DHCP服务器在运行带DIA的Cisco IOS-XE SD-WAN的路由器上不工作
下载选项
已更新: 2019 年 3 月 1 日
文档 ID:214145
非歧视性语言
此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
关于此翻译
思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。
简介
本文档介绍在运行IOS®-XE SDWAN软件的同一路由器的服务端VPN上配置直接互联网接入(DIA)和DHCP服务器的集中式数据策略时,可能会遇到的典型问题。从服务端VPN传入设备并用于路由器本地处理的任何其他流量也可能出现类似问题。
问题
DHCP服务器在使用Cisco IOS®-XE SDWAN软件的路由器上不起作用。DIA配置了集中数据策略,如下所示:
policy
data-policy _LAN_DIA
vpn-list LAN
sequence 1
match
destination-data-prefix-list EXCLUDE_SUBNET
!
action accept
set
local-tloc-list
color biz-internet lte
encap ipsec
!
!
!
sequence 11
action accept
nat use-vpn 0
!
!
default-action accept
!
lists
data-prefix-list EXCLUDE_SUBNET
ip-prefix 10.0.0.0/8
!
site-list DIA_BRANCHES
site-id 7
site-id 6
!
vpn-list LAN
vpn 10
!
!
!
apply-policy
site-list DIA_BRANCHES
data-policy _LAN_DIA_EXCLUDE from-service
!
!
解决方案
为了实现此目的,应将DHCP数据包从数据策略中排除,因为从数据包跟踪调试中可以清楚地看到,无法路由发往广播地址的数据包(DROP 72 Ipv4RoutingErr),并且它们是NATed(操作:根据SDWAN策略(功能:SDWAN数据策略输入):
B2#show platform packet-trace summary
<skipped>
28 Vl90 Vl90 DROP 72 (Ipv4RoutingErr)
29 Gi0/1/0 Gi0/0/0 FWD
30 Vl90 Vl90 DROP 72 (Ipv4RoutingErr)
B2#show platform packet-trace packet 28
Packet: 28 CBUG ID: 28
Summary
Input : Vlan90
Output : Vlan90
State : DROP 72 (Ipv4RoutingErr)
Timestamp
Start : 14482257476440 ns (12/17/2018 13:56:58.524691 UTC)
Stop : 14482257534440 ns (12/17/2018 13:56:58.524749 UTC)
Path Trace
Feature: IPV4(Input)
Input : Vlan90
Output : <unknown>
Source : 0.0.0.0
Destination : 255.255.255.255
Protocol : 17 (UDP)
SrcPort : 68
DstPort : 67
Feature: DEBUG_COND_INPUT_PKT
Entry : Input - 0x10e44b40
Input : Vlan90
Output : <unknown>
Lapsed time : 106 ns
Feature: IPV4_INPUT_DST_LOOKUP_CONSUME
Entry : Input - 0x10e5ca94
Input : Vlan90
Output : <unknown>
Lapsed time : 253 ns
Feature: IPV4_INPUT_FOR_US_MARTIAN
Entry : Input - 0x10e5cb24
Input : Vlan90
Output : <unknown>
Lapsed time : 4853 ns
Feature: IPV4_INPUT_FNF_FIRST_EXT
Entry : Input - 0x10e48968
Input : Vlan90
Output : <unknown>
Lapsed time : 600 ns
Feature: SDWAN Data Policy IN
VRF : 1
Seq : 1
DNS Flags : (0x0) NONE
Policy Flags : 0x10
Action : REDIRECT_NAT
Feature: SDWAN_DATA_POLICY_IN_EXT
Entry : Input - 0x10eb9d7c
Input : Vlan90
Output : <unknown>
Lapsed time : 5360 ns
Feature: IPV4_INPUT_DST_LOOKUP_ISSUE
Entry : Input - 0x10e5c9d8
Input : Vlan90
Output : <unknown>
Lapsed time : 200 ns
Feature: IPV4_INPUT_ARL
Entry : Input - 0x10e46158
Input : Vlan90
Output : <unknown>
Lapsed time : 200 ns
Feature: IPV4_INTERNAL_DST_LOOKUP_CONSUME
Entry : Input - 0x10e5cac4
Input : Vlan90
Output : <unknown>
Lapsed time : 253 ns
Feature: STILE_LEGACY_DROP
Entry : Input - 0x10eb294c
Input : Vlan90
Output : <unknown>
Lapsed time : 306 ns
Feature: INGRESS_MMA_LOOKUP_DROP
Entry : Input - 0x10eae2a4
Input : Vlan90
Output : <unknown>
Lapsed time : 213 ns
Feature: INPUT_DROP_FNF_AOR
Entry : Input - 0x10e5b864
Input : Vlan90
Output : <unknown>
Lapsed time : 386 ns
Feature: INPUT_FNF_DROP
Entry : Input - 0x10e48cf8
Input : Vlan90
Output : <unknown>
Lapsed time : 493 ns
Feature: INPUT_DROP_FNF_AOR_RELEASE
Entry : Input - 0x10e5b234
Input : Vlan90
Output : <unknown>
Lapsed time : 213 ns
Feature: INPUT_DROP
Entry : Input - 0x10e439d4
Input : Vlan90
Output : <unknown>
Lapsed time : 106 ns
Feature: IPV4_INTERNAL_FOR_US
Entry : Input - 0x10e5cb54
Input : Vlan90
Output : <unknown>
Lapsed time : 4640 ns
数据策略被修改为从NAT中排除DHCP数据包(UDP端口67,68),如下所示:
B2# show sdwan policy from-vsmart
from-vsmart data-policy _LAN_DIA
direction from-service
vpn-list LAN
sequence 1
match
destination-data-prefix-list EXCLUDE_SUBNET
action accept
set
local-tloc-list
color biz-internet lte
encap ipsec
sequence 11
match
destination-port 67-68
protocol 17
action accept
sequence 21
match
source-port 67-68
protocol 17
action accept
sequence 31
action accept
nat use-vpn 0
no nat fallback
default-action accept
from-vsmart lists vpn-list LAN
vpn 10
from-vsmart lists data-prefix-list EXCLUDE_SUBNET
ip-prefix 10.0.0.0/8
Packet-trace debug将显示DHCP数据包的不同图片,并且它们将被传送到RP CPU以进行进一步的本地处理(状态:PUNT 60):
B2#show platform packet-trace summary
Pkt Input Output State Reason
<skipped>
88 Vl90 internal0/0/rp:0 PUNT 60 (IP subnet or broadcast pac
89 INJ.7 Gi0/1/0.MOD0 FWD
90 Gi0/1/0 internal0/0/rp:0 PUNT 60 (IP subnet or broadcast pac
91 INJ.7 Gi0/1/0.MOD0 FWD
92 Gi0/0/0 internal0/0/rp:0 PUNT 60 (IP subnet or broadcast pac
93 Gi0/1/1 Ce0/2/0 FWD
94 Gi0/0/0 internal0/0/rp:0 PUNT 60 (IP subnet or broadcast pac
95 Vl90 internal0/0/rp:0 PUNT 60 (IP subnet or broadcast pac
96 INJ.7 Gi0/1/0.MOD0 FWD
97 Gi0/1/1 internal0/0/rp:0 PUNT 60 (IP subnet or broadcast pac
98 INJ.7 Gi0/1/0.MOD0 FWD
B2# show platform packet-trace packet 88
Packet: 88 CBUG ID: 88
Summary
Input : Vlan90
Output : internal0/0/rp:0
State : PUNT 60 (IP subnet or broadcast pac
Timestamp
Start : 16485953871600 ns (12/17/2018 14:30:22.221086 UTC)
Stop : 16485953959680 ns (12/17/2018 14:30:22.221174 UTC)
Path Trace
Feature: IPV4(Input)
Input : Vlan90
Output : <unknown>
Source : 0.0.0.0
Destination : 255.255.255.255
Protocol : 17 (UDP)
SrcPort : 68
DstPort : 67
Feature: DEBUG_COND_INPUT_PKT
Entry : Input - 0x10e44b40
Input : Vlan90
Output : <unknown>
Lapsed time : 93 ns
Feature: IPV4_INPUT_DST_LOOKUP_CONSUME
Entry : Input - 0x10e5ca94
Input : Vlan90
Output : <unknown>
Lapsed time : 320 ns
Feature: IPV4_INPUT_FOR_US_MARTIAN
Entry : Input - 0x10e5cb24
Input : Vlan90
Output : <unknown>
Lapsed time : 8053 ns
Feature: IPV4_INPUT_FNF_FIRST_EXT
Entry : Input - 0x10e48968
Input : Vlan90
Output : <unknown>
Lapsed time : 533 ns
Feature: SDWAN Data Policy IN
VRF : 1
Seq : 1
DNS Flags : (0x0) NONE
Policy Flags : 0x0
Action : NONE
Feature: SDWAN_DATA_POLICY_IN_EXT
Entry : Input - 0x10eb9d7c
Input : Vlan90
Output : <unknown>
Lapsed time : 5626 ns
Feature: IPV4_INPUT_LOOKUP_PROCESS_EXT
Entry : Input - 0x10e5cc70
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 1600 ns
Feature: IPV4_INPUT_FNF_FINAL_EXT
Entry : Input - 0x10e489c8
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 386 ns
Feature: IPV4_INPUT_IPOPTIONS_PROCESS_EXT
Entry : Input - 0x10e5ce10
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 186 ns
Feature: IPV4_INPUT_GOTO_OUTPUT_FEATURE_EXT
Entry : Input - 0x10e46278
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 493 ns
Feature: CBUG_OUTPUT_FIA_EXT
Entry : Output - 0x10e44c00
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 560 ns
Feature: IPV4_INTERNAL_ARL_SANITY_EXT
Entry : Output - 0x10e46128
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 253 ns
Feature: IPV4_OUTPUT_THREAT_DEFENSE_EXT
Entry : Output - 0x10eb5cc4
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 266 ns
Feature: IPV4_VFR_REFRAG_EXT
Entry : Output - 0x10e5cf10
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 66 ns
Feature: IPV4_OUTPUT_DROP_POLICY_EXT
Entry : Output - 0x10e5e900
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 2586 ns
Feature: DEBUG_COND_OUTPUT_PKT_EXT
Entry : Output - 0x10e44ba0
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 133 ns
Feature: INTERNAL_TRANSMIT_PKT_EXT
Entry : Output - 0x10e45420
Input : Vlan90
Output : internal0/0/rp:0
Lapsed time : 5066 ns
IOSd Path Flow: Packet: 88 CBUG ID: 88
Feature: INFRA
Pkt Direction: IN
Packet Rcvd From DATAPLANE
Feature: IP
Pkt Direction: IN
Source : 0.0.0.0
Destination : 255.255.255.255
Feature: IP
Pkt Direction: IN
Packet Enqueued in IP layer
Source : 0.0.0.0
Destination : 255.255.255.255
Interface : Vlan90
Feature: UDP
Pkt Direction: IN
src : 0.0.0.0(68)
dst : 255.255.255.255(67)
length : 308
这是预期行为,如果集中式数据策略未适当排除特定流量类型,则可能发现用于本地设备路由处理器(RP)CPU处理的任何其他流量存在类似问题(例如,如果路由器用作NTP源,则网络时间协议(NTP)同步)。
注意:有关数据路径数据包跟踪的详细信息,请参阅https://www.cisco.com/c/en/us/support/docs/content-networking/adaptive-session-redundancy-asr/117858-technote-asr-00.html
由思科工程师提供
- Eugene KhabarovCisco TAC Engineer
反馈