華為排錯專家教程ppt-第6章 安全vpn及撥號業(yè)務故障排除

1、第6章 安全VPN及撥號業(yè)務故障排除,ISSUE 1.0,2,學習目標,掌握VPN相關技術的故障排除方法，包括L2TP， GRE，IPSec 和IKE；掌握防火墻故障排除方法和流程；掌握DCC故障排除的流程，并理解教材所列舉的案例分析。,學習完本課程，您應該能夠：,3,課程內容,包過濾防火墻故障排除,,,,,,,IPSec和IKE故障排除,GRE故障排除,L2TP故障排除,DCC、ISDN故障排除,4,IPSec和IKE故障排除,

2、IPSec和IKE故障排除綜述Display、debugging命令介紹IPSec和IKE故障案例分析,5,IPSec和IKE故障排除綜述,IPSec和IKE知識簡介IPSec和IKE配置的一般步驟手工方式下IPSec功能和性能的常見問題協(xié)商方式下IPSec和IKE功能和性能的常見問題IPSec和IKE配置過程的注意事項,6,IPSec簡介,IPSec提供如下安全服務:完整性真實性機密性防重放IPSec安全協(xié)議：

3、AH協(xié)議ESP協(xié)議IPSec加密驗證算法：驗證算法：MD5和SHA1加密算法：DES、3DES、Blowfish、CAST,7,IKE簡介,IKE全稱：Internet Key ExchangeIKE用于IPSec安全聯(lián)盟及密鑰的自動化管理，定時為IPSec協(xié)商密鑰，創(chuàng)建、刪除安全聯(lián)盟等IKE采用兩個階段的ISAKMP：協(xié)商認證通信信道，為第二階段的通信提供安全保證。即建立IKE SA使用IKE SA 協(xié)商建立IPSec

4、 SA，用于IPSec通信。,8,IPSec 與IKE,,IKE,IPSec,IKE,,IPSec,,IKE SA Negotiation,,,SA,SA,9,IPSec和IKE配置的一般步驟,IPSec和IKE配置的一般步驟 ：what，where，how手工模式IPSec基本配置明確要保護什么（what），也就是定義ACL。明確實施保護的位置（where）。明確如何保護（how），定義proposal。定義安全策略（ips

5、ec policy），定義安全策略的模式為manual定義安全聯(lián)盟所用的密鑰。在合適的接口上應用安全策略。協(xié)商模式IPSec基本配置What，where，how，ipsec policy配置IKE的參數（IKE的proposal和共享密鑰）。在合適的接口上應用安全策略。,10,手工方式下IPSec功能和性能的常見問題,手工方式下安全聯(lián)盟不能建立相應的安全策略是否應用到了接口上檢查安全策略是否設置了要保護的數據流檢查安全

6、策略是否設置了安全提議檢查安全策略是否設置了隧道端點檢查安全聯(lián)盟的SPI檢查安全聯(lián)盟的密鑰是否設置正確檢查密鑰的長度是否與算法要求的相同,11,手工方式下IPSec功能和性能的常見問題（續(xù)）,手工方式下建立了安全聯(lián)盟，但不能通信安全聯(lián)盟兩端的配置的ACL是否互為鏡像選用的安全協(xié)議是否一樣選用的算法是否一致SPI是否匹配密鑰是否匹配定義的隧道端點是否相同手工方式下建立了安全聯(lián)盟，部分數據流能通信，部分不能通信安全聯(lián)

7、盟兩端的配置的ACL是否互為鏡像,12,協(xié)商方式下IPSec和IKE功能和性能常見問題,協(xié)商方式的IPSec安全聯(lián)盟是由IKE協(xié)商生成的。要診斷此類故障，首先要清楚安全聯(lián)盟的建立過程。,第一步,第二步,第三步,第四步,合適的數據流從應用IPSec的接口轉發(fā)出去,第一步,觸發(fā)IKE協(xié)商階段1的SA,第二步,第三步,在階段2安全聯(lián)盟的保護下進行通信,第四步,Router A,Router A,Router B,Router B,Router

8、 A,Router A,Router A,Router A,Router A,Router A,Router B,Router B,Router B,Router B,Router B,Router B,在IKE階段1安全聯(lián)盟的保護下協(xié)商階段2的IPSec SA,,,,,13,協(xié)商方式下IPSec和IKE功能和性能常見問題（續(xù)）,階段1的SA沒有建立接口是否應用了安全策略是否有匹配的數據流觸發(fā)是否為對方配置了共享密鑰，以及共享密鑰

9、是否一致階段2的SA沒有建立ACL是否匹配安全提議是否一致設置的隧道對端地址是否匹配應用的接口是否正確兩個階段的SA都成功建立，但不能通信一般都是由于ACL的配置不當引起的，檢查ACL的配置是否符合要求,14,IPSec和IKE配置過程的注意事項,確定要保護的數據流時的注意事項 IPSec保護的數據流是雙向的所以定義的雙向數據流應該保持完全重疊確定實施保護的位置時的注意事項網關到網關主機到網關主機到主機網關到

10、主機,15,IPSec和IKE配置過程的注意事項（續(xù)）,確定如何保護數據時的注意事項安全協(xié)議選擇加密算法選擇驗證算法選擇定義安全策略時的注意事項選擇恰當的數據流規(guī)則選擇恰當的安全提議正確配置實施安全策略的端點IKE的配置IKE Proposal的全局性（對整個路由器有效）缺省IKE Proposal的應用,16,IPSec和IKE配置過程的注意事項（續(xù)）,應用所定義的安全策略應用接口的選擇確保所有數據流出口都應用

11、安全策略確保對端也配置了安全策略IPSec和IKE的其它配置IKE定時器參數（interval和timeout）的匹配,17,Display、debugging命令介紹,display ipsec policy { all | brief | name policy-name [ sequence-number ] } display ipsec proposal [ proposal-name ] display ipsec

12、 sa { all | brief | remote ip-address | policy policy-name [ sequence-number ] | parameters dest-address protocol spi }display ike proposal display ike sadebugging ipsec { misc | packet | sa } debugging ike { all | c

13、rypto | error | message | misc | sysdep | timer | transport },18,IPSec和IKE故障案例分析 （一）,兩端的SPI不匹配導致SA協(xié)商失敗 :在RouterA和RouterB之間建立IPSec隧道，保護PC A和PC B之間的通信。采用ESP安全協(xié)議，確保數據的完整性、機密性。問題：在10.1.1.10上執(zhí)行ping 10.1.2.20，發(fā)現(xiàn)不通,19,IPSec和I

14、KE故障案例分析 （一）,原因分析RouterB上的調試信息表明已經收到從RouterA發(fā)出的IPSec報文，但是找不到SPI為12345的SA。察看RouterB的安全策略的定義，入方向ESP的SPI定義為54321，這就是找不到SPI的原因。 處理過程將RouterB上的入方向ESP的SPI改為12345即可[RouterB]ipsec policy policy1 10 manual [RouterB-ipsec-pol

15、icy-policy1-10] sa inbound esp spi 12345,20,IPSec和IKE故障案例分析（二）,密鑰不匹配造成無法通信在RouterA和RouterB之間建立IPSec隧道，保護PC A和PC B之間的通信。采用ESP安全協(xié)議 問題如下：從主機10.1.1.10上執(zhí)行ping 10.1.2.20，發(fā)現(xiàn)不通,21,IPSec和IKE故障案例分析（二）,原因分析:RouterB的Inbound處理過程中

16、解密失敗。檢查RouterB的Inbound的密鑰，為1234567891234567，而RouterA的Outbound密鑰是1234567890123456，由于密鑰不同，造成無法解密，通信失敗。處理過程:解決方法是修改RouterA的Outbound方向的加密算法密鑰[RouterA]ipsec policy policy1 10 manual [RouterA-ipsec-policy-policy1-10] sa ou

17、tbound esp encryption-hex 1234567891234567,22,IPSec和IKE故障案例分析（三）,兩端ACL不匹配導致階段2協(xié)商失敗 在RouterA和RouterB間建立IPSec隧道，采用ESP協(xié)議。RouterB的Ethernet0口連接子網，Serial0連接Internet從主機10.1.1.10上執(zhí)行ping 10.1.2.20不通。在RouterA和RouterB上查看安全聯(lián)盟的信息，發(fā)

18、現(xiàn)階段1協(xié)商成功，階段2沒有協(xié)商起來。,23,IPSec和IKE故障案例分析（三）,原因分析應用的接口是要保護的數據流外出的接口，完全正確。可能是安全策略中的某些定義錯誤。按照安全策略的三個要素：What、Where、How進行檢查。在RouterA中要保護的數據流是10.1.1.0/24～10.1.2.0/24之間的IP數據，是一個子網；而在RouterB上定義的要保護的數據是10.1.2.20～10.1.1.10兩個主機之間的數

19、據。顯然兩者之間不能完全匹配。所以安全策略不匹配處理過程將RouterB的數據流改為如下形式便可通信。[RouterB]acl 101 match-order auto[RouterB-acl-101]rule normal permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255,24,IPSec和IKE故障案例分析（四）,兩端pre-shared不一

20、致導致階段1的SA協(xié)商失敗 在RouterA和RouterB之間建立IPSec隧道，保護PC A和PC B之間的通信。采用ESP安全協(xié)議 從主機10.1.1.10上執(zhí)行ping 10.1.2.20，發(fā)現(xiàn)不通,25,IPSec和IKE故障案例分析（四）,原因分析調試信息表明，發(fā)現(xiàn)安全聯(lián)盟沒有建立。并且RouterA有需要保護的數據外出，觸發(fā)了IKE協(xié)商安全聯(lián)盟，但從對端收到了一條INVALID_PAYLOAD_TYPE通知消息。在

21、RouterB上顯示收到的載荷中有一個類型非法。檢查配置發(fā)現(xiàn)共享密鑰不同。由于共享密鑰不同，造成雙方產生的用于通信的加密密鑰和驗證密鑰不同，而不能解釋對方的數據。 處理過程將RouterB上的共享密鑰改為與RouterA一樣，便可通信。[RouterB]ike pre-shared-key abcde remote 202.38.162.1,26,IPSec和IKE故障案例分析（五）,應用接口錯誤導致階段2協(xié)商失敗 在Route

22、rA和RouterB間建立IPSec隧道，保護A,B間通信。采用ESP協(xié)議,RouterB的Ethernet0口連接子網，Serial0連接Internet 從主機10.1.1.10上執(zhí)行ping 10.1.2.20，發(fā)現(xiàn)不通。,27,IPSec和IKE故障案例分析,原因分析在RouterA和B上查看安全聯(lián)盟信息，發(fā)現(xiàn)階段1的安全聯(lián)盟建立了，而階段2的SA沒有建立。調試信息顯示在RouterB上沒有找到匹配的安全策略。檢查配置，

23、發(fā)現(xiàn)從10.1.2.0/24到10.1.1.0/24的數據流是從RouterB的Serial0口上外出到公網的，而此接口沒有應用IPSec，而是應用到了連接內部子網的Ethernet0口上。處理過程在B上將Ethernet0口上的map去掉，應用到Serial0口上[RouterB] interface ethernet 0 [RouterB-Ethernet0]undo ipsec policy[RouterB-Ethern

24、et0]interface serial 0[RouterB-Serial0]ipsec policy policy2,28,IPSec和IKE故障案例分析（六）,ACL配置重疊導致通訊失?。号渲萌齻€IPSec隧道，從B、C、D ping A，觸發(fā)建立隧道正常。用ESP協(xié)議。RouterB的Ethernet0口連子網，Serial0連Internet。 PCB能ping通PCA；PCC不能ping通PCA；PCD不能ping通PC

25、A。反過來從PCA能ping通PCB，不能ping通PCC和PCD。,29,IPSec和IKE故障案例分析（六）,原因分析由于ACL配置的數據流允許所有不匹配的數據包通過從PC_A到PC_C和從PC_A到PC_D的數據流都被匹配到從PC_A到PC_B的數據流中處理過程把RouterA上的permit ip any any 改成 deny ip any any 即可。[RouterA-acl-101]rule deny ip s

26、ource any destination any[RouterA-acl-102]rule deny ip source any destination any[RouterA-acl-103]rule deny ip source any destination any,30,課程內容,包過濾防火墻故障排除,,,,,,,,,IPSec和IKE故障排除,GRE故障排除,L2TP故障排除,DCC、ISDN故障,31,包過濾防火墻故障

27、排除綜述,包過濾防火墻知識簡介包過濾防火墻故障排除的一般步驟Display、debugging命令介紹 故障案例分析,32,包過濾防火墻知識簡介,防火墻概述包過濾和訪問控制列表概述構建包過濾防火墻應用的基本方法配置訪問控制列表的基本方法其他相關問題,33,包過濾防火墻知識簡介,其他相關問題配置多條規(guī)則時，某條規(guī)則被匹配則立刻停止后續(xù)規(guī)則查找訪問控制列表缺省情況下采用 “深度優(yōu)先”的規(guī)則進行自動排序，當使用了acl ac

28、cess-list-number match-order config命令時，則按照輸入順序進行排序訪問控制列表定義網絡范圍采用 “通配位”（即反掩碼形式），它和掩碼正好相反，在使用的時候注意這種差別。支持默認過濾規(guī)則，默認為允許轉發(fā)，并可以通過命令firewall default命令靈活修改默認值。,34,包過濾防火墻故障排除的一般步驟,防火墻故障排除的一般步驟display firewall firewall enable

29、debugging ip packet debugging filter 訪問控制列表故障排除的一般步 Display acl 繪制拓撲圖，查看防火墻實施的方向和連接是否對應檢查TCP/UDP端口的方向檢查訪問控制列表的通配位是否正確,35,Display、debugging命令介紹,display acl [ all | access-list-number | interface type number ]displ

30、ay firewallFirewall is enable, default filtering method is 'permit'.TimeRange packet-filtering disable.輸入/輸出報文被允許通過和被拒絕的數目統(tǒng)計[ undo ] debugging filter { all | icmp | tcp | udp },36,包過濾防火墻故障案例分析（一）,訪問控制策略錯誤

31、導致防火墻失效配置防火墻，只有PC2可通過FTP訪問內部網中的FTP服務器，并且只有內網中的PC1可以訪問Internet網絡上的WWW服務器。從PC2訪問FTP Server不能成功，PC1不能訪問WWW Server。,37,包過濾防火墻故障案例分析（一）,原因分析在Serial0入方向上源地址為210.10.0.1、源端口為80的報文被拒絕了，說明序號為100的規(guī)則拒絕了HTTP訪問的返回報文。在Serial0的出口方向上

32、源地址為129.10.0.1、源端口為21的報文被拒絕了，說明序號為101的規(guī)則拒絕了FTP訪問的返回報文。處理過程[RouteA-acl-100]rule normal permit tcp source 210.10.0.1 0.0.0.0 source-port equal www destination 129.10.0.10 0.0.0.0[RouteA-acl-101]rule normal permit tcp so

33、urce 129.10.0.1 0.0.0.0 source-port equal ftp destination 210.10.0.10 0.0.0.0[RouteA-acl-101]rule normal permit tcp source 129.10.0.1 0.0.0.0 source-port equal ftp-data destination 210.10.0.10 0.0.0.0[RouteA-acl-100] r

34、ule normal permit tcp source 210.10.0.10 0.0.0.0 destination 129.10.0.1 0.0.0.0 destination-port equal ftp-data,38,包過濾防火墻故障案例分析（二）,忽略其他信息使防火墻不通：Router1啟動防火墻，要求只有PC2可以訪問PC1。配置完后，從PC2可以訪問PC1，但是一段時間后PC2不能訪問PC1。,39,包過濾防火墻故障

35、案例分析（二）,原因分析開始可以ping通，一會兒之后不通關閉防火墻后通說明與防火墻有關，檢查發(fā)現(xiàn)動態(tài)路由協(xié)議的數據包也被禁止處理過程從原因分析可以得出，修改ACL規(guī)則，允許RIP協(xié)議數據包通過即可[Router1-acl-102] rule normal permit udp source any destination any,40,課程內容,包過濾防火墻故障,,,,,,,,,IPSec和IKE故障排除,GRE故障排除,

36、L2TP故障排除,DCC、ISDN故障,41,L2TP故障排除綜述,L2TP知識簡介L2TP功能和性能的常見問題L2TP故障排除的一般步驟與L2TP故障相關的display、debugging命令介紹 L2TP故障案例分析,42,L2TP知識簡介-VPDN概述,Virtual Private Dial Network隧道協(xié)議包括PPTP、L2F和L2TP三種，目前最廣泛使用的是L2TP。L2TP（Layer 2 Tunneli

37、ng Protocol ）成為IETF有關二層隧道協(xié)議的工業(yè)標準。 L2TP Access Concentrator L2TP Network Server,43,L2TP知識簡介-L2TP規(guī)范,L2TP提供了對PPP鏈路層數據包的隧道（Tunnel）傳輸支持，允許二層鏈路端點和PPP會話點駐留在不同設備上并且采用包交換網絡技術進行信息交互，從而擴展了PPP模型。 隧道（Tunnel）連接會話（Session）連

38、接L2TP中存在兩種消息：控制消息和數據消息。,44,L2TP功能和性能的常見問題,Quidway系列路由器之間無法正確建立隧道LAC與LNS之間相連的接口在網絡層無法互通LAC或LNS上沒有啟動L2TP服務VPDN用戶未通過LAC端的認證VPDN組中的相關參數配置錯誤,45,L2TP功能和性能的常見問題,L2TP性能問題地址池中的IP地址數目少于VPN用戶數L2TP中所有會話結構占用的內存容量超過了路由器實際內存容量，即

39、沒有空閑內存資源供新建會話使用VPDN用戶不能訪問企業(yè)網內部如果LNS端分給用戶的地址與企業(yè)網內部網段不屬于同一個子網段，則在VPDN用戶端將缺少到企業(yè)網內部網段的路由LNS端沒有增加相應的路由信息。,46,L2TP故障排除的一般步驟,檢查LAC與LNS是否連通。檢查VPDN用戶是否通過LAC端的驗證。debugging radius { event | packet | primitive }檢查LAC端是否發(fā)起L2TP隧

40、道連接debugging l2tp { all | control | error | event | hidden | payload | time-stamp } 檢查LNS端是否接收L2TP隧道連接debugging l2tp { all | control | error | event | hidden | payload | time-stamp } 檢查LNS端的用戶路由信息display ip routing-

41、table查詢是否存在VPDN用戶的路由信息,47,與L2TP故障相關的show、debug命令介紹,[Quidway] display l2tp sessionLocalIDRemoteIDTunnelID 112 Total session = 1[Quidway] display l2tp tunnelLocalIDRemoteID RemName RemAddress Se

42、ssions Port 1 8 AS8010 172.168.10.2 1 1701Total tunnels = 1[undo] debugging l2tp { all | control | error | event | hidden | payload | time-stamp },48,L2TP故障案例分析（一）,路由器

43、LAC和LNS之間能正常建立隧道但不能創(chuàng)建會話：正常配置完后，VPDN用戶端不能獲得IP地址，鏈路不UP。 在LNS側使用debugging l2tp control命令打開調試開關，顯示信息表明隧道都已經正確創(chuàng)建，而且正在傳輸數據在LNS側使用debugging radius primitive 命令打開AAA的debugging開關，發(fā)現(xiàn)AAA驗證沒有通過 ，VPDN用戶在LNS側驗證失敗。在LNS端配置VPDN用戶名及相應

44、的密碼，即在系統(tǒng)視圖下配置：[lns]local-user vpdnuser service-type ppp password simple 12345,49,L2TP故障案例分析（二）,問題：正常配置后，VPDN用戶端不能獲得IP地址，鏈路不UPdisplay l2tp tunnel，debugging l2tp all，隧道會話均創(chuàng)建，且傳輸數據在LNS側使用debugging radius primitive ，發(fā)現(xiàn)AAA

45、驗證沒有通過(缺少CHAP認證信息）。原因分析LNS端強制本地CHAP驗證，但VPDN用戶端沒有送CHAP驗證信息處理過程在VPDN用戶端，配置同時發(fā)送PAP和CHAP認證信息,,,50,L2TP故障案例分析（三）,問題VPDN用戶端不能獲得IP地址，不能正常使用VPN服務從調試信息可以看出3COM接入服務器和LNS之間隧道已建立，但會話沒有正常建立，并且LNS端的VA虛擬子接口沒有UP。原因分析由于LNS端配置為代理驗證

46、，而3COM接入服務器向LNS發(fā)送的代理驗證信息中包含一些PPP協(xié)商不支持的屬性，因而導致LNS側VA虛擬子接口無法UP。處理過程在LNS端（使用mandatory-lcp命令）配置LCP重協(xié)商，通過讓LNS與VPDN用戶重新協(xié)商LCP，從而成功創(chuàng)建會話,51,課程內容,包過濾防火墻故障,,,,,,,IPSec和IKE故障排除,GRE故障排除,L2TP故障排除,DCC、ISDN故障,52,GRE故障排除,GRE故障排除綜述GRE

47、知識簡介GRE功能和性能的常見問題GRE故障排除的一般步驟與GRE故障相關的display、debugging命令介紹GRE故障案例分析,53,GRE知識簡介,GRE協(xié)議概述網絡隧道協(xié)議、承載協(xié)議和被承載協(xié)議GRE（Generic Routing Encapsulation）是第三層隧道封裝協(xié)議GRE工作過程：加封裝過程 和解封裝的過程GRE能實現(xiàn)的服務類型多協(xié)議的本地網通過單一協(xié)議的骨干網傳輸；擴大了包含跳數受

48、限協(xié)議網的工作范圍；將一些不能連續(xù)的子網連接起來，用于組建VPN。,54,GRE功能和性能的常見問題,路由器之間的GRE隧道不能互通對于兩臺Quidway系列路由器，如果之間的GRE隧道不能互通，首先確認物理連接是否存在問題Tunnel兩端的網絡地址沒有配置在同一個網段Tunnel兩端配置的識別關鍵字Key不一致,55,GRE故障排除的一般步驟,第一步：檢查Tunnel兩端設備是否連通在Tunnel端使用ping命令測試與Tun

49、nel對端的連通性，檢查兩端的物理連接是否正確或鏈路層協(xié)議是否配對第二步：檢查Tunnel兩端的配置參數和接口信息在Tunnel兩端，查看系統(tǒng)配置信息，并查看Tunnel接口的狀態(tài)（display interfaces tunnel [ tunnel-number ]命令）。第三步：檢查Tunnel兩端系統(tǒng)路由表在Tunnel兩端，查詢系統(tǒng)路由表（display ip routing-table命令），確保存在到達Tunnel對

50、端的路由。如果沒有路由，請?zhí)砑屿o態(tài)路由。,56,Display、debugging命令介紹,display interfaces tunnel [ tunnel-number ]Tunnel1 is up, line protocol is up該信息表示Tunnel1接口處于UP狀態(tài)，鏈路層也處于UP狀態(tài)。Maximum Transmission Unit is 128該信息表示MTU為128字節(jié)。Internet addr

51、ess is 3.1.1.1 255.255.255.0該信息表示Tunnel1的網絡地址為3.1.1.1；輸入/輸出報文數目和錯誤統(tǒng)計,57,GRE故障案例分析,Tunnel兩端接口配置正確，且Tunnel兩端可以互相ping通，但PC A和PC B之間卻無法ping通。 原因分析由于Tunnel兩端路由器A和B上都沒有到達對端PC機的路由，因此PC A和PC B之間無法互相ping通。處理過程在路由器A上配置到10.2.

52、0.0/16網段的路由經過tunnel0接口，在路由器B上配置到10.1.0.0/16網段的路由經過tunnel0接口。（添加靜態(tài)路由或運行動態(tài)路由協(xié)議）,58,課程內容,包過濾防火墻故障,,,,,,,,,IPSec和IKE故障排除,GRE故障排除,L2TP故障排除,DCC、ISDN故障,59,DCC、ISDN故障排除,DCC、ISDN故障排除綜述DCC、ISDN知識簡介DCC功能和性能的常見問題DCC故障排除的一般步驟

53、與DCC故障相關的display、debugging命令介紹DCC故障案例分析,60,DCC、ISDN知識簡介,DCC、ISDN知識簡介DCC介紹Dial Control Center，指路由器間通過PSTN和ISDN互連時所采用的路由技術DCC呼叫可連接PSTN網絡（或者ISDN網絡）撥號DCC撥號過程：鏈路建立階段，鏈路協(xié)議協(xié)商階段，數據傳輸階段，鏈路掛斷階段ISDN介紹Integrated Services Dig

54、ital Network提供端到端的數字連接兩種接口結構：基本接口（BRI）和一次群速率接口（PRI），BRI帶寬為2B+D，PRI帶寬為30B+D或23B+D,61,DCC功能和性能的常見問題,ISDN接口的物理故障ISDN接口的鏈路故障Modem的物理故障同/異步Modem撥號的配置問題無法發(fā)起撥號撥號串設置錯誤呼叫的建鏈過程失敗呼叫沖突用戶認證失敗IP地址協(xié)商錯誤PPP回呼失敗ISDN回呼失敗呼叫掛斷后，再

55、次呼叫失敗,62,DCC故障排除的一般步驟,檢查物理連接、接口和協(xié)議查看電纜、Modem連接檢查是否存在DCC或者用戶認證等其它配置錯誤使用display和debugging命令查看統(tǒng)計和調試信息,63,與DCC故障相關的display、debugging命令介紹,display dialer interface [ interface-type interface-number ]display dialer route [

56、detail ]display isdn active-channel [ interface type number ]display isdn call-info [ interface type number ][ undo] debugging dialer { event | packet },64,DCC故障案例分析（一）,Dialer接口借用Ethernet0口地址時ping不通問題Router A發(fā)起撥號時，不

57、撥號。故障處理查看DCC不撥號的原因------IP報文被禁止撥號原因分析對于IP報文被禁止撥號的問題：未配置dialer-rule、dialer-group命令,65,DCC故障案例分析（二）,遠程撥號Modem配置引起無法登錄 故障檢查：打開Modem調試開關，看到路由器接收呼叫，但Modem總不摘機，呼叫超時原因：Modem為自動撥號，則撥號接口為不自動撥號；Modem為非自動撥號，撥號口Modem屬性則應為自動撥號

58、處理：通過atS0=1（或者atS0=0）at&w命令配置Modem。路由器上，采用[undo] modem auto-answer改變Modem的配置。,66,DCC故障案例分析（三）,與NT Workstation無法互通NT通過RS-232串口與Quidway路由器的一個異步串口相連。NT上發(fā)起空撥號連接，無法登錄到路由器檢查：查看路由器串口信息，鏈路為DOWN狀態(tài)原因分析：NT設置空撥號時，虛擬Modem串口速率缺

59、省為19200bps，路由器的異步串口速率缺省為9600bps。處理過程：將NT的虛擬Modem串口速率改為9600bps，或者將路由器異步串口速率改為19200bps,67,DCC故障案例分析（四）,遠路由器ISDN撥號不成功問題：路由器一端連局域網，一端用ISDN撥號上網，不成功檢查：打開調試信息，撥號正常并開始PPP協(xié)商；打開PPP報文調試開關，發(fā)現(xiàn)用戶名協(xié)商不通過，估計認證配置有誤。原因：當配置了ppp authenti

60、cation-mode pap命令后，意味著路由器在PPP協(xié)商時還需對對端接入服務器進行PAP驗證。處理：刪除BRI接口模式下的ppp authentication-mode pap命令,68,DCC故障案例分析（五）,AUX接口數據配置錯誤導致超級終端顯示亂碼 路由器AUX口連Modem，通過PSTN撥號，與遠端的Modem和PC相連，終端窗口亂碼檢查：接口和Modem應用模式（或屬性）不匹配分析：異步串口可以有兩種建立鏈路方

61、式protocol：撥號成功后，采用鏈路層協(xié)議參數建鏈flow：撥號成功后，主叫向對端發(fā)送配置命令處理：將AUX口的建立鏈路方式由protocol改為flow,69,本章總結,本章重點講述了二三層VPN故障排除方法，相關的隧道，會話，以及加密相關故障;在QoS故障排除中重點介紹了相關故障排除命令，簡單介紹了幾個案例;在理解DCC工作的基本流程和DCC故障排除的基本流程后,重點講述了一些撥號的故障案例.,華為3Com技術有限公司