第九章 SecPath安全网关VPN常见故障及处理.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * Reset dvpn all：删除指定的Dvpn的所有的信息（主要包括map、session、以及各种内存资源），重新进行初始化。 Reset dvpn map：根据指定的public-ip和port等信息删除指定的map，如果客户端删除注册使用的map，则和reset dvpn all功能相同。 Reset dvpn session：根据dvpn-id和private-ip删除指定的会话连接，如果该session存在对应的map则需要同时删除map。 DVPN的其它控制命令 故障定位处理思路 GRE L2TP IPSEC DVPN VPN综合组网 目录 VPN的嵌套 安全性高 GRE over IPSEC L2TP over IPSEC DVPN2.0 内置IPSEC 特性，不需再启用IPSEC 安全性低 IPSEC over GRE IPSEC over L2TP OSPF over GRE over IPSEC 路由故障 （一） 隧道的外层IP头 OSPF over GRE over IPSEC： int tunnel 0 ip add 24 sou  des  int loopback 0 ip sou 32隧道地址只是起路由作用，不封装在外层IP头。外层IP头为SOU和DES地址。 路由启用错误 OSPF over GRE over IPSEC： ospf  area 0 network  network  network 55外层IP头和外网IP都不能放在OSPF中，否则引起路由自环。 路由故障 （二） 路由配置常见错误一 启用IPSEC或GRE后无指向对端私网的路由。 IPSEC时去往对端私网的路由指向公网的上端路由。 GRE时去往对端私网的路由指向相应的Tunnel口。 路由配置常见错误二： DVPN去往对端私网的路由直接指向Tunnel口。 如：ip route 24 tunnel 0 由于DVPN支持与多个远端建立隧道，因此必须指定远端隧道的地址。 要更改为：ip route 24 MTU 分片发送 IP, LENGTH1200, DF=0 IP, 最大长度1200 IP, LENGTH1200, DF=1 ICMP不可达， 需要分片，MTU=1200 （2）报文不可分片 MTU 1200 PC VPN网关 网站 （1）报文可分片 TCP MSS TCP SYN, MSS=1460 TCP SYN, MSS=1024 TCP SYN/ACK, MSS=1460 TCP ACK MSS在出接口上单向有效，指示对端发送数据应该采用的MSS数值 TCP MSS=1024 PC VPN网关 网站 VPN组网中的MTU、MSS导致常见故障 常见现象： 分部与总部建立隧道（GRE/IPSEC等）后，分部能够ping通总部的服务器，但无法访问服务器上的Web应用。 问题分析： 一般是MTU不匹配的问题，报文送到隧道接口上，封装隧道报头后，超过了出接口的MTU数值，被分片传送。 第一：效率降低 第二：如果internet中间有防火墙不支持分片，则被丢弃，导致无法传送。 解决方法： 隧道接口上设定TCP MSS数值（如TCP MSS 1024），这样双方就可以按设定的MSS传送，在隧道上封装后也不会超长。 PC VPN网关 服务器 总 部 分 部 VPN网关 GRE隧道 故障处理总结 （一） 熟悉协议原理、产品特性是解决问题的根本 不熟悉配置的情况下，懂得和典型配置比较 拿来主义 不擅自增加不确认特性的配置。 勿以恶小而为之！ 故障处理总结 （二） 从简单的功能开始配置，不堆积不必要的复杂特性后去试图分析 CHAP or PAP ？ 记住网络是分层、分段的。 切割问题范围，善于化繁为简 粗心和想当然永远是排错的大忌。 不要太绝对！ 故障定位处理思路 GRE L2TP IPSEC DVPN VPN综合组网 本章总结 * * * * * * * * * * * * * * * * * * * * L2TP故障案例分析（四） 故障现象：从LAC上无法拨通LNS，提示“没有应答” PC作为LAC无法拨入LNS L2TP故障案例分析（四）续 打开debug l2tp c