أستكشاف أخطاء مستوى البيانات والتحكم في شبكة SD-WAN الشائعة وإصلاحها
المحتويات
المقدمة
يوضح هذا المستند كيفية بدء أستكشاف أخطاء مستوى البيانات والتحكم في الشبكة الواسعة (SD-WAN) المعرفة بالبرامج وإصلاحها.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة من cisco مادة حفازة حل.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نظرة عامة
تم تصميم هذه المقالة كدفتر تشغيل لتوفير نقطة بداية لتصحيح التحديات التي يتم رؤيتها في جميع بيئات الإنتاج. يوفر كل قسم حالات إستخدام عامة ونقاط بيانات محتملة للجمع أو البحث عن وقت تصحيح هذه المشكلات الشائعة.
التكوينات الأساسية
تأكد من أن التكوينات الأساسية موجودة على الموجه وأن قيم الجهاز المحددة فريدة لكل جهاز في التغشية:
تكوينات النظام
system
system-ip <system –ip>
site-id <site-id>
admin-tech-on-failure
organization-name <organization name>
vbond <vbond–ip>
!
Example:
system
system-ip 10.2.2.1
site-id 2
admin-tech-on-failure
organization-name "TAC - 22201"
vbond 10.106.50.235
!
تكوينات الواجهة
interface Tunnel0
no shutdown
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan
exit
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation ipsec
color blue restrict
no allow-service all
no allow-service bgp
no allow-service dhcp
no allow-service dns
no allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
تأكد من توفر الموجه في جدول التوجيه لإنشاء اتصال تحكم مع وحدات التحكم (vBond و vManage و vSmart). يمكنك إستخدام هذا الأمر للاطلاع على جميع الموجهات المثبتة في جدول التوجيه:
show ip route
إذا كنت تستخدم vBond FQDN، فتأكد من أن خادم DNS أو خادم الاسم الذي تم تكوينه يحتوي على إدخال لحل اسم مضيف vBond. يمكنك التحقق من تكوين خادم DNS أو خادم الاسم باستخدام هذا الأمر:
show run | in ip name-server
شهادة
تحقق من تثبيت الشهادة على الموجه باستخدام هذا الأمر:
show sdwan certificate installed
ملاحظة: إذا لم تكن تستخدم شهادات Enterprise، فإن الشهادة تكون متاحة بالفعل على الموجهات. بالنسبة للأنظمة الأساسية للأجهزة، يتم تضمين شهادات الأجهزة في أجهزة الموجه. بالنسبة للموجهات الظاهرية، يعمل vManage كمرجع شهادة ويقوم بإنشاء شهادات موجهات السحابة.
إذا كنت تستخدم شهادات مؤسسة على وحدات التحكم، فتأكد من تثبيت شهادة جذر CA للمؤسسة على الموجه.
تحقق من تثبيت الشهادات الجذر على الموجه باستخدام الأوامر التالية:
show sdwan certificate root-ca-cert
show sdwan certificate root-ca-cert | inc Issuer
تحقق من إخراج عنصر تحكم show sdwan في الخصائص المحلية للتأكد من وجود التكوينات والشهادات المطلوبة.
SD-WAN-Router#show sdwan control local-properties
personality vedge
sp-organization-name TAC - 22201
organization-name TAC - 22201
root-ca-chain-status Installed
certificate-status Installed
certificate-validity Valid
certificate-not-valid-before Nov 23 07:21:37 2015 GMT
certificate-not-valid-after Nov 23 07:21:37 2025 GMT
enterprise-cert-status Not-Applicable
enterprise-cert-validity Not Applicable
enterprise-cert-not-valid-before Not Applicable
enterprise-cert-not-valid-after Not Applicable
dns-name 10.106.50.235
site-id 2
domain-id 1
protocol dtls
tls-port 0
system-ip 10.2.2.1
chassis-num/unique-id ASR1001-X-JAE194707HJ
serial-num 983558
subject-serial-num JAE194707HJ
enterprise-serial-num No certificate installed
token -NA-
keygen-interval 1:00:00:00
retry-interval 0:00:00:18
no-activity-exp-interval 0:00:00:20
dns-cache-ttl 0:00:02:00
port-hopped TRUE
time-since-last-port-hop 0:00:01:26
embargo-check success
number-vbond-peers 1
INDEX IP PORT
-----------------------------------------------------
0 10.106.50.235 12346
number-active-wan-interfaces 2
NAT TYPE: E -- indicates End-point independent mapping
A -- indicates Address-port dependent mapping
N -- indicates Not learned
Note: Requires minimum two vbonds to learn the NAT type
PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE MAX RESTRICT/ LAST SPI TIME NAT VM
INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON
STUN PRF
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GigabitEthernet0/0/0 10.197.240.4 12426 10.197.240.4 :: 12426 0/0 blue up 2 yes/yes/no No/No 0:00:00:14 0:00:00:00 N 5
GigabitEthernet0/0/1 10.197.242.10 12406 10.197.242.10 :: 12406 0/0 red up 2 yes/yes/no No/No 0:00:00:03 0:00:00:00 N 5 عند التحقق من إخراج عنصر تحكم SDWAN المحلي، تأكد من استيفاء كافة هذه المعايير:
- اسم المؤسسة منعكس بشكل صحيح.
- تكون صلاحية الشهادة صحيحة في الوقت الذي تقوم فيه بفحص الإخراج.
- عنوان FQDN/IP الخاص ب vBond صحيح.
- SYSTEM-ip/SITE-ID صحيح.
- يظهر عنوان VBond IP في مدخل ل رقم-vbond-peers". إذا لم يتم عرض عنوان IP الخاص ب vBond، فتحقق من حل DNS لعنوان URL الخاص ب vBond باستخدام الأمر ping <vBond FQDN>.
- يتم تخطيط الواجهات بلون صحيح وعنوان IP وحالة الواجهة up.
- لا يعد MAX CNTRL للواجهة المطلوبة لتكوين اتصال التحكم 0.
حالة إتصالات التحكم
تحقق من حالة اتصال التحكم باستخدام هذا الأمر:
show sdwan control connection
إذا كان كل اتصال عنصر التحكم قيد التشغيل، فإن الجهاز لديه اتصال تحكم مكون إلى vBond و vManage و vSmart. وبمجرد إنشاء إتصالات vSmart و vManage المطلوبة، يتم قطع اتصال التحكم في vBond.
ملاحظة: في حالة تعيين اتصال vSmart واحد فقط في التغشية واتصالات التحكم الأقصى على القيمة الافتراضية 2، يتم الاحتفاظ باتصال تحكم ثابت إلى vBond بالإضافة إلى الاتصال المتوقع ب vManage و vSmart.
يتوفر هذا التكوين ضمن تكوين واجهة النفق من قسم واجهة sdwan. أنت يستطيع دققت هو يستعمل الأمر show sdwan يركض sdwan. إذا تم تكوين max-control-connection على 0 على الواجهة، فإن الموجه لا يشكل اتصال التحكم على هذه الواجهة.
إذا كان هناك 2 vSmart في التغشية، فسيقوم الموجه بتكوين اتصال التحكم بكل vSmart على كل لون محدد موقع النقل (TLOC) تم تكوينه لاتصالات التحكم.
ملاحظة: يتم تكوين اتصال التحكم ب vManage فقط على لون واجهة واحد للموجه في سيناريو حيث يكون للموجه واجهات متعددة تم تكوينها لتكوين إتصالات التحكم.
SD-WAN-Router#show sdwan control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT ORGANIZATION LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 10.1.1.3 1 1 10.106.50.254 12346 10.106.50.254 12346 vTAC-India - 22201 blue No up 0:00:00:23 0
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 vTAC-India - 22201 blue - up 0:00:00:31 0
vmanage dtls 10.1.1.2 1 0 10.106.65.182 12346 10.106.65.182 12346 vTAC-India - 22201 blue No up 0:00:00:27 0 أستكشاف أخطاء إتصالات التحكم وإصلاحها
في إخراج إتصالات التحكم في show sdwan، إذا لم تكن جميع إتصالات التحكم المطلوبة قيد التشغيل، فتحقق من إخراج show sdwan control connection-history.
SD-WAN-Router#show sdwan control connection-history
Legend for Errors
ACSRREJ - Challenge rejected by peer. NOVMCFG - No cfg in vmanage for device.
BDSGVERFL - Board ID Signature Verify Failure. NOZTPEN - No/Bad chassis-number entry in ZTP.
BIDNTPR - Board ID not Initialized. OPERDOWN - Interface went oper down.
BIDNTVRFD - Peer Board ID Cert not verified. ORPTMO - Server's peer timed out.
BIDSIG - Board ID signing failure. RMGSPR - Remove Global saved peer.
CERTEXPRD - Certificate Expired RXTRDWN - Received Teardown.
CRTREJSER - Challenge response rejected by peer. RDSIGFBD - Read Signature from Board ID failed.
CRTVERFL - Fail to verify Peer Certificate. SERNTPRES - Serial Number not present.
CTORGNMMIS - Certificate Org name mismatch. SSLNFAIL - Failure to create new SSL context.
DCONFAIL - DTLS connection failure. STNMODETD - Teardown extra vBond in STUN server mode.
DEVALC - Device memory Alloc failures. SYSIPCHNG - System-IP changed.
DHSTMO - DTLS HandShake Timeout. SYSPRCH - System property changed
DISCVBD - Disconnect vBond after register reply. TMRALC - Timer Object Memory Failure.
DISTLOC - TLOC Disabled. TUNALC - Tunnel Object Memory Failure.
DUPCLHELO - Recd a Dup Client Hello, Reset Gl Peer. TXCHTOBD - Failed to send challenge to BoardID.
DUPSER - Duplicate Serial Number. UNMSGBDRG - Unknown Message type or Bad Register msg.
DUPSYSIPDEL- Duplicate System IP. UNAUTHEL - Recd Hello from Unauthenticated peer.
HAFAIL - SSL Handshake failure. VBDEST - vDaemon process terminated.
IP_TOS - Socket Options failure. VECRTREV - vEdge Certification revoked.
LISFD - Listener Socket FD Error. VSCRTREV - vSmart Certificate revoked.
MGRTBLCKD - Migration blocked. Wait for local TMO. VB_TMO - Peer vBond Timed out.
MEMALCFL - Memory Allocation Failure. VM_TMO - Peer vManage Timed out.
NOACTVB - No Active vBond found to connect. VP_TMO - Peer vEdge Timed out.
NOERR - No Error. VS_TMO - Peer vSmart Timed out.
NOSLPRCRT - Unable to get peer's certificate. XTVMTRDN - Teardown extra vManage.
NEWVBNOVMNG- New vBond with no vMng connections. XTVSTRDN - Teardown extra vSmart.
NTPRVMINT - Not preferred interface to vManage. STENTRY - Delete same tloc stale entry.
HWCERTREN - Hardware vEdge Enterprise Cert Renewed HWCERTREV - Hardware vEdge Enterprise Cert Revoked.
EMBARGOFAIL - Embargo check failed
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT ORGANIZATION DOWNTIME
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red challenge LISFD NOERR 2 TAC - 22201 2024-03-25T01:08:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue up LISFD NOERR 0 TAC - 22201 2024-03-25T01:08:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 16727 TAC - 22201 2024-03-25T01:08:02-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 2008 TAC - 22201 2024-03-25T01:06:36-0700
vmanage dtls 10.1.1.2 1 0 10.106.65.182 12346 10.106.65.182 12346 blue tear_down DISTLOC NOERR 4 TAC - 22201 2024-03-25T01:06:18-0700
vsmart dtls 10.1.1.3 1 1 10.106.50.254 12346 10.106.50.254 12346 blue tear_down DISTLOC NOERR 1 TAC - 22201 2024-03-25T01:06:18-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue up LISFD NOERR 15 TAC - 22201 2024-03-25T01:06:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 12912 TAC - 22201 2024-03-25T01:05:20-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 11468 TAC - 22201 2024-03-25T01:04:36-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 10854 TAC - 22201 2024-03-25T00:57:49-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 4660 TAC - 22201 2024-03-25T00:51:30-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 2600 TAC - 22201 2024-03-25T00:48:48-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red tear_down DISTLOC NOERR 6 TAC - 22201 2024-03-25T00:44:23-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 9893 TAC - 22201 2024-03-25T00:37:00-0700في إخراج show sdwan control connection-history ، تحقق من هذه العناصر:
- نوع وحدة التحكم التي فشل اتصال عنصر التحكم لها في طابع زمني محدد.
- حدث الخطأ عند فشل اتصال عنصر التحكم. يوجد عمودان للأخطاء والخطأ المحلي والخطأ البعيد. يشير الخطأ المحلي إلى الخطأ الذي تم إنشاؤه بواسطة الموجه. يشير الخطأ البعيد إلى الخطأ الذي تم إنشاؤه بواسطة وحدة التحكم المقابلة. هناك وسيلة إيضاح للأخطاء في بداية الإخراج.
- تكرار العدد، يشير إلى عدد المرات، فشل الاتصال بنفس السبب.
حالات فشل رمز الخطأ الشائعة
- DCONFAIL (فشل اتصال DTLS): يشير هذا الخطأ إلى وجود فقد لحزم DTLS التي يتم تبادلها بين الموجه ووحدة التحكم المقابلة والتي بسببها لا يمكن إكمال مصافحة DTLS. لفهم هذا بشكل أفضل، يمكنك إعداد التقاط الحزم المتزامن على الموجه ووحدة التحكم المقابلة. تتم مشاركة طرق مختلفة لإعداد التقاط الحزم في قسم التقاط الحزمة المضمنة. أثناء تحليل التقاط الحزمة، من المهم التأكد من تلقي الحزم المرسلة من أحد الطرفين في الطرف الآخر دون أي تعديلات. إذا لم يتم إستلام الحزمة المرسلة من طرف واحد في الطرف الآخر، يشير ذلك إلى وجود فقدان حزمة في الدائرة السفلية والتي يجب التحقق منها مع مزود الخدمة. يمكن العثور على مزيد من التفاصيل حول كيفية التقاط حزمة في قسم مشاكل الجزء السفلي.
- PortTvrfd (لم يتم التحقق من معرف اللوحة):يشير هذا الخطأ إلى أن UUID والرقم التسلسلي للشهادة ليس إدخالا صحيحا في قائمة vEdge لوحدة التحكم. يمكنك التحقق من إخراج قائمة vEdge الصالحة على وحدات التحكم باستخدام الأوامر التالية:
vBond: show orchestrator valid-vedges
vManage/vSmart: show control valid-vedges
عادة، يكون BIDNTVRFD خطأ عن بعد على الموجه لأنه تم إنشاؤه على وحدة التحكم. على جهاز التحكم الشخصي، أنت يستطيع دققت ال log in ال vdebug مبرد يتواجد في ال /var/log/tmplog دليل يستعمل هذا أمر:
vmanage# vshell
vmanage:~$ cd /var/log/tmplog/
vmanage:/var/log/tmplog$ tail -f vdebug
- CRTVERFL (فشل التحقق من الشهادة): يشير هذا الخطأ إلى تعذر التحقق من الشهادة التي أرسلها النظير.
- إذا كان هذا خطأ محليا على الموجه، فإنه يشير إلى أنه تعذر التحقق من صحة شهادة وحدة التحكم المرسلة كجزء من مصافحة DTLS بواسطة الموجه. أحد الأسباب الشائعة لهذا هو أن الموجه لا يحتوي على الشهادة الجذر الخاصة بسلطة الشهادة التي وقعت على شهادة وحدة التحكم. تحقق من حالة الشهادة باستخدام هذه الأوامر لضمان وجود شهادة الجذر المطلوبة على الموجه.
show sdwan certificate root-ca-cert
show sdwan certificate root-ca-cert | inc Issuer
- إن يكون هذا خطأ بعيد على المسحاج تخديد، فحصت ال vdebug سجل مبرد على الجهاز تحكم شخصي أن يفهم السبب يستعمل هذا أمر:
vmanage# vshell
vmanage:~$ cd /var/log/tmplog/
vmanage:/var/log/tmplog$ tail -f vdebug
- VB_TMO (vBond Timeout) / VM_TMO (vManage Timeout) / VP_TMO (vPeer Timeout) / VS_TMO (vSmart Timeout): تشير هذه الأخطاء إلى حدوث فقدان حزم بين الأجهزة، مما يتسبب في انتهاء مهلة اتصال التحكم. لفهم هذا بشكل أفضل، يمكنك إعداد التقاط الحزم المتزامنة على الموجه ووحدة التحكم المقابلة. تتم مشاركة طرق مختلفة لإعداد التقاط الحزم في قسم التقاط الحزمة المضمنة. أثناء تحليل التقاط الحزمة، من المهم التأكد من إستلام الحزم المرسلة من أحد الطرفين في الطرف الآخر دون أي تعديلات. إذا لم يتم إستلام الحزمة المرسلة من أحد الطرفين في الطرف الآخر، فإن ذلك يشير إلى وجود فقدان حزمة في الدائرة السفلية والتي يجب التحقق منها مع مزود الخدمة
للحصول على إرشادات حول كيفية أستكشاف أخطاء رموز فشل اتصال التحكم الأخرى وإصلاحها، يمكنك الرجوع إلى هذا المستند:
أستكشاف أخطاء إتصالات التحكم في SD-WAN وإصلاحها
المسائل الأساسية
تختلف الأدوات المستخدمة لاستكشاف أخطاء الحزم وإصلاحها في الجزء السفلي عبر الأجهزة المختلفة. بالنسبة لوحدات التحكم في شبكة SD-WAN وموجه vEdges، يمكنك إستخدام الأمر tcpdump. بالنسبة لحواف Catalyst IOS® XE، أستخدم تتبع التقاط الحزم المضمن (EPC) وصفيف إستدعاء الميزات (FIA).
لفهم سبب فشل إتصالات التحكم وفهم مكان المشكلة، تحتاج إلى فهم مكان حدوث فقدان الحزمة. على سبيل المثال، إذا كان لديك موجه vBond و Edge لا يشكل اتصال تحكم، يوضح هذا الدليل كيفية عزل المشكلة.
تفريغ TCP
tcpdump vpn 0 interface ge0/0 options "host 10.1.1.x -vv"
استنادا إلى الطلب والاستجابة للحزم التي يمكن للمستخدم فهم الجهاز المسؤول عن عمليات الإسقاط. يمكن إستخدام الأمر tcpdump على جميع أجهزة التحكم وvEdge.
التقاط حزمة مضمنة
إنشاء قائمة تحكم في الوصول (ACL) على الجهاز.
ip access-list extended TAC
10 permit ip host <edge-private-ip> host <controller-public-ip>
20 permit ip host <controller-public-ip> host <edge-private-ip>
قم بتكوين التقاط الشاشة وتشغيله.
monitor capture CAP access-list TAC bidirectional
monitor capture CAP start
إيقاف الالتقاط وتصدير ملف الالتقاط.
monitor capture CAP stop
monitor capture CAP export bootflash:<filename>
عرض محتويات الملف في wireshark لفهم عمليات السقوط. يمكنك العثور على تفاصيل إضافية في تكوين الحزمة المضمنة وتفتيشها على البرنامج .
فيا تريجر
تكوين تتبع FIA.
debug platform condition ipv4 <ip> both
debug platform packet-trace packet 2048 fia-trace data-size 4096
debug platform condition start
عرض مخرجات حزمة عبارة FIA.
debug platform condition stop
show platform packet-trace summary
show platform packet-trace summary | i DROP
إذا كان هناك إسقاط، فقم بتحليل إخراج تتبع FIA للحزمة التي تم إسقاطها.
show platform packet-trace packet <packet-no> decode
لفهم خيارات تتبع FIA الإضافية، قم بعرض هذا المستند: أستكشاف الأخطاء وإصلاحها باستخدام ميزة تتبع حزمة بيانات IOS-XE
يقدم فيديو تحديد النهج الذي يسقط على Catalyst SD-WAN Edge باستخدام تتبع FIA مثالا على إستخدام تتبع FIA.
إنشاء Admin-tech
ارجع إلى تجميع مسؤول-tech في بيئة SD-WAN وتحميل إلى حالة TAC - Cisco
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
15-Aug-2024 |
الإصدار الأولي |
التعليقات