YAMAHA RTシリーズのFAQ / 障害切り分け手順
本ページではネットワークシステムを構築する際または構築後に、目的とする通信が正常 に行えないという場合にどこに原因があるのかを探るための操作手順・方法について説明 します。 本ページのログ表示は RTX1000 Rev7.01.08 を使用したものです。ご使用になられている 機種、ファームウェアにより表示される内容に異なる部分があるかもしれませんが予め ご了承ください。 最初に確認する事 通信を行いたい機器間において正常な通信ができない場合、最初に確認すべき事は、 ・どの区間で通信ができて、どの区間で通信ができないか ・どの端末と通信ができて、どの端末とは通信ができないか あるいは ・どんなアプリケーションを使用した時に正常に動作しないのか 等の障害状況を明確にすることです。 例えば、以下に示すようなインターネットを経由してPCとServer間で通信を行う構成の場 合に、”PCからServerへ接続できない”と全体像のみを捕らえるのではなく、どの区間で 通信できないのかを明確にします。 (構成) PC----Router1-----インターネット-----Router2----Server (手順1) ・PCからRouter1のLANアドレスへのPing :結果OK ・ServerからRouter2のLANアドレスへのPing :結果OK PC----Router1-----インターネット-----Router2----Server |--OK--| |--OK--| (手順2) ・PCからインターネット内機器(メールサーバ、DNSサーバ等)へのPing :結果NG ・Serverからインターネット内機器(メールサーバ、DNSサーバ等)へのPing :結果OK PC----Router1-----インターネット-----Router2----Server |--OK--| |--OK--| |--------NG-------------||------------OK---------| (手順3) ・Routerコンソールからインターネット内機器(メールサーバ、DNSサーバ等)へのPing ;結果NG PC----Router1-----インターネット-----Router2----Server |--OK--| |--OK--| |--------NG-------------||------------OK---------| |------NG-----| 手順1〜手順3の操作により目的とする PCと Server間の通信ができない原因としては、 Router1の インターネット接続に問題があるという事がわかってきます。早い段階でどの 区間で問題が発生しているかを明確にする事ができれば、重点的に調査すべき場所・機器が特定 でき、原因調査の作業量を減らすことも可能となります。 ここでは、Router1の インターネット接続に問題があるという事が確認できたので Router1につ いて以下の調査を重点的に行います。 Router1から インターネット接続ができない場合 調査項目 ・ケーブル配線は正しくされているか ・Internet接続向けのインタフェースは正常に動作しているか ・契約しているISPに問題は発生していないか ・ルータ設定に不足・誤りはないか Router1から インターネット接続ができる場合 調査項目 ・ルータ設定に不足・誤りはないか フィルター設定は正しくされているか NAT設定は正しくされているか IPルート設定は正しくされているか DNS設定は正しくされているか RTルータで確認できる情報 ここではルータコンソール操作、またはtelnetでルータにログインした際にどのような 情報を確認できるかという基本的な事柄について説明します。 RTルータでは機器状態・動作状態を確認するコマンドとして"show"コマンドが用意されています。 まずRTルータのコンソール画面、またはtelnetでログインした後で show ? と入力してみます。 # show ? ? account arp command config dlci environment file ip ipsec ipv6 log nat status と"show"の後に入力可能なコマンド一覧が画面上に表示されます。続けて、 show status ? と入力します。 # show status ? ? backup bgp bri1 dhcp dhcpc ip lan1 lan2 lan3 netvolante-dns ospf packet pp pptp vrrp と表示され、"show status"の後に続く入力可能なコマンド一覧が表示されます。 ヘルプ機能 "?"を繰り返し使用することで、どのようなコマンドが入力可能なのかはっきり覚えて ない場合あるいは知らなかった場合でも、出力された文字をキーワードとし調べていくことができます。 また、"show"コマンドはルータの動作に影響を与えず動作状態を確認することができるので正常に 動作している時の出力を確認しておくことも、異常箇所をを早期に特定するのに有効な手段となります。 以下によく使用される"show"コマンドとその出力結果を示します。太字で表している所は出力表示のうち 特に注目すべき情報です。 ルータ全体の動作の確認するためのコマンド
・"show config"…ルータ設定を表示する
# show config
# RTX1000 Rev.7.01.08 (Tue Mar 18 18:56:49 2003)
# MAC Address :00:a0:de:xx:xx:xx, 00:a0:de:xx:xx:xx, 00:a0:de:xx:xx:xx
# Memory 16Mbytes, 3LAN, 1BRI
# main: RTX1000 ver=00 serial=xxxxxxxx MAC-Address=00:a0:de:xx:xx:xx MAC-Address=00:a0:de:xx:xx:xx MAC-Address=00:a0:de:xx:xx:xx
ip lan1 address 172.16.1.1/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname rtx@yamaha yamaha
ppp ipcp ipaddress on
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
tunnel select 1
ipsec tunnel 101
tunnel enable 1
ip route 172.16.2.0/24 gateway tunnel 1
ip route default gateway pp 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1 172.16.1.1 esp
nat descriptor masquerade static 1 2 172.16.1.1 udp 500
ipsec auto refresh on
ipsec ike always-on 1 on
ipsec ike local address 1 172.16.1.1
ipsec ike pre-shared-key 1 text lan2
ipsec ike remote address 1 xxx.1.1.1
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
・"show environment"…ルータ機器情報を確認する
# show environment
RTX1000 Rev.7.01.08 (Tue Mar 18 18:56:49 2003) ※機種名とファームウェア番号
main: RTX1000 ver=00 serial=xxxxxxxx MAC-Address=00:a0:de:xx:xx:xx MAC-Address=00:a0:de:xx:xx:xx MAC-Address=00:a0:de:xx:xx:xx
メモリ: 18% used ※メモリの使用率、機種によってはCPU負荷も確認できます
ファームウェア: internal 設定ファイル: 0
起動時刻: 2003/04/01 13:23:15 +09:00
現在の時刻: 2003/04/01 17:00:05 +09:00
起動からの経過時間: 0日 03:36:50
セキュリティクラス レベル: 1, タイプ: ON, TELNET: OFF
・"show ip route"…ルーティングテーブルの確認
# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default - PP[01] static ※Static:ip routeコマンドによる設定 RIP:RIPによりルート情報を入手 OSPF:OSPFによりルート情報を入手 BGP:BGPによりルート情報を入手
172.16.1.0/24 172.16.1.1 LAN1 implicit ※インタフェースのIPアドレスから明示的に登録される経路
172.16.2.0/24 - TUNNEL[1] static
xxx.1.1.254/32 - PP[01] temporary ※IPCPで入手した経路
・"show log"…ルータの動作履歴を確認する
注意:
ログとして残せる情報は500行分で、500行を超えた場合古い情報から削除されます。"syslog debug on"設定とする事でより詳細な
ログ出力が可能となり障害原因を特定し易くなりますが、ひとつの動作に対し多く情報が出力されるので保存できる動作履歴は少なく
なります。
異常状態が発生した場合、直ぐにルータ操作が可能で動作ログを確認できるのであれば"syslog debug on"設定とした方が原因を特
定する情報を入手し易くなります。
PPPoE回線接続時の動作ログを、syslog debug off設定(デフォルト)の場合とsyslog debug on設定の場合で比べてみると情報量の違
いが確認できます。
syslog debug off設定(デフォルト)
# show log
2003/04/01 17:06:15: PPPOE[01] PPPoE Connect
2003/04/01 17:06:18: PP[01] PPP/IPCP up
syslog debug on設定
# show log
2003/04/01 17:09:48: PPPOE[01] SEND PADI
2003/04/01 17:09:48: 11 09 00 00 00 0e 01 01 00 00 01 03 00 06 59 e1
2003/04/01 17:09:48: 93 46 ba 4c
2003/04/01 17:09:48: PPPOE[01] RECV PADO
2003/04/01 17:09:48: 11 07 00 00 00 2e 01 03 00 06 59 e1 93 46 ba 4c
2003/04/01 17:09:48: 01 02 00 16 31 35 30 33 31 31 30 30 30 30 37 31
2003/04/01 17:09:48: 32 38 2d 52 65 64 42 61 63 6b 01 01 00 06 79 61
2003/04/01 17:09:48: 6d 61 68 61
2003/04/01 17:09:48: PPPOE[01] SEND PADR
2003/04/01 17:09:48: 11 19 00 00 00 2e 01 01 00 06 79 61 6d 61 68 61
2003/04/01 17:09:48: 01 02 00 16 31 35 30 33 31 31 30 30 30 30 37 31
2003/04/01 17:09:48: 32 38 2d 52 65 64 42 61 63 6b 01 03 00 06 59 e1
2003/04/01 17:09:48: 93 46 ba 4c
2003/04/01 17:09:48: PPPOE[01] RECV PADS
2003/04/01 17:09:48: 11 65 00 12 00 2e 01 01 00 06 79 61 6d 61 68 61
2003/04/01 17:09:48: 01 03 00 06 59 e1 93 46 ba 4c 01 02 00 16 31 35
2003/04/01 17:09:48: 30 33 31 31 30 30 30 30 37 31 32 38 2d 52 65 64
2003/04/01 17:09:48: 42 61 63 6b
2003/04/01 17:09:48: PPPOE[01] PPPoE Connect
2003/04/01 17:09:48: PP[01] SEND LCP ConfReq in STARTING
2003/04/01 17:09:48: c0 21 01 01 00 0e 01 04 07 00 05 06 02 4a 5b d0
2003/04/01 17:09:48: PP[01] RECV LCP ConfReq in REQSENT
2003/04/01 17:09:48: c0 21 01 ec 00 13 01 04 05 d4 03 05 c2 23 05 05
2003/04/01 17:09:48: 06 00 dd 64 00 00 00 00 00 00 00 00 00 00 00 00
2003/04/01 17:09:48: 00 00 00 00 00 00 00 00
2003/04/01 17:09:48: PP[01] SEND LCP ConfAck in REQSENT
2003/04/01 17:09:48: c0 21 02 ec 00 13 01 04 05 d4 03 05 c2 23 05 05
2003/04/01 17:09:48: 06 00 dd 64 00
2003/04/01 17:09:52: PP[01] SEND LCP ConfReq in ACKSENT
2003/04/01 17:09:52: c0 21 01 01 00 0e 01 04 07 00 05 06 02 4a 5b d0
2003/04/01 17:09:52: PP[01] RECV LCP ConfAck in ACKSENT
2003/04/01 17:09:52: c0 21 02 01 00 0e 01 04 07 00 05 06 02 4a 5b d0
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: PP[01] RECV CHAP Challenge in CS_LISTEN/SS_CLOSED
2003/04/01 17:09:52: c2 23 01 01 00 1c 10 fa c7 16 8f 69 b6 15 ad cc
2003/04/01 17:09:52: bf 2d 84 d7 20 1d fc 52 65 64 42 61 63 6b 00 00
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: PP[01] SEND CHAP Response in CS_LISTEN/SS_CLOSED
2003/04/01 17:09:52: c2 23 02 01 00 1f 10 30 a7 e9 5d 1c c3 07 1a e1
2003/04/01 17:09:52: 48 ab 25 70 44 9f 8b 72 74 78 40 79 61 6d 61 68
2003/04/01 17:09:52: 61
2003/04/01 17:09:52: PP[01] RECV CHAP Success in CS_OPEN/SS_CLOSED
2003/04/01 17:09:52: c2 23 03 01 00 27 43 48 41 50 20 61 75 74 68 65
2003/04/01 17:09:52: 6e 74 69 63 61 74 69 6f 6e 20 73 75 63 63 65 73
2003/04/01 17:09:52: 73 2c 20 75 6e 69 74 20 31
2003/04/01 17:09:52: PP[01] SEND CCP ConfReq in STARTING
2003/04/01 17:09:52: 80 fd 01 01 00 09 11 05 00 01 03
2003/04/01 17:09:52: PP[01] SEND IPCP ConfReq in STARTING
2003/04/01 17:09:52: 80 21 01 01 00 0a 03 06 00 00 00 00
2003/04/01 17:09:52: PP[01] SEND IPV6CP ConfReq in STARTING
2003/04/01 17:09:52: 80 57 01 01 00 0e 01 0a 02 a0 de ff fe 07 f2 0c
2003/04/01 17:09:52: PP[01] RECV IPCP ConfReq in REQSENT
2003/04/01 17:09:52: 80 21 01 64 00 0a 03 06 c8 01 01 fe 00 00 00 00
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: PP[01] SEND IPCP ConfAck in REQSENT
2003/04/01 17:09:52: 80 21 02 64 00 0a 03 06 c8 01 01 fe
2003/04/01 17:09:52: PP[01] RECV LCP ProtRej in OPENED
2003/04/01 17:09:52: c0 21 08 ed 00 0f 80 fd 01 01 00 09 11 05 00 01
2003/04/01 17:09:52: 03 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: PP[01] RECV IPCP ConfNak in ACKSENT
2003/04/01 17:09:52: 80 21 03 01 00 0a 03 06 c8 01 01 01 00 00 00 00
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: PP[01] SEND IPCP ConfReq in ACKSENT
2003/04/01 17:09:52: 80 21 01 02 00 0a 03 06 c8 01 01 01
2003/04/01 17:09:52: PP[01] RECV LCP ProtRej in OPENED
2003/04/01 17:09:52: c0 21 08 ee 00 14 80 57 01 01 00 0e 01 0a 02 a0
2003/04/01 17:09:52: de ff fe 07 f2 0c 00 00 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: PP[01] RECV IPCP ConfAck in ACKSENT
2003/04/01 17:09:52: 80 21 02 02 00 0a 03 06 c8 01 01 01 00 00 00 00
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: 00 00 00 00 00 00 00 00
2003/04/01 17:09:52: PP[01] PPP/IPCP up
インターフェース動作を確認するためのコマンド
・"show status lanインタフェース番号"…LANインタフェースの動作状態の確認
# show status lan1
LAN1
イーサネットアドレス: 00:a0:de:xx:xx:xx
動作モード設定: Type (Link status)
PORT1: Auto Negotiation (100BASE-TX Full Duplex) ※速度、全二重/半二重選択はAUTO認識、100BASE-TX Full Duplexで動作
PORT2: Auto Negotiation (10BASE-T Half Duplex) ※10BASE-T Half Duplexで動作
PORT3: Auto Negotiation (Link Down)
PORT4: Auto Negotiation (Link Down)
最大パケット長(MTU): 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 4 パケット(240 オクテット)
受信パケット: 1 パケット(78 オクテット)
・"show status ppインタフェース番号"…PPインタフェースの動作状態の確認
ISDNの場合
# show status pp 1
PP[01]:
回線は接続されています
発信側
通信時間: 5秒
受信: 8 パケット [114 オクテット] 負荷: 0.1% ※回線帯域の使用率
破棄: 0 オーバフロー: 0(バッファ) 0(プール)
アボート: 0 フレーム: 0 オーバーラン: 0 CRC: 0
送信: 8 パケット [114 オクテット] 負荷: 0.1%
キュー長: 0/20 超過: 0 エラー: 0
PPPオプション
LCP Local: Magic-Number MRU, Remote: Magic-Number MRU
IPCP Local:, Remote:
PP IP Address Local: Unnumbered, Remote: Unnumbered
IPV6CP Local: Interface-ID, Remote: Interface-ID
PP Interface-ID Local:02a0defffe07f20c, Remote:02a0defffe149a19
CCP: Stac-LZS
PPPoEの場合
# show status pp 1
PP[01]:
PPPoEセッションは接続されています
接続相手: 15031100007128
通信時間: 3分1秒
受信: 20 パケット [947 オクテット] 負荷: 0.0%
送信: 18 パケット [417 オクテット] 負荷: 0.0%
PPPオプション
LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
IPCP Local: IP-Address, Remote: IP-Address
PP IP Address Local: xxx.1.1.1, Remote: xxx.1.1.254 ※IPCPで入手した自IPアドレス(Local)と対向機器IPアドレス(Remote)
CCP: None
各機能における動作を確認するためのコマンド
・"show nat descriptor address"…NATの動作状態の確認
# show nat descriptor address
参照NATディスクリプタ : 1, 適用インタフェース : PP[01](1)
Masqueradeテーブル
外側アドレス: ipcp/200.1.1.1 ポート範囲=60000-64095 2個使用中 ※NATテーブル数
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
TCP 172.16.1.100.1036※1 xxx.1.1.254.21※2 60001※3 58※4 ※1 プライベート側のIPアドレスと送信元ポート番号
TCP 172.16.1.100.1035 xxx.1.1.254.23 60000 849 ※2 グローバル側の宛先IPアドレスと宛先ポート番号
ESP 172.16.1.1.0 xxx.1.1.1.* 0 793 ※3 NAT処理後に使用される送信元ポート番号
UDP 172.16.1.1.500 xxx.1.1.1.500 500 900 ※4 NATテーブルの保持時間(残り)
UDP 172.16.1.1.500 *.*.*.*.* 500 static
ESP 172.16.1.1.* *.*.*.*.* * static
--------------------- - ---
有効なNATディスクリプタテーブルが1個ありました
・"show status dhcp"…DHCPサーバの動作状態の確認
# show status dhcp
DHCPスコープ番号: 1
ネットワークアドレス: 172.16.1.0
割り当て中アドレス: 172.16.1.100
(タイプ) クライアントID: (01) 00 d0 59 80 74 9c
リース残時間: 2日 23時間 58分 14秒
スコープの全アドレス数: 11
除外アドレス数: 0
割り当て中アドレス数: 1
利用可能アドレス数: 10
・"show status dhcpc"…DHCPクライアントの動作状態の確認
# show status dhcpc
インタフェース: LAN1 primary
IP アドレス: 172.16.2.100/24 ※DHCPで入手したIPアドレス
DHCP サーバ: 172.16.2.1
リース残時間: 2日 23時間 59分 53秒
(タイプ) クライアントID: (00) 00 a0 de 0f 44 8b 00 01 01
共通情報
DNS サーバ: 172.16.2.1
デフォルトゲートウェイ: 172.16.2.1
・"show ip connection"…動的フィルタリングの動作状態の確認
# show ip connection
PP[01][out]
ID FILTER T APPS P INITIATOR D RESPONDER S
1-1 100 T ftp T 172.16.1.100:1088 > 150.1.1.100:21 E
1-2 100 D T 172.16.1.100:1090 < 150.1.1.100:20 E
・"show status backup"…バックアップ機能の動作状態の確認
# show status backup
INTERFACE DLCI BACKUP STATE TIMER
-------------------------------------------------------------------------
TUNNEL[1]※1 PP[02]※2 master※3 ※1 主系回線として使用するインタフェース
※2 バックアップ回線として使用するインタフェース
※3 master-主系を使用 backup-バックアップ系を使用
・"show ipsec sa"…IPsec鍵の生成状態の確認
# show ipsec sa
sa sgw connection dir life[s] remote-id
--------------------------------------------------------------------------
1 1 isakmp - 27343 xxx.1.1.1 ※ 対向先1つに対し3つの鍵が作成される
2 1 tun[001]esp send 27345 xxx.1.1.1
3 1 tun[001]esp recv 27345 xxx.1.1.1
SA[1] 寿命: 27343秒
自分側の識別子: 172.16.1.1
相手側の識別子: xxx.1.1.1
プロトコル: IKE
SPI: 00 00 00 c2 64 59 3c cf d8 7a ff d6 44 b4 63 1b
鍵 : e4 4d de 8a 07 dc bd 5a
----------------------------------------------------
SA[2] 寿命: 27345秒
自分側の識別子: 172.16.1.1
相手側の識別子: xxx.1.1.1
送受信方向: 送信
プロトコル: ESP (モード: tunnel)
アルゴリズム: 3DES-CBC (認証: HMAC-SHA)
SPI: d9 9f e2 90
鍵 : 68 f9 bb 4c 81 eb b3 c2 5b 06 b8 c4 8a d8 81 14
----------------------------------------------------
SA[3] 寿命: 27345秒
自分側の識別子: 172.16.1.1
相手側の識別子: xxx.1.1.1
送受信方向: 受信
プロトコル: ESP (モード: tunnel)
アルゴリズム: 3DES-CBC (認証: HMAC-SHA)
SPI: aa e7 ad 1a
鍵 : 05 03 99 6b 34 33 8d f2 8b 31 ad 23 42 c1 50 7e
----------------------------------------------------
RTルータ情報の確認手順例 ここでは以下のネットワーク構成を例として、どのような情報を確認していくのかを具体例を示しながら説明します。 ===================IPsec==================== PC1-----Router-1--(PPPoE)--インターネット--(PPPoE)--Router-2-----PC2 | | +----------------ISDN-----------------+ PPPoE回線:主系回線 ISDN回線:バックアップ回線 主系回線が使用できない場合バックアップ回線を使用 このネットワーク構成のように複数の機能を使用している場合、各機能毎に動作確認を行って行きます。ここでは、 1.PPPoE回線接続の確認 2.IPsec接続の確認 3.ISDN回線接続の確認 4.BackUP動作の確認 と4つの機能に分けて動作確認を行います。 尚、この例で示されているログ表示は全て"syslog debug on"設定時のものです。 1.PPPoE回線接続の確認 PPPoE回線接続に関するコマンド表示と動作ログを確認しながら、その内容により障害の原因 を絞り込みます。 PPPoE接続が成功している場合 以下の状態表示、動作ログが確認できた場合、"Router-1"とISP側の機器とは正常にPPPoE接続ができています。 この状態でもPC1からInternet向けの通信ができない場合以下のルータ設定・状態を確認して下さい。 ・ルータ設定に不足・誤りはないか IPルート設定は正しく設定されているか("show ip route"で目的とする宛先が登録されているか) NAT設定は正しくされているか フィルタリング設定は正しいか/フィルタリングを外すことで通信状況が変化するか DNS設定は正しくされているか ・ISPに障害は発生していないか # show status pp 1 PP[01]: PPPoEセッションは接続されています 接続相手: 15031100007128 通信時間: 6秒 受信: 15 パケット [709 オクテット] 負荷: 0.0% 送信: 13 パケット [301 オクテット] 負荷: 0.0% PPPオプション LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU IPCP Local: IP-Address, Remote: IP-Address PP IP Address Local: xxx.1.1.10, Remote: xxx.1.1.254 CCP: None # show log 2003/04/10 17:52:59: PPPOE[01] Connecting to PPPoE server 2003/04/10 17:52:59: PPPOE[01] SEND PADI 2003/04/10 17:52:59: 11 09 00 00 00 0e 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:52:59: 93 53 cf c5 2003/04/10 17:52:59: PPPOE[01] RECV PADO 2003/04/10 17:52:59: 11 07 00 00 00 2c 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:52:59: 93 53 cf c5 01 02 00 16 31 35 30 33 31 31 30 30 2003/04/10 17:52:59: 30 30 37 31 32 38 2d 52 65 64 42 61 63 6b 01 01 2003/04/10 17:52:59: 00 00 2003/04/10 17:52:59: PPPOE[01] SEND PADR 2003/04/10 17:52:59: 11 19 00 00 00 28 01 01 00 00 01 02 00 16 31 35 2003/04/10 17:52:59: 30 33 31 31 30 30 30 30 37 31 32 38 2d 52 65 64 2003/04/10 17:52:59: 42 61 63 6b 01 03 00 06 59 e1 93 53 cf c5 2003/04/10 17:52:59: PPPOE[01] RECV PADS 2003/04/10 17:52:59: 11 65 00 0c 00 28 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:52:59: 93 53 cf c5 01 02 00 16 31 35 30 33 31 31 30 30 2003/04/10 17:52:59: 30 30 37 31 32 38 2d 52 65 64 42 61 63 6b 2003/04/10 17:52:59: PPPOE[01] PPPoE Connect 2003/04/10 17:52:59: PP[01] SEND LCP ConfReq in STARTING 2003/04/10 17:52:59: c0 21 01 01 00 0e 01 04 07 00 05 06 2c 65 41 5c 2003/04/10 17:53:00: PP[01] RECV LCP ConfReq in REQSENT 2003/04/10 17:53:00: c0 21 01 5a 00 13 01 04 05 d4 03 05 c2 23 05 05 2003/04/10 17:53:00: 06 00 00 27 01 00 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:53:00: 00 00 00 00 00 00 00 00 2003/04/10 17:53:00: PP[01] SEND LCP ConfAck in REQSENT 2003/04/10 17:53:00: c0 21 02 5a 00 13 01 04 05 d4 03 05 c2 23 05 05 2003/04/10 17:53:00: 06 00 00 27 01 2003/04/10 17:53:02: PP[01] SEND LCP ConfReq in ACKSENT 2003/04/10 17:53:02: c0 21 01 01 00 0e 01 04 07 00 05 06 2c 65 41 5c 2003/04/10 17:53:02: PP[01] RECV LCP ConfAck in ACKSENT 2003/04/10 17:53:02: c0 21 02 01 00 0e 01 04 07 00 05 06 2c 65 41 5c 2003/04/10 17:53:02: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:53:02: 00 00 00 00 00 00 00 00 2003/04/10 17:53:02: PP[01] RECV CHAP Challenge in CS_LISTEN/SS_CLOSED 2003/04/10 17:53:02: c2 23 01 01 00 1c 10 7f 0d de 7f cb fd 84 63 f2 2003/04/10 17:53:02: 7a 13 9b c2 c3 e5 51 52 65 64 42 61 63 6b 00 00 2003/04/10 17:53:02: 00 00 00 00 00 00 00 00 2003/04/10 17:53:02: PP[01] SEND CHAP Response in CS_LISTEN/SS_CLOSED 2003/04/10 17:53:02: c2 23 02 01 00 1f 10 93 88 05 e6 45 ca 0e f9 66 2003/04/10 17:53:02: 4a f1 7c d9 9c 14 40 72 74 78 40 79 61 6d 61 68 2003/04/10 17:53:02: 61 2003/04/10 17:53:03: PP[01] RECV CHAP Success in CS_OPEN/SS_CLOSED 2003/04/10 17:53:03: c2 23 03 01 00 27 43 48 41 50 20 61 75 74 68 65 2003/04/10 17:53:03: 6e 74 69 63 61 74 69 6f 6e 20 73 75 63 63 65 73 2003/04/10 17:53:03: 73 2c 20 75 6e 69 74 20 30 2003/04/10 17:53:03: PP[01] SEND CCP ConfReq in STARTING 2003/04/10 17:53:03: 80 fd 01 01 00 09 11 05 00 01 03 2003/04/10 17:53:03: PP[01] SEND IPCP ConfReq in STARTING 2003/04/10 17:53:03: 80 21 01 01 00 0a 03 06 00 00 00 00 2003/04/10 17:53:03: PP[01] SEND IPV6CP ConfReq in STARTING 2003/04/10 17:53:03: 80 57 01 01 00 0e 01 0a 02 a0 de ff fe 12 87 83 2003/04/10 17:53:03: PP[01] RECV IPCP ConfReq in REQSENT 2003/04/10 17:53:03: 80 21 01 e7 00 0a 03 06 c8 01 01 fe 00 00 00 00 2003/04/10 17:53:03: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:53:03: 00 00 00 00 00 00 00 00 2003/04/10 17:53:03: PP[01] SEND IPCP ConfAck in REQSENT 2003/04/10 17:53:03: 80 21 02 e7 00 0a 03 06 c8 01 01 fe 2003/04/10 17:53:03: PP[01] RECV LCP ProtRej in OPENED 2003/04/10 17:53:03: c0 21 08 5b 00 0f 80 fd 01 01 00 09 11 05 00 01 2003/04/10 17:53:03: 03 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:53:03: 00 00 00 00 00 00 00 00 2003/04/10 17:53:03: PP[01] RECV IPCP ConfNak in ACKSENT 2003/04/10 17:53:03: 80 21 03 01 00 0a 03 06 c8 01 01 0a 00 00 00 00 2003/04/10 17:53:03: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:53:02: 00 00 00 00 00 00 00 00 2003/04/10 17:53:02: PP[01] SEND IPCP ConfReq in ACKSENT 2003/04/10 17:53:02: 80 21 01 02 00 0a 03 06 c8 01 01 0a 2003/04/10 17:53:02: PP[01] RECV LCP ProtRej in OPENED 2003/04/10 17:53:02: c0 21 08 5c 00 14 80 57 01 01 00 0e 01 0a 02 a0 2003/04/10 17:53:02: de ff fe 12 87 83 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:53:02: 00 00 00 00 00 00 00 00 2003/04/10 17:53:02: PP[01] RECV IPCP ConfAck in ACKSENT 2003/04/10 17:53:02: 80 21 02 02 00 0a 03 06 c8 01 01 0a 00 00 00 00 2003/04/10 17:53:02: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:53:02: 00 00 00 00 00 00 00 00 2003/04/10 17:53:02: PP[01] PPP/IPCP up PPPoE接続が失敗している場合 ・ID/パスワードの設定間違いの場合 以下の状態表示、動作ログが確認できた場合、契約されているISP側のID/パスワード情報と ルータへ設定したID/パスワード情報に違いがあります。再度ID/パスワードを確認して下さい。 但し、一旦正常に接続できた後、ルータリスタート・電源OFF/ONにより一時的に以下の 表示となることがあります。これは正常な手順で切断しなかったために発生する現象で あり10分程度で解消されます。 # show status pp 1 PP[01]: PPPoEセッションは継っていません 直前のPPPoEセッションの状態: 接続相手: 15031100007128 開始: 2003/04/10 17:35:46 終了: 2003/04/10 17:35:49 通信時間: 3秒 切断理由: PPP: 認証失敗 受信: 8 パケット [372 オクテット] 負荷: 0.0% 送信: 11 パケット [254 オクテット] 負荷: 0.0% # show log 2003/04/10 17:35:46: PPPOE[01] SEND PADI 2003/04/10 17:35:46: 11 09 00 00 00 0e 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:35:46: 93 53 cf c5 2003/04/10 17:35:46: PPPOE[01] RECV PADO 2003/04/10 17:35:46: 11 07 00 00 00 2c 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:35:46: 93 53 cf c5 01 02 00 16 31 35 30 33 31 31 30 30 2003/04/10 17:35:46: 30 30 37 31 32 38 2d 52 65 64 42 61 63 6b 01 01 2003/04/10 17:35:46: 00 00 2003/04/10 17:35:46: PPPOE[01] SEND PADR 2003/04/10 17:35:46: 11 19 00 00 00 28 01 01 00 00 01 02 00 16 31 35 2003/04/10 17:35:46: 30 33 31 31 30 30 30 30 37 31 32 38 2d 52 65 64 2003/04/10 17:35:46: 42 61 63 6b 01 03 00 06 59 e1 93 53 cf c5 2003/04/10 17:35:46: PPPOE[01] RECV PADS 2003/04/10 17:35:46: 11 65 00 1c 00 28 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:35:46: 93 53 cf c5 01 02 00 16 31 35 30 33 31 31 30 30 2003/04/10 17:35:46: 30 30 37 31 32 38 2d 52 65 64 42 61 63 6b 2003/04/10 17:35:46: PPPOE[01] PPPoE Connect 2003/04/10 17:35:46: PP[01] SEND LCP ConfReq in STARTING 2003/04/10 17:35:46: c0 21 01 01 00 0e 01 04 07 00 05 06 dc ae 05 24 2003/04/10 17:35:46: PP[01] RECV LCP ConfReq in REQSENT 2003/04/10 17:35:46: c0 21 01 bd 00 13 01 04 05 d4 03 05 c2 23 05 05 2003/04/10 17:35:46: 06 00 a1 3e 54 00 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:35:46: 00 00 00 00 00 00 00 00 2003/04/10 17:35:46: PP[01] SEND LCP ConfAck in REQSENT 2003/04/10 17:35:46: c0 21 02 bd 00 13 01 04 05 d4 03 05 c2 23 05 05 2003/04/10 17:35:46: 06 00 a1 3e 54 2003/04/10 17:35:49: PP[01] SEND LCP ConfReq in ACKSENT 2003/04/10 17:35:49: c0 21 01 01 00 0e 01 04 07 00 05 06 dc ae 05 24 2003/04/10 17:35:49: PP[01] RECV LCP ConfAck in ACKSENT 2003/04/10 17:35:49: c0 21 02 01 00 0e 01 04 07 00 05 06 dc ae 05 24 2003/04/10 17:35:49: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:35:49: 00 00 00 00 00 00 00 00 2003/04/10 17:35:49: PP[01] RECV CHAP Challenge in CS_LISTEN/SS_CLOSED 2003/04/10 17:35:49: c2 23 01 01 00 1c 10 69 14 98 7f 8b 57 ca 55 ad 2003/04/10 17:35:49: 52 aa 55 6d e2 e3 c1 52 65 64 42 61 63 6b 00 00 2003/04/10 17:35:49: 00 00 00 00 00 00 00 00 2003/04/10 17:35:49: PP[01] SEND CHAP Response in CS_LISTEN/SS_CLOSED 2003/04/10 17:35:49: c2 23 02 01 00 1f 10 b0 b4 79 1c da ad b6 7c 5d 2003/04/10 17:35:49: 4b 7d 50 de 79 18 fe 61 61 61 40 79 61 6d 61 68 2003/04/10 17:35:49: 61 2003/04/10 17:35:49: PP[01] RECV CHAP Failure in CS_OPEN/SS_CLOSED 2003/04/10 17:35:49: c2 23 04 01 00 1a 41 75 74 68 65 6e 74 69 63 61 2003/04/10 17:35:49: 74 69 6f 6e 20 46 61 69 6c 65 64 2e 00 00 00 00 2003/04/10 17:35:49: 00 00 00 00 00 00 00 00 2003/04/10 17:35:49: PP[01] CHAP Response Error 2003/04/10 17:35:49: PP[01] RECV LCP TermReq in OPENED 2003/04/10 17:35:49: c0 21 05 be 00 04 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:35:49: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 2003/04/10 17:35:49: 00 00 00 00 00 00 00 00 2003/04/10 17:35:49: PP[01] SEND LCP TermAck in OPENED 2003/04/10 17:35:49: c0 21 06 be 00 04 2003/04/10 17:35:49: PPPOE[01] RECV PADT 2003/04/10 17:35:49: 11 a7 00 1c 00 00 2003/04/10 17:35:49: PPPOE[01] SEND PADT 2003/04/10 17:35:49: 11 a7 00 1c 00 00 2003/04/10 17:35:49: PPPOE[01] Disconnected, cause [PPP: Authentication failed] ・ISP側PPPoEサーバとの接続が失敗している場合 以下の状態表示、動作ログが確認できた場合、ISP側PPPoEサーバと情報のやり取りができていませ ん。以下のルータ設定・状態を確認して下さい。 ・ルータ設定に不足・誤りがないか 使用するインタフェースの登録は正しくされているか ・ケーブル配線、接続ポートに誤りがないか ・回線業者、ISP側の工事が完了しているか # show status pp 1 PP[01]: PPPoEセッションは接続処理中です または # show status pp 1 PP[01]: PPPoEセッションは継っていません 直前のPPPoEセッションの状態: 接続相手: 開始: 2003/04/10 17:40:16 終了: 2003/04/10 17:41:13 通信時間: 57秒 切断理由: PPPoE: PADIタイムアウト 受信: 0 パケット [0 オクテット] 負荷: 0.0% 送信: 2 パケット [68 オクテット] 負荷: 0.0% # show log 2003/04/10 17:40:12: PPPOE[01] SEND PADI 2003/04/10 17:40:12: 11 09 00 00 00 0e 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:40:12: 93 55 d2 5b 2003/04/10 17:40:15: PPPOE[01] SEND PADI 2003/04/10 17:40:15: 11 09 00 00 00 0e 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:40:15: 93 55 d2 5b 2003/04/10 17:40:21: PPPOE[01] SEND PADI 2003/04/10 17:40:21: 11 09 00 00 00 0e 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:40:21: 93 55 d2 5b 2003/04/10 17:40:33: PPPOE[01] SEND PADI 2003/04/10 17:40:33: 11 09 00 00 00 0e 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:40:33: 93 55 d2 5b 2003/04/10 17:40:45: PPPOE[01] SEND PADI 2003/04/10 17:40:45: 11 09 00 00 00 0e 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:40:45: 93 55 d2 5b 2003/04/10 17:40:58: PPPOE[01] SEND PADI 2003/04/10 17:40:58: 11 09 00 00 00 0e 01 01 00 00 01 03 00 06 59 e1 2003/04/10 17:40:58: 93 55 d2 5b 2003/04/10 17:41:10: PPPOE[01] Disconnected, cause [PPPoE: PADI Timeout] 2.IPsec接続 IPsec接続に関するコマンド表示と動作ログを確認しながら、その内容により障害の原因を絞り込みます。 IPsec接続が成功している場合 以下の状態表示、動作ログが確認できた場合"Router-1"と"Router-2"は正常にIPsec接続が できています。 この状態でPC1からPC2向けの通信ができない場合以下のルータ設定を確認して下さい。 ・ルータ設定に不足、誤りがないか IPルート設定は正しくされているか("show ip route"で目的とする宛先が登録されているか) フィルタリング設定は正しいか/フィルタリングを外すことで通信状況が変化するか 暗号化方式の設定は正しくされているか # show ipsec sa sa sgw connection dir life[s] remote-id -------------------------------------------------------------------------- 1 1 isakmp - 28798 xxx.1.1.1 2 1 tun[001]esp send 28800 xxx.1.1.1 3 1 tun[001]esp recv 28800 xxx.1.1.1 SA[1] 寿命: 28798秒 自分側の識別子: 172.16.1.1 相手側の識別子: xxx.1.1.1 プロトコル: IKE SPI: 00 00 00 c2 a3 e1 f2 aa 87 78 46 a0 b4 60 35 46 鍵 : 85 73 4e e5 34 a7 4a ed ---------------------------------------------------- SA[2] 寿命: 28800秒 自分側の識別子: 172.16.1.1 相手側の識別子: xxx.1.1.1 送受信方向: 送信 プロトコル: ESP (モード: tunnel) アルゴリズム: 3DES-CBC (認証: HMAC-SHA) SPI: 12 a4 f3 e4 鍵 : d4 81 cb 8b 0d 17 3c 9f 68 2b 6e 3a ed a4 d6 c2 ---------------------------------------------------- SA[3] 寿命: 28800秒 自分側の識別子: 172.16.1.1 相手側の識別子: xxx.1.1.1 送受信方向: 受信 プロトコル: ESP (モード: tunnel) アルゴリズム: 3DES-CBC (認証: HMAC-SHA) SPI: b2 78 10 b4 鍵 : 6c 42 2d 74 bf b6 52 36 95 f7 9c ed 48 4c 31 e9 ---------------------------------------------------- # show log 2003/04/01 20:25:55: [IKE] initiate ISAKMP phase to xxx.1.1.1 2003/04/01 20:25:55: [IKE] add ISAKMP context [1] 000000c2a3e1f2aa 00000000 2003/04/01 20:25:57: [IKE] add ISAKMP SA[1] (gateway[1]) 2003/04/01 20:25:57: [IKE] activate ISAKMP socket[1] 2003/04/01 20:25:57: [IKE] initiate IPsec phase to xxx.1.1.1 2003/04/01 20:25:57: [IKE] add IPsec context [2] 000000c2a3e1f2aa 79dfd146 2003/04/01 20:25:58: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1]) 2003/04/01 20:25:58: [IKE] add IPsec SA[2] 2003/04/01 20:25:58: [IKE] add IPsec SA[3] 2003/04/01 20:25:58: [IKE] activate IPsec socket[tunnel:1](outbound) 2003/04/01 20:25:58: [IKE] activate IPsec socket[tunnel:1](inbound) 2003/04/01 20:25:58: IP Tunnel[1] Up IPsec接続が失敗している場合 ・以下の状態表示、動作ログが確認できた場合"Router-1"はIPsec接続を試みていますが対向 機器から応答がなく、IPsec接続が確立できていません。 以下のルータ設定・状態を確認して下さい。 ・ルータの設定に不足、誤りがないか IPルート設定は正しくされているか("show ip route"で目的とする宛先が登録されているか) フィルタリング設定は正しいか/フィルタリングを外すことで通信状況が変化するか NAT設定は正しくされているか ipsec ike local addressは正しく設定されているか ・ISPに障害が発生していないか # show ipsec sa (出力なし) # # show log 2003/04/01 20:53:57: [IKE] initiate ISAKMP phase to xxx.1.1.1 2003/04/01 20:53:57: [IKE] add ISAKMP context [1] 000000c20cc3e71b 00000000 2003/04/01 20:54:03: [IKE] [1] retransmit to xxx.1.1.1 (count = 9) 2003/04/01 20:54:10: [IKE] [1] retransmit to xxx.1.1.1 (count = 8) 2003/04/01 20:54:19: [IKE] [1] retransmit to xxx.1.1.1 (count = 7) 2003/04/01 20:54:30: [IKE] [1] retransmit to xxx.1.1.1 (count = 6) 2003/04/01 20:54:42: [IKE] [1] retransmit to xxx.1.1.1 (count = 5) 2003/04/01 20:54:57: [IKE] [1] retransmit to xxx.1.1.1 (count = 4) 2003/04/01 20:55:14: [IKE] [1] retransmit to xxx.1.1.1 (count = 3) 2003/04/01 20:55:34: [IKE] [1] retransmit to xxx.1.1.1 (count = 2) 2003/04/01 20:55:55: [IKE] [1] retransmit to xxx.1.1.1 (count = 1) 2003/04/01 20:56:17: [IKE] [1] retransmit to xxx.1.1.1 (count = 0) 2003/04/01 20:56:43: [IKE] [1] retransmission timeout ・以下の状態表示、動作ログが確認できた場合、"Router-1"はIPsec接続を試み対向機器からの応答 もありますが、期待する応答ではなく、IPsec接続が確立できてません。 以下のルータ設定を確認して下さい。 ・ルータの設定に不足、誤りがないか IPsecパラメータに相違がないか # show ipsec sa (出力なし) # # show log 2003/04/01 21:09:16: [IKE] respond ISAKMP phase to xxx.1.1.1 2003/04/01 21:09:16: [IKE] add ISAKMP context [1] 3ab3ebe6f4d02582 00000000 2003/04/01 21:09:17: [IKE] wrong message format 40 40 14770 2003/04/01 21:09:17: [IKE] initiate ISAKMP phase to xxx.1.1.1 2003/04/01 21:09:17: [IKE] add ISAKMP context [2] 3679935353a0a70e 00000000 2003/04/01 21:09:20: [IKE] [1] retransmit to xxx.1.1.1 (count = 1) 2003/04/01 21:09:21: [IKE] not respected message (discarded) 3.ISDN回線接続の確認 ISDN回線接続に関するコマンド表示と動作ログを確認しながら、その内容により接続ができない原因を絞り込みます。 ISDN回線接続が成功している場合 以下の状態表示、動作ログが確認できた場合、Router-1とRouter-2は正常にISDN回線での接続ができています。 # connect 2 # show status pp 2 PP[02]: 回線は接続されています 発信側 通信時間: 3秒 受信: 8 パケット [114 オクテット] 負荷: 0.1% 破棄: 0 オーバフロー: 0(バッファ) 0(プール) アボート: 0 フレーム: 0 オーバーラン: 0 CRC: 0 送信: 8 パケット [114 オクテット] 負荷: 0.1% キュー長: 0/20 超過: 0 エラー: 0 PPPオプション LCP Local: Magic-Number MRU, Remote: Magic-Number MRU IPCP Local:, Remote: PP IP Address Local: Unnumbered, Remote: Unnumbered IPV6CP Local: Interface-ID, Remote: Interface-ID PP Interface-ID Local:02a0defffe07f20c, Remote:02a0defffe149a19 CCP: Stac-LZS # show log 2003/04/01 19:50:49: PP[02] Calling 02 with 1B mode 2003/04/01 19:50:49: BRI[1] SEND [SETUP] 2003/04/01 19:50:49: 08 01 02 05 04 02 88 90 18 01 83 6c 02 00 80 70 2003/04/01 19:50:49: 03 80 30 32 7c 02 88 90 2003/04/01 19:50:49: BRI[1] RECV [CALL PROC] 2003/04/01 19:50:49: 08 01 82 02 18 01 89 2003/04/01 19:50:50: BRI[1] RECV [CONN] 2003/04/01 19:50:51: 08 01 82 07 2003/04/01 19:50:51: PP[02] HDLC Opening, ch = A 2003/04/01 19:50:51: PP[02] ISDN connect, going PPP phase 2003/04/01 19:50:51: PP[02] SEND LCP ConfReq in STARTING 2003/04/01 19:50:51: ff 03 c0 21 01 01 00 0e 01 04 07 00 05 06 b2 ed 2003/04/01 19:50:51: 4e 25 2003/04/01 19:50:51: PP[02] RECV LCP ConfReq in REQSENT 2003/04/01 19:50:51: ff 03 c0 21 01 01 00 0e 01 04 07 00 05 06 bf a1 2003/04/01 19:50:51: a9 22 2003/04/01 19:50:51: PP[02] SEND LCP ConfAck in REQSENT 2003/04/01 19:50:51: ff 03 c0 21 02 01 00 0e 01 04 07 00 05 06 bf a1 2003/04/01 19:50:51: a9 22 2003/04/01 19:50:51: PP[02] RECV LCP ConfAck in ACKSENT 2003/04/01 19:50:51: ff 03 c0 21 02 01 00 0e 01 04 07 00 05 06 b2 ed 2003/04/01 19:50:51: 4e 25 2003/04/01 19:50:51: PP[02] SEND CCP ConfReq in STARTING 2003/04/01 19:50:51: ff 03 80 fd 01 01 00 09 11 05 00 01 03 2003/04/01 19:50:51: PP[02] SEND IPCP ConfReq in STARTING 2003/04/01 19:50:51: ff 03 80 21 01 01 00 04 2003/04/01 19:50:51: PP[02] SEND IPV6CP ConfReq in STARTING 2003/04/01 19:50:51: ff 03 80 57 01 01 00 0e 01 0a 02 a0 de ff fe 07 2003/04/01 19:50:51: f2 0c 2003/04/01 19:50:51: PP[02] RECV CCP ConfReq in REQSENT 2003/04/01 19:50:51: ff 03 80 fd 01 01 00 09 11 05 00 01 03 2003/04/01 19:50:51: PP[02] SEND CCP ConfAck in REQSENT 2003/04/01 19:50:51: ff 03 80 fd 02 01 00 09 11 05 00 01 03 2003/04/01 19:50:51: PP[02] RECV IPCP ConfReq in REQSENT 2003/04/01 19:50:51: ff 03 80 21 01 01 00 04 2003/04/01 19:50:51: PP[02] SEND IPCP ConfAck in REQSENT 2003/04/01 19:50:51: ff 03 80 21 02 01 00 04 2003/04/01 19:50:51: PP[02] RECV IPV6CP ConfReq in REQSENT 2003/04/01 19:50:51: ff 03 80 57 01 01 00 0e 01 0a 02 a0 de ff fe 14 2003/04/01 19:50:51: 9a 19 2003/04/01 19:50:51: PP[02] SEND IPV6CP ConfAck in REQSENT 2003/04/01 19:50:51: ff 03 80 57 02 01 00 0e 01 0a 02 a0 de ff fe 14 2003/04/01 19:50:51: 9a 19 2003/04/01 19:50:51: PP[02] RECV CCP ConfAck in ACKSENT 2003/04/01 19:50:51: ff 03 80 fd 02 01 00 09 11 05 00 01 03 2003/04/01 19:50:51: PP[02] RECV IPCP ConfAck in ACKSENT 2003/04/01 19:50:51: ff 03 80 21 02 01 00 04 2003/04/01 19:50:51: PP[02] PPP/IPCP up ISDN回線接続が失敗している場合 以下の状態表示、動作ログが確認できた場合、発信は行ったが対向側の機器が応答していません。 以下のルータ設定・状態を確認して下さい。 ・ルータ設定に不足・誤りがないか 電話番号の設定は正しくされているか 使用するインタフェースの登録は正しくされているか ・対向側のケーブル配線に誤りがないか # connect 2(※手動で回線接続を行うコマンドです) # show status pp 2 PP[02]: 回線は継っていません 直前の呼の状態: 発信側 開始: 2003/04/01 20:02:07 終了: 2003/04/01 20:02:09 通信時間: 2秒 切断理由: 着側インタフェース起動不可(27) 受信: 0 パケット [0 オクテット] 負荷: 0.0% 破棄: 0 オーバフロー: 0(バッファ) 0(プール) アボート: 0 フレーム: 0 オーバーラン: 0 CRC: 0 送信: 0 パケット [0 オクテット] 負荷: 0.0% キュー長: 0/20 超過: 0 エラー: 0 # show log 2003/04/01 20:02:07: PP[02] Calling 02 with 1B mode 2003/04/01 20:02:07: BRI[1] SEND [SETUP] 2003/04/01 20:02:07: 08 01 04 05 04 02 88 90 18 01 83 6c 02 00 80 70 2003/04/01 20:02:07: 03 80 30 32 7c 02 88 90 2003/04/01 20:02:07: BRI[1] RECV [CALL PROC] 2003/04/01 20:02:07: 08 01 84 02 18 01 89 2003/04/01 20:02:08: BRI[1] RECV [DISC] 2003/04/01 20:02:08: 08 01 84 45 08 02 84 9b 2003/04/01 20:02:08: BRI[1] SEND [REL] 2003/04/01 20:02:08: 08 01 04 4d 08 02 80 90 2003/04/01 20:02:09: BRI[1] RECV [REL COMP] 2003/04/01 20:02:09: 08 01 84 5a 2003/04/01 20:02:09: PP[02] Disconnect complete 2003/04/01 20:02:09: PP[02] Disconnected cause [Destination out of order(27)] 2003/04/01 20:02:09: PP[02] Disconnected by [Remote public network] 以下の状態表示、動作ログが確認できた場合、発信は行ったが対向側の機器が着信を拒否しています。 以下のルータ設定・状態を確認して下さい。 ・ルータ設定に不足、誤りがないか 電話番号の設定は正しくされているか 使用するインターフェースの登録は正しくされているか ・対向側のケーブル配線に誤りがないか ・回線に他のISDN機器が接続されていないか # connect 2(※手動で回線接続を行うコマンドです) # show status pp 2 PP[02]: 回線は継っていません 直前の呼の状態: 発信側 開始: 2003/04/01 20:06:58 終了: 2003/04/01 20:07:03 通信時間: 5秒 切断理由: 通信拒否(21) 受信: 0 パケット [0 オクテット] 負荷: 0.0% 破棄: 0 オーバフロー: 0(バッファ) 0(プール) アボート: 0 フレーム: 0 オーバーラン: 0 CRC: 0 送信: 0 パケット [0 オクテット] 負荷: 0.0% キュー長: 0/20 超過: 0 エラー: 0 # show log 2003/04/01 20:06:58: PP[02] Calling 02 with 1B mode 2003/04/01 20:06:58: BRI[1] SEND [SETUP] 2003/04/01 20:06:58: 08 01 05 05 04 02 88 90 18 01 83 6c 02 00 80 70 2003/04/01 20:06:58: 03 80 30 32 7c 02 88 90 2003/04/01 20:06:58: BRI[1] RECV [CALL PROC] 2003/04/01 20:06:58: 08 01 85 02 18 01 89 2003/04/01 20:07:03: BRI[1] RECV [DISC] 2003/04/01 20:07:03: 08 01 85 45 08 02 80 95 2003/04/01 20:07:03: BRI[1] SEND [REL] 2003/04/01 20:07:03: 08 01 05 4d 08 02 80 90 2003/04/01 20:07:03: BRI[1] RECV [REL COMP] 2003/04/01 20:07:03: 08 01 85 5a 2003/04/01 20:07:03: PP[02] Disconnect complete 2003/04/01 20:07:03: PP[02] Disconnected cause [Call rejected(21)] 2003/04/01 20:07:03: PP[02] Disconnected by [User] 4.Backup動作の確認 1.〜3.の操作で各機能が正常に動作していることが確認できたら、障害時/復旧時の経路変更が正常に動作するかを確認 します。 Backup接続が成功している場合 以下の状態表示、動作ログが確認できた場合、障害時/復旧時の経路変更が正常に動作しています。各ルータのLAN 側に端末を用意し経路変更により使用するアプリケーションがどのような影響を受けるかを確認します。 ・確認手順 PPPoE回線断等で故意に障害を発生させます。バックアップ回線への経路変更、通信の復旧を確認した後PPPoE回線を 正常に戻します ・"show status backup"コマンドでの状態変化を確認 正常時 # show status backup INTERFACE DLCI BACKUP STATE TIMER ------------------------------------------------------------------------- TUNNEL[1] PP[02] master バックアップ時 # show status backup INTERFACE DLCI BACKUP STATE TIMER ------------------------------------------------------------------------- TUNNEL[1] PP[02] backup ・"show ipsec sa"コマンドでの状態変化を確認 正常時 # show ipsec sa sa sgw connection dir life[s] remote-id -------------------------------------------------------------------------- 1 1 isakmp - 28798 xxx.1.1.1 2 1 tun[001]esp send 28800 xxx.1.1.1 3 1 tun[001]esp recv 28800 xxx.1.1.1 SA[1] 寿命: 28798秒 自分側の識別子: 172.16.1.1 相手側の識別子: xxx.1.1.1 プロトコル: IKE SPI: 00 00 00 c2 a3 e1 f2 aa 87 78 46 a0 b4 60 35 46 鍵 : 85 73 4e e5 34 a7 4a ed ---------------------------------------------------- SA[2] 寿命: 28800秒 自分側の識別子: 172.16.1.1 相手側の識別子: xxx.1.1.1 送受信方向: 送信 プロトコル: ESP (モード: tunnel) アルゴリズム: 3DES-CBC (認証: HMAC-SHA) SPI: 12 a4 f3 e4 鍵 : d4 81 cb 8b 0d 17 3c 9f 68 2b 6e 3a ed a4 d6 c2 ---------------------------------------------------- SA[3] 寿命: 28800秒 自分側の識別子: 172.16.1.1 相手側の識別子: xxx.1.1.1 送受信方向: 受信 プロトコル: ESP (モード: tunnel) アルゴリズム: 3DES-CBC (認証: HMAC-SHA) SPI: b2 78 10 b4 鍵 : 6c 42 2d 74 bf b6 52 36 95 f7 9c ed 48 4c 31 e9 ---------------------------------------------------- バックアップ時 # show ipsec sa (出力なし) # show log 障害発生時 2003/04/01 21:30:42: [IKE] IPsec socket[tunnel:1] is refered 2003/04/01 21:31:41: [IKE] heartbeat: dead peer detection SA[2] 150.1.1.1 ※対向機器への通信不可を認識 2003/04/01 21:31:42: [IKE] SA[1] change state to DEAD 2003/04/01 21:31:42: [IKE] inactivate IPsec socket[tunnel:1](outbound) 2003/04/01 21:31:42: [IKE] delete SA[1] 2003/04/01 21:31:42: [IKE] SA[2] change state to OLD 2003/04/01 21:31:42: [IKE] inactivate ISAKMP socket[1] 2003/04/01 21:31:42: [IKE] SA[3] change state to DEAD 2003/04/01 21:31:42: [IKE] inactivate IPsec socket[tunnel:1](inbound) 2003/04/01 21:31:42: [IKE] delete SA[3] 2003/04/01 21:31:42: IP Tunnel[1] Down ※IPsec接続をダウン 2003/04/01 21:31:43: [IKE] initiate ISAKMP phase to 150.1.1.1 2003/04/01 21:31:43: [IKE] add ISAKMP context [241] ffffffff3419164f 00000000 2003/04/01 21:31:46: [IKE] SA[2] change state to DEAD 2003/04/01 21:31:46: [IKE] inactivate context [206] 6832888c5c2a8e43 00000000 2003/04/01 21:31:46: [IKE] delete SA[2] 2003/04/01 21:31:47: [IKE] delete ISAKMP context [206] 6832888c5c2a8e43 0000000 0 2003/04/01 21:31:49: [IKE] [241] retransmit to 150.1.1.1 (count = 9) 2003/04/01 21:31:56: [IKE] [241] retransmit to 150.1.1.1 (count = 8) 2003/04/01 21:31:57: TUNNEL[1]: switched to backup ※バックアップ経路へ移行する 2003/04/01 21:31:58: PP[02] IP Commencing: 2003/04/01 21:31:58: PP[02] IP Commencing: ICMP 172.16.1.100 > 172.16.2.100 : e cho request 2003/04/01 21:31:58: 45 00 00 3c 4e 01 00 00 1f 01 f1 d7 ac 10 01 64 2003/04/01 21:31:58: PP[02] Calling 02//b with 1B mode(Backup) 2003/04/01 21:31:58: ac 10 02 64 08 00 31 5c 03 00 19 00 61 62 63 64 2003/04/01 21:31:58: 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 2003/04/01 21:31:58: 75 76 77 61 62 63 64 65 66 67 68 69 2003/04/01 21:31:58: BRI[1] SEND [SETUP] 2003/04/01 21:31:58: 08 01 01 05 04 02 88 90 18 01 83 6c 02 00 80 6d 2003/04/01 21:31:58: 04 80 50 2f 62 70 03 80 30 32 71 04 80 50 2f 62 2003/04/01 21:31:58: 7c 02 88 90 2003/04/01 21:31:59: BRI[1] RECV [CALL PROC] 2003/04/01 21:31:59: 08 01 81 02 18 01 89 2003/04/01 21:31:59: BRI[1] RECV [CONN] 2003/04/01 21:31:59: 08 01 81 07 2003/04/01 21:31:59: PP[02] HDLC Opening, ch = A 2003/04/01 21:32:00: PP[02] ISDN connect, going PPP phase 2003/04/01 21:32:00: PP[02] SEND LCP ConfReq in STARTING 2003/04/01 21:32:00: ff 03 c0 21 01 01 00 0e 01 04 07 00 05 06 00 e2 2003/04/01 21:32:00: 6a 1c 2003/04/01 21:32:00: PP[02] RECV LCP ConfReq in REQSENT 2003/04/01 21:32:00: ff 03 c0 21 01 01 00 0e 01 04 07 00 05 06 33 78 2003/04/01 21:32:00: 3b ea 2003/04/01 21:32:00: PP[02] SEND LCP ConfAck in REQSENT 2003/04/01 21:32:00: ff 03 c0 21 02 01 00 0e 01 04 07 00 05 06 33 78 2003/04/01 21:32:00: 3b ea 2003/04/01 21:32:00: PP[02] RECV LCP ConfAck in ACKSENT 2003/04/01 21:32:00: ff 03 c0 21 02 01 00 0e 01 04 07 00 05 06 00 e2 2003/04/01 21:32:00: 6a 1c 2003/04/01 21:32:00: PP[02] SEND CCP ConfReq in STARTING 2003/04/01 21:32:00: ff 03 80 fd 01 01 00 09 11 05 00 01 03 2003/04/01 21:32:00: PP[02] SEND IPCP ConfReq in STARTING 2003/04/01 21:32:00: ff 03 80 21 01 01 00 04 2003/04/01 21:32:00: PP[02] SEND IPV6CP ConfReq in STARTING 2003/04/01 21:32:00: ff 03 80 57 01 01 00 0e 01 0a 02 a0 de ff fe 07 2003/04/01 21:32:00: f2 0c 2003/04/01 21:32:00: PP[02] RECV CCP ConfReq in REQSENT 2003/04/01 21:32:00: ff 03 80 fd 01 01 00 09 11 05 00 01 03 2003/04/01 21:32:00: PP[02] SEND CCP ConfAck in REQSENT 2003/04/01 21:32:00: ff 03 80 fd 02 01 00 09 11 05 00 01 03 2003/04/01 21:32:00: PP[02] RECV IPCP ConfReq in REQSENT 2003/04/01 21:32:00: ff 03 80 21 01 01 00 04 2003/04/01 21:32:00: PP[02] SEND IPCP ConfAck in REQSENT 2003/04/01 21:32:00: ff 03 80 21 02 01 00 04 2003/04/01 21:32:00: PP[02] RECV IPV6CP ConfReq in REQSENT 2003/04/01 21:32:00: ff 03 80 57 01 01 00 0e 01 0a 02 a0 de ff fe 14 2003/04/01 21:32:00: 9a 19 2003/04/01 21:32:00: PP[02] SEND IPV6CP ConfAck in REQSENT 2003/04/01 21:32:00: ff 03 80 57 02 01 00 0e 01 0a 02 a0 de ff fe 14 2003/04/01 21:32:00: 9a 19 2003/04/01 21:32:00: PP[02] RECV CCP ConfAck in ACKSENT 2003/04/01 21:32:00: ff 03 80 fd 02 01 00 09 11 05 00 01 03 2003/04/01 21:32:00: PP[02] RECV IPCP ConfAck in ACKSENT 2003/04/01 21:32:00: ff 03 80 21 02 01 00 04 2003/04/01 21:32:00: PP[02] PPP/IPCP up ※ バックアップ系ISDN回線アップ 復旧時 2003/04/01 21:36:28: [IKE] [242] retransmit to 150.1.1.1 (count = 1) 2003/04/01 21:36:30: [IKE] respond ISAKMP phase to 150.1.1.1 ※対向機器とIPsec接続を開始 2003/04/01 21:36:30: [IKE] add ISAKMP context [243] 9bfcfca5171a707c 00000000 2003/04/01 21:36:30: [IKE] initiator's cookie is duplicated 2003/04/01 21:36:31: same message repeated 1 times 2003/04/01 21:36:31: [IKE] add ISAKMP SA[1] (gateway[1]) 2003/04/01 21:36:31: [IKE] activate ISAKMP socket[1] 2003/04/01 21:36:31: [IKE] initiate IPsec phase to 150.1.1.1 2003/04/01 21:36:31: [IKE] add IPsec context [244] 9bfcfca5171a707c ffffffff 2003/04/01 21:36:32: [IKE] respond IPsec phase to 150.1.1.1 2003/04/01 21:36:32: [IKE] add IPsec context [245] 9bfcfca5171a707c fe1290fe 2003/04/01 21:36:32: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1]) 2003/04/01 21:36:32: [IKE] add IPsec SA[2] 2003/04/01 21:36:32: [IKE] add IPsec SA[3] 2003/04/01 21:36:32: [IKE] activate IPsec socket[tunnel:1](outbound) 2003/04/01 21:36:32: [IKE] activate IPsec socket[tunnel:1](inbound) 2003/04/01 21:36:32: IP Tunnel[1] Up ※IPsec接続完了 2003/04/01 21:36:32: [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1]) 2003/04/01 21:36:32: [IKE] add IPsec SA[4] 2003/04/01 21:36:32: [IKE] add IPsec SA[5] 2003/04/01 21:36:32: [IKE] IPsec socket[tunnel:1](outbound) is active 2003/04/01 21:36:32: [IKE] IPsec socket[tunnel:1](inbound) is active 2003/04/01 21:36:33: TUNNEL[1]: recovered from backup ※主系回線へ復旧 2003/04/01 21:36:33: PP[02] Disconnecting, cause [No error.] 2003/04/01 21:36:33: BRI[1] SEND [DISC] 2003/04/01 21:36:33: 08 01 01 45 08 02 80 90 2003/04/01 21:36:33: BRI[1] RECV [DISC] 2003/04/01 21:36:33: 08 01 81 45 08 02 80 90 96 01 03 82 34 30 2003/04/01 21:36:33: BRI[1] SEND [REL] 2003/04/01 21:36:33: 08 01 01 4d 08 02 80 90 2003/04/01 21:36:33: BRI[1] RECV [REL] 2003/04/01 21:36:33: 08 01 81 4d 2003/04/01 21:36:33: PP[02] Disconnect complete ※ バックアップ系ISDN回線ダウン 2003/04/01 21:36:33: PP[02] Disconnected cause [No error.] 2003/04/01 21:36:33: PP[02] Disconnected by [User] Backup接続が失敗している場合 PPPoE回線断等で障害を発生させてもバックアップ回線へ切り替わらず通信が復旧しない場合、以下の状態 を確認します。 ・"show status backup"、 "show ipsec sa"とも状態が変化しない場合、以下のルータ設定を確認して下さい。 ・ルータの設定に不足、誤りがないか "ipsec ike keepalive"コマンドが設定されているか ・IPsec鍵の再生成("ipsec sa delete all"コマンド)を実行した場合動作が変化するか # show status backup INTERFACE DLCI BACKUP STATE TIMER ------------------------------------------------------------------------- TUNNEL[1] PP[02] master # show ipsec sa sa sgw connection dir life[s] remote-id -------------------------------------------------------------------------- 1 1 isakmp - 28798 xxx.1.1.1 2 1 tun[001]esp send 28800 xxx.1.1.1 3 1 tun[001]esp recv 28800 xxx.1.1.1 SA[1] 寿命: 28798秒 自分側の識別子: 172.16.1.1 相手側の識別子: xxx.1.1.1 プロトコル: IKE SPI: 00 00 00 c2 a3 e1 f2 aa 87 78 46 a0 b4 60 35 46 鍵 : 85 73 4e e5 34 a7 4a ed ---------------------------------------------------- SA[2] 寿命: 28800秒 自分側の識別子: 172.16.1.1 相手側の識別子: xxx.1.1.1 送受信方向: 送信 プロトコル: ESP (モード: tunnel) アルゴリズム: 3DES-CBC (認証: HMAC-SHA) SPI: 12 a4 f3 e4 鍵 : d4 81 cb 8b 0d 17 3c 9f 68 2b 6e 3a ed a4 d6 c2 ---------------------------------------------------- SA[3] 寿命: 28800秒 自分側の識別子: 172.16.1.1 相手側の識別子: xxx.1.1.1 送受信方向: 受信 プロトコル: ESP (モード: tunnel) アルゴリズム: 3DES-CBC (認証: HMAC-SHA) SPI: b2 78 10 b4 鍵 : 6c 42 2d 74 bf b6 52 36 95 f7 9c ed 48 4c 31 e9 ---------------------------------------------------- ・"show status backup"、 "show ipsec sa"の状態は変化する場合、以下の動作を確認して下さい。 ・バックアップ系ISDN回線接続が成功しているか 両対向のルータで再度、"3.ISDN回線接続の確認"を実施する ・設定を保存し、ルータ本体を再起動した場合動作が変化するか それでも正常動作とならない場合 以下の情報を採取し各部門のネットワーク責任者または保守・サポート窓口に問い合わせます。 ・ネットワーク構成図 ・障害内容の詳細 ・RTルータ情報 show config show environment show ip route show log(syslog debug on)と何時頃にどのような操作を行ったかという操作履歴 show status ppインタフェース show status lanインタフェース 他、使用している機能の状態が確認できる情報 show nat descriptor address show ipsec sa show status backup 等 作業時の注意点 通信障害が発生している緊迫した状況下で現象を把握し、原因追求という作業を行う場合、 どのような設定でどのような操作をした時どのような現象が発生したかという刻々と変化 する現象の把握を自分の記憶のみを頼っていると、解析作業の段階で記憶が曖昧となり、 結果、誤った理解のまま解析作業を行い原因を突き止めるまでより多くの時間を費やして しまうという事が多くあります。 このような事を避けるため、実施した作業は必ず時刻と共にメモ、ファイル等に記録する ようにします。 また以下を心掛けた作業を行った方が解析作業において状況を正確に把握する事ができ、 短時間での原因の追求に繋がります。 ・実際の時刻、PCの時刻、ルータの時刻を確認し、どの程度ずれがあるかを記録する (可能であれば全ての機器の時刻を合わせる) ・どのような設定で、どんな操作を実施したか、その時のルータ動作ログはどうだった かを実施時刻と共に記録する ・複数人で作業をする場合、ルータ設定を変更する責任者を決め、責任者の指示で作業 を行う ・一度に行うルータ設定の変更は最小限に留め、その都度動作確認を実施する
|