أستكشاف أخطاء مكافحة إعادة تشغيل SDWAN cEdge IPsec وإصلاحها
المحتويات
المقدمة
يصف هذا المستند السلوك المضاد لإعادة تشغيل IPsec في SD-WAN IPsec لموجهات cEdges وكيفية أستكشاف أخطاء مكافحة إعادة التشغيل وإصلاحها.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- شبكة المنطقة الواسعة المعرفة من برنامج Cisco (SD-WAN)
- أمان بروتوكول الإنترنت (IPsec)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- C8000v، الإصدار 17.06.01
- ASR1001-X، الإصدار 17.06.03a
- vManage، الإصدار 20.7.1
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
توفر مصادقة IPsec حماية مضمنة ضد إعادة التشغيل ضد حزم IPsec القديمة أو المكررة مع رقم التسلسل في رأس ESP الذي تم فحصه على المستقبل. عمليات إسقاط الحزمة المضادة لإعادة التشغيل هي أحد أكثر مشاكل مستوى البيانات شيوعا مع IPsec بسبب الحزم التي يتم تسليمها خارج الأمر، أو خارج نافذة مكافحة إعادة التشغيل. يمكن العثور على نهج عام لاستكشاف الأخطاء وإصلاحها لعمليات إسقاط مقاومة إعادة تشغيل IPsec في عمليات فشل التحقق من عدم إعادة تشغيل IPsec وإصلاحها، ويتم تطبيق التقنية العامة على SD-WAN أيضا. ومع ذلك، توجد بعض إختلافات التنفيذ بين IPsec التقليدي و IPsec المستخدم في حل Cisco SD-WAN. تهدف هذه المقالة إلى شرح هذه الاختلافات والنهج المتبع على الأنظمة الأساسية من Cisco IOS®XE.
اعتبارات اكتشاف إعادة تشغيل SD-WAN
مفتاح المجموعة مقابل مفتاح Pairwise
على عكس IPsec التقليدي، حيث يتم التفاوض حول رسائل IPsec SAs بين نظامين باستخدام بروتوكول IKE، يستخدم SD-WAN مفهوم مفتاح مجموعة. في هذا النموذج، يقوم جهاز SD-WAN Edge بإنشاء مستوى بيانات SA الوارد بشكل دوري لكل TLOC (محدد موقع النقل) وإرسال شبكات SA هذه إلى وحدة التحكم SD-WAN، والتي تقوم بدورها بنشر SA إلى بقية الأجهزة الطرفية في بنية SD-WAN.
للحصول على وصف أكثر تفصيلا لعمليات مستوى بيانات SD-WAN، راجع نظرة عامة على أمان مستوى بيانات SD-WAN.
SPI مرمز
في رأس IPsec ESP، يكون SPI (فهرس معلمات الأمان) عبارة عن قيمة 32 بت يستخدمها المستقبل لتعريف SA التي يتم فك تشفير الحزمة الواردة بها. في SD-WAN، يمكن تحديد SPI الوارد هذا باستخدام show crypto ipSec:
cedge-2#show crypto ipsec sa | se inbound
inbound esp sas:
spi: 0x123(291)
transform: esp-gcm 256 ,
in use settings ={Transport UDP-Encaps, esn}
conn id: 2083, flow_id: CSR:83, sibling_flags FFFFFFFF80000008, crypto map: Tunnel1-vesen-head-0
sa timing: remaining key lifetime 9410 days, 4 hours, 6 mins
Kilobyte Volume Rekey has been disabled
IV size: 8 bytes
replay detection support: Y
Status: ACTIVE(ACTIVE)
في الحزمة الفعلية التي تم إرسالها بواسطة جهاز النظير، لاحظ أن قيمة SPI مختلفة عن الإخراج السابق. وفيما يلي مثال على إخراج تتبع الحزمة مع تمكين خيار نسخ الحزمة:
Packet Copy In 45000102 0cc64000 ff111c5e ac127cd0 ac127cd1 3062303a 00eea51b 04000123 00000138 78014444 f40d7445 3308bf7a e2c2d4a3 73f05304 546871af 8d4e6b9f
قيمة SPI الفعلية في رأس ESP هي 0x04000123. وسبب هذا هو أنه يتم تشفير وحدات بت الأولى في SPI ل SD-WAN بمعلومات إضافية، ويتم تخصيص وحدات البت المنخفضة فقط من حقل SPI ل SPI الفعلي.
بروتوكول IPsec التقليدي:
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Security Parameters Index (SPI) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
شبكة WAN المعرفة عن طريق البرامج:
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | CTR | MSNS| Security Parameters Index (SPI) | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
حيث:
- CTR (أول 4 وحدات بت، وحدات بت 0-3) - يتم إستخدام وحدات بت التحكم للإشارة إلى النوع المحدد لحزم التحكم. على سبيل المثال، يتم إستخدام وحدة بت التحكم 0x800000 لبروتوكول BFD.
- MSNS (3 وحدات بت التالية، وحدات بت 4-6) - فهرس مساحة رقم التسلسل المتعدد: يتم إستخدام هذا لتحديد موقع عداد التسلسل الصحيح في صفيف عداد التسلسل للتحقق من إعادة التشغيل للحزمة المحددة. بالنسبة ل SD-WAN، تتيح وحدات MSNS ذات الإصدار 3 بت إمكانية تعيين 8 فئات مختلفة من فئات حركة المرور في مساحة أرقام التسلسل الخاصة بها. هذا يعني أن قيمة SPI الفعالة التي يمكن إستخدامها لتحديد SA هي 25 بت منخفضة الترتيب من قيمة 32 بت الكاملة للحقل.
مساحة رقمية تسلسلية متعددة لجودة الخدمة
من الشائع ملاحظة حالات فشل إعادة تشغيل IPsec في بيئة يتم فيها تسليم الحزم بشكل غير سار بسبب جودة الخدمة (QoS)، على سبيل المثال، LLQ (قوائم انتظار تقليل التأخير)، نظرا لأنه يتم تشغيل جودة الخدمة دائما بعد تشفير IPsec وتضمينه. يحل حل "مساحة الرقم التسلسلي المتعدد" هذه المشكلة باستخدام مساحات أرقام تسلسلية متعددة تم تعيينها إلى فئات حركة مرور جودة الخدمة المختلفة لاقتران أمان معين. تتم فهرسة مساحة رقم التسلسل المختلفة بواسطة وحدات بت MSNS المرمزة في حقل SPI لحزمة ESP كما هو موضح. للحصول على وصف أكثر تفصيلا، راجع آلية مكافحة إعادة تشغيل IPsec لجودة الخدمة.
وكما تمت الإشارة مسبقا، فإن تنفيذ الرقم التسلسلي المتعدد هذا يعني أنه يمكن إستخدام قيمة SPI الفعالة لتحديد SA هي أقل 25 وحدة بت ترتيب. هناك إعتبار عملي آخر عند تكوين حجم نافذة إعادة التشغيل بهذا التطبيق وهو أن حجم نافذة إعادة التشغيل الذي تم تكوينه هو لنافذة إعادة تشغيل التجميع، بحيث يكون حجم نافذة إعادة التشغيل الفعال لكل مساحة رقم تسلسل هو 1/8 من التجميع.
مثال التكوين:
config-t
Security
IPsec
replay-window 1024
Commit
ملاحظة: حجم نافذة إعادة التشغيل الفعال لكل مساحة رقم تسلسل هو 1024/8 = 128!
على جهاز cEdge، يمكن الحصول على آخر رقم تسلسل تم تلقيه لكل مساحة رقم تسلسل من خرج مستوى بيانات show crypto ipSec نظير x.x.x.x للنظام الأساسي IPsec:
cedge-2#show crypto ipsec sa peer 172.18.124.208 platform <snip> ------------------ show platform hardware qfp active feature ipsec datapath crypto-sa 5 ------------------ Crypto Context Handle: ea54f530 peer sa handle: 0 anti-replay enabled esn enabled Inbound SA Total SNS: 8 Space highest ar number ---------------------------------------- 0 39444 1 0 2 1355 3 0 4 0 5 0 6 0 7 0 <snip>
في المثال، فإن أعلى رقم لتسلسل النافذة المضادة لإعادة التشغيل (الحافة اليمنى من نافذة انزلاق مقاومة إعادة التشغيل) ل MSN (0x00) هو 3944، وذلك ل MSNS ل 2 (0x04) هو 1335، وتستخدم هذه العدادات للتحقق من ما إذا كان رقم التسلسل داخل نافذة إعادة التشغيل للحزم في نفس مساحة رقم التسلسل.
من الممكن مقارنة أخطاء مكافحة إعادة التشغيل ومخرجات العرض للعثور على SPI، وفهرس رقم التسلسل كما هو موضح في الصورة.
باستخدام المعلومات السابقة التي تم الحصول عليها، الحافة اليمنى (الإطار العلوي) والنافذة المنزلقة؛ كما هو موضح في الصورة.
أوامر لإجبار نافذة إعادة التشغيل التي تم تكوينها حديثا على التأثير
بخلاف IPsec العادي (بخلاف SD-WAN)، لا يسري الأمر rekey على نافذة منع إعادة التشغيل.
request platform software sdwan security ipsec-rekey
تقوم هذه الأوامر بتشغيل نافذة إعادة التشغيل التي تم تكوينها لتفعيل:
تحذير: تأكد من فهمك للتأثير المحتمل لأي أمر، فإنه يؤثر على إتصالات التحكم ومستوى البيانات.
clear sdwan control connection
أو
request platform software sdwan port_hop color <color>
أو
interface Tunnelx
shutdown
no shutdown
أستكشاف أخطاء إعادة التشغيل وإفلاتها وإصلاحها
أستكشاف أخطاء تجميع البيانات وإصلاحها
بالنسبة لعمليات إسقاط مقاومة إعادة تشغيل IPsec، من المهم فهم ظروف المشكلة والعوامل المحتملة التي أدت إلى حدوث المشكلة. قم على أقل تقدير بجمع مجموعة المعلومات لتوفير السياق:
- معلومات الجهاز لكل من المرسل والمستلم لعمليات إسقاط حزمة إعادة التشغيل، وتتضمن نوع الجهاز و cEdge مقابل vEdge وإصدار البرنامج والتكوين.
- محفوظات المشاكل. كم من الوقت كان الإنتشار هناك؟ متى بدأت المشكلة؟ أي تغييرات حديثة في الشبكة أو شروط حركة المرور.
- على سبيل المثال، أي نمط لإعادة التشغيل يسقط، هل هو متقطع أم ثابت؟ وقت المشكلة و / أو الحدث المهم، لا يحدث إلا خلال ساعات الإنتاج العالية لذروة حركة المرور، أو فقط خلال وقت حدوث المشكلة، وهلم جرا.
مع جمع المعلومات السابقة، تابع سير عمل أستكشاف الأخطاء وإصلاحها.
أستكشاف أخطاء سير العمل وإصلاحها
نهج أستكشاف الأخطاء وإصلاحها العام لمشكلات إعادة تشغيل IPsec يشبه تماما طريقة تنفيذه ل IPsec التقليدي. مراعاة مساحة تسلسل SA لكل نظير ومساحة رقم تسلسل متعدد كما هو موضح. ثم انتقل عبر هذه الخطوات:
الخطوة 1. أولا حدد النظير لإفلات إعادة التشغيل من syslog ومعدل الإسقاط. لإحصائيات الإسقاط، قم دائما بجمع لقطات متعددة مختومة بالوقت للمخرجات بحيث يمكن تعديل معدل الإسقاط:
*Feb 19 21:28:25.006: %IOSXE-3-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:000 TS:00001141238701410779 %IPSEC-3-REPLAY_ERROR: IPSec SA receives anti-replay error, DP Handle 6, src_addr 172.18.124.208, dest_addr 172.18.124.209, SPI 0x123
cedge-2#show platform hardware qfp active feature ipsec datapath drops
Load for five secs: 1%/0%; one minute: 1%; five minutes: 1%
No time source, *11:25:53.524 EDT Wed Feb 26 2020
------------------------------------------------------------------------
Drop Type Name Packets
------------------------------------------------------------------------
4 IN_US_V4_PKT_SA_NOT_FOUND_SPI 30
19 IN_CD_SW_IPSEC_ANTI_REPLAY_FAIL 41
الخطوة 2 a. لمعدل حركة مرور منخفض نسبيا، اتبع تتبع الحزمة مع تعيين الشرط على عنوان IPv4 النظير باستخدام خيار نسخ الحزمة. افحص الأرقام التسلسلية للحزمة التي سقطت مقابل نافذة إعادة التشغيل الحالية (الحافة اليمنى) والأرقام التسلسلية في الحزم المجاورة. تأكد ما إذا كانت مكررة بالفعل أو خارج نافذة إعادة التشغيل.
الخطوة 2b. بالنسبة لمعدل حركة مرور مرتفع بدون مشغلات يمكن التنبؤ بها، قم بتكوين التقاط EPC باستخدام المخزن المؤقت الدائري و IM لإيقاف الالتقاط عند اكتشاف أخطاء إعادة التشغيل. نظرا لأن EEM غير مدعوم حاليا على vManage اعتبارا من 19.3، فإن هذا يعني أنه يجب أن يكون cEdge في وضع واجهة سطر الأوامر (CLI) عند تنفيذ مهمة أستكشاف الأخطاء وإصلاحها هذه.
الخطوة 3. اجمع إخراج النظام الأساسي show crypto ipSEC sa peer x.x.x.x على المستقبل، بشكل مثالي في نفس وقت التقاط الحزمة أو عند تجميع تتبع الحزمة. يتضمن هذا الأمر معلومات نافذة إعادة تشغيل مستوى البيانات في الوقت الفعلي لكل من SA الوارد والصادر.
الخطوة 4. إذا كانت الحزمة التي تم إسقاطها خارج الأمر، فعليك التقاط صور متزامنة من المرسل والمستلم على حد سواء لتحديد ما إذا كانت المشكلة مع المصدر أو مع طبقة تسليم الشبكة الأساسية.
الخطوة 5. إذا تم إسقاط الحزم على الرغم من أنها غير مكررة أو خارج نافذة إعادة التشغيل، فإنها تشير عادة إلى مشكلة في البرنامج على المستقبل.
أستكشاف أخطاء ASR1001-X وإصلاحها
وصف المشكلة:
هيغ دبليو: ASR1001-X
ستيفاني: 17٫06٫03 أمبير
تتلقى العديد من الأخطاء المضادة لإعادة التشغيل لنظير جلسة العمل 10.62.33.91، وبالتالي فإن جلسة عمل BFD تستمر في التدفق وتتأثر حركة مرور البيانات بين هذين الموقعين.
Jul 26 20:31:20.879: %IOSXE-3-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:027 TS:00000093139972173042 %IPSEC-3-REPLAY_ERROR: IPSec SA receives anti-replay error, DP Handle 22, src_addr 10.62.33.91, dest_addr 10.62.63.251, SPI 0x106
Jul 26 20:32:23.567: %IOSXE-3-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:009 TS:00000093202660128696 %IPSEC-3-REPLAY_ERROR: IPSec SA receives anti-replay error, DP Handle 22, src_addr 10.62.33.91, dest_addr 10.62.63.251, SPI 0x106
Jul 26 20:33:33.939: %IOSXE-3-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:051 TS:00000093273031417384 %IPSEC-3-REPLAY_ERROR: IPSec SA receives anti-replay error, DP Handle 22, src_addr 10.62.33.91, dest_addr 10.62.63.251, SPI 0x106
Jul 26 20:34:34.407: %IOSXE-3-PLATFORM: R0/0: cpp_cp: QFP:0.0 Thread:020 TS:00000093333499638628 %IPSEC-3-REPLAY_ERROR: IPSec SA receives anti-replay error, DP Handle 22, src_addr 10.62.33.91, dest_addr 10.62.63.251, SPI 0x106
الخطوة 1. تحقق من أن إطار مكافحة إعادة التشغيل المكون هو 8192.
cEdge#show sdwan security-info
security-info authentication-type deprecated
security-info rekey 86400
security-info replay-window 8192
security-info encryption-supported "AES_GCM_256 (and AES_256_CBC for multicast)"
security-info fips-mode Disabled
security-info pairwise-keying Disabled
security-info pwk-sym-rekey Enabled
security-info extended-ar-window Disabled
security-info integrity-type "ip-udp-esp esp"
الخطوة 2. تحقق من حجم نافذة إعادة التشغيل الفعال للنظير 10.62.33.91 لمقارنة القيمة التي تم تكوينها وتأكيدها.
show crypto ipsec sa peer 10.62.33.91 platform
<snip>
------------------ show platform hardware qfp active feature ipsec sa 22 ------------------
<snip>
------------------ show platform software ipsec fp active encryption-processor 0 context c441ff4c ------------------
<snip>
window size: 64 <-- Effective Window Size
window base(ESN): 0
Multi-SNS window_top
-----------------------------------
index: 0, win_top: 0x00000000010dc0
index: 1, win_top: 0000000000000000
index: 2, win_top: 0x00000000b65f00
index: 3, win_top: 0000000000000000
index: 4, win_top: 0000000000000000
index: 5, win_top: 0000000000000000
index: 6, win_top: 0000000000000000
index: 7, win_top: 0000000000000000
traffic hard limit: 12876354284605669376
byte count: 0
packet count: 11378618
حجم النافذة: 64 المعروضة في الإخراج لا تطابق نافذة إعادة التشغيل التي تم تكوينها ل 8192 (8192/8=1024)، مما يعني أنه على الرغم من تكوينها، إلا أن الأمر لم يدخل حيز التنفيذ.
الخطوة 3. قم بتكوين تتبع الحزمة وتمكينها والتقاط الشاشة (إختياري) في آن واحد لحركة المرور الواردة من مصدر الجلسة: 10.62.33.91، الوجهة: 10.62.63.251
cEdge#debug platform packet-trace packet 2048 circular fia-trace data-size 2048
cEdge#debug platform packet-trace copy packet both size 2048 L3
cEdge#debug platform condition ipv4 10.62.33.91/32 in
cEdge#debug platform condition start
الخطوة 4. تجميع ملخص تتبع الحزم:
cEdge#show platform packet summay
811 Te0/0/0.972 Te0/0/1.301 FWD
812 Te0/0/0.972 Te0/0/1.301 FWD
813 Te0/0/0.972 Te0/0/1.301 FWD
814 Te0/0/0.972 Te0/0/1.301 FWD
815 Te0/0/0.972 Te0/0/1.301 FWD
816 Te0/0/0.972 Te0/0/0.972 DROP 56 (IpsecInput)
817 Te0/0/0.972 Te0/0/0.972 DROP 56 (IpsecInput)
818 Te0/0/0.972 Te0/0/0.972 DROP 56 (IpsecInput)
819 Te0/0/0.972 Te0/0/0.972 DROP 56 (IpsecInput)
837 Te0/0/0.972 Te0/0/1.301 FWD
838 Te0/0/0.972 Te0/0/1.301 FWD
الخطوة 5. قم بتوسيع بعض الحزم التي تم إسقاطها (IPSecInput) التي تم التقاطها.
(IPSecInput) عمليات إسقاط الحزم:
cEdge#sh platform pack pack 816
Packet: 816 CBUG ID: 973582
Summary
Input : TenGigabitEthernet0/0/0.972
Output : TenGigabitEthernet0/0/0.972
State : DROP 56 (IpsecInput)
Timestamp
Start : 97495234494754 ns (07/26/2022 21:43:56.25110 UTC)
Stop : 97495234610186 ns (07/26/2022 21:43:56.25225 UTC)
Path Trace
Feature: IPV4(Input)
Input : TenGigabitEthernet0/0/0.972
Output : <unknown>
Source : 10.62.33.91
Destination : 10.62.63.251
Protocol : 17 (UDP)
SrcPort : 12367
DstPort : 12347
<snip>
Packet Copy In
45000072 ab314000 fd115c77 0a3e215b 0a3e3ffb 304f303b 005e0000 04000106
00b6dfed 00000000 d0a60d5b 6161b06e 453d0e3d 5ab694ce 5311bbb6 640ecd68
7ceb2726 80e39efd 70e5549e 57b24820 fb963be5 76d01ff8 273559b0 32382ab4
c601d886 da1b3b94 7a2826e2 ead8f308 c464
817 DROP:
-------------------------------
Packet: 817
<snip>
Packet Copy In
45000072 ab314000 fd115c77 0a3e215b 0a3e3ffb 304f303b 005e0000 04000106
00b6dfec 00000000 cc72d5dd ef73fe25 2440bed6 31378b78 3c506ee5 98e3dba4
bc9e6aa0 50ea98f6 7dee25c8 c1579ce0 1212290c 650f5947 57b9bc04 97c7996c
d4dbf3e6 25b33684 a7129b67 141a5e73 8736
يستخدم SD-WAN بروتوكول UDP المضمن ESP:
- رأس UDP هو 304f303b 0077000،
- التالي هو SPI (04000106)
- لذلك 00b6e00d هو رقم الأمان (SN).
- يكون مؤشر MSNS هو 2 (x0400106) نتيجة لواجهة برمجة التطبيقات (SPI) إصدار 32 بت (0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 1 0 0 0 0 1 1 0 0 0 1 1).
الخطوة 6. تحقق من فهرس MSNS
show crypto ipsec sa peer 10.62.33.91 platform
<snip>
------------------ show platform hardware qfp active feature ipsec sa 22 ------------------
<snip>
------------------ show platform software ipsec fp active encryption-processor 0 context c441ff4c ------------------
<snip>
window size: 64
window base(ESN): 0
Multi-SNS window_top
-----------------------------------
index: 0, win_top: 0x00000000010dc0
index: 1, win_top: 0000000000000000
index: 2, win_top: 0x00000000b65f00
index: 3, win_top: 0000000000000000
index: 4, win_top: 0000000000000000
index: 5, win_top: 0000000000000000
index: 6, win_top: 0000000000000000
index: 7, win_top: 0000000000000000
traffic hard limit: 12876354284605669376
byte count: 0
packet count: 11378618
أعلى رقم لتسلسل النافذة المضادة لإعادة التشغيل (الحافة اليمنى للنافذة المنزلقة المضادة لإعادة التشغيل) ل MSNS 2 (0x04) هو 0b65f00.
الخطوة 7. قم بتوسيع بعض الحزم المحولة (FWD) المضبوطة.
الحزم المعاد توجيهها:
Packet: 838
<snip>
Packet Copy In
4564008e ab044000 fd115c24 0a3e215b 0a3e3ffb 304f303b 007a0000 04000106
00b6e015 00000000 088bbd6a f4e4b35f b131143f ef1f91eb 659149f7 dbe6b025
be7fbfd0 5fad1c71 014321f1 3e0d38f2 cc8d0e5f 1494e4fa 097c7723 dfc7ceef
4a14f444 abcc1777 0bb9337f cd70c1da 01fc5262 848b657c 3a834680 b07b7092
81f07310 4eacd656 ed36894a e468
الحزمة: 837
Packet: 837
<snip>
Packet Copy In
4564008e ab044000 fd115c24 0a3e215b 0a3e3ffb 304f303b 007a0000 04000106
00b6e014 00000000 76b2a256 8e835507 13d14430 ae16d62c c152cdfd 2657c20c
01d7ce1d b3dfa451 a2cbf6e9 32f267f9 e10e9dec 395a0f9e 38589adb aad8dfb8
a3b72c8d a96f2dce 2a1557ab 67959b6e 94bbbb0a cfc4fc9e 391888da af0e492c
80bebb0e 9d7365a4 153117a6 4089
الخطوة 8. قم بجمع معلومات الرقم التسلسلي والحصول عليها من حزم متعددة تمت إعادة توجيهها (FWD) قبل وبعد عمليات الإسقاط.
FWD:
839 PKT: 00b6e003 FWD
838 PKT: 00b6e001 FWD
837 PKT: 00b6e000 FWD
815 PKT: 00b6e044 FWD
814 PKT: 00b6dfe8 FWD
813 PKT: 00b6e00d FWD
DROP:
816 PKT: 00b6dfed DROP
817 PKT: 00b6dfec DROP
818 PKT: 00b6dfeb DROP
819 PKT: 00b6dfe9 DROP
820 PKT: 00b6dfea DROP
الخطوة 9. تحويل الرقم التسلسلي من hex إلى decimal وإعادة ترتيبهم لتبسيط الحساب:
REORDERED:
813 PKT: 00b6e00d FWD --- Decimal: 11984909
814 PKT: 00b6dfe8 FWD --- Decimal: 11984872
815 PKT: 00b6e044 FWD --- Decimal: 11984964 ***** Highest Value
816 PKT: 00b6dfed DROP--- Decimal: 11984877
817 PKT: 00b6dfec DROP--- Decimal: 11984876
818 PKT: 00b6dfeb DROP--- Decimal: 11984875
819 PKT: 00b6dfe9 DROP--- Decimal: 11984873
820 PKT: 00b6dfea DROP--- Decimal: 11984874
<snip>
837 PKT: 00b6e014 FWD --- Decimal: 11984916
838 PKT: 00b6e015 FWD --- Decimal: 11984917
839 PKT: 00b6e016 FWD --- Decimal: 11984918
الخطوة 10. حساب دلتا بين أعلى رقم تسلسلي ورقم تسلسلي تم إستلامه لكل حزمة:
Difference:
815 PKT: Decimal: 11984964 ***** Highest Value
--------------------------------------
815(Highest) - X PKT = Diff
--------------------------------------
816 PKT: 11984964 - 11984877 = 87 DROP
817 PKT: 11984964 - 11984876 = 88 DROP
818 PKT: 11984964 - 11984875 = 89 DROP
819 PKT: 11984964 - 11984873 = 91 DROP
820 PKT: 11984964 - 11984874 = 90 DROP
<snip>
837 PKT: 11984964 - 11984916 = 48 FWD
838 PKT: 11984964 - 11984917 = 47 FWD
839 PKT: 11984964 - 11984918 = 45 FWD
لهذا المثال، من الممكن عرض النافذة المنزلقة بحجم النافذة 64 والحافة اليمنى 11984964 كما هو موضح في الصورة:
الرقم التسلسلي المستلم للحزم المسقطة يسبق كثيرا الحافة اليمنى لنافذة إعادة التشغيل لمساحة التسلسل تلك.
الحل
بما أن حجم النافذة لا يزال في القيمة السابقة 64، كما هو موضح في الخطوة 2، فإن أحد الأوامر في أوامر القسم لإجبار نافذة إعادة التشغيل التي تم تكوينها حديثا على أن تصبح نافذة نافذة نافذة نافذة نافذة مفعلة يجب تطبيقه على حجم النافذة المتزايد 1024 أن يأخذ تأثير.
أداة التقاط Wireshark الإضافية
هناك أداة أخرى مفيدة للمساعدة في ربط ESP SPI والرقم التسلسلي وهي Wireshark.
قم بتكوين التقاط الحزمة للاتجاه الوارد وتصديره إلى ملف PCAP.
monitor caputure CAP match ipv4 host 10.62.33.91 host 10.62.63.251 buffer size 20 inter TenGigabitEthernet0/0/0 in
monitor caputure CAP star
monitor caputure CAP stop
monitor caputure CAP export bootflash:Anti-replay.pca
عند فتح التقاط PCAP في Wireshark، لترى ESP SPI والرقم التسلسلي، قم بتوسيع حزمة واحدة بالنقر بزر الماوس الأيمن وحدد تفضيلات البروتوكول. ابحث عن UDPENCAP وقم بتغيير المنفذ الافتراضي إلى SD-WAN ميناء (منفذ المصدر) كما هو موضح في الصورة:
بعد أن يكون UDPnap في وضع مع المنفذ الصحيح، تعرض معلومات ESP الآن، كما هو موضح في الصورة:
معلومات ذات صلة
- مقالة TechZone للتحقق من عدم إعادة تشغيل IPsec
- توسيع وتعطيل النافذة المضادة لإعادة التشغيل ل IPsec
- الدعم الفني والتنزيلات من Cisco
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
2.0 |
24-Jun-2026
|
تحديث التدقيق الإملائي والنحوي وبنية الجملة والمسافات ومسائل URL الثابتة وتنبيهات CCW. |
1.0 |
08-Sep-2022
|
الإصدار الأولي |
التعليقات