De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe u kunt beginnen met het oplossen van problemen met de besturing en het gegevensvlak van een gemeenschappelijk Software Defined Wide Area Network (SD-WAN).
Cisco raadt u aan kennis te hebben van de Cisco Catalyst-oplossing.
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Dit artikel is ontworpen als een runbook om een startpunt te bieden voor debugging-uitdagingen in verschillende productieomgevingen. Elke sectie biedt veelvoorkomende use cases en waarschijnlijke gegevenspunten om te verzamelen of te zoeken wanneer u deze veelvoorkomende problemen opspoort.
Zorg ervoor dat de basisconfiguraties aanwezig zijn op de router en dat de apparaatspecifieke waarden uniek zijn voor elk apparaat in overlay:
system
system-ip <system –ip>
site-id <site-id>
admin-tech-on-failure
organization-name <organization name>
vbond <vbond–ip>
!
Example:
system
system-ip 10.2.2.1
site-id 2
admin-tech-on-failure
organization-name "TAC - 22201"
vbond 10.106.50.235
!
interface Tunnel0
no shutdown
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan
exit
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation ipsec
color blue restrict
no allow-service all
no allow-service bgp
no allow-service dhcp
no allow-service dns
no allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
Zorg ervoor dat de router eenDe route is beschikbaar in de routeringstabel om een besturingsverbinding met de controllers (vBond, vManage en vSmart) tot stand te brengen. U kunt deze opdracht gebruiken om alle routes te zien die in de routeringstabel zijn geïnstalleerd:
show ip route
Als u vBond FQDN gebruikt, moet u ervoor zorgen dat de DNS-server of naamserver is geconfigureerd met een vermelding om de vBond-hostnaam op te lossen. U kunt controleren welke DNS-server of name-server is geconfigureerd met deze opdracht:
show run | in ip name-server
Controleer met deze opdracht of het certificaat op de router is geïnstalleerd:
show sdwan certificate installed
Opmerking: als u geen Enterprise-certificaten gebruikt, is het certificaat al beschikbaar op de routers. Voor hardwareplatforms zijn de apparaatcertificaten ingebouwd in de routerhardware. Voor virtuele routers fungeert vManage als certificeringsinstantie en genereert het de certificaten voor cloudrouters.
Als u Enterprise-certificaten op de controllers gebruikt, moet u ervoor zorgen dat het rootcertificaat van de Enterprise-CA op de router is geïnstalleerd.
Controleer of de rootcertificaten op de router zijn geïnstalleerd met behulp van de volgende opdrachten:
show sdwan certificate root-ca-cert
show sdwan certificate root-ca-cert | inc Issuer
Controleer de uitvoer van show sdwan control local-properties om er zeker van te zijn dat de vereiste configuraties en certificaten aanwezig zijn.
SD-WAN-Router#show sdwan control local-properties
personality vedge
sp-organization-name TAC - 22201
organization-name TAC - 22201
root-ca-chain-status Installed
certificate-status Installed
certificate-validity Valid
certificate-not-valid-before Nov 23 07:21:37 2015 GMT
certificate-not-valid-after Nov 23 07:21:37 2025 GMT
enterprise-cert-status Not-Applicable
enterprise-cert-validity Not Applicable
enterprise-cert-not-valid-before Not Applicable
enterprise-cert-not-valid-after Not Applicable
dns-name 10.106.50.235
site-id 2
domain-id 1
protocol dtls
tls-port 0
system-ip 10.2.2.1
chassis-num/unique-id ASR1001-X-JAE194707HJ
serial-num 983558
subject-serial-num JAE194707HJ
enterprise-serial-num No certificate installed
token -NA-
keygen-interval 1:00:00:00
retry-interval 0:00:00:18
no-activity-exp-interval 0:00:00:20
dns-cache-ttl 0:00:02:00
port-hopped TRUE
time-since-last-port-hop 0:00:01:26
embargo-check success
number-vbond-peers 1
INDEX IP PORT
-----------------------------------------------------
0 10.106.50.235 12346
number-active-wan-interfaces 2
NAT TYPE: E -- indicates End-point independent mapping
A -- indicates Address-port dependent mapping
N -- indicates Not learned
Note: Requires minimum two vbonds to learn the NAT type
PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE MAX RESTRICT/ LAST SPI TIME NAT VM
INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON
STUN PRF
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GigabitEthernet0/0/0 10.197.240.4 12426 10.197.240.4 :: 12426 0/0 blue up 2 yes/yes/no No/No 0:00:00:14 0:00:00:00 N 5
GigabitEthernet0/0/1 10.197.242.10 12406 10.197.242.10 :: 12406 0/0 red up 2 yes/yes/no No/No 0:00:00:03 0:00:00:00 N 5
Wanneer u de uitvoer van show sdwan control local-properties controleert, moet u ervoor zorgen dat aan al deze criteria wordt voldaan:
Controleer de status van de besturingsverbinding met deze opdracht:
show sdwan control connections
Als alle besturingsverbindingen zijn ingeschakeld, heeft het apparaat een besturingsverbinding met vBond, vManage en vSmart. Zodra de vereiste vSmart- en vManage-verbindingen tot stand zijn gebracht, wordt de vBond-besturingsverbinding afgebroken.
Opmerking: Als er slechts één vSmart in de overlay zit en max-control verbindingen is ingesteld op de standaardwaarde van 2, wordt naast de verwachte verbinding met vManage en vSmart ook een permanente besturingsverbinding met vBond onderhouden.
Deze configuratie is beschikbaar onder de tunnelinterfaceconfiguratie van het gedeelte over de zwaneninterface. U kunt dit controleren met de opdracht show sdwan run sdwan. Als max-control-verbinding is geconfigureerd naar 0 op de interface, vormt de router geen besturingsverbinding op die interface.
Als er 2 vSmarts in de overlay zitten, vormt de router een besturingsverbinding met elke vSmart op elke TLOC-kleur (Transport Locator) die is geconfigureerd voor besturingsverbindingen.
Opmerking: De besturingsverbinding met vManage wordt slechts op één interfacekleur van de router gemaakt in een scenario waarin de router meerdere interfaces heeft geconfigureerd om besturingsverbindingen te vormen.
SD-WAN-Router#show sdwan control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT ORGANIZATION LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 10.1.1.3 1 1 10.106.50.254 12346 10.106.50.254 12346 vTAC-India - 22201 blue No up 0:00:00:23 0
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 vTAC-India - 22201 blue - up 0:00:00:31 0
vmanage dtls 10.1.1.2 1 0 10.106.65.182 12346 10.106.65.182 12346 vTAC-India - 22201 blue No up 0:00:00:27 0
In de uitvoer van show sdwan control verbindingen, als alle vereiste controle verbindingen niet up zijn, controleer de uitvoer van show sdwan control verbinding-geschiedenis.
SD-WAN-Router#show sdwan control connection-history
Legend for Errors
ACSRREJ - Challenge rejected by peer. NOVMCFG - No cfg in vmanage for device.
BDSGVERFL - Board ID Signature Verify Failure. NOZTPEN - No/Bad chassis-number entry in ZTP.
BIDNTPR - Board ID not Initialized. OPERDOWN - Interface went oper down.
BIDNTVRFD - Peer Board ID Cert not verified. ORPTMO - Server's peer timed out.
BIDSIG - Board ID signing failure. RMGSPR - Remove Global saved peer.
CERTEXPRD - Certificate Expired RXTRDWN - Received Teardown.
CRTREJSER - Challenge response rejected by peer. RDSIGFBD - Read Signature from Board ID failed.
CRTVERFL - Fail to verify Peer Certificate. SERNTPRES - Serial Number not present.
CTORGNMMIS - Certificate Org name mismatch. SSLNFAIL - Failure to create new SSL context.
DCONFAIL - DTLS connection failure. STNMODETD - Teardown extra vBond in STUN server mode.
DEVALC - Device memory Alloc failures. SYSIPCHNG - System-IP changed.
DHSTMO - DTLS HandShake Timeout. SYSPRCH - System property changed
DISCVBD - Disconnect vBond after register reply. TMRALC - Timer Object Memory Failure.
DISTLOC - TLOC Disabled. TUNALC - Tunnel Object Memory Failure.
DUPCLHELO - Recd a Dup Client Hello, Reset Gl Peer. TXCHTOBD - Failed to send challenge to BoardID.
DUPSER - Duplicate Serial Number. UNMSGBDRG - Unknown Message type or Bad Register msg.
DUPSYSIPDEL- Duplicate System IP. UNAUTHEL - Recd Hello from Unauthenticated peer.
HAFAIL - SSL Handshake failure. VBDEST - vDaemon process terminated.
IP_TOS - Socket Options failure. VECRTREV - vEdge Certification revoked.
LISFD - Listener Socket FD Error. VSCRTREV - vSmart Certificate revoked.
MGRTBLCKD - Migration blocked. Wait for local TMO. VB_TMO - Peer vBond Timed out.
MEMALCFL - Memory Allocation Failure. VM_TMO - Peer vManage Timed out.
NOACTVB - No Active vBond found to connect. VP_TMO - Peer vEdge Timed out.
NOERR - No Error. VS_TMO - Peer vSmart Timed out.
NOSLPRCRT - Unable to get peer's certificate. XTVMTRDN - Teardown extra vManage.
NEWVBNOVMNG- New vBond with no vMng connections. XTVSTRDN - Teardown extra vSmart.
NTPRVMINT - Not preferred interface to vManage. STENTRY - Delete same tloc stale entry.
HWCERTREN - Hardware vEdge Enterprise Cert Renewed HWCERTREV - Hardware vEdge Enterprise Cert Revoked.
EMBARGOFAIL - Embargo check failed
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT ORGANIZATION DOWNTIME
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red challenge LISFD NOERR 2 TAC - 22201 2024-03-25T01:08:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue up LISFD NOERR 0 TAC - 22201 2024-03-25T01:08:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 16727 TAC - 22201 2024-03-25T01:08:02-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 2008 TAC - 22201 2024-03-25T01:06:36-0700
vmanage dtls 10.1.1.2 1 0 10.106.65.182 12346 10.106.65.182 12346 blue tear_down DISTLOC NOERR 4 TAC - 22201 2024-03-25T01:06:18-0700
vsmart dtls 10.1.1.3 1 1 10.106.50.254 12346 10.106.50.254 12346 blue tear_down DISTLOC NOERR 1 TAC - 22201 2024-03-25T01:06:18-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue up LISFD NOERR 15 TAC - 22201 2024-03-25T01:06:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 12912 TAC - 22201 2024-03-25T01:05:20-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 11468 TAC - 22201 2024-03-25T01:04:36-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 10854 TAC - 22201 2024-03-25T00:57:49-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 4660 TAC - 22201 2024-03-25T00:51:30-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 2600 TAC - 22201 2024-03-25T00:48:48-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red tear_down DISTLOC NOERR 6 TAC - 22201 2024-03-25T00:44:23-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 9893 TAC - 22201 2024-03-25T00:37:00-0700
Controleer de volgende items in de weergave van de verbindingsgeschiedenis van de sedan:
vBond: show orchestrator valid-vedges
vManage/vSmart: show control valid-vedges
Meestal is BIDNTVRFD een externe fout op de router omdat deze op de controller wordt gegenereerd. Op de betreffende controller kunt u met behulp van de volgende opdrachten controleren of u zich aanmeldt in het vdebug-bestand in de directory /var/log/tmplog:
vmanage# vshell
vmanage:~$ cd /var/log/tmplog/
vmanage:/var/log/tmplog$ tail -f vdebug
show sdwan certificate root-ca-cert
show sdwan certificate root-ca-cert | inc Issuer
vmanage# vshell
vmanage:~$ cd /var/log/tmplog/
vmanage:/var/log/tmplog$ tail -f vdebug
Voor instructies over het oplossen van andere foutcodes voor verbindingsfouten kunt u naar dit document verwijzen:
Problemen oplossen met SD-WAN-besturingsverbindingen
De tools die worden gebruikt om pakketverlies in de onderlaag op te lossen, verschillen op verschillende apparaten. Voor SD-WAN-controllers en vEdges-router kunt u de opdracht tcpdump gebruiken. Gebruik voor Catalyst IOS® XE Edges Embedded Packet Capture (EPC) en Feature Invocation Array (FIA) trace.
Om te begrijpen waarom besturingsverbindingen falen en te begrijpen waar het probleem ligt, moet u begrijpen waar het pakketverlies plaatsvindt. Als u bijvoorbeeld een vBond- en Edge-router hebt die geen besturingsverbinding vormt, illustreert deze handleiding hoe u het probleem kunt isoleren.
tcpdump vpn 0 interface ge0/0 options "host 10.1.1.x -vv"
Op basis van het verzoek en de reactie van de pakketten kan de gebruiker het apparaat begrijpen dat verantwoordelijk is voor de druppels. De opdracht tcpdump kan worden gebruikt op alle controllers en vEdge-apparaten.
Maak een ACL op het apparaat.
ip access-list extended TAC
10 permit ip host <edge-private-ip> host <controller-public-ip>
20 permit ip host <controller-public-ip> host <edge-private-ip>
Configureer en start het vastleggen van de monitor.
monitor capture CAP access-list TAC bidirectional
monitor capture CAP start
Stop de vastlegging en exporteer het vastlegbestand.
monitor capture CAP stop
monitor capture CAP export bootflash:
Bekijk de inhoud van het bestand in wireshark om de druppels te begrijpen. Meer informatie vindt u bij Ingesloten pakket configureren en vastleggen op software.
Configureer de FIA-trace.
debug platform condition ipv4 both
debug platform packet-trace packet 2048 fia-trace data-size 4096
debug platform condition start
Bekijk de fia phrase packet outputs.
debug platform condition stop
show platform packet-trace summary
show platform packet-trace summary | i DROP
Als er een drop is, parseer dan de FIA trace output voor het gedropte pakket.
show platform packet-trace packet <packet-no> decode
Als u meer informatie wilt over FIA-traceringsopties, bekijkt u dit document: Problemen oplossen met de functie Datapath Packet Trace van IOS-XE
De beleidsdrops bepalen op Catalyst SD-WAN Edge met FIA Trace-video biedt een voorbeeld van het gebruik van FIA-trace.
Raadpleeg Een beheerderstechnologie verzamelen in een SD-WAN-omgeving en uploaden naar TAC-case - Cisco
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
15-Aug-2024
|
Eerste vrijgave |