cisco 排错

gns3模拟器
#show ip nat translations (查看本地nat的转换表)
#show ip nat statistics (查看那个接口在inside那个接口在outside)
#show management-interface (查看这台设备上是否有管理层面上的管理接口)
#show ip eigrp neighbors
#show ip nhrp (查看nhrp的建立情况)

 


mpls排除
show ip route XXXX
show ip bgp summmary //查看bgpd连接那些邻居,如果是最后一行是active就是邻居没有成功
show ip bgp 10.18.3.97 查看是谁发过来的数据包

show ip bgp neighbor 12.1.1.1 advertised-routes 查看向邻居发送了那些路由
show ip bgp neighbor 12.1.1.2 received-routes 查看本台路由器收到了那些bgp路由
一台路由器启用了ospf和bgp,route-id要保持一致

vpn排错
1,判断nhrp是否配置正确
ping tunnel20 和公网的ip地址 e5210.14.67.250
show ip eigrp neighbor
show ip nhrp

2,判断eigrp宣告出去那些路由
show run | sec r e
show access-list EIGRP_LOCAL_OUT
show run | sec route-map

3,show access-list 199 查看出口的访问控制列表,isakmp是udp500,esp是50 ah是51

注意重分发是重分发路由表里的条目,如果重分发静态到eigrp,那么只会重分发路由表里的静态条目到eigrp中
3,show crypto ipsec sa 这是查看第二阶段的sa
#show crypto isakmp sa
#show engine connections active 查看加解密是否成功 encrypt是数字是成功的
#show session
show crypto ipsec transform-set 查看第二阶段模式是否一样
#show ip eigrp neighbor 检查eigrp邻居是否正常建立 如果Q是0是正常的,rto是hello包来回的时间统计如果一直是5000就不对了
#show ip nhrp 检查hub和spoke tunnel的建立


#show ip route x.x.x.x 检查路由是否学习到
#show ip route |include tunnel (查看关键字是tunnel的路由表)
#show crypto map

show crypto isakmp sa 查看对等体之间Internet是否连接 状态是QM_IDLE是对的,MM_KEY_EXCH表示
配置预共享秘钥不正确或对等体IP地址不相同。
show crypto ipsec sa 查看隧道是否建立
show crypto engine connection active 查看加密是否成功
debug cryprto isakmp 显示ipsec连接的相关调试信息,
debug crypto ipsec


sh crypto isakmp sa detail //若ISAKMP协商成功,应看到阶段1状态为MM_ACTIVE(State: MM_ACTIVE)。
还会显示出IPSec隧道的类型、阶段1的策略、隧道对端的IP等信息。

sh crypto ipsec sa //检查IPSec SA的状态,包括协商的代理(将被加密的网络),以及IPSec引擎加密/解密数据包的实际数量等信息。
show crypto accelerator statistics //查看加密加速器的计数器信息,来监测通过加速卡的数据包数量。


aaa acs172.20.8.46
test aaa group tacacs+ testuser cshi new-code

 

kk用的是cbac
成都zbfw 197使用的内网的ip,199是外网的ip,如果对外发布服务在zbfw成都的设备上更新两个acl 199和197
show policy-map type inspect zone-pair INTERNAL-pAIR 查看INTERNAL-pAIR是否有流量匹配
show policy-map type inspect zone-pair session

 


BGP路由协议故障
常见故障:
(1) BGP邻居建立失败,BGP邻居状态为IDEL
(2) BGP邻居建立失败,BGP邻居状态为ACTIVE(故障原因:2-6)
(3) BGP路由不优(故障原因:7-10)
故障原因:
(1) BGP邻居的IP地址不可达
(2) BGP邻居未使能BGP进程
(3) BGP邻居AS号错误
(4) BGP邻居验证密码不一致
(5) 用于建立BGP邻居的源端口错误
(6) 未配置EBGP邻居多跳属性
(7) 该路由下一跳不可达
(8) 该路由IGP可达
(9) 该路由由自己产生
(10) 该路由属性次优
解决方案:
(1) 正确配置IP地址,IGP路由协议,保证邻居IP地址可达
(2) 检查邻居路由器BGP路由是否使能,并正确使能BGP进程
(3) 正确配置邻居AS编号
(4) 修改验证密码,保证密码匹配
(5) 指定正确的建立邻居的源端口
(6) 配置EBGP邻居多跳属性
(7) 使用next-hop-local命令或者正确配置IGP,保证该路由下一跳可达
(8) 正确理解IGP与BGP的关系
(9) 正确理解BGP选路规则
(10) 修改该路由属性(如pref-value、local-preference、MED值等),使其变为最优


show proc cpu | ex 0.00
show ip route | in _00:00 确定flapping路由的来源

posted @ 2019-05-14 11:11  cs37  阅读(281)  评论(0编辑  收藏  举报