Problemen met gemeenschappelijke SD-WAN-besturing en problemen met het gegevensvlak oplossen
Inhoud
Inleiding
In dit document wordt beschreven hoe u kunt beginnen met het oplossen van problemen met de besturing en het gegevensvlak van een gemeenschappelijk Software Defined Wide Area Network (SD-WAN).
Voorwaarden
Vereisten
Cisco raadt u aan kennis te hebben van de Cisco Catalyst-oplossing.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Overzicht
Dit artikel is ontworpen als een runbook om een startpunt te bieden voor debugging-uitdagingen in verschillende productieomgevingen. Elke sectie biedt veelvoorkomende use cases en waarschijnlijke gegevenspunten om te verzamelen of te zoeken wanneer u deze veelvoorkomende problemen opspoort.
Basisconfiguraties
Zorg ervoor dat de basisconfiguraties aanwezig zijn op de router en dat de apparaatspecifieke waarden uniek zijn voor elk apparaat in overlay:
Systeemconfiguraties
system
system-ip <system –ip>
site-id <site-id>
admin-tech-on-failure
organization-name <organization name>
vbond <vbond–ip>
!
Example:
system
system-ip 10.2.2.1
site-id 2
admin-tech-on-failure
organization-name "TAC - 22201"
vbond 10.106.50.235
!
Interfaceconfiguraties
interface Tunnel0
no shutdown
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan
exit
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation ipsec
color blue restrict
no allow-service all
no allow-service bgp
no allow-service dhcp
no allow-service dns
no allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
Zorg ervoor dat de router eenDe route is beschikbaar in de routeringstabel om een besturingsverbinding met de controllers (vBond, vManage en vSmart) tot stand te brengen. U kunt deze opdracht gebruiken om alle routes te zien die in de routeringstabel zijn geïnstalleerd:
show ip routeAls u vBond FQDN gebruikt, moet u ervoor zorgen dat de DNS-server of naamserver is geconfigureerd met een vermelding om de vBond-hostnaam op te lossen. U kunt controleren welke DNS-server of name-server is geconfigureerd met deze opdracht:
show run | in ip name-servergetuigschrift
Controleer met deze opdracht of het certificaat op de router is geïnstalleerd:
show sdwan certificate installed
Opmerking: als u geen Enterprise-certificaten gebruikt, is het certificaat al beschikbaar op de routers. Voor hardwareplatforms zijn de apparaatcertificaten ingebouwd in de routerhardware. Voor virtuele routers fungeert vManage als certificeringsinstantie en genereert het de certificaten voor cloudrouters.
Als u Enterprise-certificaten op de controllers gebruikt, moet u ervoor zorgen dat het rootcertificaat van de Enterprise-CA op de router is geïnstalleerd.
Controleer of de rootcertificaten op de router zijn geïnstalleerd met behulp van de volgende opdrachten:
show sdwan certificate root-ca-cert
show sdwan certificate root-ca-cert | inc IssuerControleer de uitvoer van show sdwan control local-properties om er zeker van te zijn dat de vereiste configuraties en certificaten aanwezig zijn.
SD-WAN-Router#show sdwan control local-properties
personality vedge
sp-organization-name TAC - 22201
organization-name TAC - 22201
root-ca-chain-status Installed
certificate-status Installed
certificate-validity Valid
certificate-not-valid-before Nov 23 07:21:37 2015 GMT
certificate-not-valid-after Nov 23 07:21:37 2025 GMT
enterprise-cert-status Not-Applicable
enterprise-cert-validity Not Applicable
enterprise-cert-not-valid-before Not Applicable
enterprise-cert-not-valid-after Not Applicable
dns-name 10.106.50.235
site-id 2
domain-id 1
protocol dtls
tls-port 0
system-ip 10.2.2.1
chassis-num/unique-id ASR1001-X-JAE194707HJ
serial-num 983558
subject-serial-num JAE194707HJ
enterprise-serial-num No certificate installed
token -NA-
keygen-interval 1:00:00:00
retry-interval 0:00:00:18
no-activity-exp-interval 0:00:00:20
dns-cache-ttl 0:00:02:00
port-hopped TRUE
time-since-last-port-hop 0:00:01:26
embargo-check success
number-vbond-peers 1
INDEX IP PORT
-----------------------------------------------------
0 10.106.50.235 12346
number-active-wan-interfaces 2
NAT TYPE: E -- indicates End-point independent mapping
A -- indicates Address-port dependent mapping
N -- indicates Not learned
Note: Requires minimum two vbonds to learn the NAT type
PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE MAX RESTRICT/ LAST SPI TIME NAT VM
INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON
STUN PRF
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GigabitEthernet0/0/0 10.197.240.4 12426 10.197.240.4 :: 12426 0/0 blue up 2 yes/yes/no No/No 0:00:00:14 0:00:00:00 N 5
GigabitEthernet0/0/1 10.197.242.10 12406 10.197.242.10 :: 12406 0/0 red up 2 yes/yes/no No/No 0:00:00:03 0:00:00:00 N 5 Wanneer u de uitvoer van show sdwan control local-properties controleert, moet u ervoor zorgen dat aan al deze criteria wordt voldaan:
- De naam van de organisatie wordt correct weergegeven.
- De geldigheid van het certificaat is geldig op het moment dat u de uitvoer controleert.
- Het vBond FQDN/IP-adres is correct.
- System-ip/Site-id is correct.
- Het IP-adres van vBond is te zien in de vermelding voor "number-vbond-peers". Als het vBond IP-adres niet wordt weergegeven, controleert u of DNS de vBond-URL oplost met de opdracht ping <vBond FQDN>.
- De interfaces zijn toegewezen met de juiste kleur, het IP-adres en de status van de interface is UP.
- De MAX CNTRL voor de vereiste interface om een besturingsverbinding te vormen is niet 0.
Status van besturingsverbindingen
Controleer de status van de besturingsverbinding met deze opdracht:
show sdwan control connectionsAls alle besturingsverbindingen zijn ingeschakeld, heeft het apparaat een besturingsverbinding met vBond, vManage en vSmart. Zodra de vereiste vSmart- en vManage-verbindingen tot stand zijn gebracht, wordt de vBond-besturingsverbinding afgebroken.
Opmerking: Als er slechts één vSmart in de overlay zit en max-control verbindingen is ingesteld op de standaardwaarde van 2, wordt naast de verwachte verbinding met vManage en vSmart ook een permanente besturingsverbinding met vBond onderhouden.
Deze configuratie is beschikbaar onder de tunnelinterfaceconfiguratie van het gedeelte over de zwaneninterface. U kunt dit controleren met de opdracht show sdwan run sdwan. Als max-control-verbinding is geconfigureerd naar 0 op de interface, vormt de router geen besturingsverbinding op die interface.
Als er 2 vSmarts in de overlay zitten, vormt de router een besturingsverbinding met elke vSmart op elke TLOC-kleur (Transport Locator) die is geconfigureerd voor besturingsverbindingen.
Opmerking: De besturingsverbinding met vManage wordt slechts op één interfacekleur van de router gemaakt in een scenario waarin de router meerdere interfaces heeft geconfigureerd om besturingsverbindingen te vormen.
SD-WAN-Router#show sdwan control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT ORGANIZATION LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 10.1.1.3 1 1 10.106.50.254 12346 10.106.50.254 12346 vTAC-India - 22201 blue No up 0:00:00:23 0
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 vTAC-India - 22201 blue - up 0:00:00:31 0
vmanage dtls 10.1.1.2 1 0 10.106.65.182 12346 10.106.65.182 12346 vTAC-India - 22201 blue No up 0:00:00:27 0 Problemen oplossen Controleverbindingen
In de uitvoer van show sdwan control verbindingen, als alle vereiste controle verbindingen niet up zijn, controleer de uitvoer van show sdwan control verbinding-geschiedenis.
SD-WAN-Router#show sdwan control connection-history
Legend for Errors
ACSRREJ - Challenge rejected by peer. NOVMCFG - No cfg in vmanage for device.
BDSGVERFL - Board ID Signature Verify Failure. NOZTPEN - No/Bad chassis-number entry in ZTP.
BIDNTPR - Board ID not Initialized. OPERDOWN - Interface went oper down.
BIDNTVRFD - Peer Board ID Cert not verified. ORPTMO - Server's peer timed out.
BIDSIG - Board ID signing failure. RMGSPR - Remove Global saved peer.
CERTEXPRD - Certificate Expired RXTRDWN - Received Teardown.
CRTREJSER - Challenge response rejected by peer. RDSIGFBD - Read Signature from Board ID failed.
CRTVERFL - Fail to verify Peer Certificate. SERNTPRES - Serial Number not present.
CTORGNMMIS - Certificate Org name mismatch. SSLNFAIL - Failure to create new SSL context.
DCONFAIL - DTLS connection failure. STNMODETD - Teardown extra vBond in STUN server mode.
DEVALC - Device memory Alloc failures. SYSIPCHNG - System-IP changed.
DHSTMO - DTLS HandShake Timeout. SYSPRCH - System property changed
DISCVBD - Disconnect vBond after register reply. TMRALC - Timer Object Memory Failure.
DISTLOC - TLOC Disabled. TUNALC - Tunnel Object Memory Failure.
DUPCLHELO - Recd a Dup Client Hello, Reset Gl Peer. TXCHTOBD - Failed to send challenge to BoardID.
DUPSER - Duplicate Serial Number. UNMSGBDRG - Unknown Message type or Bad Register msg.
DUPSYSIPDEL- Duplicate System IP. UNAUTHEL - Recd Hello from Unauthenticated peer.
HAFAIL - SSL Handshake failure. VBDEST - vDaemon process terminated.
IP_TOS - Socket Options failure. VECRTREV - vEdge Certification revoked.
LISFD - Listener Socket FD Error. VSCRTREV - vSmart Certificate revoked.
MGRTBLCKD - Migration blocked. Wait for local TMO. VB_TMO - Peer vBond Timed out.
MEMALCFL - Memory Allocation Failure. VM_TMO - Peer vManage Timed out.
NOACTVB - No Active vBond found to connect. VP_TMO - Peer vEdge Timed out.
NOERR - No Error. VS_TMO - Peer vSmart Timed out.
NOSLPRCRT - Unable to get peer's certificate. XTVMTRDN - Teardown extra vManage.
NEWVBNOVMNG- New vBond with no vMng connections. XTVSTRDN - Teardown extra vSmart.
NTPRVMINT - Not preferred interface to vManage. STENTRY - Delete same tloc stale entry.
HWCERTREN - Hardware vEdge Enterprise Cert Renewed HWCERTREV - Hardware vEdge Enterprise Cert Revoked.
EMBARGOFAIL - Embargo check failed
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT ORGANIZATION DOWNTIME
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red challenge LISFD NOERR 2 TAC - 22201 2024-03-25T01:08:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue up LISFD NOERR 0 TAC - 22201 2024-03-25T01:08:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 16727 TAC - 22201 2024-03-25T01:08:02-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 2008 TAC - 22201 2024-03-25T01:06:36-0700
vmanage dtls 10.1.1.2 1 0 10.106.65.182 12346 10.106.65.182 12346 blue tear_down DISTLOC NOERR 4 TAC - 22201 2024-03-25T01:06:18-0700
vsmart dtls 10.1.1.3 1 1 10.106.50.254 12346 10.106.50.254 12346 blue tear_down DISTLOC NOERR 1 TAC - 22201 2024-03-25T01:06:18-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue up LISFD NOERR 15 TAC - 22201 2024-03-25T01:06:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 12912 TAC - 22201 2024-03-25T01:05:20-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 11468 TAC - 22201 2024-03-25T01:04:36-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 10854 TAC - 22201 2024-03-25T00:57:49-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 4660 TAC - 22201 2024-03-25T00:51:30-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 2600 TAC - 22201 2024-03-25T00:48:48-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red tear_down DISTLOC NOERR 6 TAC - 22201 2024-03-25T00:44:23-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 9893 TAC - 22201 2024-03-25T00:37:00-0700Controleer de volgende items in de weergave van de verbindingsgeschiedenis van de sedan:
- Het type controller waarop de besturingsverbinding faalt bij een bepaalde tijdstempel.
- De fout die is opgetreden bij het mislukken van de besturingsverbinding. Er zijn 2 kolommen voor fouten, Lokale fout en Externe fout. Lokale fout geeft de fout aan die door de router is gegenereerd. Fout op afstand geeft de fout aan die door de betreffende controller is gegenereerd. Aan het begin van de output is er een foutopsomming.
- Herhaal tellen, geeft het aantal keren aan, de verbinding is mislukt om dezelfde reden.
Veel voorkomende fouten in de foutcode
- DCONFAIL (DTLS-verbindingsfout): Deze fout geeft aan dat er een verlies is van DTLS-pakketten die worden uitgewisseld tussen de router en de respectieve controller waardoor de DTLS-handshake niet kan worden voltooid. Om dit beter te begrijpen, kunt u gelijktijdige pakketopnames instellen op de router en de respectieve controller. Verschillende methoden voor het instellen van pakketopnames worden gedeeld in de sectie Ingesloten pakketopname. Tijdens het analyseren van de pakketopnames is het belangrijk om ervoor te zorgen dat de pakketten die van het ene uiteinde worden verzonden, zonder wijzigingen aan het andere uiteinde worden ontvangen. Als het pakket dat van het ene uiteinde wordt verzonden, niet aan het andere uiteinde wordt ontvangen, geeft dit aan dat er pakketverlies is in het onderliggende circuit dat moet worden geverifieerd bij de serviceprovider. Meer informatie over hoe u een pakketopname kunt maken, vindt u in de sectie Onderliggende problemen.
- BIDNTVRFD (Board ID Not Verified): Deze fout geeft aan dat het UUID- en certificaatserienummer geen geldige vermelding is in de vEdge-controllerlijst. U kunt de uitvoer van de geldige vedge-lijst op de controllers controleren met behulp van de volgende opdrachten:
vBond: show orchestrator valid-vedges
vManage/vSmart: show control valid-vedges
Meestal is BIDNTVRFD een externe fout op de router omdat deze op de controller wordt gegenereerd. Op de betreffende controller kunt u met behulp van de volgende opdrachten controleren of u zich aanmeldt in het vdebug-bestand in de directory /var/log/tmplog:
vmanage# vshell
vmanage:~$ cd /var/log/tmplog/
vmanage:/var/log/tmplog$ tail -f vdebug
- CRTVERFL (certificaatverificatie mislukt): Deze fout geeft aan dat het certificaat dat door de peer is verzonden, niet kon worden geverifieerd.
- Als dit een lokale fout op de router is, geeft dit aan dat het certificaat van de controller dat als onderdeel van de DTLS-handshake is verzonden, niet door de router kon worden geverifieerd. Een van de meest voorkomende redenen hiervoor is dat de router niet beschikt over het root-certificaat van de certificaatautoriteit die het controllercertificaat heeft ondertekend. Controleer de status van het certificaat aan de hand van deze opdrachten om ervoor te zorgen dat de vereisteHet vereiste rootcertificaat is aanwezig op de router.
show sdwan certificate root-ca-cert
show sdwan certificate root-ca-cert | inc Issuer- Als deze fout een externe fout op de router is, controleert u het vdebug-logbestand op de respectievelijke controller om de oorzaak te begrijpen met behulp van deze opdrachten:
vmanage# vshell
vmanage:~$ cd /var/log/tmplog/
vmanage:/var/log/tmplog$ tail -f vdebug
- VB_TMO (vBond Timeout) / VM_TMO (vManage Timeout) / VP_TMO (vPeer Timeout) / VS_TMO (vSmart Timeout): Deze fouten geven aan dat er pakketverlies was tussen de apparaten, waardoor de besturingsverbinding time-out kreeg. Om dit beter te begrijpen, kunt u gelijktijdige pakketopnames instellen op de router en de respectieve controller. Verschillende methoden voor het instellen van pakketopnames worden gedeeld in de sectie Ingesloten pakketopname. Bij het analyseren van de pakketopnames is het belangrijk om ervoor te zorgen dat de pakketten die van het ene uiteinde worden verzonden, zonder wijzigingen aan het andere uiteinde worden ontvangen. Als het pakket dat van het ene uiteinde wordt verzonden, niet aan het andere uiteinde wordt ontvangen, geeft dit aan dat er pakketverlies is in het onderliggende circuit dat moet worden geverifieerd bij de serviceprovider
Voor instructies over het oplossen van andere foutcodes voor verbindingsfouten kunt u naar dit document verwijzen:
Problemen oplossen met SD-WAN-besturingsverbindingen
Onderliggende problemen
De tools die worden gebruikt om pakketverlies in de onderlaag op te lossen, verschillen op verschillende apparaten. Voor SD-WAN-controllers en vEdges-router kunt u de opdracht tcpdump gebruiken. Gebruik voor Catalyst IOS® XE Edges Embedded Packet Capture (EPC) en Feature Invocation Array (FIA) trace.
Om te begrijpen waarom besturingsverbindingen falen en te begrijpen waar het probleem ligt, moet u begrijpen waar het pakketverlies plaatsvindt. Als u bijvoorbeeld een vBond- en Edge-router hebt die geen besturingsverbinding vormt, illustreert deze handleiding hoe u het probleem kunt isoleren.
TCP-dump
tcpdump vpn 0 interface ge0/0 options "host 10.1.1.x -vv"Op basis van het verzoek en de reactie van de pakketten kan de gebruiker het apparaat begrijpen dat verantwoordelijk is voor de druppels. De opdracht tcpdump kan worden gebruikt op alle controllers en vEdge-apparaten.
Embedded Packet Capture
Maak een ACL op het apparaat.
ip access-list extended TAC
10 permit ip host <edge-private-ip> host <controller-public-ip>
20 permit ip host <controller-public-ip> host <edge-private-ip>
Configureer en start het vastleggen van de monitor.
monitor capture CAP access-list TAC bidirectional
monitor capture CAP startStop de vastlegging en exporteer het vastlegbestand.
monitor capture CAP stop
monitor capture CAP export bootflash:Bekijk de inhoud van het bestand in wireshark om de druppels te begrijpen. Meer informatie vindt u bij Ingesloten pakket configureren en vastleggen op software.
FIA Trace
Configureer de FIA-trace.
debug platform condition ipv4 both
debug platform packet-trace packet 2048 fia-trace data-size 4096
debug platform condition start Bekijk de fia phrase packet outputs.
debug platform condition stop
show platform packet-trace summary
show platform packet-trace summary | i DROP
Als er een drop is, parseer dan de FIA trace output voor het gedropte pakket.
show platform packet-trace packet <packet-no> decode
Als u meer informatie wilt over FIA-traceringsopties, bekijkt u dit document: Problemen oplossen met de functie Datapath Packet Trace van IOS-XE
De beleidsdrops bepalen op Catalyst SD-WAN Edge met FIA Trace-video biedt een voorbeeld van het gebruik van FIA-trace.
Admin-Tech genereren
Raadpleeg Een beheerderstechnologie verzamelen in een SD-WAN-omgeving en uploaden naar TAC-case - Cisco
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
15-Aug-2024
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)