交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
1、故障现象
(1)3G路由器下的业务无法正常办理。
(2)在3G客户端路由器上通过show ip interface brief可以看到async接口能够成功获取到IP地址:
Ruijie#show ip interface brief
Interface IP-Address(Pri) IP-Address(Sec) Status Protocol
Async 1 10.10.0.2 no address up up
2、故障可能原因
(1)SIM卡欠费或VPDN业务末正确开通
(2)IPSEC ISKAMP SA协商不成功
(3)IPSEC SA协商不成功
(4)3G客户端的IPSEC感兴趣流存在重叠
(5)3G路由器或LNS路由条目错误导致数据无法正确转发
3、故障处理流程
4、故障处理步骤
步骤1:检查3G路由器与LNS是否通信正常
在3G客户端路由器上ping LNS virtual-template接口IP地址,看能否ping通。
(1)如果3G客户端可以ping通LNS的virtual-template接口IP地址,则请直接跳到“步骤2:检查IPSEC ISAKMP SA是否已经协商成功”进行排查。
(2)如果3G客户端无法ping通LNS virtual-template接口IP地址,则需进行以下步骤排查:
1)检查3G客户端async接口所获取的IP地址是否正确。如获取IP地址错误,则需检查LNS或AAA上的DHCP配置;如DHCP配置不存在问题,则需确认该SIM卡的VPDN业务是否已经正确开通。
2)如果3G客户端已经获取到正确的IP地址,但还是无法ping通LNS virtual-template接口IP地址,则需检查该SIM卡是否已经欠费。在有些省市,SIM欠费后可以拨号成功但数据不通。
步骤2:检查路由条目是否正确
通过在3G客户端路由器和LNS上执行show ip route命令来确认路由条目是否正确。
Ruijie#show ip route
......
Gateway of last resort is no set
S 172.16.0.0 async 1
......
不论3G客户端路由器与LNS上是配置静态路由、或者运行动态路由协议(如RIP、OSPF等),需要确认以下两点:
1)确认3G客户端路由器上已经有了去往目的网段(如对应的业务服务器)的路由,并且路由下一跳为对应的async接口。
2)确认LNS上已经有了去往3G客户端路由器内网网段的路由,并且路由下一跳为对应的Virtual-access接口。
步骤3:检查IPSEC ISAKMP SA是否已经协商成功
通过在3G客户端路由器和LNS上执行show crypto isakmp sa命令来确认ipsec isakmp sa是否已经协商完成:
Ruijie#show crypto isakmp sa
destination source state conn-id lifetime(second)
1.1.1.2 1.1.1.1 IKE_IDLE 33 16
只有输出了isakmp sa的相关信息,且isakmp sa状态为“ IKE_IDLE”,才说明ipsec isakmp sa已经协商完成。
如果确认3G客户端与LNS上都已经成功协商完成了isakmp sa,则直接跳到“步骤4:检查IPSEC SA是否已经协商成功”步骤排查。
如果确认3G客户端与LNS上无isakmp sa,或者isakmp sa的状态非“ IKE_IDLE”,请执行如下8个排查步骤:
(1)检查3G客户端ipsec感兴趣流(加密保护子网)配置是否正确
ipsec感兴趣流通过acl定义,并在crypto map中被调用,如下配置通过acl 100定义了源为1.1.1.0/24,目的地址为2.2.2.0/24的流量,并在crypto map ruijie中调用该acl,将该流量定义为ipsec的感兴趣流。
ip access-list extended 100
10 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
crypto map ruijie 10 ipsec-isakmp
set peer 172.18.10.10
set transform-set ruijie
match address 100
该步骤检查关键点:
(2)检查3G客户端crypto map是否应用在async接口上
Ruijie#show crypto interface
Async 1
crypto map mymap
Ruijie#show crypto interface
Virtual-template 1
crypto map mymap
(3)检查3G客户端ipsec peer是否指定为LNS的virtual-template接口地址
通过show run查看crypto map下配置的set peer x.x.x.x,peer地址是否正确。
Ruijie#show run
....
crypto map mymap 10 ipsec-isakmp
set peer 172.18.10.12 //该地址为LNS的virtual-template接口地址
set transform-set myset
match address 100
(4)检查设备路由表中,关于ipsec感兴趣流的路由条目是否正确。
通过show ip route命令确认路由表中,感兴趣流目的地址的下一跳是否为3G拨号接口(async接口)。
(5)检查ipsec两端IKE协商的工作模式是否一致
ipsec工作模式有两种:主模式和积极模式(默认情况下是主模式) ,可以通过show run来查看是否进行了相关的模式配置:
crypto map mymap 10 ipsec-isakmp
set exchange-mode aggressive //如果末配置该命令,则说明是采用默认的主模式进行协商。
(6)检查ipsec两端IKE策略配置是否匹配
路由器默认就存在一个IKE策略,并且可以手动再配置多个;在协商时ipsec两端必需存在至少1个相同的策略(两个策略相同指的是加密算法、hash算法、认证方式(预共享密码或数字证书)、DH组一致,但lifetime可以不一致);可以通过show crypto policy命令来查看路由器上配置的IKE策略。
Ruijie#show crypto isakmp policy
Protection suite of priority 1
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Pre-Shared Key
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds
Default protection suite
encryption algorithm: DES - Data Encryption Standard (56 bit keys).
hash algorithm: Secure Hash Standard
authentication method: Rsa-Sig
Diffie-Hellman group: #1 (768 bit)
lifetime: 86400 seconds
如果两边的IKE策略不一致,请通过如下命令在两边都增加一个相同的IKE策略:
Ruijie(config)#crypto isakmp policy x
Ruijie(isakmp-policy)#authentication xxx
Ruijie(isakmp-policy)#encryption xxx
Ruijie(isakmp-policy)#group x
Ruijie(isakmp-policy)#hash x
(7)检查ipsec两端配置的预共享密钥是否一致、或者数字证书是否匹配。
1)ipsec两端使用预共享密钥进行验证时
可以通过show run来查看所配置的预共享密钥,配置命令为:
crypto isakmp key 7 035122110c3706 address 172.18.10.10
此处需检查两点:
2)ipsec两端使用数字证书进行验证时
通过show crypto pki certificates命令可以查看设备导入的数字证书信息。需确认以下点:
Ruijie#clock set 13:30:00 11 8 2012 //调整设备系统时间为2012年11月8日13点30分0秒
Ruijie(config)#ntp server x.x.x.x //配置NTP服务器
show crypto pki certificates命令的详细输出如下:
Ruijie#show crypto pki certificates
% CA certificate info:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
73:a0:79:06:ea:6d:14:96
Signature Algorithm: sha1WithRSAEncryption
Issuer: CN=Psbc3GCA, O=PSBC, C=CN
Validity
Not Before: Dec 28 09:56:49 2011 GMT //证书生效时间
Not After : Nov 8 08:24:04 2021 GMT //证书失效时间
Subject: CN=Guangdong3GCA, O=GuangdongPSBC, C=CN
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (1024 bit)
Modulus (1024 bit):
00:90:47:d2:af:a3:25:61:7f:19:34:9c:0b:74:b8:
7e:37:68:15:93:97:71:de:f1:ec:a2:d5:91:1a:be:
.......................................
(8)如果通过以上步骤排查,且确认配置方面没有问题,但触发ipsec感兴趣流后,show crypto isakmp sa还是无法看到有isakmp sa协商成功,则请搜集ipsec两端设备的如下信息联系4008-111000协助处理:
show version
show version slot
show slot
show run
show log
show ip route
show crypto isakmp sa
show crypto ipsec sa
-----------------------------------------------------------------------------------------------------------
*/注意,clear操作或开启debug调试可能影响客户在网业务,请与客户沟通后谨慎使用!!!/*
先clear老sa,打开如下debug信息,触发ipsec感兴趣流,搜集ipsec协商过程中的debug信息
clear crypto isakmp
clear crypto sa
debug crypto isakmp
debug crypto ipsec
*/注意,debug信息搜集完成后,必须通过undebug all命令关闭所有debug调试,否则可能会对客户在网业务造成持续影响/*
-----------------------------------------------------------------------------------------------------------
步骤4:检查IPSEC SA是否已经协商成功
通过在3G客户端路由器和LNS上执行show crypto ipsec sa命令来确认ipsec sa是否已经协商完成:
Ruijie#show crypto ipsec sa
Interface: Async 1
Crypto map tag:3gtest
local ipv4 addr 135.2.18.23
media mtu 1500
==================================
sub_map type:static, seqno:1, id=1
local ident (addr/mask/prot/port): (10.119.204.64/0.0.0.15/0/0)) //感兴趣流源地址
remote ident (addr/mask/prot/port): (0.0.0.0/255.255.255.255/0/0)) //感兴趣流目的地址
PERMIT
#pkts encaps: 30951, #pkts encrypt: 30951, #pkts digest 0
#pkts decaps: 23636, #pkts decrypt: 23636, #pkts verify 0
#send errors 157, #recv errors 0
Inbound esp sas:
spi:0xce00b96 (216009622)
transform: esp-sm1
in use settings={Tunnel Encaps,}
crypto map 3gtest 1
sa timing: remaining key lifetime (k/sec): (4606670/2933)
IV size: 16 bytes
Replay detection support:N
Outbound esp sas:
spi:0x3d71525c (1030836828)
transform: esp-sm1
in use settings={Tunnel Encaps,}
crypto map 3gtest 1
sa timing: remaining key lifetime (k/sec): (4606670/2933)
IV size: 16 bytes
Replay detection support:N
只有输出中包含了 Inbound esp sas和 Outbound esp sas,才说明ipsec sa已经协商完成。
如果确认3G客户端与LNS上都已经成功协商完成了ipsec sa,则直接跳到“步骤5:检查IPSEC感兴趣流是否重叠”步骤排查。
如果确认3G客户端与LNS上ipsec sa末协商成功,请执行如下3个步骤排查:
(1)检查ipsec两端transform-set策略配置是否匹配。
通过使用show crypto ipsec transform-set命令来查看路由器上所配置的转换集合策略。
Ruijie#show crypto ipsec transform-set
transform set myset: { esp-sha-hmac,esp-aes-128,} //myset转换集的加密、认证算法
will negotiate = {Tunnel,} //myset转换集的封装模式为tunnel
transform set myset2: { ah-md5-hmac,esp-3des,}
will negotiate = {Tunnel,}
ipsec两端必须存在至少1个相同的transform-set(加密、认证和封装模式都相同),ipsec sa才能够协商成功。
如果两边没有相同的的transform-set,需修改配置使两端存在至少1个相同的transform-set,通过如下命令进行transform-set修改或配置:
Ruijie#config terminal
Ruijie(config)#crypto ipsec transform-set xxx
(2)检查ipsec两端的感兴趣流配置是否匹配。(注:3G场景下LNS端一般使用动态ipsec模式,LNS自动学习3G客户端所配置的ipsec感兴趣流,因此无需检查该项。)
如果两边配置的的为静态模式的ipsec,需检查两边的感兴趣流配置是否匹配。ipsec感兴趣流通过acl定义,并在crypto map中被调用,如下配置通过acl 100定义了源为1.1.1.0/24,目的地址为2.2.2.0/24的流量,并在crypto map ruijie中调用该acl,将该流量定义为ipsec的感兴趣流。
ip access-list extended 100
10 permit ip 1.1.1.0 0.0.0.255 2.2.2.0 0.0.0.255
crypto map ruijie 10 ipsec-isakmp
set peer 172.18.10.10
set transform-set ruijie
match address 100
如果本端配置了如上1.1.1.0/24→2.2.2.0/24这样的感兴趣流,则对端应该配置一个相对称(源目地址调换)的感兴趣流:2.2.2.0/24→1.1.1.0/24。
如果感兴趣流不对称则ipsec sa无法协商成功。
(3)如果通过以上步骤排查,且确认配置方面没有问题,但触发ipsec感兴趣流后,show crypto ipsec sa还是无法看到有ipsec sa协商成功,则请搜集ipsec两端设备的如下信息联系4008-111000协助处理:
show version
show run
show log
show ip route
-----------------------------------------------------------------------------------------------------------
*/注意,clear操作或开启debug调试可能影响客户在网业务,请与客户沟通后谨慎使用!!!/*
先clear老sa,打开如下debug信息,触发ipsec感兴趣流,搜集ipsec协商过程中的debug信息
clear crypto isakmp
clear crypto sa
debug crypto isakmp
debug crypto ipsec //打开以上两个debug后重新触发ipsec感兴趣流,搜集ipsec协商过程中的debug信息
*/注意,debug信息搜集完成后,必须通过undebug all命令关闭所有debug调试,否则可能会对客户在网业务造成持续影响/*
-----------------------------------------------------------------------------------------------------------
步骤5:检查IPSEC感兴趣流是否重叠
通过在LNS上执行show crypto ipsec sa命令来查看LNS上所有的ipsec sa信息,确认是否有ipsec感兴趣流重叠的3G客户端拨上来。
Ruijie#show crypto ipsec sa
Interface: va0
Crypto map tag:3gtest
local ipv4 addr 135.2.18.23
media mtu 1500
==================================
sub_map type:static, seqno:1, id=1
local ident (addr/mask/prot/port): (10.119.204.64/0.0.0.15/0/0)) //感兴趣流源地址
remote ident (addr/mask/prot/port): (0.0.0.0/255.255.255.255/0/0)) //感兴趣流目的地址
PERMIT
.........
感兴趣流重叠指的是不同客户端的感兴趣流间存在包含关系,如以下:
3G客户端A的感兴趣流为:192.168.0.0/24→172.16.0.0/16
3G客户端B的感兴趣流为:192.168.0.0/16→172.16.0.0/16
由于192.168.0.0/24子网属于192.168.0.0/16子网,因此3G客户端A与3G客户端B的感兴趣流重叠了,如果这两个客户端都与LNS成功协商了ipsec sa,那么其中一个客户端可能无法通信。
步骤6:收集信息后,请联系4008111000协助处理
如果经以上5个步骤排查后故障无法解决,请搜集如下故障信息并联系4008-111000协助处理。
(1)搜集3G客户端如下故障信息:
show version
show lc-version(10.4(3B12)之前的版本需将配置线插入SIC-3G卡的console口,在特权模式输入show version,查看SIC-3G卡版本。)
show slot
show run
show log
show ip interface brief
show interface
show ip route
show cellular info //每隔10秒搜集1次,共搜集3次
show crypto iskamp sa
show crypto ipsec sa //在PC或路由器上ping触发感兴趣流再搜集该命令,每隔10秒搜集1次,共搜集3次
-----------------------------------------------------------------------------------------------------------
*/注意,clear操作或开启debug调试可能影响客户在网业务,请与客户沟通后谨慎使用!!!/*
打开如下debug信息,然后shutdown async接口,再no shutdown,重新触发3G拨号,搜集拨号相关debug信息:
debug chat
debug ppp negotiation
debug ppp authentiation
搜集完以上信息后,通过undebug all命令关闭所有debug调试,然后重新继续搜集如下信息:
先clear老sa,打开如下debug信息,触发ipsec感兴趣流,搜集ipsec协商过程中的debug信息
clear crypto isakmp
clear crypto sa
debug crypto isakmp
debug crypto ipsec //打开以上两个debug后重新触发ipsec感兴趣流,搜集ipsec协商过程中的debug信息
*/注意,debug信息搜集完成后,必须通过undebug all命令关闭所有debug调试,否则可能会对客户在网业务造成持续影响/*
-----------------------------------------------------------------------------------------------------------
(2)搜集LNS如下故障信息:
show version
show slot
show version slot
show run
show log
show ip interface brief
show interface
show ip route
show crypto iskamp sa
show crypto ipsec sa //在PC或路由器上ping触发感兴趣流再搜集该命令,每隔10秒搜集1次,共搜集3次
show vpdn tunnel
show vpdn session
-----------------------------------------------------------------------------------------------------------
*/注意,clear操作或开启debug调试可能影响客户在网业务,请与客户沟通后谨慎使用!!!/*
重新触发3G客户端拨号,打开如下debug信息,搜集VPDN协商信息:
debug vpdn l2x-events
debug vpdn l2x-packets
debug vpdn l2x-errors
搜集完以上信息后,通过undebug all命令关闭所有debug调试,然后重新继续搜集如下信息:
先clear老sa后,打开如下debug信息,触发ipsec感兴趣流,搜集ipsec协商过程中的debug信息:
clear crypto isakmp
clear crypto sa
debug crypto isakmp
debug crypto ipsec //打开以上两个debug后重新触发ipsec感兴趣流,搜集ipsec协商过程中的debug信息
搜集完以上信息后,通过undebug all命令关闭所有debug调试。
*/注意,debug信息搜集完成后,必须通过undebug all命令关闭所有debug调试,否则可能会对客户在网业务造成持续影响/*
-----------------------------------------------------------------------------------------------------------