المقدمة
يصف هذا المستند المشاكل المتعلقة بتدهور معدل نجاح الإرفاق الأولي (ASR) في عبارة بيانات الحزم المطورة (ePDG).
نظرة عامة
يمثل ASR الأولي مقياسا حيويا يشير إلى معدل نجاح العدد الإجمالي لمحاولات إعداد جلسة العمل.
تحتوي صيغة مؤشر الأداء الأساسي (KPI) على العدد الإجمالي لمحاولات إعداد جلسة عمل ePDG والعدد الإجمالي للنجاحات التي حققتها عملية إعداد جلسة عمل ePDG. إذا انخفض عدد المحاولات الناجحة، فسيتراجع مؤشر الأداء الرئيسي بالكامل.
عمليات تمهيدية أساسية
لوظائف ePDG، فإن أمان بروتوكول الإنترنت (IPsec) هي العملية التي تهتم بحركات IPsec. لذلك، بالنسبة لأي حالة ePDG، يجب اتباع بعض التحققات المسبقة قبل المتابعة لاستكشاف المشكلة وإصلاحها.
1. تحقق من حالة بطاقة DPC ك ipsecmgr
تعمل على هذه البطاقات. يجب أن تكون بطاقات DPC في حالة نشطة (باستثناء بطاقات الاستعداد).
show card table
2. التحقق من حالة الموارد لكل شيء من هذا القبيل sessmgr/ipsecmgr
لمراجعة ما إذا تم ملاحظة أي نمط غير طبيعي لتدفق حركة المرور من حيث عدد الجلسات لكل sessmgr/ipsecmgr
من كل بطاقة أو إذا كانت هذه العمليات في حالة التحذير/فوق. على سبيل المثال، في هذا المخرج، ترى ipsecmgr
موجود في over
الحالة كما هو موضح هنا.
[local]abc# show task resources | grep -v good
Thursday January 19 19:41:15 UTC 2023
task cputime memory files sessions
cpu facility inst used allc used alloc used allc used allc S status
----------------------- ----------- ------------- --------- ------------- ------
3/0 ipsecmgr 261 0.28% 75% 383.4M 300.0M 196 1500 30 6000 - over
3/0 ipsecmgr 262 0.23% 75% 378.0M 300.0M 185 1500 28 6000 - over
3/0 ipsecmgr 263 0.46% 75% 382.7M 300.0M 197 1500 30 6000 - over
3/0 ipsecmgr 264 0.22% 75% 383.7M 300.0M 212 1500 27 6000 - over
....
هنا مثال sessmgrs
العمل على البطاقتين 4 و 5 مع توزيع غير متكافئ للجلسات:
[local]xyx# show task resources max | grep -i sess
Monday February 17 21:52:38 UTC 2023
task cputime memory files sessions
4/0 sessmgr 45 12% 100% 429.9M 2.00G 129 500 4260 26000 I good
4/0 sessmgr 48 12% 100% 428.8M 2.00G 129 500 4267 26000 I good
4/0 sessmgr 49 12% 100% 428.5M 2.00G 129 500 4274 26000 I good
4/0 sessmgr 52 12% 100% 428.3M 2.00G 129 500 4258 26000 I good
5/0 sessmgr 5002 2.34% 50% 87.46M 190.0M 89 500 -- -- S good
5/0 sessmgr 2 12% 100% 458.5M 2.00G 107 500 9279 26000 I good
5/0 sessmgr 3 13% 100% 459.9M 2.00G 106 500 9281 26000 I good
3. تحقق من إحصائيات التشفير إذا كان هناك أي انخفاض في مستوى IPsec:
show crypto managers detail ----------------- this command shows statistics per ipsec so we can check if any drops
show crypto statistics ikev2 ----------------- this command shows overall ikev2 statistics for EPDGs for different msg flows
ملاحظة: تعد عمليات التحقق السابقة مهمة لأنه في بعض الأحيان يتم العثور على مشاكل على مستوى البطاقة حيث لا يتمكن IPsec/serviceMgr الخاص ببطاقة معينة من أخذ جلسات عمل/حركة مرور المستخدم ويمكنك بوضوح رؤية حالات السقوط على مستوى IPsec في الإحصائيات المذكورة سابقا.
السجلات المطلوبة
نقاط قليلة يمكنك طلبها لاستكشاف المشكلة وإصلاحها بشكل أفضل:
- منذ متى يتم النظر في المسألة (مع الإشارة إلى التاريخ والوقت المحددين لبدء الإصدار)
- هل تم إجراء أي تغييرات على الشبكة أو أي تغييرات في التكوين؟
- الصيغ المستخدمة ل ASR في ePDG
- عدد الأهداف الإنمائية للألفية الموجودة في الدائرة المتأثرة، ومن بينها القضية التي لوحظت في جميع الأهداف الإنمائية للألفية أو في وثيقة واحدة محددة من وثائق البرنامج الإنمائي
فيما يلي السجلات التي سيتم تجميعها:
- إظهار تفاصيل الدعم (SSD) من العقدة قبل وقت بدء المشكلة وخلال الإصدار وبعد الإصدار (إذا لم تعد المشكلة تحدث بعد ذلك).
- Syslogs لمدة أسبوع قبل الإصدار (للدراسة المقارنة)، يغطي وقت الإصدار وبعد الإصدار (إذا لم تعد المشكلة تحدث بعد ذلك).
- بروتوكول إدارة الشبكة البسيط (SNMP) ملائمات لمدة أسبوع قبل المشكلة (للدراسة المقارنة)، يغطي وقت المشكلة وبعد المشكلة (إذا لم تعد المشكلة تحدث بعد ذلك).
- Bulkstats قبل القضية بأسبوع (للدراسة المقارنة)، تغطي وقت القضية وبعد القضية (إذا لم تعد القضية تحدث بعد ذلك).
- يتم تجميع برنامج MONSUB وفقا لهذه الخيارات:
monitor subscriber with options S, X, A, Y, 19, 33, 34, 35, 26, 37, 40, 50, 88, 89. Collect traces at verbosity 5 for problematic and non-problematic number.
- 3 محركات أقراص مزودة بذاكرة مصنوعة من مكونات صلبة (SSD) في فترة تتراوح من 30 إلى 45 دقيقة للعثور على سبب الرفض.
ملاحظة: سبب عدم الاتصال من 519 إلى 533 هو لرفض جلسة عمل ePDG.
- تحتاج إلى مقارنة التكوينات من العقد التي لا تتسبب في أية مشكلات ولا تتسبب في أية مشكلات.
show configuration
show configuration verbose
- مطلوب لتصحيح أخطاء السجلات:
logging filter active facility sessmgr level
logging filter active facility ipsec level
logging filter active facility ikev2 level
logging filter active facility epdg level
logging filter active facility diameter level
logging filter active facility egtpc level
logging active ------------------- to enable debug logs no logging active --------------- to disable debug logs Note :: Above mentioned debug logs are taken considering debug logs at the level of critical/error but we can capture at debug level also as per need basis e.g logging filter active facility egtpc level debug
- مخرجات الأوامر التي يمكن أن تكون مفيدة لاستكشاف الأخطاء وإصلاحها:
show epdg-service all counters
-> View ePDG service information and statistics
show epdg-service statistics
-> View ePDG service statistics
show epdg-service session all
-> View ePDG service session information
show egtpc statistics interface edpg-egress debug-info
-> View egtpc statistics for ePD-egress
show session [ disconnect-reasons | duration | progress | setuptime | subsystem ]
-> iew additional session statistics.
show crypto statistics ikev2
-> View IKEv2 statistics
show diameter aaa-statistics all
->View Diameter AAA server statistics.
show subscribers epdg-only [ [ all ] | [ callid call_id ]]
-> View a list of ePDG subscribers currently accessing the system.
show subscribers epdg-service service_name [ [ all ] | [ callid call_id ]]
->View a list of ePDG subscribers currently accessing the system per ePDG service.
show crypto managers summary ipsec-sa-stats
---Need to collect with some iterations to check ipsec associations stats
تحذير: عند مطالبتك بجمع سجلات مثل سجلات تصحيح الأخطاء ومراقبة التسجيل و mon-sub و mon pro، يمكنك دائما التجميع في نافذة الصيانة ومراقبة الحمل على وحدة المعالجة المركزية (CPU) دائما.
تحليل
هذا مثال على صيغة لمعدل نجاح جلسات عمل الإرفاق الأولي ل ePDG:
Initial Attach Sessions Success Rate ==((totsetupsuccess / totsetupattempt )*100)
من مرجع الإحصائيات والعدادات - أوصاف Bulkstatistic، يمكنك العثور على العدادات المستخدمة في الصيغة لمعرفة معناها.
epdg totsetup-attempt- Total number of epdg session setup attempts. Increments upon receiving IKE_AUTH (CFG_REQ) for ePDG session creation.
epdg totsetup-success Total number of epdg session setup success. Increments upon successful IPv4/IPv6/Dual Stack ePDG session call setup.
من محركات الأقراص المزودة بذاكرة مصنوعة من مكونات صلبة، يمكنك مشاهدة المخرجات show crash list
لمعرفة ما إذا كان هناك أي عدد مستمر/كبير من الأعطال التي تؤدي إلى تراجع مؤشر الأداء الرئيسي.
من محرك الأقراص الثابتة الصلب، يمكنك التحقق من show license info
و show resource
إخراج لمعرفة ما إذا كان الترخيص غير منتهي الصلاحية أم أن عدد جلسات العمل يقع ضمن الحد المسموح به.
******** show resources *******
Wednesday December 07 16:58:25 IST 2022
EPDG Service:
In Use : 1118147
Max Used : 1450339 ( Tuesday November 29 00:06:00 IST 2022 )
Limit : 1600000
License Status : Within Acceptable Limits >>>>>
من مخرجات الأمر show epdg-service statistics
، يمكن التحقق من سبب الفشل الذي تم زيادته.
******** show epdg-service statistics *******
Session Disconnect reason:
Remote disconnect: 580994781 Admin disconnect: 168301
Idle timeout: 0 Absolute timeout: 0
Long duration timeout: 0 Session setup timeout: 169445470
No resource: 185148 Auth failure: 7634409
Flow add failure: 0 Invalid dest-context: 0
Source address violation: 42803 LMA Revocations(non-HO): 0
Duplicate Request: 19973167 Addr assign failure: 0
LTE/Other handoff: 1310701444 Miscellaneous reasons: 456928065
MIP-reg-timeout : 0 Invalid-APN : 0
ICSR Procedure : 0 Local PGW Res. Failed : 10424
Invalid QCI : 0 UE Redirected : 0
Roaming Mandatory : 0 Invalid IMEI : 3
ومن بين الآثار الإشكالية، يمكن العثور على سبب الرفض ويمكن مقارنته مع المسار غير الإشكالي لأي تباين.
بعض السيناريوهات التي يمكنك الحصول عليها من الآثار:
في الحالة 1 (القطر دون الاشتراك)، بعد تحليل المسارات، يلاحظ أن طلب EAP بالقطر يتم إرساله إلى خادم AAA. ومع ذلك، تشير الاستجابة التي تم تلقيها إلى حدوث فشل مع رمز السبب DIAMETER_ERROR_USER_NO_APN_SUBSCRIPTION.
ونتيجة لذلك، تقوم خدمة عبارة بيانات الحزم (SPGW) بتسجيل نفس الفشل مع سبب قطع الاتصال diameter-no-subscription
.
ويعتبر هذا السلوك طبيعيا للمستخدم بدون اشتراك، حيث يتم رفضه من قبل خادم المصادقة والتخويل والمحاسبة (AAA) في وقت العملية.
ملاحظة: احصل على التحقق من اشتراك APN في AAA/HSS للحصول على رقم الاختبار، وقم بالترتيب للاختبار عبر الإنترنت، إن أمكن، لنفس الشيء.
في الحالة-2 (session-setup-timeout)، عند تحليل المسارات، يلاحظ أن إعداد الجلسة يتم رفضه مع سبب قطع الاتصال Session-setup-timeout
.
وكشفت تحقيقات إضافية أن جهاز الأمن العام يرسل EGTP_CREATE_SESSION_REQUEST
إلى SPGW، لكنها لا تتلقى أي إستجابة لذلك. ويمكن ملاحظة أن ثلاثة طلبات متتالية أرسلت دون تلقي أي رد.
Solution : In such cases mostly need to check why SPGW is not sending any response towards EPDG because EPDG maintains this setup timer within which it needs to have the response
في CASE-3، يتم إرسال طلب باسم نقطة وصول (APN) محدد إلى PGW، لكن يتم رفضه مع رمز السبب EGTP_CAUSE_USER_AUTHENTICATION_FAILED.
Solution : Here the issue can be either at HSS or EPDG itself need to check the authentication parameters being exchanged between EPDG/HSS/AAA
للتحقيق في جميع الحالات المذكورة، من الضروري التقاط سجلات تصحيح الأخطاء للحصول على تحليل أكثر تفصيلا. وتتم دراسة هذه السجلات وفقا لمعيار 3GPP، واستنادا إلى النتائج، يمكن تحديد خطة عمل أو حل بديل مناسب. ومن المهم ملاحظة أن مسار العمل يمكن أن يختلف تبعا للسيناريو المحدد.