1：检查3G路由器与LNS是否通信正常

在3G客户端路由器上ping LNS virtual-template接口IP地址，看能否ping通。

（1）如果3G客户端可以ping通LNS的virtual-template接口IP地址，则请直接跳到“步骤2：检查IPSEC ISAKMP SA是否已经协商成功”进行排查。

（2）如果3G客户端无法ping通LNS virtual-template接口IP地址，则需进行以下步骤排查：

1）检查3G客户端async接口所获取的IP地址是否正确。如获取IP地址错误，则需检查LNS或AAA上的DHCP配置；如DHCP配置不存在问题，则需确认该SIM卡的VPDN业务是否已经正确开通。

2）如果3G客户端已经获取到正确的IP地址，但还是无法ping通LNS virtual-template接口IP地址，则需检查该SIM卡是否已经欠费。在有些省市，SIM欠费后可以拨号成功但数据不通。

步骤2：检查路由条目是否正确

通过在3G客户端路由器和LNS上执行show ip route命令来确认路由条目是否正确。

Ruijie#show ip route

......

Gateway of last resort is no set

S    172.16.0.0 async 1

......

不论3G客户端路由器与LNS上是配置静态路由、或者运行动态路由协议（如RIP、OSPF等），需要确认以下两点：

1）确认3G客户端路由器上已经有了去往目的网段（如对应的业务服务器）的路由，并且路由下一跳为对应的async接口。

2）确认LNS上已经有了去往3G客户端路由器内网网段的路由，并且路由下一跳为对应的Virtual-access接口。

• 如果发现3G客户端路由器与LNS上的路由条目存在问题（如无路由、或者路由下一跳不正确），请修改静态路由的配置或者检查动态路由协议（如RIP、OSPF等）的运行情况。
• 如果确认3G客户端路由器与LNS上的路由条目已经学习正确，请直接跳到“步骤3：检查IPSEC ISAKMP SA是否已经协商成功”步骤处理。

步骤3：检查IPSEC ISAKMP SA是否已经协商成功

通过在3G客户端路由器和LNS上执行show crypto isakmp sa命令来确认ipsec isakmp sa是否已经协商完成：

Ruijie#show crypto isakmp sa

 destination       source                      state                    conn-id           lifetime(second)

 1.1.1.2               1.1.1.1                    IKE_IDLE                  33                16 

只有输出了isakmp sa的相关信息，且isakmp sa状态为“ IKE_IDLE”，才说明ipsec isakmp sa已经协商完成。

如果确认3G客户端与LNS上都已经成功协商完成了isakmp sa，则直接跳到“步骤4：检查IPSEC  SA是否已经协商成功”步骤排查。

如果确认3G客户端与LNS上无isakmp sa，或者isakmp sa的状态非“ IKE_IDLE”，请执行如下8个排查步骤：

（1）检查3G客户端ipsec感兴趣流（加密保护子网）配置是否正确

ipsec感兴趣流通过acl定义，并在crypto map中被调用，如下配置通过acl 100定义了源为1.1.1.0/24，目的地址为2.2.2.0/24的流量，并在crypto map ruijie中调用该acl，将该流量定义为ipsec的感兴趣流。

ip access-list extended 100

 10 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

crypto map ruijie 10 ipsec-isakmp

 set peer 172.18.10.10

 set transform-set ruijie

 match address 100

该步骤检查关键点：

• 确认感兴趣流的流量定义是否正确：源为3G客户端本地内网网段、目的为需要访问的业务网段
• crypto map中调用的acl是否正确
• 一般LNS上的ipsec为动态模式，无需检查感兴趣流配置。如果LNS上配置了静态模式的ipsec，也需检查针对每个3G客户端的感兴趣流。LNS上针对每个3G客户端的感兴趣流与3G客户端上的相反。如3G客户端的感兴趣流为A→B，那么LNS上针对该3G客户端配置的感兴趣流即为B→A。

（2）检查3G客户端crypto map是否应用在async接口上

• 3G客户端的crypto map必须配置在async接口上，通过show crypto interface命令确认crypto map应用的接口：

Ruijie#show crypto interface

Async 1

 crypto map mymap

• LNS的crypto map必须配置在virtual-template接口上，通过show crypto interface命令确认crypto map应用的接口：

Ruijie#show crypto interface

Virtual-template 1

 crypto map mymap

（3）检查3G客户端ipsec peer是否指定为LNS的virtual-template接口地址

通过show run查看crypto map下配置的set peer x.x.x.x，peer地址是否正确。

• 3G客户端的ipsec peer地址应为LNS的virtual-template接口地址

Ruijie#show run

....

crypto map mymap 10 ipsec-isakmp

 set peer 172.18.10.12     //该地址为LNS的virtual-template接口地址

 set transform-set myset

 match address 100

• LNS一般使用动态模式的ipsec，无需配置peer地址。如果LNS使用静态模式的ipsec，则其ipsec peer地址应为各3G客户端async接口的地址。

（4）检查设备路由表中，关于ipsec感兴趣流的路由条目是否正确。

通过show ip route命令确认路由表中，感兴趣流目的地址的下一跳是否为3G拨号接口（async接口）。

（5）检查ipsec两端IKE协商的工作模式是否一致

ipsec工作模式有两种：主模式和积极模式（默认情况下是主模式） ，可以通过show run来查看是否进行了相关的模式配置：

crypto map mymap 10 ipsec-isakmp

  set exchange-mode aggressive     //如果末配置该命令，则说明是采用默认的主模式进行协商。

（6）检查ipsec两端IKE策略配置是否匹配

路由器默认就存在一个IKE策略，并且可以手动再配置多个；在协商时ipsec两端必需存在至少1个相同的策略（两个策略相同指的是加密算法、hash算法、认证方式（预共享密码或数字证书）、DH组一致，但lifetime可以不一致）；可以通过show crypto policy命令来查看路由器上配置的IKE策略。

Ruijie#show crypto isakmp policy

Protection suite of priority 1

   encryption algorithm:   DES - Data Encryption Standard (56 bit keys).

   hash algorithm:         Secure Hash Standard

   authentication method:  Pre-Shared Key

   Diffie-Hellman group:   #1 (768 bit)

   lifetime:               86400 seconds

Default protection suite

   encryption algorithm:   DES - Data Encryption Standard (56 bit keys).

   hash algorithm:         Secure Hash Standard

   authentication method:  Rsa-Sig

   Diffie-Hellman group:   #1 (768 bit)

   lifetime:               86400 seconds

如果两边的IKE策略不一致，请通过如下命令在两边都增加一个相同的IKE策略：

Ruijie(config)#crypto isakmp policy x

Ruijie(isakmp-policy)#authentication xxx

Ruijie(isakmp-policy)#encryption xxx

Ruijie(isakmp-policy)#group x

Ruijie(isakmp-policy)#hash x

（7）检查ipsec两端配置的预共享密钥是否一致、或者数字证书是否匹配。

1）ipsec两端使用预共享密钥进行验证时

可以通过show run来查看所配置的预共享密钥，配置命令为：

crypto isakmp key 7 035122110c3706 address 172.18.10.10

此处需检查两点：

• address后的IP为ipsec对端地址，需配置正确
• 两端密钥配置一致（由于show run中看到的密钥是经过加密的，并且相同字符串在每台设备上加密显示出来的都不一样，因此建议两边重新配置一次正确的密钥，以确保两边密钥一致）

2）ipsec两端使用数字证书进行验证时

通过show crypto pki certificates命令可以查看设备导入的数字证书信息。需确认以下点：

• 通过show clock命令查看设备系统时间是否正确，如果时间不正确可通过clock set命令调整，或者配置NTP服务器。

Ruijie#clock set 13:30:00 11 8 2012  //调整设备系统时间为2012年11月8日13点30分0秒

Ruijie(config)#ntp server x.x.x.x         //配置NTP服务器

• 确保ipsec两端都已经导入了数字证书，如果末导入请重新导入正确的数字证书。
• 确保ipsec两端的数字证书都在有效期内（即路由器系统时钟在数字证书的有效期时间内）
• 确保ipsec两端CA根证书信息一致。输出中”% CA certificate info: “之后到”% Router certificate info: “之前的内容为CA根证书信息。ipsec两端CA根证书信息必须一致，否则ipsec peer无法验证通过。

show crypto pki certificates命令的详细输出如下：

Ruijie#show crypto pki certificates

% CA certificate info: 

Certificate:

    Data:

        Version: 3 (0x2)

        Serial Number:

            73:a0:79:06:ea:6d:14:96

        Signature Algorithm: sha1WithRSAEncryption

        Issuer: CN=Psbc3GCA, O=PSBC, C=CN

        Validity

            Not Before: Dec 28 09:56:49 2011 GMT           //证书生效时间

            Not After : Nov  8 08:24:04 2021 GMT             //证书失效时间

        Subject: CN=Guangdong3GCA, O=GuangdongPSBC, C=CN

        Subject Public Key Info:

            Public Key Algorithm: rsaEncryption

            RSA Public Key: (1024 bit)

                Modulus (1024 bit):

                    00:90:47:d2:af:a3:25:61:7f:19:34:9c:0b:74:b8:

                    7e:37:68:15:93:97:71:de:f1:ec:a2:d5:91:1a:be:

.......................................

（8）如果通过以上步骤排查，且确认配置方面没有问题，但触发ipsec感兴趣流后，show crypto isakmp sa还是无法看到有isakmp sa协商成功，则请搜集ipsec两端设备的如下信息联系4008-111000协助处理：

show version

show version slot

show slot

show run

show log

show ip route

show crypto isakmp sa

show crypto ipsec sa

-----------------------------------------------------------------------------------------------------------

*/注意，clear操作或开启debug调试可能影响客户在网业务，请与客户沟通后谨慎使用！！！/*

先clear老sa，打开如下debug信息，触发ipsec感兴趣流，搜集ipsec协商过程中的debug信息

clear crypto isakmp

clear crypto sa

debug crypto isakmp

debug crypto ipsec

*/注意，debug信息搜集完成后，必须通过undebug all命令关闭所有debug调试，否则可能会对客户在网业务造成持续影响/*

-----------------------------------------------------------------------------------------------------------

步骤4：检查IPSEC  SA是否已经协商成功

通过在3G客户端路由器和LNS上执行show crypto ipsec sa命令来确认ipsec  sa是否已经协商完成：

Ruijie#show crypto ipsec sa

Interface: Async 1

         Crypto map tag:3gtest

  local ipv4 addr 135.2.18.23

         media mtu 1500

         ==================================

         sub_map type:static, seqno:1, id=1

         local  ident (addr/mask/prot/port): (10.119.204.64/0.0.0.15/0/0))         //感兴趣流源地址

         remote  ident (addr/mask/prot/port): (0.0.0.0/255.255.255.255/0/0))   //感兴趣流目的地址

         PERMIT

         #pkts encaps: 30951, #pkts encrypt: 30951, #pkts digest 0

         #pkts decaps: 23636, #pkts decrypt: 23636, #pkts verify 0

         #send errors 157, #recv errors 0

         Inbound esp sas:

              spi:0xce00b96 (216009622)

               transform: esp-sm1

               in use settings={Tunnel Encaps,}

               crypto map 3gtest 1

               sa timing: remaining key lifetime (k/sec): (4606670/2933)

               IV size: 16 bytes

               Replay detection support:N

         Outbound esp sas:

              spi:0x3d71525c (1030836828)

               transform: esp-sm1

               in use settings={Tunnel Encaps,}

               crypto map 3gtest 1

               sa timing: remaining key lifetime (k/sec): (4606670/2933)

               IV size: 16 bytes

               Replay detection support:N

只有输出中包含了 Inbound esp sas和 Outbound esp sas，才说明ipsec sa已经协商完成。

如果确认3G客户端与LNS上都已经成功协商完成了ipsec sa，则直接跳到“步骤5：检查IPSEC感兴趣流是否重叠”步骤排查。

如果确认3G客户端与LNS上ipsec sa末协商成功，请执行如下3个步骤排查：

（1）检查ipsec两端transform-set策略配置是否匹配。

通过使用show crypto ipsec transform-set命令来查看路由器上所配置的转换集合策略。

Ruijie#show crypto ipsec transform-set

transform set myset: { esp-sha-hmac,esp-aes-128,}    //myset转换集的加密、认证算法

        will negotiate = {Tunnel,}                                     //myset转换集的封装模式为tunnel

transform set myset2: { ah-md5-hmac,esp-3des,}

        will negotiate = {Tunnel,}

ipsec两端必须存在至少1个相同的transform-set（加密、认证和封装模式都相同），ipsec sa才能够协商成功。

如果两边没有相同的的transform-set，需修改配置使两端存在至少1个相同的transform-set，通过如下命令进行transform-set修改或配置：

Ruijie#config terminal

Ruijie(config)#crypto ipsec transform-set xxx

（2）检查ipsec两端的感兴趣流配置是否匹配。（注：3G场景下LNS端一般使用动态ipsec模式，LNS自动学习3G客户端所配置的ipsec感兴趣流，因此无需检查该项。）

如果两边配置的的为静态模式的ipsec，需检查两边的感兴趣流配置是否匹配。ipsec感兴趣流通过acl定义，并在crypto map中被调用，如下配置通过acl 100定义了源为1.1.1.0/24，目的地址为2.2.2.0/24的流量，并在crypto map ruijie中调用该acl，将该流量定义为ipsec的感兴趣流。

ip access-list extended 100

 10 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255

crypto map ruijie 10 ipsec-isakmp

 set peer 172.18.10.10

 set transform-set ruijie

 match address 100

如果本端配置了如上1.1.1.0/24→2.2.2.0/24这样的感兴趣流，则对端应该配置一个相对称（源目地址调换）的感兴趣流：2.2.2.0/24→1.1.1.0/24。

如果感兴趣流不对称则ipsec sa无法协商成功。

（3）如果通过以上步骤排查，且确认配置方面没有问题，但触发ipsec感兴趣流后，show crypto ipsec sa还是无法看到有ipsec sa协商成功，则请搜集ipsec两端设备的如下信息联系4008-111000协助处理：

show version

show run

show log

show ip route

-----------------------------------------------------------------------------------------------------------

*/注意，clear操作或开启debug调试可能影响客户在网业务，请与客户沟通后谨慎使用！！！/*

先clear老sa，打开如下debug信息，触发ipsec感兴趣流，搜集ipsec协商过程中的debug信息

clear crypto isakmp

clear crypto sa

debug crypto isakmp

debug crypto ipsec      //打开以上两个debug后重新触发ipsec感兴趣流，搜集ipsec协商过程中的debug信息

*/注意，debug信息搜集完成后，必须通过undebug all命令关闭所有debug调试，否则可能会对客户在网业务造成持续影响/*

-----------------------------------------------------------------------------------------------------------

步骤5：检查IPSEC感兴趣流是否重叠

通过在LNS上执行show crypto ipsec sa命令来查看LNS上所有的ipsec sa信息，确认是否有ipsec感兴趣流重叠的3G客户端拨上来。

Ruijie#show crypto ipsec sa

Interface: va0

         Crypto map tag:3gtest

  local ipv4 addr 135.2.18.23

         media mtu 1500

         ==================================

         sub_map type:static, seqno:1, id=1

         local  ident (addr/mask/prot/port): (10.119.204.64/0.0.0.15/0/0))         //感兴趣流源地址

         remote  ident (addr/mask/prot/port): (0.0.0.0/255.255.255.255/0/0))   //感兴趣流目的地址

         PERMIT

.........

感兴趣流重叠指的是不同客户端的感兴趣流间存在包含关系，如以下：

3G客户端A的感兴趣流为：192.168.0.0/24→172.16.0.0/16

3G客户端B的感兴趣流为：192.168.0.0/16→172.16.0.0/16

由于192.168.0.0/24子网属于192.168.0.0/16子网，因此3G客户端A与3G客户端B的感兴趣流重叠了，如果这两个客户端都与LNS成功协商了ipsec sa，那么其中一个客户端可能无法通信。

• 如果发现部分3G客户端的感兴趣流存在重叠，请修改部分3G客户端的感兴趣流配置后，重新触发拨号。
• 如果确认所有3G客户端都不存在重叠的感兴趣流，则直接跳到“步骤6：收集信息后，请联系4008111000协助处理”步骤。

步骤6：收集信息后，请联系4008111000协助处理

如果经以上5个步骤排查后故障无法解决，请搜集如下故障信息并联系4008-111000协助处理。

（1）搜集3G客户端如下故障信息：

show version

show lc-version（10.4（3B12）之前的版本需将配置线插入SIC-3G卡的console口，在特权模式输入show version，查看SIC-3G卡版本。）

show slot

show run

show log

show ip interface brief

show interface

show ip route

show cellular info  //每隔10秒搜集1次，共搜集3次

show crypto iskamp sa

show crypto ipsec sa    //在PC或路由器上ping触发感兴趣流再搜集该命令，每隔10秒搜集1次，共搜集3次

-----------------------------------------------------------------------------------------------------------

*/注意，clear操作或开启debug调试可能影响客户在网业务，请与客户沟通后谨慎使用！！！/*

打开如下debug信息，然后shutdown async接口，再no shutdown，重新触发3G拨号，搜集拨号相关debug信息：

debug chat

debug ppp negotiation

debug ppp authentiation

搜集完以上信息后，通过undebug all命令关闭所有debug调试，然后重新继续搜集如下信息：

先clear老sa，打开如下debug信息，触发ipsec感兴趣流，搜集ipsec协商过程中的debug信息

clear crypto isakmp

clear crypto sa

debug crypto isakmp

debug crypto ipsec      //打开以上两个debug后重新触发ipsec感兴趣流，搜集ipsec协商过程中的debug信息

*/注意，debug信息搜集完成后，必须通过undebug all命令关闭所有debug调试，否则可能会对客户在网业务造成持续影响/*

-----------------------------------------------------------------------------------------------------------

（2）搜集LNS如下故障信息：

show version

show slot

show version slot

show run

show log

show ip interface brief

show interface

show ip route

show crypto iskamp sa

show crypto ipsec sa   //在PC或路由器上ping触发感兴趣流再搜集该命令，每隔10秒搜集1次，共搜集3次

show vpdn tunnel

show vpdn session

-----------------------------------------------------------------------------------------------------------

*/注意，clear操作或开启debug调试可能影响客户在网业务，请与客户沟通后谨慎使用！！！/*

重新触发3G客户端拨号，打开如下debug信息，搜集VPDN协商信息：

debug vpdn l2x-events

debug vpdn l2x-packets

debug vpdn l2x-errors

搜集完以上信息后，通过undebug all命令关闭所有debug调试，然后重新继续搜集如下信息：

先clear老sa后，打开如下debug信息，触发ipsec感兴趣流，搜集ipsec协商过程中的debug信息：

clear crypto isakmp

clear crypto sa

debug crypto isakmp

debug crypto ipsec      //打开以上两个debug后重新触发ipsec感兴趣流，搜集ipsec协商过程中的debug信息

搜集完以上信息后，通过undebug all命令关闭所有debug调试。

*/注意，debug信息搜集完成后，必须通过undebug all命令关闭所有debug调试，否则可能会对客户在网业务造成持续影响/*

-----------------------------------------------------------------------------------------------------------