WAAS:WAAS Expressのトラブルシューティング
章:WAAS Expressのトラブルシューティング
この記事では、WAAS Expressの動作をトラブルシューティングする方法について説明します。
ガイドの内容
主要記事
WAASアーキテクチャとトラフィックフローについて
WAASの予備トラブルシューティング
最適化のトラブルシューティング
アプリケーション高速化のトラブルシューティング
CIFS AOのトラブルシューティング
HTTP AOのトラブルシューティング
EPM AOのトラブルシューティング
MAPI AOのトラブルシューティング
NFS AOのトラブルシューティング
SSL AOのトラブルシューティング
ビデオAOのトラブルシューティング
一般的なAOのトラブルシューティング
過負荷状態のトラブルシューティング
WCCPのトラブルシューティング
AppNavのトラブルシューティング
ディスクおよびハードウェアの問題のトラブルシューティング
シリアルインラインクラスタのトラブルシューティング
vWAASのトラブルシューティング
WAAS Expressのトラブルシューティング
NAM統合のトラブルシューティング
主要記事
WAASアーキテクチャとトラフィックフローについて
WAASの予備トラブルシューティング
最適化のトラブルシューティング
アプリケーション高速化のトラブルシューティング
CIFS AOのトラブルシューティング
HTTP AOのトラブルシューティング
EPM AOのトラブルシューティング
MAPI AOのトラブルシューティング
NFS AOのトラブルシューティング
SSL AOのトラブルシューティング
ビデオAOのトラブルシューティング
一般的なAOのトラブルシューティング
過負荷状態のトラブルシューティング
WCCPのトラブルシューティング
AppNavのトラブルシューティング
ディスクおよびハードウェアの問題のトラブルシューティング
シリアルインラインクラスタのトラブルシューティング
vWAASのトラブルシューティング
WAAS Expressのトラブルシューティング
NAM統合のトラブルシューティング
内容
- 1 WAAS Expressイメージバージョンの確認
- 2 WAAS Expressライセンスの確認
- 3 WAASが有効になっているインターフェイスの確認
- 4 WAASで最適化された接続の確認
- 5 WAAS最適化データの確認
- 6 WAAS Expressアラームの確認
- 7 WAAS Expressピアの確認
- 8 オフラインアラーム
- 9 WAAS ExpressのHTTPS設定の確認
- 10 WAAS-Express - WAE - WAAS CM互換性
- 11 予期しないWAAS-Expressライセンスの期限切れ
- 12 WAAS-ExpressとWAAS CMのインタラクションの問題
- 13 接続が最適化されない
- 14 接続が目的の最適化レベルに達していない
- 15 症状:予期しない接続のリセット
- 16 ルータのクラッシュとトレースバック
- 17 接続が遅い/パフォーマンスが低下する
- 18 ハングした接続
- 19 SSL-Expressアクセラレータの問題:
- 20 CMのデバイスグループ間でのWAAS-Expressデバイスの移動
- 21 その他の有用な情報
WAAS Expressは、ルータなどのデバイスで実行されるIOSに組み込まれたWAAS機能です。WAAS Central Managerは、WAAS ExpressデバイスをWAASネットワーク内の他のWAASデバイスとともに管理できます。この記事では、WAAS Expressデバイスの動作をトラブルシューティングする方法について説明します。
注:WAAS Express Central Managerのサポートは、WAASバージョン4.3.1で導入されました。このセクションは、以前のWAASバージョンには適用されません。
WAAS Expressイメージバージョンの確認
WAAS Expressイメージのバージョンを確認するには、WAAS Expressルータでshow waas statusコマンドを使用します。WAAS Central ManagerからWAAS Expressイメージのバージョンを表示するには、My WAN > Manage Devicesの順に選択します。
waas-express# show waas status IOS Version: 15.1(20101018:232707) <----- IOS version WAAS Express Version: 1.1.0 <----- WAAS Express version . . .
WAAS Expressライセンスの確認
WAAS Expressライセンスには、評価ライセンス(12年間有効)と無期限ライセンスの2種類があります。WAAS Expressデバイスでshow waas statusコマンドを使用して、ライセンス情報を表示します。
waas-express# show waas status IOS Version: 15.1(20101018:232707) WAAS Express Version: 1.1.0 . . . WAAS Feature License License Type: Evaluation <----- Indicates an evaluation license Evaluation total period: 625 weeks 0 day Evaluation period left: 622 weeks 6 days
WAAS対応インターフェイスの確認
WAAS Expressデバイスでshow waas statusコマンドを使用して、WAASが有効になっているインターフェイスを一覧表示します。このコマンドでは、デバイスでサポートされている最適化の種類も表示されます。一部のWAAS ExpressルータモデルはDREをサポートしていません。
waas-express# show waas status IOS Version: 15.1(20101018:232707) WAAS Express Version: 1.1.0 WAAS Enabled Interface Policy Map GigabitEthernet0/1 waas_global <----- Interfaces on which optimization is enabled GigabitEthernet0/2 waas_global Virtual-TokenRing1 waas_global Virtual-TokenRing2 waas_global GigabitEthernet0/0 waas_global Virtual-TokenRing10 waas_global WAAS Feature License License Type: Evaluation Evaluation total period: 625 weeks 0 day Evaluation period left: 622 weeks 6 days DRE Status : Enabled <----- Indicates DRE is supported LZ Status : Enabled + Entropy Maximum Flows : 50 <----- Number of optimized connections supported Total Active connections : 0 <----- Total number of connections active Total optimized connections : 0 <----- Total number of optimized connections
注:WAASはWANインターフェイスでのみ有効にする必要があります。最適化する接続が複数のWANインターフェイス経由でルーティングされる場合は、これらすべてのWANインターフェイスにWAASを適用する必要があります。
注:WAASが論理インターフェイスまたは仮想インターフェイスで有効になっている場合は、対応する物理インターフェイスに実装する必要はありません。
WAASで最適化された接続の確認
WAAS Expressデバイスで、show waas connectionコマンドを使用して、最適化された接続を一覧表示します。パススルー接続は含まれません。
waas-express# show waas status ConnID Source IP:Port Dest IP:Port PeerID Accel 1999 64.103.255.217 :59211 192.168.4.2 :1742 0021.5e57.a768 TLD <----- TFO, LZ and DRE are applied 1910 64.103.255.217 :56860 192.168.4.2 :61693 0021.5e57.a768 TLD 1865 64.103.255.217 :59206 192.168.4.2 :23253 0021.5e57.a768 TLD
Central Managerから同様の情報を表示するには、WAAS Expressデバイスを選択し、Monitor > Optimization > Connections Statisticsの順に選択して、Connections Summaryテーブルを表示します。
- 図 1.接続の概要テーブル
WAAS最適化データの確認
WAAS Expressデバイスで、show waas statistics applicationコマンドを使用して、最適化されたデータを各アプリケーションに分類してリストします。WAAS Expressデバイスにパススルーデータが表示されない。このデータは、WAAS Central ManagerでTCP関連のグラフを生成するために使用されます。
waas-express# show waas statistics application Number of applications : 1 Application: waas-default TCP Data Volumes Connection Type Inbound Outbound Opt TCP Plus 53001765483 41674120 Orig TCP Plus 0 87948683030 Opt TCP Only 1165 863 Orig TCP Only 60 0 Internal Client 0 0 Internal Server 0 0 TCP Connection Counts Connection Type Active Completed Opt TCP Plus 50 126 Opt TCP Only 0 71 Internal Client 0 0 Internal Server 0 0 Pass Through Connection Counts Connection Type Completed PT Asymmetric 0 PT Capabilities 0 PT Intermediate 0 PT_Other 0 Connection Reset: 0 Cleared connections 0
WAAS Expressアラームの確認
WAAS Expressデバイスで、show waas alarmsコマンドを使用して、デバイスに存在するアラームとそのステータスを一覧表示します。
waas-express# show waas alarms WAAS status: enabled Alarms Connection limit exceeded: on <----- on indicates this alarm is active. off indicates inactive Too many peers discovered: off WAAS license expired: off WAAS license revoked: off WAAS license deleted: off High CPU: off
Central Managerからすべてのデバイスのアラームを表示するには、My WAN > Alertsの順に選択します。上記のアラームに加えて、WAAS ExpressとWAAS Central Managerデバイスのクロックが同期されていない場合にアラームが発生します。
WAAS Expressピアの確認
WAAS Expressデバイスで、show waas statistics peerコマンドを使用して、WAAS Expressデバイスのピアデバイスをリストします。
waas-express# show waas statistics peer
Number of Peers : 1
Peer: 0021.5e57.a768
TCP Data Volumes
Connection Type Inbound Outbound
Opt TCP Plus 597068158 5212151
Orig TCP Plus 0 6867128187
Opt TCP Only 0 0
Orig TCP Only 0 0
Internal Client 0 0
Internal Server 0 0
TCP Connection Counts
Connection Type Active Completed
Opt TCP Plus 50 0
Opt TCP Only 0 0
Internal Client 0 0
Internal Server 0 0
Pass Through Connection Counts
Connection Type Completed
PT Asymmetric 0
PT Capabilities 0
PT Intermediate 0
PT_Other 0
Connection Reset: 0
Cleared connections 0
Router#show waas statistics aoim
Total number of peer syncs: 1
Current number of peer syncs in progress: 0
Number of peers: 1
Number of local application optimizations (AO): 3
Number of AO discovery successful: 1
Number of AO discovery failure: 0
Local AO statistics
Local AO: TFO
Total number of incompatible connections: 0
Version: 0.11
Registered: Yes
Local AO: HTTP
Total number of incompatible connections: 0
Version: 1.1
Registered: Yes
Local AO: SSL
Total number of incompatible connections: 0
Version: 1.0
Registered: Yes
Peer AOIM Statistics
Number of Peers : 1
Peer: 0027.0d79.c215 <--- Peer ID
Peer IP: 20.0.0.2 <--- Peer IP
Peer Expiry Time: 00:00:02
Peer Compatible: Yes
Peer active connections: 0
Peer Aoim Version: 1.0
Peer sync in progress: No
Peer valid: Yes
Peer Software Version: 4.4.3(b4)
Peer AOs:
Peer AO: TFO
Compatible: Yes
Version: 0.20
Peer AO: HTTP
Compatible: Yes
Version: 1.4
Peer AO: SSL
Compatible: Yes
Version: 1.0
Router#show waas statistics dre peer
DRE Status: Enabled
Current number of connected peers 0
Current number of active peers 1
Peer-ID 0027.0d79.c215 <--- Peer ID
Hostname waasx1-b-wae.cisco.com <--- Peer hostname
IP reported from peer 20.0.0.2 <--- Peer IP
Peer version 4.4.3(b4)
Cache:
Cache in storage 0 B
Age 00:00:00
AckQ:
AckQ in storage 0 B
WaitQ:
WaitQ in storage 0 B
WaitQ size 0 B
Sync-clock:
Local-head 0 ms
Local-tail 0 ms
Remote-head 18609143000 ms
Curr-sync-clock 24215235228 ms
Encode Statistics
DRE msgs: 1
R-tx total: 0
R-tx chunk-miss: 0
R-tx collision: 0
Bytes in: 0
Bytes out: 0
Bypass bytes: 178
Compression gain: 0%
Decode Statistics
DRE msgs: 4
Bytes in: 299
Bytes out: 277
Bypass bytes: 51
Compression gain: 0%
Nacks generated: 0
Central Managerから同様の情報を表示するには、Monitor > Topologyの順に選択します。
オフラインアラーム
次の問題が原因で、Central ManagerでWAAS Expressデバイスがオフライン状態になる場合があります。
- Central ManagerにWAAS Expressデバイスクレデンシャルがない。
- Central ManagerでこのWAAS Expressデバイスのクレデンシャルが設定されていないWAAS Central ManagerがWAAS Expressデバイスと通信するには、WAAS Expressのユーザ名とパスワードが必要です。Central Managerでクレデンシャルを設定するには、My WAN(またはWAAS Expressデバイスまたはデバイスグループ)> Admin > WAAS Express Credentialsの順に選択します。
- WAAS Expressデバイスとの通信中に認証に失敗しました。
- 誤ったクレデンシャルが設定されているため、Central ManagerがWAAS Expressと通信できません。Central Managerでクレデンシャルを設定するには、My WAN(またはWAAS Expressデバイスまたはデバイスグループ)> Admin > WAAS Express Credentialsの順に選択します。
- WAAS Expressデバイスとの通信中にSSLハンドシェイクが失敗しました。
- WAAS Expressデバイスの証明書が変更され、このデバイスの同じ証明書がCentral Managerにインポートされません。WAAS Expressデバイス証明書を再インポートするには、WAAS Expressデバイスを選択し、Admin > Certificateの順に選択します。
- WAAS Expressデバイスへのルートがない。
- Central ManagerがWAAS Expressデバイスに到達できません。WAAS Expressデバイスを選択し、DeviceName > Activationを選択して、正しいWAAS Express管理IPアドレスを設定します。
- WAAS Expressデバイスによって接続が拒否されました。
- WAAS Expressデバイスに設定されているHTTPSサーバポートが、Central ManagerのDeviceName > Activationページに表示されるポートと同じではない。このページで正しいWAAS Express HTTPSサーバポートを設定します。
- WAASサポートは、WAAS Expressデバイスでは利用できません。
- WAAS Expressデバイスは、WAASをサポートしないIOSイメージバージョンにダウングレードされます。WAASをサポートするIOSイメージをインストールします。
- WAAS Expressデバイスとの通信中に接続がタイムアウトしました。
- WAAS ExpressデバイスがCentral Managerに応答するのに30秒以上かかります。これは、WAAS Expressデバイスが過負荷になっているか、ネットワークが遅いことが原因である可能性があります。
- WAAS Expressデバイスのライセンスが期限切れになる。
- WAAS Expressデバイスの評価ライセンスの有効期限が切れています。WAAS Express license installコマンドを使用してパーマネントライセンスをインストールします。
- WAAS Expressデバイスとの通信中にSSL接続が正しく閉じられませんでした。
- WAAS ExpressデバイスとCentral ManagerはSSL通信に暗号rc4-128-md5を使用しています。Central Managerは、WAAS Expressから送信されたSSLデータの復号化に失敗することがあります。WAAS Expressコマンドip http secure-ciphersuite 3des-ede-cbc-sha des-cbc-sha rc4-128-shaを使用して、暗号3des-ede-cbc-sha、des-cbc-sha、rc4-128を設定します。
- WAAS Expressデバイスのステータスを確認できませんでした。
- Central ManagerがWAAS Expressデバイスから設定ステータスを受信していません。Cisco TACに連絡して、トラブルシューティングの支援を求めてください。
- 管理ステータスはオフラインです。
- このエラーメッセージが表示された場合は、Cisco TACに連絡して、トラブルシューティングのサポートを依頼してください。
WAAS ExpressのHTTPS設定の確認
WAAS ExpressデバイスのHTTPSサーバ設定を確認するには、show ip http server secure statusコマンドを使用します。
waas-express# show ip http server secure status HTTP secure server status: Enabled HTTP secure server port: 443 HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-sha HTTP secure server client authentication: Disabled HTTP secure server trustpoint: local HTTP secure server active session modules: ALL
WAAS-Express - WAE - WAAS CMの互換性
WAAS-Expressバージョン1.0、1.5
このバージョンのWAAS-Expressは、TFO、LZ、DREなどのトランスポート最適化をサポートします。
WAAS-Expressバージョン1.0は、IOSソフトウェアリリース15.1(3)T1で導入されました
WAAS-Expressバージョン1.5は、IOSソフトウェアリリース15.1(4)Mで導入されました。このリリースでは、最適化に加えて、Performance Agent(PA)と呼ばれる組み込みモニタリング機能のサポートが追加されています。 PAの詳細については、CCOのPAページを参照してください。
Recommended WAAS-Express IOS image: 15.1(3)T1 Recommended WAE version: >= 4.3.1 Recommended WCM version: 4.4.5a
既知の問題
| IOS バージョン | WAEバージョン | WAAS CMバージョン | 既知の問題 |
|---|---|---|---|
| 15.1(3)T1 | 5.0.1 | 4.4.5a | データセンター側で発生する接続は最適化されない:CSCtz82646 |
WAAS-Expressバージョン2.0.0
このバージョンのWAAS-Expressは、トランスポート最適化のサポートに加えて、特定のアプリケーション最適化(特にHTTP Express、SSL Express、およびCIFS Express AO)もサポートします。
Recommended WAAS-Express IOS image: 15.2(4)M1 Recommended WAE version: 5.0.1 Recommended WCM version: 5.0.1
既知の問題
| IOS バージョン | WAEバージョン | WAAS CMバージョン | 既知の問題 |
|---|---|---|---|
| 15.2(4)M1 | < 4.4.3c | < 5.0.1 | HTTP-Expressアクセラレータには4.4.3c以降が必要です。接続にはHTTP最適化はありませんが、TDLがあります。 |
| 15.2(4)M1 | < 5.0.1 | < 4.4.5a | WCMで見られる接続統計に分類子名がありません。 |
| 15.2(4)M1 | < 5.0.1 | < 5.0.1 | CSCub21189:ポリシーマップの変更がWAAS-Expressデバイスと正しく同期されていない CSCtw50988: SMB:ファイルのダウンロード中に接続がリセットされました CSCtr07216:無効なhdrを持つトランザクションがWAAS-X <-> WAEケースで正しく処理されない CSCua49764: HTTPSでWExp証明書が作成されました – アップグレード後にWExpがオフラインになりました |
| 15.2(3)T1 | < 5.0.1 | < 5.0.1 | CSCub21189:ポリシーマップの変更がWAAS-Expressデバイスと正しく同期されていない CSCtw50988: SMB:ファイルのダウンロード中に接続がリセットされました CSCtr07216:無効なhdrを持つトランザクションがWAAS-X <-> WAEケースで正しく処理されない CSCua49764: HTTPSでWExp証明書が作成されました – アップグレード後にWExpがオフラインになりました |
| 15.2(3)T | < 5.0.1 | < 5.0.1 | CSCtx82427:IOS-WAAS:転送終了時のSSL接続リセット(EOT) CSCtz08485:互換性のないHTTP-AO検出エラー(%WAAS-3-WAAS_LZ_CONN_ABORT) CSCtu19564:dt21でWaas+VPN+ZBFW+NAT+NETFLOWによるクラッシュが確認されました CSCtz85134:WAAS Express SSL-Expressがリロード後に自己署名トラストポイントを変更 CSCua22313: WAAS Express 2.0により、IE6 conn optimでHTTPSページが表示されない CSCtw50988: SMB:ファイルのダウンロード中に接続がリセットされました CSCty04359:手動で作成されたWExp証明書 – Wexpのアップグレード後にオフラインになった CSCtr07216:無効なhdrを持つトランザクションがWAAS-X <-> WAEケースで正しく処理されない |
予期しないWAAS-Expressライセンスの期限切れ
- WAAS-Expressライセンスは、show licenseでアクティブになります。ただし、WAAS-Expressライセンスは、show waas statusで期限切れになります。これは、既知の不具合CSCtw86624である可能性があります。これを確認するには、次のshowコマンドを発行します。WAAS CMは、ライセンスが期限切れになったと認識し、デバイスをオフラインとして表示します。ただし、ライセンスに基づいて機能がアクティブになるため、接続を最適化する必要があります。
- 解決策:推奨されるWAAS-Expressバージョン2イメージ(15.2(4)M1)にアップグレードするか、パーマネントライセンスをインストールします。
Router#sh license | beg WAAS_Express
Index 12 Feature: WAAS_Express
Period left: Life time
License Type: RightToUse
License State: Active, In Use <---- License is Active
License Count: Non-Counted
License Priority: Low
Router#show waas status
IOS Version: 15.2(2.9)T
WAAS Express Version: 2.0.0
WAAS Enabled Interface Policy Map
GigabitEthernet0/1 waas_global
WAAS Feature License
License Type: Evaluation
Evaluation total period: 0 seconds <---- License is expired.
Evaluation period left: 0 seconds
WAAS-ExpressとWAAS CMのインタラクションの問題
WAAS-Express登録プロセスの手順を追った詳細については、『WAAS Express Deployment Guide』を参照してください。
症状:WAAS-ExpressがWAAS CMに登録できない
考えられる原因#1:接続の問題
- WAAA-ExpressルータはWAAS CMに到達できますか。
- トラブルシューティングの手順:WAAS CMがルータからpingできることを確認します。また、WAAS-ExpressルータがNATやファイアウォールの背後にある場合、WAAS CMがWAAS-Express HTTPSサーバに接続できるようにするには、スタティックNATエントリやファイアウォールの許可ルールが必要です。NAT/ファイアウォールの背後にあるWAAS-Expressデバイスを管理するために、WAAS CMでは、WAAS CMで使用するWAAS-Expressデバイスのアドレスを手動で変更/指定できます。ユーザは、デバイスのアクティベーションページからアドレスを変更できます。
- 解決策:ルートとネットワークトポロジを調べて、WAAS CMがルータから到達可能であること、およびその逆であることを確認します。WAAS-Expressデバイスで次のデバッグを有効にしてください。
- 必要に応じて、次のデバッグを確認し、登録時のSSLハンドシェイクが失敗しているかどうかを調べます。
debug ip http all debug ssl openssl errors debug ssl openssl ext debug ssl openssl msg debug ssl openssl states
- 注:上記のsslデバッグは詳細です。
- ルータのリロード時に証明書は変更されましたか。
- これを確認するには、WAAS CMに保存されているWAAS-Expressルータ証明書の有効期限を比較します。WAAS-ExpressデバイスページのAdmin->Certificateからこのページに移動します。この証明書情報を、WAAS-Expressルータでのshow crypto pki certificateの出力と比較します。不一致がある場合は、証明書が再生成されている可能性が高くなります。
- 解決策:15.2(3)T1または15.2(4)M1以降にアップグレードします
症状:WAAS CMに、登録が成功した後にWAAS-Expressがオフラインになると表示される
考えられる原因#1:WAAS-Expressデバイスの証明書の変更
- これを確認するには、WAAS CMに保存されているWAAS-Expressルータ証明書の有効期限を比較します。WAAS-ExpressデバイスページのAdmin->Certificateからこのページに移動します。この証明書情報を、WAAS-Expressルータでのshow crypto pki certificateの出力と比較します。不一致がある場合は、証明書が再生成されている可能性が高くなります。
- show run | include crypto pki trustpointを発行します。非永続的トラストポイントの名前は、TP-self-signed-xxxxxxxxxxの形式で指定します。
router#show run | include crypto pki trustpoint crypto pki trustpoint TP-self-signed-4046801426 <-- Indicate this is non-persistent trustpoint
- 解決策:このリンクに従って永続的トラストポイントを作成します。
- 証明書を再生成できるインスタンスが複数ありますが、主な理由はトラストポイントが非永続的として作成されていることです。15.2(3)TでSSL Express AOを有効にすると、CSCtz85134が発生する可能性もあります。
- 解決策:15.2(4)M1にアップグレードし、永続的なトラストポイントを再作成します。WAAS CMから証明書を削除し、再登録します。
- これは15.1(3)Tから15.2(3)Tへのアップグレードでしたか。
- 15.2(3)Tでは、crypto pkiトラストポイント内に必須の設定があり、rsa-keypairを設定する必要があります。アップグレードの前にこの設定が存在しない場合、ルータがトラストポイントを検出できなくなる可能性があります。これにより、HTTPS接続が失敗します。この問題はCSCty04359で文書化されています。
- 解決策:トラストポイントを削除し、再作成します。WAAS CMから証明書を削除し、再登録します。
考えられる原因#2:誤った証明書またはトラストポイントが使用されている
- ルータには複数のトラストポイントが設定されていますか。
- WAAS CM登録時に、WAAS-Expressルータは、WAAS CMへの証明書送信に使用するトラストポイントを選択します。これは、WAAS-ExpressルータのローカルHTTPSサーバが使用するトラストポイントとは異なる場合があります。
- 解決策:ip http secure-trustpoint <trustpoint_name>とip http-client secure-trustpoint <trustpoint_name>で同じトラストポイントが設定されていることを確認します
考えられる原因#3:デバイス認証の問題
- 認証に失敗しているか?
- ブラウザでHTTPSを使用してWAAS-Expressルータにログインし、認証を手動で試行できることを確認します。
- 解決策:手動認証が成功することを確認します。
デバッグ情報
- 証明書に関連する問題が発生していると思われる場合は、以下の情報をサポートチームに提供してください。
Router#show crypto pki trustpoints status State: Keys generated ............. Yes (General Purpose, non-exportable) <--- check if this shows “No” for the self-signed certificate Issuing CA authenticated ....... Yes <--- check if this shows “No” for the self-signed certificate Certificate request(s) ..... Yes <--- check if this shows “No” for the self-signed certificate Router#show crypto pki trustpoints status Trustpoint TP-self-signed-2330253483: Issuing CA certificate configured: Subject Name: cn=IOS-Self-Signed-Certificate-2330253483 Fingerprint MD5: 3F5E9EB4 6BD680FE 8A1C1664 0939ADCB <--- Check fingerprints before and after upgrade Fingerprint SHA1: DFF10AF4 83A90CAD 71528B3C CCD4EF0C E338E501 Router General Purpose certificate configured: Subject Name: cn=IOS-Self-Signed-Certificate-2330253483 Fingerprint MD5: 3F5E9EB4 6BD680FE 8A1C1664 0939ADCB Fingerprint SHA1: DFF10AF4 83A90CAD 71528B3C CCD4EF0C E338E501 State: Keys generated ............. Yes (General Purpose, non-exportable) Issuing CA authenticated ....... Yes Certificate request(s) ..... Yes Router#show crypto pki certificates … Validity Date: start date: 20:16:14 UTC May 26 2011 <--- Check whether these dates are valid end date: 20:16:14 UTC May 24 2016 … Provide outputs for following commands: show crypto pki certificates storage show crypto pki trustpoints show crypto key storage show crypto key pubkey-chain rsa show crypto key mypubkey all show crypto key mypubkey rsa show ip http server all
症状:WAAS CMとWAAS-Express間のMismtach統計情報
原因#1:クロックが同期されていない
WAAS CMとWAAS-Expressのクロックは同期している必要があるため、クロックを同期するようにNTPサーバを設定することを強くお勧めします。
- クロック不一致メッセージはWAAS CMで見られますか。
- ルータクロックがUTC形式のWAAS CMクロックと同じであることを確認します。タイムゾーンとサマータイムの設定を削除し、WAAS CMとWAAS-Expressルータ間のUTC時刻を比較します。
- 既知のDDTS:CSCtz32667、CSCtz97973、CSCtk74707、CSCtl24210。ご使用の問題がこれらのDDTSのいずれかに類似しているかどうかを判別し、DDTSで提示されている回避策に従ってください。
- ルータクロックがUTC形式のWAAS CMクロックと同じであることを確認します。タイムゾーンとサマータイムの設定を削除し、WAAS CMとWAAS-Expressルータ間のUTC時刻を比較します。
- 解決策:NTPを設定し、すべてのデバイスのクロックが同期されていることを確認します。上記のDDTSでの回避策に従うか、最新の15.2(4)M1以降にアップグレードしてください。
接続が最適化されない
症状:接続がパススルーを取得しています
show waas statistics pass-throughを使用して、パススルーの統計情報と理由を検証します。接続がパススルーになる理由を探します。
Router#show waas statistics pass-through Pass Through Statistics: Overall: 0 No Peer: 0 Rejected due to Capabilities: 0 Rejected due to Resources: 0 Interface Application config: 0 <---- Traffic classified for pass-through? Interface Global config: 0 <---- Asymmetric route in the setup? Assymmetric setup: 0 Peer sync was in progress: 0 IOS WAAS is intermediate router: 0 Internal error: 0 Other end is in black list: 0 AD version mismatch: 0 Incompatable AO: 0 <---- Incompatible peer? Connection limit exceeded: 0 AOIM peertable full: 0 AOIM multiple sync request passthrough: 0 Others: 0
自動検出の統計情報を確認します(自動検出のデバッグを使用することも可能)。
Use the following command to check the reason '''show waas statistics auto-discovery''' Enable following debugs for more information: debug waas infra error debug waas infra events debug waas auto-discovery error debug waas auto-discovery event debug waas auto-discovery op <---- Verbose debug
- Interface Application Configuresのカウンタが増加する場合、この「粒子状の」接続をパススルーするようにポリシーが設定されている可能性があります。WAAS-Expressとそのピアの両方でWAASポリシーを確認します。
- 解決策:最適化ポリシーを確認および検証します。次のデバッグを使用して、トラフィックがポリシーでパススルーとしてマークされているかどうかを検出します。
show policy-map type waas interface debug waas infra events
- Interface Global Configのカウンタが増加する場合は、ネットワーク内の非対称ルーティングが原因である可能性があります。これは、WAAS-ExpressまたはそのピアがTCPトラフィックの両方向を認識しない場合です。これは、ネットワーク内の実際の非対称ルーティングによって発生する場合と、トラフィックパス内のデバイス(ACL、ファイアウォールなど)によって一部のパケットがドロップされる場合があります
- 解決策:ネットワーク内で廃棄されたパケットの非対称ルーティングを確認します。次のネットワークで非対称ルーティングや廃棄されたパケットの原因を参照してください。
- ピア間に互換性がない場合は、接続もパススルーになる可能性があります。これは、WAAS-ExpressとWAE間で互換性のないバージョンを実行している場合に発生する可能性があります。推奨ソフトウェアリリースについては、上記の互換性テーブルを確認してください。
- 解決策#1:show waas statistics aoimを使用して、ピアに互換性がないかどうかを確認します
- 解決策#2:ネットワークに非対称ルーティングのシナリオがあると考えられる場合は、次の点を確認してください。
ネットワーク内で非対称ルーティングやパケットのドロップを引き起こす可能性のあるもの
- WAAS-Expressルータまたはピアに複数のWANリンクがある。WAAS-Expressは、アクティブ/アクティブまたはアクティブ/スタンバイのルータではサポートされないことに注意してください。これは、WANを出入りするトラフィックの両方が同じWAAS-Expressルータ上にある必要があるためです。複数のWANリンクがある場合は、すべてのWANリンクでconfig waas enableが設定されていることを確認します。ピアルータ上のすべてのWANリンクとルータで、トラフィックをWAASにリダイレクトするように設定されていることを確認します。
- 制御パケット(SYN、SYN-ACK、ACK)はWAASオプションでタグ付けされません。これは、トラフィックがピア側のWAASにリダイレクトされない場合に発生する可能性があります。WCCP ACLを確認します。
開発チームに提供する情報:
Network topology IOS version Configuration Following debugs and show commands: debug waas auto-discovery error debug waas auto-discovery event debug waas auto-discovery operation debug waas infra error debug waas infra event show waas statistics auto-disc show waas statistics pass show waas statistics aoim
- 注:パススルー接続は、プラットフォームごとの接続数制限にはカウントされません。WAAS-Expressはパススルー接続を追跡しないため、パススルーフローに関する統計情報はありません。ただし、パススルーに入ったフローの数とその理由を示すカウンタがあります。
接続の最適化レベルが適切ではありません
これは通常、設定ミスが原因で発生します。WAAS-Expressバージョン2イメージでは、HTTP-ExpressアクセラレータとCIFS-Expressアクセラレータがデフォルトで無効になっています。Expressアクセラレータがグローバルに有効になっていることを確認してください。
症状:確立された接続が、CIFS、SSL、またはHTTP-Express AOを使用するために必要なまたは設定されたポリシーを取得しない
- CIFS、SSL、またはHTTP-Express AOがグローバルに有効になっていることを確認する
router#show waas status IOS Version: 15.2(4)M1 WAAS Express Version: 2.0.0 WAAS Enabled Interface Policy Map FastEthernet8 waas_global WAAS Feature License License Type: EvalRightToUse Evaluation total period: 8 weeks 4 days Evaluation period left: 7 weeks 4 days DRE Status : Enabled LZ Status : Enabled + Entropy CIFS-Express AO Status : Disabled SSL-Express AO Status : Enabled HTTP-Express AO Status : Disabled <---- HTTP Express AO is disabled by default Maximum Flows : 75 Total Active connections : 4 Total optimized connections : 4
症状:期待される接続最適化はTHDLですが、確立された接続にはTDLがあります
- これは通常、ポリシーの設定ミスが原因で発生します。
注:HTTP-Express AOはデフォルトでは有効になっていません。
- 解決策#1:コアWAASデバイスに互換性があるかどうかを確認します。このチェックは、show waas statistics aoimを使用して実行できます。
- 解決策#2:自動検出デバッグを使用して、自動検出中にHTTP-Expressアクセラレータがネゴシエートされているかどうかを確認します。これは、アクセラレータがグローバルに無効になっているか(HTTPアクセラレータがデフォルトで有効になっていないことに注意してください)、またはHTTPクラスがアクションに「accelerate http」がないことが原因である可能性があります。
class HTTP
optimize tfo dre lz application Web accelerate http-express
- show waas connection detailの下にあるConfigured、Derived、およびApplied Acceleratorの各フィールドをチェックします。
Router#show waas connection detail ... Negotiated Policy: TFO, LZ, DRE Configured Accelerator: HTTP-Express Derived Accelerator: HTTP-Express Applied Accelerator: HTTP-Express Hist. Accelerator: None Bytes Read Orig: 174 ...
- show waas statistics accelerator http-express [https|debug]でハンドオフ統計/理由を確認します。
症状:期待される接続の最適化はTCDLですが、確立された接続にはTDLがあります
- これは、アクセラレータが無効になっているか、CIFS/WAFSクラスがアクションにaccelerate cifsがないことが原因である可能性があります。
注:CIFS-Express AOはデフォルトで無効になっています。
class CIFS
optimize tfo dre lz application CIFS accelerate cifs-express
- show waas statistics accelerator cifs-expressでハンドオフ統計/理由を確認します。
Router#show waas statistics accelerator cifs-express CIFS-Express AO Statistics ... Unsupported dialects / CIFS version: 0 Currently active unsupported dialects / CIFS version: 0 Unsupported due to signing: 0 ...
症状:期待される接続の最適化はTSDLですが、確立された接続にはTDLがあります
- SSL-Expressアクセラレータの場合、コアWAE SSL-AOが起動していない可能性があります。チェック:Cisco Wide Area Application Services SSL Application Optimizer導入ガイド
- 接続がパイプ処理されている可能性もあります。これは、show waas statistics accelerator ssl
Router#show waas statistics accelerator ssl SSL-Express: Global Statistics ----------------- Time Accelerator was started: 16:31:37 UTC Jul 26 2012 ... Pipe through due to C2S cipher mismatch: 0 Pipe through due to C2S version mismatch: 0 Pipe through due to W2W cipher mismatch: 0 Pipe through due to W2W version mismatch: 0 Pipe through due to detection of non-SSL traffic: 0 Pipe through due to unknown reasons: 0 Total pipe through connections: 0 ...
予想される接続の最適化はTSHDLですが、確立された接続にはTSDLまたはTHDLしかありません
SSL-Express Acceleratorは、パスにHTTP-Express Acceleratorを導入します。SSL-ExpressとHTTP-Expressアクセラレータの両方がグローバルに有効になっていることを確認します。
- 接続がパイプスルーされ、TGとして表示されます。上記のように、show waas statistics accelerator ssl
- 接続がTSDLとして表示される場合、次のいずれかが原因である可能性があります
- HTTP-Expressアクセラレータが無効です。
- HTTP-Express Acceleratorは、コアWAASデバイスのHTTP AOと互換性がありません。
- HTTP-Expressアクセラレータの少なくとも3つの最適化機能が有効になっていません。
- 最初のデータパケットにはHTTPコンテンツが含まれていません。
- 接続がTHDLcouldとして表示される原因が次のいずれかである場合があります
- エッジデバイスでSSL-Expressアクセラレータが起動せず、実行されていない。
- コアデバイスでSSL AOが稼働していない
- SSL-AOがAOIMでネゴシエートされませんでした。
- プロキシの場合、HTTP CONNECT要求は443以外のポートに対して行われます。
- この接続の最適化へのSSL-AOの追加に関してエッジデバイスとコアデバイスの両方が相互に通知する3ウェイDATA-INSPECTハンドシェイクが失敗します。
- POST DATA-INSPECTハンドシェイク(エッジデバイスとコアデバイスの両方がこの接続の最適化にSSL-AOを追加することに同意する3ウェイTFOハンドシェイク)が失敗します。
Provide following show command outputs for debugging: show waas status show waas alarms show waas accelerator detail show waas accelerator http show waas accelerator smb show waas accelerator ssl show waas statistic global show waas statistic auto-discovery show waas statistic aoim show waas statistic pass-through
症状:予期しない接続のリセット
通常は、リセットされるフローとともにエラーのタイプを示すエラーメッセージも表示されます。次に例を示します。
Aug 18 03:02:52.861: %WAAS-3-WAAS_TFO_DEC_FRAME_FAILED: IOS-WAAS failed to decode TFO frame for connection 100.2.0.107:50118--200.0.0.12:1494 (Unknown TFO frame rcvd, RST connection.)
トラブルシューティング手順
- モジュールに応じて、エラーのデバッグをオンにします(debug waas <module_name> error)。
- show waas connection detailでEnd-Reasonをチェックする。
- 考えられる理由については、show waas statistics errorをチェックします。
- 接続のリセットが発生した場合に、コアWAEでコアダンプが生成されますか。
- WAAS-Expressから送信された不正なTCPヘッダーにより、WAEでコアダンプが発生しました。
- この問題をキャプチャしているDDTS:CSCto59459、CSCua61097。これらのDDTSを検索し、発生した問題が、DDTSで示されている問題と類似しているかどうかを確認します。
- これがSSL-Expressアクセラレータ接続である場合、リセットはW2Wハンドシェイク障害によって発生していますか。
開発チームに提供する情報:
デバッグログShowコマンドログshow-tech show-running configネットワークトポロジクライアントとサーバの詳細、および接続に使用しているアプリケーション(およびバージョン、IE6など)を表示します。
debug waas infra error debug waas auto-discovery error debug waas aoim error debug waas tfo error debug waas lz error debug waas dre error debug waas accelerator ssl error debug waas accelerator http error debug waas accelerator cifs error
ルータのクラッシュ/トレースバック
テスト中に、ルータのクラッシュとトレースバックが見られた可能性があります。以前のケースとDDTSで、同様の既知の問題を検索します。さらに、クラッシュの原因となっている機能を特定する必要もあります。ios-waasまたはレイヤ4転送以外のIOS機能によってクラッシュまたはトレースバックが発生した場合は、その機能開発チーム/ルータTACに連絡する必要があります。
- topic.cisco.comでトピック検索を実行します。
- 以前のお客様のケースで同様の問題または既知の問題がないか確認します。
開発チームに提供する情報:
- show techを発行するか、またはshow running-configの出力が表示されない場合
- 正確なIOSバージョン。
- 問題を再現するための正確な手順。
- トレースバックのデコード。クラッシュの場合はcrashinfo。
- ネットワークのトポロジ
- 問題の再現に役立つ関連情報
接続が遅い/パフォーマンスが低下する
パフォーマンスの低下は、トラフィックの性質、ルータの負荷、ネットワークトポロジ、またはネットワークでのパケットドロップなど、さまざまな理由によって引き起こされる可能性があります。低速な接続を処理するには、パススルー接続または最適化されていない接続に関する相対的な劣化を判別する必要があります。
トラブルシューティングの手順
- 接続の最適化アクションは何ですか。
- show waas connectionのAccelフィールドをチェックする。TDL、THDL、TSDLなどですか。
- 特定のアクセラレータを使用している場合、そのアクセラレータをオフにするとパフォーマンスが低下するため、回復しますか。
- アップロードトラフィックがある場合は、WAAS-ExpressパラメータマップでアップリンクDREを無効にしてください。
- 接続がTFO専用モードの場合、パススルーモードに関して劣化は見られますか。
- ルータの負荷はどうなっているか、show proc cpu historyを使用してcpu使用率をチェックします。
- CPUスロットリングメッセージがログに表示されるかどうかを確認します。CPUの使用率が高すぎると、WAAS-Expressは最適化の速度を遅くして、CPUの過負荷を防ぎます
- インターフェイス統計情報の出力をチェックして、パケットドロップがあるかどうかを判断します。
- パケットをドロップしているACLがあるかどうかを確認します。どの機能がパケットをドロップしているかを確認するための適切なデバッグは、debug ip cef dropです。
- 途中のデバイスでパケットがドロップされていないかどうかを確認します。
- WAEはデフォルトでECNをオンにし、ECTビットが設定されたパケットを送信します。古いデバイスはECTビットが設定されたパケットを好まないため、これらのパケットをドロップして再送信を引き起こし、その結果、パフォーマンスを低下させる可能性があります。特定のお客様のケースでは、(古いIOSイメージを持つ)デバイスが途中でTCPヘッダーにECTビットが設定されているパケットをドロップしていました。
- コンフィギュレーションモードでコマンドno tcp ecn enableを使用すると、コアWAEのECNをオフにできます。
- 複数のWANリンクでWAAS-Expressが有効になっていますか。その場合、ロードシェアリングを使用することはサポートされていますか。
- パケット単位のロードシェアリングはサポートされていません。
- 宛先単位のロードシェアリングがサポートされています。このロードシェアリングでは、パフォーマンスへの影響は見られません。
- ネットワークで非対称ルーティングが発生し、パケットのドロップと再送信が発生する。
- ルータが特定のフローのパケットをすべて認識しない場合、接続の速度が低下したりハングしたりする可能性があります。
- アップリンクDREによる接続速度の低下
- NACKによる再送信:show waas statistics dreをチェックします。R-tx ..フィールドをチェックします
- ACK-queue full:show waas statistics dreをチェックします。AckQ fullフィールドとAckQ highフィールドをチェックします
- CIFS-Express/SSL-Express/HTTP-Expressアクセラレータを有効にした後、接続が遅くなった。
- サポートされていないバージョン/言語です。
- 低い圧縮率
- show waas connection detail、show waas statistic lz、show waas statistic dreで統計情報をチェックします。
- 接続ハンドオフ/パイプ貫通をチェックします。
注:パケット単位のロードシェアリングはサポートされていません。これはデフォルトのロードシェアリングモードではありません。
ハングした接続
ハングした接続に関する既知の問題はありません。RCAが問題を解決できるように、開発チームに次の情報を提供してください。
トラブルシューティングを行い、情報を収集する手順
- show waas connectionを使用して、WAAS-Express接続テーブルのフローを検索します。
Router#show waas connection ConnID Source IP:Port Dest IP:Port PeerID Accel 3336 192.168.22.99 :37797 192.168.42.99 :80 0016.9d39.20bd THDL Router#
- 接続の詳細を表示します
Router#show waas connection client-port 37797 detail connection ID: 3336 Peer Id: 0016.9d39.20bd Connection Type: External Start Time: 19:45:34 UTC Dec 21 2011 Source IP Address: 192.168.22.99 Source Port Number: 37797 <------ Unique port number required for next step Destination IP Address: 192.168.42.99 Destination Port Number: 80 Application Name: Web Classifier Name: HTTP Peer Policy: TFO, LZ, DRE Configured Policy: TFO, LZ, DRE Negotiated Policy: TFO, LZ, DRE Configured Accelerator: HTTP-Express Derived Accelerator: HTTP-Express Applied Accelerator: HTTP-Express Hist. Accelerator: None Bytes Read Orig: 43056412 Bytes Written Orig: 25 Bytes Read Opt: 162 Bytes Written Opt: 43359878 Auto-discovery information: ---<snip>---
- show l4f flowsを使用して、L4Fテーブルで同等のフローを検索します。
Router#show l4f flows | include 37797 F4DF6EA0 Proxy TCP 192.168.22.99:37797 192.168.42.99:80 Router#
- 最初の列からL4FフローIDを収集し、その情報を使用して詳細なL4F接続情報を取得します。
Router#show l4f flow detail F4DF6EA0
Flow Address : F4DF6EA0
Index : 11
Idle Time : 0.004
Family : IPv4
Protocol : TCP
VRF ID : 0
Address1 : 192.168.22.99:37797
Address2 : 192.168.42.99:80
State : L4F_STATE_PROXYING
Flags : 0x00012000
App Context : 0x41D4728C
CEF pak : 0x0
Endpoint1 FD 1073748479
State : EP-ESTAB
Flags : 0x00000001
Client : L4F_FEATURE_WAAS
Association : OUTPUT
CEF Fwd State : 0xC20D2C74
Proc Fwd State: 0xC1E36EA8
TCB Address : 0xC01F0D9C <------ Address required for next step
Endpoint2 FD 1073748480
State : EP-ESTAB
Flags : 0x00000001
Client : L4F_FEATURE_WAAS
Association : INPUT
CEF Fwd State : 0xC20D2248
Proc Fwd State: 0xC1E36F20
TCB Address : 0x4002AB6C <------ Address required for next step
- show l4f flow detail <flow_id>の出力に、2つのTCP TCBが示されます。TCB情報を使用して、show tcp tdb <tcb_info>
Router#show tcp tcb 0xC01F0D9C Connection state is ESTAB, I/O status: 1, unread input bytes: 31504 Connection is ECN Disabled, Mininum incoming TTL 0, Outgoing TTL 255 Local host: 192.168.42.99, Local port: 80 Foreign host: 192.168.22.99, Foreign port: 37797 Connection tableid (VRF): 0 Maximum output segment queue size: 50 Enqueued packets for retransmit: 0, input: 22 mis-ordered: 0 (0 bytes) Event Timers (current time is 0x85115B0): Timer Starts Wakeups Next Retrans 2 0 0x0 TimeWait 0 0 0x0 AckHold 10192 0 0x0 SendWnd 0 0 0x0 KeepAlive 20129 0 0x851FFF4 GiveUp 2 0 0x0 PmtuAger 0 0 0x0 DeadWait 0 0 0x0 Linger 0 0 0x0 ProcessQ 1 1 0x0 iss: 688070906 snduna: 688070932 sndnxt: 688070932 irs: 684581592 rcvnxt: 713368125 sndwnd: 6144 scale: 9 maxrcvwnd: 32767 rcvwnd: 1263 scale: 7 delrcvwnd: 0 SRTT: 6687 ms, RTTO: 59312 ms, RTV: 52625 ms, KRTT: 0 ms minRTT: 0 ms, maxRTT: 2857348 ms, ACK hold: 200 ms Status Flags: passive open, Timestamp echo present Option Flags: keepalive running, SACK option permitted, non-blocking reads non-blocking writes, win-scale, 0x200000, 0x1000000, 0x10000000 0x20000000 IP Precedence value : 0 Datagrams (max data segment is 1432 bytes): Rcvd: 20129 (out of order: 0), with data: 20127, total data bytes: 28786532 Sent: 30017 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 0), with data: 1, total data bytes: 25 Packets received in fast path: 53559, fast processed: 2, slow path: 21294 fast lock acquisition failures: 7, slow path: 0 Router# Router#show tcp tcb 0x4002AB6C Connection state is ESTAB, I/O status: 1, unread input bytes: 0 Connection is ECN Disabled, Mininum incoming TTL 0, Outgoing TTL 255 Local host: 192.168.22.99, Local port: 37797 Foreign host: 192.168.42.99, Foreign port: 80 Connection tableid (VRF): 0 Maximum output segment queue size: 50 Enqueued packets for retransmit: 50, input: 0 mis-ordered: 0 (0 bytes) Event Timers (current time is 0x8519A48): Timer Starts Wakeups Next Retrans 27124 0 0x8519D3B TimeWait 0 0 0x0 AckHold 2 0 0x0 SendWnd 0 0 0x0 KeepAlive 28560 0 0x85284A4 GiveUp 27121 0 0x8545964 PmtuAger 0 0 0x0 DeadWait 0 0 0x0 Linger 0 0 0x0 ProcessQ 19975 19975 0x0 iss: 2832065240 snduna: 2867154917 sndnxt: 2867205953 irs: 2835554554 rcvnxt: 2835554717 sndwnd: 261120 scale: 7 maxrcvwnd: 65535 rcvwnd: 65535 scale: 7 delrcvwnd: 0 bic_last_max_cwnd: 8388480 SRTT: 1000 ms, RTTO: 1003 ms, RTV: 3 ms, KRTT: 0 ms minRTT: 80 ms, maxRTT: 1000 ms, ACK hold: 200 ms Status Flags: active open Option Flags: keepalive running, SACK option permitted, Timestamp option used, non-blocking reads, non-blocking writes win-scale, 0x200000, 0x1000000, 0x10000000, 0x20000000 IP Precedence value : 0 Datagrams (max data segment is 1432 bytes): Rcvd: 28560 (out of order: 0), with data: 2, total data bytes: 162 Sent: 28672 (retransmit: 0, fastretransmit: 28, partialack: 3, Second Congestion: 0), with data: 28671, total data bytes: 35176602 Packets received in fast path: 21244, fast processed: 21240, slow path: 29668 fast lock acquisition failures: 21374, slow path: 0 Router#
- 次のコマンド出力は、WAAS-Express AOのデバッグに役立ちます。
show waas statistics errors show waas statistics accelerator http-express show waas statistics accelerator cifs-express show waas statistics accelerator ssl-express show waas statistics accelerator ssl-express debug
- service-internalコマンドを次に示します(デバッグ専用)。
show waas connection conn-id [id] debug show waas statistics accelerator http-express debug show waas statistics accelerator ssl-express debug
- ハングした接続をクリアするには、次のコマンドを使用します。
clear waas connection conn-id [id] Router(config-if)#no waas enable forced
SSL-Expressアクセラレータの問題:
SSL-Expressアクセラレータの有効または無効に関する問題
- セキュリティライセンスが有効になっているかどうかを確認します
Router#show waas status | include SSL-Express AO Status
SSL-Express AO Status : Unavailable (security license not enabled)
Router#show license detail securityk9
Index: 1 Feature: securityk9 Version: 1.0
License Type: RightToUse
…
- NPEイメージがあることを確認します(このイメージはSSL-Expressアクセラレータをサポートしていません)。
Router#show waas status | include SSL-Express AO Status SSL-Express AO Status : Unsupported Router#show license detail securityk9 % Error: No license for securityk9 found - License feature not found
- イネーブル/ディセーブル操作中にssl、aoim、およびinfraデバッグをイネーブルにし、デバッグログを提供します。
- W2Wハンドシェイクの失敗により接続がリセットされる
- show waas statistics errors | i SSL-Expressを使用して、SSL-Expressアクセラレータエラーの統計情報をチェックします。
- 証明書を確認する:
Router#show running-config all | include waas-ssl-trustpoint Router#show crypto pki trustpoints <trustpoint-name> status WAAS#show crypto certificates WAAS#show crypto certificate-detail WORD
- アラームの確認:
Router#show waas alarms ... WAAS SSL-Express CA enrolled trustpoint deleted: off WAAS SSL-Express router certificate deleted: off ...
- エッジデバイスとコアデバイスの設定を確認します。暗号リスト、SSLバージョン、および証明書検証と失効の確認に関して、これらが同期していることを確認します。
- 自己署名証明書を使用している場合は、失効チェックと証明書の検証を無効にする必要があります。
- debug waas accelerator ssl errorをオンにします。
- C2Sでサポートされていない暗号が原因で接続がパイプスルーされました
- show waas statistics errors | i SSL-Expressを使用して、SSL-Expressアクセラレータエラーの統計情報をチェックします。
- debug waas accelerator sslをオンにします。
- コアWAASデバイスのaccelerated-svcに設定されているcipher-listをチェックします。
- SSL最適化なし(パイプスルー)
- WAAS ExpressデバイスのSSL-Expressステータスをチェック:show waas accelerator ssl-express
- ピアWAASデバイスのSSL AOステータスをチェック:show accelerator ssl
- SSL-Express統計情報のチェック:show waas statistics accelerator ssl-express | i Pipe
- インターネットからHTTPSページにアクセスできない
- サーバはインターネット上にあるため、秘密キーと証明書をコアWAASデバイスにインストールすることはできません。ブラウザで証明書の警告を受け入れた後でも、ページ上の一部のオブジェクトが表示されない場合があります。
- これらのオブジェクトは、CDN(コンテンツ配信ネットワーク)から提供される場合があります。 この問題は、WAAS-Expressに固有のものではありません。つまり、2台のWAASデバイス間の接続も最適化されている場合に発生します。
- CDN URLからの証明書を無視するには、ブラウザに例外を追加する必要があります。
- CDN URLはページソースにあります。
Show commands used for further debugging and RCA: show waas statistics accelerator ssl show waas statistics accelerator ssl debug show waas statistics accelerator ssl ciphers show waas statistics accelerator ssl peering
CM上のデバイスグループ間でのWAAS-Expressデバイスの移動
WAAS-ExpressデバイスをWCMのデバイスグループ間で移動すると、新しいデバイスグループの下のポリシー定義が有効にならないことがあります。デバイスがデバイスグループから割り当て解除されると、デバイスが最後に所有していたデバイスのバックアップポリシーセットからポリシーが取得されます。
デバイスグループ間でデバイスを移動する場合は、次の手順に従います。
* Go to the Policy Definitions page of that device and select the new device-group and click on Submit. OR * Go to device-group-1 -> Assign Devices page and unassign the device from this DG. * Go to device-group-2 -> Assign Devices page and assign the device to this DG. * Go to device-group-2 -> Policy Definitions page and click on 'Force DG settings' button.
その他の有用な情報
WAAS-ExpressとWCM/WAEでの統計情報の不一致:
この領域には既知の問題はありません。次の手順でログを収集し、開発チームに提供してください。
* Disable waas on Waas-Express device * Clear statistics on WAAS-Express and core WAE * Enable waas on Waas-Express device * Let traffic run, disable waas on Waas-Express device * Collect statistics * Present screen-shots and show command outputs.
デバッグおよびshowコマンドに加えて、開発チームに提供する必要がある情報:
show tech-support show ip interface show ip virtual-reassembly show ip route show ip cef detail show ip cef internal show ip cef switching statistics show process cpu history
トラブルシューティング:ルータのクラッシュ
http://www.cisco.com/en/US/products/hw/iad/ps397/products_tech_note09186a00800b4447.shtml
ルータでのパケットのキャプチャ
接続の問題をデバッグするには、WAAS Expressデバイスでパケットをキャプチャする必要がある場合があります。
IOSパケットキャプチャの詳細については、ドキュメント「IPトラフィックエクスポート」を参照してください。
Example to configure packet capture: ip traffic-export profile waas_wan mode capture bidirectional interface Serial0/0/0 ip virtual-reassembly out encapsulation frame-relay ip traffic-export apply waas_wan size 20000000 frame-relay map ip 10.0.0.2 557 broadcast no frame-relay inverse-arp frame-relay local-dlci 557 Use following commands to start, stop, copy and clear the buffer: traffic-export int s0/0/0 start traffic-export int s0/0/0 stop traffic-export int s0/0/0 copy ftp://username:password@192.168.1.116//tftpboot/ngwo.pcap traffic-export int s0/0/0 clear
フィードバック