第6章 安全VPN故障排除(V2_2)

求职难，薪酬低，现在学什么好？求职难，薪酬低，现在学什么好？求职难，薪酬低，现在学什么好？求职难，薪酬低，现在学什么好？掀开未来最吃香的职业掀开未来最吃香的职业掀开未来最吃香的职业掀开未来最吃香的职业系统工程师系统工程师系统工程师系统工程师++++网络工程师网络工程师网络工程师网络工程师的神秘面纱的神秘面纱的神秘面纱的神秘面纱““““空搏一纸文凭不如锻一技之长空搏一纸文凭不如锻一技之长空搏一纸文凭不如锻一技之长空搏一纸文凭不如锻一技之长””””，，，，RHCE+CCNPRHCE+CCNPRHCE+CCNPRHCE+CCNP就业班，不就业，退学费就业班，不就业，退学费就业班，不就业，退学费就业班，不就业，退学费鼎杰鼎杰鼎杰鼎杰.Redhat.Redhat.Redhat.Redhat官方安徽唯一一家授权官方安徽唯一一家授权官方安徽唯一一家授权官方安徽唯一一家授权RHCERHCERHCERHCE培训机构和考试机构培训机构和考试机构培训机构和考试机构培训机构和考试机构....思科官方授权培训机构思科官方授权培训机构思科官方授权培训机构思科官方授权培训机构截止截止截止截止2010201020102010年年年年9999月鼎杰已培养出月鼎杰已培养出月鼎杰已培养出月鼎杰已培养出RHCE34RHCE34RHCE34RHCE34名，总人数和通过率安徽第一名，总人数和通过率安徽第一名，总人数和通过率安徽第一名，总人数和通过率安徽第一红帽官方红帽官方红帽官方红帽官方RHCERHCERHCERHCE授权查询：授权查询：授权查询：授权查询：://://://红帽官方红帽官方红帽官方红帽官方RHCTRHCTRHCTRHCT授权查询：授权查询：授权查询：授权查询：://://://咨询电话：咨询电话：咨询电话：咨询电话：0551-28366610551-28366610551-28366610551-2836661；；；；13866792964138667929641386679296413866792964，，，，15055102158150551021581505510215815055102158咨询网址：咨询网址：咨询网址：咨询网址：第一人气社区：第一人气社区：第一人气社区：第一人气社区：://bbs.dingjie365.com进群改名进群改名进群改名进群改名::::地名地名地名地名++++单位单位单位单位++++真实姓名真实姓名真实姓名真实姓名鼎杰中国鼎杰中国鼎杰中国鼎杰中国ITITITIT超级群如下：超级群如下：超级群如下：超级群如下：鼎杰中国鼎杰中国鼎杰中国鼎杰中国ITITITIT精英群精英群精英群精英群①：：：：57647952576479525764795257647952鼎杰中国鼎杰中国鼎杰中国鼎杰中国ITITITIT精英群精英群精英群精英群②：：：：95621895956218959562189595621895第第第第6666章章章章安全安全安全安全VPNVPNVPNVPN故障排除故障排除故障排除故障排除杭州华三通信技术有限公司版权所有，未经授权不得使用与传播�掌握掌握掌握掌握GREGREGREGRE故障排除方法故障排除方法故障排除方法故障排除方法�掌握掌握掌握掌握L2TPL2TPL2TPL2TP故障排除方法故障排除方法故障排除方法故障排除方法�掌握掌握掌握掌握IPSecVPNIPSecVPNIPSecVPNIPSecVPN故障排除方法故障排除方法故障排除方法故障排除方法�掌握安全掌握安全掌握安全掌握安全VPNVPNVPNVPN综合组网故障排除方法综合组网故障排除方法综合组网故障排除方法综合组网故障排除方法课程目标课程目标课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：学习完本课程，您应该能够：学习完本课程，您应该能够：�GREGREGREGRE故障排除故障排除故障排除故障排除�L2TPL2TPL2TPL2TP故障排除故障排除故障排除故障排除�IPSecVPNIPSecVPNIPSecVPNIPSecVPN故障排除故障排除故障排除故障排除�安全安全安全安全VPNVPNVPNVPN综合组网故障排除综合组网故障排除综合组网故障排除综合组网故障排除目录目录目录目录协议简介协议简介协议简介协议简介�GREGREGREGRE协议协议协议协议�最简单的一种三层隧道技术。�以IP作为传输协议，在IP协议之上承载其他网络层协议，包括IP、IPX等。�GREIP协议号为47。�GREGREGREGRE封装格式如下所示：封装格式如下所示：封装格式如下所示：封装格式如下所示：外层IP内层IP转发过程转发过程转发过程转发过程�PCAPCAPCAPCA访问访问访问访问PCBPCBPCBPCB报文转发过程报文转发过程报文转发过程报文转发过程�PCA访问PCB，报文源IP为10.10.10.1，目的IP为10.10.20.1。�RTA收到报文后，查找本地路由表，出接口为GRETunnel，加上GRE外层封装，外层源IP为1.1.1.1，外层目的IP为1.1.1.10，原始IP报文作为载荷。�RTC收到GRE报文后，去除GRE外层封装，查找本地路由表，将原始IP报文转发给PCB。PCB收到IP报文，PCA单向访问PCB成功。10.10.10.1data111122223333G0/1G0/1G0/1G0/1RTARTARTARTARTBRTBRTBRTBRTCRTCRTCRTCG0/0G0/0G0/0G0/0G0/1G0/1G0/1G0/1G0/0G0/0G0/0G0/0G0/1G0/1G0/1G0/1G0/0G0/0G0/0G0/0PCAPCAPCAPCAPCBPCBPCBPCB1.1.1.1/291.1.1.2/291.1.1.9/291.1.1.10/2910.10.10.254/2410.10.10.1/2410.10.20.1/2410.10.20.254/2410.10.20.110.10.10.1data10.10.20.11.1.1.11.1.1.1010.10.10.1data10.10.20.1GREGRETunnelGRETunnelGRETunnelGRETunnel故障排除方法故障排除方法故障排除方法故障排除方法�检查检查检查检查GRETunnelGRETunnelGRETunnelGRETunnel参数配置是否正确参数配置是否正确参数配置是否正确参数配置是否正确�查看GRETunnel的源、目的IP是否配置正确。�检查检查检查检查GRETunnelGRETunnelGRETunnelGRETunnel外层外层外层外层IPIPIPIP可达性可达性可达性可达性�使用ping检测GRETunnel外层源、目的IP的可达性。�检查检查检查检查GRETunnelGRETunnelGRETunnelGRETunnel两端两端两端两端KEYKEYKEYKEY是否一致是否一致是否一致是否一致�如果启用了GREKEY，GRETunnel两端KEY必须一致。�检查检查检查检查GRETunnelGRETunnelGRETunnelGRETunnel两端设备路由表两端设备路由表两端设备路由表两端设备路由表�配置静态路由，或者动态路由，指向GRETunnel。�检查检查检查检查GRETunnelGRETunnelGRETunnelGRETunnel的的的的MTUMTUMTUMTU值值值值�检查GRETunnel的MTU大小，是否支持1500字节的数据包。排障命令排障命令排障命令排障命令�displayinterfacetunneldisplayinterfacetunneldisplayinterfacetunneldisplayinterfacetunnel[number]�displayinterfacetunnel命令用来显示Tunnel接口的状态。[RTA]displayinterfaceTunnel0[RTA]displayinterfaceTunnel0[RTA]displayinterfaceTunnel0[RTA]displayinterfaceTunnel0Tunnel0currentstate:UPTunnel0currentstate:UPTunnel0currentstate:UPTunnel0currentstate:UPLineprotocolcurrentstate:UPLineprotocolcurrentstate:UPLineprotocolcurrentstate:UPLineprotocolcurrentstate:UPDescription:Tunnel0InterfaceDescription:Tunnel0InterfaceDescription:Tunnel0InterfaceDescription:Tunnel0InterfaceTheMaximumTransmitUnitis1476TheMaximumTransmitUnitis1476TheMaximumTransmitUnitis1476TheMaximumTransmitUnitis1476InternetAddressis10.10.12.1/24PrimaryInternetAddressis10.10.12.1/24PrimaryInternetAddressis10.10.12.1/24PrimaryInternetAddressis10.10.12.1/24PrimaryEncapsulationisTUNNEL,service-loopback-groupIDnotset.EncapsulationisTUNNEL,service-loopback-groupIDnotset.EncapsulationisTUNNEL,service-loopback-groupIDnotset.EncapsulationisTUNNEL,service-loopback-groupIDnotset.Tunnelsource1.1.1.1,destination1.1.1.10Tunnelsource1.1.1.1,destination1.1.1.10Tunnelsource1.1.1.1,destination1.1.1.10Tunnelsource1.1.1.1,destination1.1.1.10Tunnelkeep-alivedisableTunnelkeep-alivedisab