解决常见的SD-WAN控制和数据平面问题
简介
本文档介绍如何开始排除常见软件定义广域网(SD-WAN)控制平面和数据平面问题。
先决条件
要求
Cisco建议您了解Cisco Catalyst解决方案。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
概述
本文设计为一个Runbook,为调试在生产环境中出现的难题提供了一个起点。每个部分都提供了常见的使用案例以及可能的数据点,以便在调试这些常见问题时收集或查找它们。
基本配置
确保路由器上存在基本配置,且重叠中每台设备的设备特定值是唯一的:
系统配置
system
system-ip <system –ip>
site-id <site-id>
admin-tech-on-failure
organization-name <organization name>
vbond <vbond–ip>
!
Example:
system
system-ip 10.2.2.1
site-id 2
admin-tech-on-failure
organization-name "TAC - 22201"
vbond 10.106.50.235
!
接口配置
interface Tunnel0
no shutdown
ip unnumbered GigabitEthernet0/0/0
tunnel source GigabitEthernet0/0/0
tunnel mode sdwan
exit
sdwan
interface GigabitEthernet0/0/0
tunnel-interface
encapsulation ipsec
color blue restrict
no allow-service all
no allow-service bgp
no allow-service dhcp
no allow-service dns
no allow-service icmp
allow-service sshd
allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
allow-service https
no allow-service snmp
no allow-service bfd
exit
exit
确保路由器具有路由表中提供了路由,用于与控制器(vBond、vManage和vSmart)建立控制连接。 您可以使用此命令查看路由表中安装的所有路由:
show ip route如果使用的是vBond FQDN,请确保配置的DNS服务器或名称服务器具有用于解析vBond主机名的条目。您可以检查哪个DNS服务器或名称服务器已使用以下命令配置:
show run | in ip name-server证书
使用以下命令验证路由器上是否已安装证书:
show sdwan certificate installed
注:如果您不使用企业证书,则路由器上已提供该证书。 对于硬件平台,设备证书内置于路由器硬件中。对于虚拟路由器,vManage充当证书颁发机构并生成云路由器的证书。
如果在控制器上使用企业证书,请确保路由器上安装企业CA的根证书。
使用以下命令验证路由器上是否安装了根证书:
show sdwan certificate root-ca-cert
show sdwan certificate root-ca-cert | inc Issuer检查show sdwan control local-properties的输出以确保所需的配置和证书已到位。
SD-WAN-Router#show sdwan control local-properties
personality vedge
sp-organization-name TAC - 22201
organization-name TAC - 22201
root-ca-chain-status Installed
certificate-status Installed
certificate-validity Valid
certificate-not-valid-before Nov 23 07:21:37 2015 GMT
certificate-not-valid-after Nov 23 07:21:37 2025 GMT
enterprise-cert-status Not-Applicable
enterprise-cert-validity Not Applicable
enterprise-cert-not-valid-before Not Applicable
enterprise-cert-not-valid-after Not Applicable
dns-name 10.106.50.235
site-id 2
domain-id 1
protocol dtls
tls-port 0
system-ip 10.2.2.1
chassis-num/unique-id ASR1001-X-JAE194707HJ
serial-num 983558
subject-serial-num JAE194707HJ
enterprise-serial-num No certificate installed
token -NA-
keygen-interval 1:00:00:00
retry-interval 0:00:00:18
no-activity-exp-interval 0:00:00:20
dns-cache-ttl 0:00:02:00
port-hopped TRUE
time-since-last-port-hop 0:00:01:26
embargo-check success
number-vbond-peers 1
INDEX IP PORT
-----------------------------------------------------
0 10.106.50.235 12346
number-active-wan-interfaces 2
NAT TYPE: E -- indicates End-point independent mapping
A -- indicates Address-port dependent mapping
N -- indicates Not learned
Note: Requires minimum two vbonds to learn the NAT type
PUBLIC PUBLIC PRIVATE PRIVATE PRIVATE MAX RESTRICT/ LAST SPI TIME NAT VM
INTERFACE IPv4 PORT IPv4 IPv6 PORT VS/VM COLOR STATE CNTRL CONTROL/ LR/LB CONNECTION REMAINING TYPE CON
STUN PRF
-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GigabitEthernet0/0/0 10.197.240.4 12426 10.197.240.4 :: 12426 0/0 blue up 2 yes/yes/no No/No 0:00:00:14 0:00:00:00 N 5
GigabitEthernet0/0/1 10.197.242.10 12406 10.197.242.10 :: 12406 0/0 red up 2 yes/yes/no No/No 0:00:00:03 0:00:00:00 N 5 检查show sdwan control local-properties的输出时,请确保满足以下所有条件:
- 正确反映了organization-name。
- 证书有效性在您检查输出时有效。
- vBond FQDN/IP地址正确。
- System-ip/Site-id正确。
- vBond IP地址显示在“number-vbond-peers”条目中。如果未看到vBond IP地址,则使用命令ping <vBond FQDN>检查vBond URL是否正在解析DNS。
- 接口用正确的颜色、IP地址进行映射,接口状态为UP。
- 形成控制连接所需的接口的MAX CNTRL不是0。
控制连接的状态
使用以下命令检查控制连接的状态:
show sdwan control connections如果所有控制连接都打开,则设备具有形成到vBond、vManage和vSmart的控制连接。建立所需的vSmart和vManage连接后,vBond控制连接将断开。
注意:如果重叠中只有一个vSmart,并且max-control connections设置为默认值2,则除了预期的vManage和vSmart连接外,还会将永久控制连接保留为vBond。
此配置在sdwan接口部分的隧道接口配置下可用。您可以使用命令show sdwan run sdwan进行验证。如果在接口上将max-control-connection配置为0,则路由器不会在该接口上形成控制连接。
如果重叠中有2个vSmarts,则路由器会在为控制连接配置的每个传输定位器(TLOC)颜色上与每个vSmart形成控制连接。
注意:在路由器有多个接口配置为形成控制连接的场景中,与vManage的控制连接仅形成在路由器的一种接口颜色上。
SD-WAN-Router#show sdwan control connections
PEER PEER CONTROLLER
PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP
TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT ORGANIZATION LOCAL COLOR PROXY STATE UPTIME ID
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vsmart dtls 10.1.1.3 1 1 10.106.50.254 12346 10.106.50.254 12346 vTAC-India - 22201 blue No up 0:00:00:23 0
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 vTAC-India - 22201 blue - up 0:00:00:31 0
vmanage dtls 10.1.1.2 1 0 10.106.65.182 12346 10.106.65.182 12346 vTAC-India - 22201 blue No up 0:00:00:27 0 排除控制连接故障
在show sdwan control connections的输出中,如果所需的所有控制连接均未启用,请验证show sdwan control connection-history的输出。
SD-WAN-Router#show sdwan control connection-history
Legend for Errors
ACSRREJ - Challenge rejected by peer. NOVMCFG - No cfg in vmanage for device.
BDSGVERFL - Board ID Signature Verify Failure. NOZTPEN - No/Bad chassis-number entry in ZTP.
BIDNTPR - Board ID not Initialized. OPERDOWN - Interface went oper down.
BIDNTVRFD - Peer Board ID Cert not verified. ORPTMO - Server's peer timed out.
BIDSIG - Board ID signing failure. RMGSPR - Remove Global saved peer.
CERTEXPRD - Certificate Expired RXTRDWN - Received Teardown.
CRTREJSER - Challenge response rejected by peer. RDSIGFBD - Read Signature from Board ID failed.
CRTVERFL - Fail to verify Peer Certificate. SERNTPRES - Serial Number not present.
CTORGNMMIS - Certificate Org name mismatch. SSLNFAIL - Failure to create new SSL context.
DCONFAIL - DTLS connection failure. STNMODETD - Teardown extra vBond in STUN server mode.
DEVALC - Device memory Alloc failures. SYSIPCHNG - System-IP changed.
DHSTMO - DTLS HandShake Timeout. SYSPRCH - System property changed
DISCVBD - Disconnect vBond after register reply. TMRALC - Timer Object Memory Failure.
DISTLOC - TLOC Disabled. TUNALC - Tunnel Object Memory Failure.
DUPCLHELO - Recd a Dup Client Hello, Reset Gl Peer. TXCHTOBD - Failed to send challenge to BoardID.
DUPSER - Duplicate Serial Number. UNMSGBDRG - Unknown Message type or Bad Register msg.
DUPSYSIPDEL- Duplicate System IP. UNAUTHEL - Recd Hello from Unauthenticated peer.
HAFAIL - SSL Handshake failure. VBDEST - vDaemon process terminated.
IP_TOS - Socket Options failure. VECRTREV - vEdge Certification revoked.
LISFD - Listener Socket FD Error. VSCRTREV - vSmart Certificate revoked.
MGRTBLCKD - Migration blocked. Wait for local TMO. VB_TMO - Peer vBond Timed out.
MEMALCFL - Memory Allocation Failure. VM_TMO - Peer vManage Timed out.
NOACTVB - No Active vBond found to connect. VP_TMO - Peer vEdge Timed out.
NOERR - No Error. VS_TMO - Peer vSmart Timed out.
NOSLPRCRT - Unable to get peer's certificate. XTVMTRDN - Teardown extra vManage.
NEWVBNOVMNG- New vBond with no vMng connections. XTVSTRDN - Teardown extra vSmart.
NTPRVMINT - Not preferred interface to vManage. STENTRY - Delete same tloc stale entry.
HWCERTREN - Hardware vEdge Enterprise Cert Renewed HWCERTREV - Hardware vEdge Enterprise Cert Revoked.
EMBARGOFAIL - Embargo check failed
PEER PEER
PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT
TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT ORGANIZATION DOWNTIME
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red challenge LISFD NOERR 2 TAC - 22201 2024-03-25T01:08:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue up LISFD NOERR 0 TAC - 22201 2024-03-25T01:08:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 16727 TAC - 22201 2024-03-25T01:08:02-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 2008 TAC - 22201 2024-03-25T01:06:36-0700
vmanage dtls 10.1.1.2 1 0 10.106.65.182 12346 10.106.65.182 12346 blue tear_down DISTLOC NOERR 4 TAC - 22201 2024-03-25T01:06:18-0700
vsmart dtls 10.1.1.3 1 1 10.106.50.254 12346 10.106.50.254 12346 blue tear_down DISTLOC NOERR 1 TAC - 22201 2024-03-25T01:06:18-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue up LISFD NOERR 15 TAC - 22201 2024-03-25T01:06:13-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 12912 TAC - 22201 2024-03-25T01:05:20-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 11468 TAC - 22201 2024-03-25T01:04:36-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 10854 TAC - 22201 2024-03-25T00:57:49-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 4660 TAC - 22201 2024-03-25T00:51:30-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red connect DCONFAIL NOERR 2600 TAC - 22201 2024-03-25T00:48:48-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 red tear_down DISTLOC NOERR 6 TAC - 22201 2024-03-25T00:44:23-0700
vbond dtls 0.0.0.0 0 0 10.106.50.235 12346 10.106.50.235 12346 blue connect DCONFAIL NOERR 9893 TAC - 22201 2024-03-25T00:37:00-0700在show sdwan control connection-history输出中,检查以下项目:
- 在给定时间戳时控制连接失败的控制器类型。
- 控件连接失败时看到的错误。错误列、本地错误和远程错误有2列。本地错误表示路由器生成的错误。Remote Error指示各个控制器生成的错误。 输出开头有一个错误图例。
- Repeat count,指示连接失败次数,原因相同。
常见错误代码故障
- DCONFAIL(DTLS连接故障):此错误表示在路由器和相应控制器之间交换的DTLS数据包丢失,因此无法完成DTLS握手。为了更好地理解这一点,您可以在路由器和相应控制器上设置同步数据包捕获。设置数据包捕获的不同方法在Embedded Packet Capture部分共享。在分析数据包捕获时,必须确保从一端发送的数据包在另一端被接收,而无需进行任何修改。如果一端发送的数据包在另一端未收到,则表明衬底电路中存在丢包,需要向服务提供商进行验证。有关如何捕获数据包的更多详细信息,请参阅底层问题部分。
- BIDNTVRFD(未验证主板ID):此错误表示UUID和证书序列号不是控制器vEdge列表中的有效条目。可以使用以下命令检查控制器上的有效自定义列表的输出:
vBond: show orchestrator valid-vedges
vManage/vSmart: show control valid-vedges
通常,BIDNTVRFD是路由器上的远程错误,因为它在控制器上生成。在各自的控制器上,可以使用以下命令验证位于/var/log/tmplog目录中的vdebug文件中的日志:
vmanage# vshell
vmanage:~$ cd /var/log/tmplog/
vmanage:/var/log/tmplog$ tail -f vdebug
- CRTVERFL(证书验证失败):此错误表示无法验证对等体发送的证书。
- 如果这是路由器上的本地错误,则表明作为DTLS握手的一部分发送的控制器证书无法由路由器验证。此问题的常见原因之一是路由器没有签署控制器证书的证书颁发机构的根证书。使用这些命令验证证书的状态,以确保需要路由器上存在所需的根证书。
show sdwan certificate root-ca-cert
show sdwan certificate root-ca-cert | inc Issuer- 如果此错误是路由器上的远程错误,请使用以下命令检查相应控制器上的vdebug日志文件以了解原因:
vmanage# vshell
vmanage:~$ cd /var/log/tmplog/
vmanage:/var/log/tmplog$ tail -f vdebug
- VB_TMO(vBond超时)/ VM_TMO(vManage超时)/ VP_TMO(vPeer超时)/ VS_TMO(vSmart超时):这些错误表示设备之间丢失了数据包,导致控制连接超时。为了更好地理解这一点,可以在路由器和相应控制器上设置同步数据包捕获。设置数据包捕获的不同方法在Embedded Packet Capture部分共享。分析数据包捕获时,必须确保从一端发送的数据包在另一端接收,而无需进行任何修改。如果一端发送的数据包在另一端未收到,则表示衬底电路中存在丢包,需要向服务提供商进行验证
有关如何排除其它控制连接故障错误代码的指导,请参阅以下文档:
基础问题
用于解决底层数据包丢失问题的工具因设备而异。对于SD-WAN控制器和vEdge路由器,可以使用tcpdump命令。 对于Catalyst IOS® XE边缘,请使用嵌入式数据包捕获(EPC)和功能调用阵列(FIA)跟踪。
要了解控制连接失败的原因并了解问题所在,您需要了解数据包丢失的发生位置。 例如,如果有一台vBond和Edge路由器未形成控制连接,本指南将说明如何隔离问题。
TCP转储
tcpdump vpn 0 interface ge0/0 options "host 10.1.1.x -vv"根据数据包的请求和响应,用户可以了解负责丢弃的设备。tcpdump命令可用于所有控制器和vEdge设备。
嵌入式数据包捕获
在设备上创建ACL。
ip access-list extended TAC
10 permit ip host <edge-private-ip> host <controller-public-ip>
20 permit ip host <controller-public-ip> host <edge-private-ip>
配置并启动监控器捕获。
monitor capture CAP access-list TAC bidirectional
monitor capture CAP start停止捕获并导出捕获文件。
monitor capture CAP stop
monitor capture CAP export bootflash:在Wireshark中查看文件的内容,了解丢弃。您可以在Configure and Capture Embedded Packet on Software(在软件上配置并捕获嵌入式数据包)中查找其他详细信息。
FIA跟踪
配置FIA跟踪。
debug platform condition ipv4 both
debug platform packet-trace packet 2048 fia-trace data-size 4096
debug platform condition start 查看fia短语数据包输出。
debug platform condition stop
show platform packet-trace summary
show platform packet-trace summary | i DROP
如果存在丢弃,则分析丢弃的数据包的FIA跟踪输出。
show platform packet-trace packet <packet-no> decode
要了解其他FIA跟踪选项,请查看本文档:使用IOS-XE数据路径数据包跟踪功能进行故障排除
使用FIA跟踪的Catalyst SD-WAN边缘上的确定策略丢弃视频提供了一个使用FIA跟踪的示例。
正在生成管理技术
请参阅在SD-WAN环境中收集管理技术并上传到TAC案例 — 思科
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
15-Aug-2024
|
初始版本 |
反馈