제어 연결 문제 해결
다운로드 옵션
업데이트:2019년 6월 24일 (월)
문서 ID:214509
이 번역에 관하여
Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.
목차
소개
이 문서에서는 제어 연결 문제를 일으키는 몇 가지 가능한 원인 및 문제 해결 방법에 대해 설명합니다.비디오 사이트에서 제어 연결 문제 해결을 참조할 수 있습니다.
기고자: Shankar Vemulapalli 및 Eugene Harbarov, Cisco TAC 엔지니어
배경 정보
참고:이 문서에 제시된 명령 출력은 대부분 vEdge 라우터에서 출력됩니다.그러나 문제 해결 방식은 IOS®-XE SDWAN 소프트웨어를 실행하는 라우터와 동일합니다.IOS®-XE SDWAN 소프트웨어에서 동일한 출력을 가져오려면 sdwan 키워드를 사용합니다(예: show control connections 대신 sdwan 제어 연결 표시).
트러블슈팅을 시작하기 전에 문제의 vEdge가 올바르게 구성되었는지 확인합니다.
여기에는 다음이 포함됩니다.
- 설치된 유효한 인증서.
- 이러한 구성은 "시스템" 블록 아래에 배치됩니다.
- 시스템-IP
- 사이트 ID
- 조직 이름
- vBond 주소
- 터널 옵션 및 IP 주소로 구성된 VPN 0 전송 인터페이스.
- vEdge에서 올바르게 구성된 시스템 클럭 및 다른 장치/컨트롤러와 일치하는 시스템 클럭:
- 시계 표시 현재 시간 집합을 확인합니다.
- 사용 시계 세트 디바이스에서 적절한 시간을
앞에서 언급한 모든 케이스에 대해 TLOC가 작동되었는지 확인합니다.확인 show control local properties CLI.
유효한 출력의 예:
branch-vE1# show control local-properties personality vedge organization-name vIPtela Inc Regression certificate-status Installed root-ca-chain-status Installed certificate-validity Valid certificate-not-valid-before Sep 06 22:39:01 2018 GMT certificate-not-valid-after Sep 06 22:39:01 2019 GMT dns-name trainingvbond.viptela.com site-id 10 domain-id 1 protocol dtls tls-port 0 system-ip 172.1.10.1 chassis-num/unique-id 66cb2a8b-2eeb-479b-83d0-0682b64d8190 serial-num 12345718 vsmart-list-version 0 keygen-interval 1:00:00:00 retry-interval 0:00:00:17 no-activity-exp-interval 0:00:00:12 dns-cache-ttl 0:00:02:00 port-hopped TRUE time-since-last-port-hop 20:16:24:43 number-vbond-peers 2 INDEX IP PORT ------------------------------- 0 10.3.25.25 12346 1 10.4.30.30 12346 number-active-wan-interfaces 2 PUBLIC PUBLIC PRIVATE PRIVATE RESTRICT/ LAST MAX SPI TIME LAST-RESORT INTERFACE IPv4 PORT IPv4 PORT VS/VM COLOR CARRIER STATE CONTROL CONNECTION CNTRL REMAINING INTERFACE --------------------------------------------------------------------------------------------------------------------------------------------- ge0/1 10.1.7.11 12346 10.1.7.11 12346 2/1 gold default up no/yes 0:00:00:16 2 0:07:33:55 No ge0/2 10.2.9.11 12366 10.2.9.11 12366 2/0 silver default up no/yes 0:00:00:12 2 0:07:35:16 No
vEdge 소프트웨어 버전 16.3부터 출력에 몇 가지 추가 필드가 있습니다.
number-vbond-peers 1 number-active-wan-interfaces 1
NAT TYPE: E -- indicates End-point independent mapping A -- indicates Address-port dependent mapping N -- indicates Not learned Note: Requires minimum two vbonds to learn the NAT type PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE MAX RESTRICT/ LAST SPI TIME NAT VM INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON STUN PRF ---------------------------------------------------------------------------------------------------------------------------------------------------- ge0/4 73.241.233.20 12386 192.168.0.20 2601:647:4380:ca75::c2 12386 2/1 public-internet up 2 no/yes/no No/Yes 0:10:34:16 0:03:03:26 E 5
시나리오
DTLS 연결 실패(DCONFAIL)
이는 자주 발생하는 제어 연결 문제 중 하나이며, 이러한 문제는 발생하지 않습니다. 가능한 원인은 다음과 같습니다. 방화벽 또는 기타 연결 문제.
일부 또는 모든 패킷이 어딘가에 삭제/필터링될 수 있습니다.더 큰 예제는 여기에서 'tcpdump' 결과에 표시됩니다.
- 다음 Hop 라우터에 연결할 수 없습니다.
- 기본 GW가 RIB에 설치되지 않았습니다.
- DTLS 포트가 컨트롤러에서 열려 있지 않습니다.
다음과 같은 show 명령을 사용할 수 있습니다.
#Check that Next hop
show ip route vpn 0
#Check ARP table for Default GW
show arp
#Ping default GW
ping <...>
#Ping Google DNS
ping 8.8.8.8
#Ping vBond if ICMP is allowed on vBond
ping
#Traceroute to vBond DNS
traceroute <...>
DTLS 연결 오류가 발생하면 show control connections-history에서 확인할 수 있습니다.
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vsmart tls 1.1.1.5 160000000 1 10.0.2.73 23456 10.0.2.73 23456 default trying DCONFAIL NOERR 10407 2019-04-07T22:03:45+0000
이는 tcpdump를 사용할 때(예: vSmart(SD-WAN) 측에서) 대용량 패킷이 vEdge에 도달하지 않을 때 발생하는 작업입니다.
tcpdump vpn 0 interface eth1 options "host 198.51.100.162 -n" 13:51:35.312109 IP 198.51.100.162.9536 > 172.18.10.130.12546: UDP, length 140 <<<< 1 (packet number) 13:51:35.312382 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 <<< not reached vEdege 13:51:35.318654 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 <<< not reached vEdege 13:51:35.318726 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 853 <<< not reached vEdege 13:51:36.318087 IP 198.51.100.162.9536 > 172.18.10.130.12546: UDP, length 140 <<<< 5 13:51:36.318185 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 79 <<<< 6 13:51:36.318233 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 << not reached vEdege 13:51:36.318241 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 879 << not reached vEdege 13:51:36.318257 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 804 << not reached vEdege 13:51:36.318266 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 65 <<<< 10 13:51:36.318279 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 25 <<<< 11
vEdge 측:
tcpdump vpn 0 interface ge0/1 options "host 203.0.113.147 -n"
13:51:35.250077 IP 198.51.100.162.12426 > 203.0.113.147.12746: UDP, length 140 <<<< 1 13:51:36.257490 IP 198.51.100.162.12426 > 203.0.113.147.12746: UDP, length 140 <<<< 5 13:51:36.325456 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 79 <<<< 6 13:51:36.325483 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 65 <<<< 10 13:51:36.325538 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 25 <<<< 11
참고:IOS®-XE SDWAN 소프트웨어에서는 tcpdump 대신 EPC(Embedded Packet Capture)를 사용할 수 있습니다.
서비스 공급자가 대규모 UDP 패킷, 프래그먼트된 UDP 패킷(특히 UDP 소규모 프래그먼트) 또는 DSCP가 표시된 패킷의 전달에 문제가 있을 수 있으므로, 연결성을 확인하기 위해 다른 패킷 크기와 DSCP(Differentiated Services Code Point) 마크로 트래픽을 생성하기 위해 traceroute 또는 nping 유틸리티를 사용할 수 있습니다.다음은 연결 성공 시 nping을 실행한 예입니다.
vSmart에서:
vSmart# tools nping vpn 0 198.51.100.162 options "--udp -p 12406 -g 12846 --source-ip 172.18.10.130 --df --data-length 555 --tos 192" Nping in VPN 0 Starting Nping 0.6.47 ( http://nmap.org/nping ) at 2019-05-17 23:28 UTC SENT (0.0220s) UDP 172.18.10.130:12846 > 198.51.100.162:12406 ttl=64 id=16578 iplen=583 SENT (1.0240s) UDP 172.18.10.130:12846 > 198.51.100.162:12406 ttl=64 id=16578 iplen=583
vEdge에서:
vEdge# tcpdump vpn 0 interface ge0/1 options "-n host 203.0.113.147 and udp" tcpdump -i ge0_1 -s 128 -n host 203.0.113.147 and udp in VPN 0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ge0_1, link-type EN10MB (Ethernet), capture size 128 bytes 18:29:43.492632 IP 203.0.113.147.12846 > 198.51.100.162.12406: UDP, length 555 18:29:44.494591 IP 203.0.113.147.12846 > 198.51.100.162.12406: UDP, length 555
다음은 vSmart에서 traceroute(vShell에서 실행)와의 연결에 실패한 예입니다.
vSmart$ traceroute 198.51.100.162 1400 -F -p 12406 -U -t 192 -n -m 20 traceroute to 198.51.100.162.162 (198.51.100.162.162), 20 hops max, 1400 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 10.65.14.177 0.435 ms 10.65.13.225 0.657 ms 0.302 ms 7 10.10.28.115 0.322 ms 10.93.28.127 0.349 ms 10.93.28.109 1.218 ms 8 * * * 9 * * * 10 * 10.10.114.192 4.619 ms * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 10.68.72.61 2.162 ms * * 17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *
vEdge는 vSmart에서 전송된 패킷을 수신하지 않습니다(다른 일부 트래픽 또는 프래그먼트만).
vEdge# tcpdump vpn 0 interface ge0/1 options "-n host 203.0.133.147 and udp" tcpdump -i ge0_1 -s 128 -n host 203.0.133.147 and udp in VPN 0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ge0_1, link-type EN10MB (Ethernet), capture size 128 bytes 18:16:30.232959 IP 203.0.133.147.12846 > 198.51.100.162.12386: UDP, length 65
18:16:30.232969 IP 203.0.133.147.12846 > 198.51.100.162.12386: UDP, length 25
18:16:33.399412 IP 203.0.133.147.12846 > 198.51.100.162.12386: UDP, length 16
18:16:34.225796 IP 198.51.100.162.12386 > 203.0.133.147.12846: UDP, length 140
18:16:38.406256 IP 203.0.133.147.12846 > 198.51.100.162.12386: UDP, length 16
18:16:43.413314 IP 203.0.133.147.12846 > 198.51.100.162.12386: UDP, length 16
TLOC 사용 안 함(DISTLOC)
TLOC Disabled 메시지로 트리거되는 원인은 다음과 같습니다.
가능한 원인은 다음과 같습니다.
- 제어 연결 지우기
- TLOC에서 색상 변경
- 시스템 IP 변경
- 시스템 블록 또는 show control connections-history CLI의 터널 속성에서 언급된 모든 컨피그레이션 변경
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vmanage dtls 192.168.30.101 1 0 192.168.20.101 12346 192.168.20.101 12346 biz-internet tear_down DISTLOC NOERR 3 2019-06-01T14:43:11+0200 vsmart dtls 192.168.30.103 1 1 192.168.20.103 12346 192.168.20.103 12346 biz-internet tear_down DISTLOC NOERR 4 2019-06-01T14:43:11+0200 vbond dtls 0.0.0.0 0 0 192.168.20.102 12346 192.168.20.102 12346 biz-internet tear_down DISTLOC NOERR 4 2019-06-01T14:43:11+0200
보드 ID가 초기화되지 않음(BIDNTPR)
네트워크 연결이 지속적으로 플래핑되는 매우 불안정한 네트워크에서 "TXCHTOBD - Challenge to Board ID failed(보드 ID에 대한 챌린지를 보내지 못했습니다)" 및/또는 "RDSIGFBD - 보드 ID에서 서명 읽기가 실패했습니다"가 나타날 수 있습니다. 또한 잠금 문제, 보드 ID에 대한 챌린지를 보내는 데 실패하여 이러한 문제가 발생하면 보드 ID를 재설정하고 다시 시도합니다.이러한 상황은 자주 발생하지 않으며 제어 연결의 증가를 지연시킵니다.이는 최신 버전에서 수정되었습니다.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.109 12346 203.0.113.109 12346 silver challenge TXCHTOBD NOERR 2 2019-05-22T05:53:47+0000 vbond dtls - 0 0 203.0.113.56 12346 203.0.113.56 12346 silver challenge TXCHTOBD NOERR 0 2019-05-21T09:50:41+0000
'연결'에 고착:라우팅 문제
제어 연결이 작동하지 않을 수 있습니다. 라우팅 문제가 있는 경우
오른쪽 NH(Next Hop)/TLOC와 함께 RIB(Routing Information Base)에 올바른 경로가 있는지 확인합니다.
예를 들면 다음과 같습니다.
- RIB에서 vBond에 대한 더 구체적인 경로는 제어 연결을 설정하기 위해 사용되지 않는 NH/TLOC를 가리킵니다.
- 업스트림 서비스 간에 TLOC IP가 유출되어 잘못된 라우팅이 발생합니다.
다음을 사용하여 확인합니다.
show ip routes vpn 0
show ip routes vpn 0
ping
거리 값 및 IP-Prefix에 대한 프로토콜을 찾습니다.
vEdge는 컨트롤러에 대한 연결이나 성공 없이 제어 연결을 설정하려고 시도합니다.
show control connections 및/또는 show control connections-history로 확인할 수 있습니다.
vedge1# show control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vbond dtls 0.0.0.0 0 0 192.168.20.102 12346 192.168.20.102 12346 biz-internet - connect 0
소켓 오류(LISFD)
네트워크에 중복 IP가 있는 경우 제어 연결이 나타나지 않을 수 있습니다.LISFD - 리스너 소켓 FD 오류 - 메시지가 표시될 수 있습니다.패킷 손상, RESET 수신, TLS와 DTLS 포트의 vEdge와 컨트롤러 간의 불일치, 또는 FW 포트가 열려 있지 않은 경우 등 다른 이유로 이러한 문제가 발생할 수 있습니다.
가장 일반적인 원인은 중복 전송 IP입니다.연결을 확인하고 주소가 고유한지 확인합니다.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.21 12346 203.0.113.21 12346 default up LISFD NOERR 0 2019-04-30T15:46:25+0000
피어 시간 초과 문제(VM_TMO)
피어 시간 제한 조건은 vEdge가 문제의 컨트롤러에 연결할 수 없는 경우에 의해 트리거됩니다.
이 예에서는 vManage 시간 초과 메시지(피어 VM_TMO)를 캡처합니다. 다른 항목에는 피어 vBond, vSmart 및/또는 vEdge 시간 초과(VB_TMO, VP_TMO, VS_TMO)가 포함됩니다.
트러블슈팅의 일환으로 컨트롤러에 연결되어 있는지 확인합니다.ICMP(Internet Control Message Protocol) 및/또는 Traceroute를 문제의 IP 주소로 사용합니다.트래픽이 많은 경우(손실이 큰 경우) 신속한 ping을 통해 정상 상태를 보장합니다.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vmanage tls 1.1.1.3 3 0 10.0.2.42 23456 203.0.113.124 23456 default tear_down VM_TMO NOERR 21 2019-04-30T15:59:24+0000
또한 show control connections-history detail 명령 출력을 확인하여 TX/RX 제어 통계를 확인하여 카운터에 중요한 불일치가 있는지 확인합니다.출력에 RX와 TX hello 패킷 번호의 차이점이 나와 있습니다.
----------------------------------------------------------------------------------------
LOCAL-COLOR- biz-internet SYSTEM-IP- 192.168.30.103 PEER-PERSONALITY- vsmart
----------------------------------------------------------------------------------------
site-id 1
domain-id 1
protocol dtls
private-ip 192.168.20.103
private-port 12346
public-ip 192.168.20.103
public-port 12346
UUID/chassis-number 4fc4bf2c-f170-46ac-b217-16fb150fef1d
state tear_down [Local Err: ERR_DISABLE_TLOC] [Remote Err: NO_ERROR]
downtime 2019-06-01T14:52:49+0200
repeat count 5
previous downtime 2019-06-01T14:43:11+0200
Tx Statistics-
--------------
hello 597
connects 0
registers 0
register-replies 0
challenge 0
challenge-response 1
challenge-ack 0
teardown 1
teardown-all 0
vmanage-to-peer 0
register-to-vmanage 0
Rx Statistics-
--------------
hello 553
connects 0
registers 0
register-replies 0
challenge 1
challenge-response 0
challenge-ack 1
teardown 0
vmanage-to-peer 0
register-to-vmanage 0
일련 번호 없음(CRTREJSER, BIDNTVRFD)
지정된 디바이스의 컨트롤러에 일련 번호가 없는 경우 제어 연결이 실패하는 것을 확인할 수 있습니다.
show controllers [ valid-vsmarts 를 사용하여 확인 가능 | valid-vedges ] 출력 및 대부분의 시간 고정vManage 해당 탭에서 Configuration > Certificates > Send to Controllers 또는 Send to vBond 버튼으로 이동합니다. vBond에서 show orchestrator valid-vedges/show orchestrator valid-vsmarts를 선택합니다.
vBond의 로그에서 ERR_BID_NOT_VERIFIED라는 이유로 이러한 메시지를 관찰할 수도 있습니다.
messages:local7.info: Dec 21 01:13:31 vBond-1 VBOND[1677]: %Viptela-vBond-1-vbond_0-6-INFO-1400002: Notification: 12/21/2018 1:13:31 vbond-reject-vedge-connection severit y-level:major host-name:"vBond-1" system-ip:1.1.1.11 uuid:"11OG301234567" organization-name:"Example_Orgname" sp-organization-name:"Example_Orgname"" reason:"ERR_BID_NOT_VERIFIED"
이러한 문제를 해결할 때 PnP 포털(software.cisco.com) 및 vManage에서 올바른 일련 번호 및 디바이스 모델이 구성되어 프로비저닝되었는지 확인합니다.
섀시 번호 및 인증서 일련 번호를 확인하기 위해 vEdge 라우터에서 이 명령을 사용할 수 있습니다.
vEdge1# show control local-properties | include "chassis-num|serial-num" chassis-num/unique-id 11OG528180107 serial-num 1001247E
Cisco IOS®-XE SDWAN 소프트웨어를 실행하는 라우터에서 다음을 사용할 수 있습니다.
cEdge1#show sdwan control local-properties | include chassis-num|serial-num chassis-num/unique-id C1111-4PLTEEA-FGL223911LK serial-num 016E9999
또는
Router#show crypto pki certificates CISCO_IDEVID_SUDI | s ^Certificate
Certificate
Status: Available
Certificate Serial Number (hex): 016E9999
Certificate Usage: General Purpose
Issuer:
o=Cisco
cn=High Assurance SUDI CA
Subject:
Name: C1111-4PLTEEA
Serial Number: PID:C1111-4PLTEEA SN:FGL223911LK
cn=C1111-4PLTEEA
ou=ACT-2 Lite SUDI
o=Cisco
serialNumber=PID:C1111-4PLTEEA SN:FGL223911LK
Validity Date:
start date: 15:33:46 UTC Sep 27 2018
end date: 20:58:26 UTC Aug 9 2099
Associated Trustpoints: CISCO_IDEVID_SUDI
vEdge/vSmart 관련 문제
다음은 show control connections-history에서 vEdge/vSmart에서 발생한 오류의 예입니다.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 biz-internet challenge_resp RXTRDWN BIDNTVRFD 0 2019-06-01T16:40:16+0200
show orchestrator connections-history의 vBond에서:
PEER PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT
INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 unknown dtls - 0 0 :: 0 192.168.10.234 12346 default tear_down BIDNTVRFD/NOERR 1 2019-06-01T18:44:34+0200
또한 유효한 vEdge 목록에서 vBond의 디바이스 일련 번호를 찾을 수 없습니다.
vbond1# show orchestrator valid-vedges | i 11OG528180107
컨트롤러 문제
컨트롤러 간 직렬 파일이 일치하지 않을 경우 vBond의 로컬 오류는 존재하지 않는 일련 번호와 vSmarts/vManage에 대해 해지된 인증서가 일치하지 않습니다.
vBond에서:
PEER PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT
INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 unknown dtls - 0 0 :: 0 192.168.0.229 12346 default tear_down SERNTPRES/NOERR 2 2019-06-01T19:04:51+0200
vbond1# show orchestrator valid-vsmarts SERIAL NUMBER ORG ----------------------- 0A SAMPLE - ORGNAME 0B SAMPLE - ORGNAME 0C SAMPLE - ORGNAME 0D SAMPLE - ORGNAME
영향을 받는 vSmart/vManage에서 다음을 수행합니다.
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default tear_down CRTREJSER NOERR 9 2019-06-01T19:06:32+0200
vsmart# show control local-properties| i serial-num serial-num 0F
또한 vEdge와 관련하여 영향을 받는 vSmart에 ORPTMO 메시지가 표시될 수 있습니다.
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 unknown tls - 0 0 :: 0 192.168.10.238 54850 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:16+0200
0 unknown tls - 0 0 :: 0 192.168.10.238 54850 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:16+0200
0 unknown tls - 0 0 :: 0 198.51.100.100 55374 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:05+0200
0 unknown tls - 0 0 :: 0 198.51.100.100 59076 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:03+0200
0 unknown tls - 0 0 :: 0 192.168.10.240 53478 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:02+0200
vEdge에서 show control connections-history "SERNTPRES" 오류의 영향을 받은 vSmart가 표시됩니다.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 biz-internet tear_down SERNTPRES NOERR 29 2019-06-01T19:18:51+0200 vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 mpls tear_down SERNTPRES NOERR 29 2019-06-01T19:18:32+0200
잘못된 섀시 번호/고유 ID
동일한 오류 "CRTREJSER/NOERR"의 또 다른 예는 PNP 포털에서 잘못된 제품 ID(모델)를 사용하는지 확인할 수 있습니다.예를 들어
vbond# show orchestrator valid-vedges | include ASR1002 ASR1002-HX-DNA-JAE21050110 014EE30A valid Cisco SVC N1
그러나 실제 디바이스 모델은 다릅니다. "DNA" 후픽스는 이름에 없습니다.
ASR1k#show sdwan control local-properties | include chassis-num chassis-num/unique-id ASR1002-HX-JAE21050110
조직 불일치(CTORGNMIS)
Organization Name(조직 이름)은 제어 연결 설정에 중요한 구성 요소입니다.지정된 오버레이의 경우 조직입니다.제어 연결이 나타날 수 있도록 모든 컨트롤러 및 vEdge 전체에서 이름이 일치해야 합니다.
그렇지 않은 경우 "Certificate Org(인증서 조직)가 표시됩니다.다음과 같이 표시됩니다.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vbond dtls - 0 0 203.0.113.197 12346 203.0.113.197 12346 biz-internet tear_down CTORGNMMIS NOERR 14 2019-04-08T00:26:19+0000 vbond dtls - 0 0 198.51.100.137 12346 198.51.100.137 12346 biz-internet tear_down CTORGNMMIS NOERR 13 2019-04-08T00:26:04+0000
vEdge/vSmart 인증서 취소/무효화(VSCRTREV/CRTVERFL)
컨트롤러에서 인증서가 해지되거나 vEdge 일련 번호가 무효화된 경우, 사용자는 vSmart 또는 vEdge Certification revoked 메시지를 각각 볼 수 있습니다.
다음은 vSmart Certificate revoke 메시지의 출력 예입니다. 다음은 vSmart에서 해지된 인증서입니다.
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default up RXTRDWN VSCRTREV 0 2019-06-01T18:13:22+0200
1 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default up RXTRDWN VSCRTREV 0 2019-06-01T18:13:22+0200
마찬가지로, 동일한 오버레이의 다른 vSmart에서 인증서가 취소된 vSmart를 확인하는 방법은 다음과 같습니다.
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 default tear_down VSCRTREV NOERR 0 2019-06-01T18:13:24+0200
그리고 vBond가 이를 어떻게 보는지 다음과 같습니다.
PEER PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT
INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
0 vsmart dtls 10.10.10.229 1 1 192.168.0.229 12346 192.168.0.229 12346 default tear_down VSCRTREV/NOERR 0 2019-06-01T18:13:14+0200
인증 확인 실패: 루트 인증서가 설치된 상태에서 인증서를 확인할 수 없는 경우:
1. show clock 명령으로 시간을 확인합니다. vBond의 인증서 유효성 범위 내에 있어야 합니다(show orchestrator local-properties 선택).
2. vEdge에서 루트 인증서 손상이 원인일 수 있습니다.
그런 다음 vEdge 라우터의 show control connections-history에 유사한 출력이 표시될 수 있습니다.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.82 12346 203.0.113.82 12346 default tear_down CRTVERFL NOERR 32 2018-11-16T23:58:22+0000 vbond dtls - 0 0 203.0.113.81 12346 203.0.113.81 12346 default tear_down CRTVERFL NOERR 31 2018-11-16T23:58:03+0000
이 경우 vEdge는 컨트롤러 인증서도 검증할 수 없습니다.이 문제를 해결하려면 루트 인증서 체인을 다시 설치할 수 있습니다.Symantec Certificate Authority를 사용하는 경우 읽기 전용 파일 시스템에서 루트 인증서 체인을 복사할 수 있습니다.
vEdge1# vshell vEdge1:~$ cp /rootfs.ro/usr/share/viptela/root-ca-sha1-sha2.crt /home/admin/ vEdge1:~$ exit exit vEdge1# request root-cert-chain install /home/admin/root-ca-sha1-sha2.crt Uploading root-ca-cert-chain via VPN 0 Copying ... /home/admin/root-ca-sha1-sha2.crt via VPN 0 Installing the new root certificate chain Successfully installed the root certificate chain
vManage에서 vEdge 템플릿이 연결되지 않음
ZTP에서 시작할 때 디바이스가 vManage의 템플릿과 연결되어 있지 않으면 "No Config"가 표시됩니다.vManage for device"를 참조하십시오.
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT D OWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------------- vmanage dtls 1.1.1.1 1 0 10.0.2.80 12546 203.0.113.128 12546 default up RXTRDWN NOVMCFG 35 2 019-02-26T12:23:52+0000
임시 조건(DISCVBD, SYSIPCHING)
다음은 제어 연결이 플랩되는 일시적인 조건입니다.여기에는 다음이 포함됩니다.
- vEdge에서 시스템-IP 변경
- 해체 메시지.vBond(vBond에 대한 제어 연결은 일시적임)
PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vmanage dtls 10.0.0.1 1 0 198.51.100.92 12646 198.51.100.92 12646 default tear_down SYSIPCHNG NOERR 0 2018-11-02T16:58:00+0000
Cisco 엔지니어가 작성
- Shankar VemulapalliCisco TAC 엔지니어
- Eugene KhabarovCisco TAC 엔지니어
피드백지원 문의
- 지원 케이스 접수
- (시스코 서비스 계약 필요)