排除ePDG中初始連線成功率降低的故障

已更新: 2023 年 6 月 22 日
文件 ID:220529

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本檔案將說明與進化版封包資料閘道(ePDG)中的初始連線成功率(ASR)下降相關的問題。

    概觀

    初始ASR是指示會話設定嘗試總數的成功率的重要指標。

    關鍵效能指示(KPI)的公式包含ePDG會話設定嘗試的總數和ePDG會話設定成功的總數。如果成功嘗試的次數減少,則整個KPI將降級。

    基本預檢查

    對於ePDG功能,網際網路通訊協定安全(IPsec)是處理IPsec交易的程式。因此,對於任何ePDG情況,在您繼續排查問題之前,應先執行一些預檢查。

    1.檢查DPC卡狀態 ipsecmgr 在這些卡片上運行。DPC卡必須處於活動狀態(備用卡除外)。

    show card table

    2.檢查每個類似專案的資源狀態  sessmgr/ipsecmgr  以便根據每個會話的會話數,檢查是否觀察到任何異常的流量模式  sessmgr/ipsecmgr  或者這些進程是否處於警告/過狀態。 例如,在此輸出中,您會看到  ipsecmgr 在  over  如圖所示。

    [local]abc# show task resources | grep -v good
Thursday January 19 19:41:15 UTC 2023
                   task   cputime        memory     files      sessions
 cpu facility      inst  used  allc   used  alloc used allc  used  allc S status
----------------------- ----------- ------------- --------- ------------- ------
 3/0 ipsecmgr       261 0.28%   75% 383.4M 300.0M  196 1500    30  6000 -   over
 3/0 ipsecmgr       262 0.23%   75% 378.0M 300.0M  185 1500    28  6000 -   over
 3/0 ipsecmgr       263 0.46%   75% 382.7M 300.0M  197 1500    30  6000 -   over
 3/0 ipsecmgr       264 0.22%   75% 383.7M 300.0M  212 1500    27  6000 -   over
....

    以下是範例  sessmgrs  在會話分佈不均的卡4和5上運行:

    [local]xyx# show task resources max | grep -i sess
Monday February 17 21:52:38 UTC 2023
                   task   cputime        memory     files      sessions
4/0 sessmgr         45   12%  100% 429.9M  2.00G  129  500  4260 26000 I   good
 4/0 sessmgr         48   12%  100% 428.8M  2.00G  129  500  4267 26000 I   good
 4/0 sessmgr         49   12%  100% 428.5M  2.00G  129  500  4274 26000 I   good
 4/0 sessmgr         52   12%  100% 428.3M  2.00G  129  500  4258 26000 I   good
 5/0 sessmgr       5002 2.34%   50% 87.46M 190.0M   89  500    --    -- S   good
 5/0 sessmgr          2   12%  100% 458.5M  2.00G  107  500  9279 26000 I   good
 5/0 sessmgr          3   13%  100% 459.9M  2.00G  106  500  9281 26000 I   good

    3.如果IPsec級別有任何丟棄,請檢查加密統計資訊:

    show crypto managers detail     ----------------- this command shows statistics per ipsec so we can check if any drops
    show crypto statistics ikev2    ----------------- this command shows overall ikev2 statistics for EPDGs for different msg flows
    note-icon

    意:預檢查非常重要,因為有時在卡級別發現問題,特定卡的IPsec/sessmgr無法接收使用者會話/流量,而您在上面的統計資訊中可以清楚地看到IPsec級別的丟棄。

    需要日誌

    要更好地解決此問題,需要注意的很少:

    • 從發現問題時開始(指問題的確切開始日期和時間)
    • 網路中有沒有任何更改,或者有任何配置更改?
    • ePDG中ASR使用的公式
    • 受影響圈中有多少個ePDG,其中之一就是所有ePDG或某個特定EPD中觀察到的問題

    以下是要收集的日誌:

    • 在問題開始之前、問題期間和問題之後(如果問題不再發生),顯示節點的支援詳細資訊(SSD)。
    • 系統日誌在問題發生前(用於比較研究)1週,涵蓋問題發生時間和問題發生後(如果問題不再發生)。
    • 簡單網路管理協定(SNMP)陷阱,時間為問題前1週(用於比較研究),涵蓋問題發生時間和問題後(如果問題不再發生)。
    • 批次統計資料在問題出現前1週(用於比較研究)、涵蓋問題出現的時間和問題出現後(如果問題不再出現)。
    • 將根據以下選項收集monsub:
    monitor subscriber with options S, X, A, Y, 19, 33, 34, 35, 26, 37, 40, 50, 88, 89. Collect traces at verbosity 5 for problematic and non-problematic number.
    • 3 SSD,30-45分鐘找出拒絕原因。
    note-icon

    注意:Disconnect-reason 519到533用於ePDG會話拒絕。

    • 您需要比較有問題和無問題的節點的配置。
    show configuration

    show configuration verbose
    • 需要調試日誌:
    logging filter active facility sessmgr level 
    
    
      logging filter active facility ipsec level 
     
       logging filter active facility ikev2 level 
      
        logging filter active facility epdg level 
       
         logging filter active facility diameter level 
        
          logging filter active facility egtpc level 
         
           logging active ------------------- to enable debug logs no logging active --------------- to disable debug logs Note :: Above mentioned debug logs are taken considering debug logs at the level of critical/error but we can capture at debug level also as per need basis e.g logging filter active facility egtpc level debug
    • 可用於故障排除的命令輸出:
    show epdg-service all counters   
-> View ePDG service information and statistics

show epdg-service statistics     
-> View ePDG service statistics

show epdg-service session all    
-> View ePDG service session information

show egtpc statistics interface edpg-egress debug-info    
-> View egtpc statistics for  ePD-egress

show session [ disconnect-reasons | duration | progress | setuptime | subsystem ] 
-> iew additional session statistics.

show crypto statistics ikev2     
-> View IKEv2 statistics

show diameter aaa-statistics all 
->View Diameter AAA server statistics.

show subscribers epdg-only [ [ all ] | [ callid call_id ]]   
-> View a list of ePDG subscribers currently accessing the system.

show subscribers epdg-service service_name [ [ all ] | [ callid call_id ]] 
 ->View a list of ePDG subscribers currently accessing the system per ePDG service.

show crypto managers summary ipsec-sa-stats 
---Need to collect with some iterations to check ipsec associations stats
    warning-icon

    告:當要求您收集調試日誌、日誌記錄監視器、mon-sub和mon pro等日誌時,請始終在維護視窗中收集,並始終監視CPU上的負載。

    分析 

    以下是ePDG初始連線會話成功率的公式示例:

    Initial Attach Sessions Success Rate ==((totsetupsuccess / totsetupattempt )*100)

    從Statistics and Counters Reference - Bulkstatistic Descriptions(統計資訊和計數器參考 — 批次統計資料說明),您可以找到公式中使用的計數器,以瞭解其含義。

    epdg totsetup-attempt- Total number of epdg session setup attempts. Increments upon receiving IKE_AUTH (CFG_REQ) for ePDG session creation.

    epdg totsetup-success Total number of epdg session setup success. Increments upon successful IPv4/IPv6/Dual Stack ePDG session call setup.                

    從SSD,您可以看到輸出 show crash list 檢視是否存在任何持續/大量的崩潰導致KPI下降。

    從SSD,您可以檢查 show license info 和 show resource 輸出以檢視許可證是否未過期或會話計數是否在限制範圍內。

    ******** show resources *******
Wednesday December 07 16:58:25 IST 2022
 EPDG Service:
    In Use              : 1118147
    Max Used            : 1450339 ( Tuesday November 29 00:06:00 IST 2022 )
    Limit               : 1600000
    License Status      : Within Acceptable Limits  >>>>>

    從命令的輸出中  show epdg-service statistics ,可以檢查遞增的故障原因。

    ******** show epdg-service statistics ******* 
Session Disconnect reason:
  Remote disconnect:          580994781   Admin disconnect:           168301    
  Idle timeout:               0           Absolute timeout:           0         
  Long duration timeout:      0           Session setup timeout:      169445470 
  No resource:                185148      Auth failure:               7634409   
  Flow add failure:           0           Invalid dest-context:       0         
  Source address violation:   42803       LMA Revocations(non-HO):    0         
  Duplicate Request:          19973167    Addr assign failure:        0         
  LTE/Other handoff:          1310701444  Miscellaneous reasons:      456928065 
  MIP-reg-timeout  :          0           Invalid-APN  :              0         
  ICSR Procedure   :          0           Local PGW Res. Failed :     10424     
  Invalid QCI :               0           UE Redirected :             0         
  Roaming Mandatory :         0           Invalid IMEI :              3

    根據有問題的跟蹤,可以找到拒絕的原因,並可以與無問題的跟蹤進行比較,以找出任何差異。

    您可以從跟蹤中獲得的一些方案:

    在案例1(diameter-no-subscription)中,分析跟蹤後,發現Diameter EAP請求被傳送到AAA伺服器。但是,收到的響應表示原因代碼出現故障  DIAMETER_ERROR_USER_NO_APN_SUBSCRIPTION. 因此,服務封包資料閘道(SPGW)會因為結束通話原因註冊相同的故障  diameter-no-subscription. 對於沒有訂閱的使用者,此行為被視為正常行為,因為身份驗證、授權和記帳(AAA)伺服器在進程時被拒絕。

    note-icon

    注意:在AAA/HSS處檢查測試編號的APN訂用,如果可能,請安排對相同編號的線上測試。

    在情況2(Session-setup-timeout)中,分析跟蹤時,發現會話設定被拒絕,原因是斷開連線  Session-setup-timeout. 進一步調查顯示,ePDG  EGTP_CREATE_SESSION_REQUEST  到SPGW,但沒有收到相同的任何響應。可以觀察到,在不接收任何響應的情況下傳送三個連續請求。

    Solution : In such cases mostly need to check why SPGW is not sending any response towards EPDG because EPDG maintains this setup timer within which it needs to have the response

    在案例3中,具有特定存取點名稱(APN)的請求被傳送到PGW,但被拒絕並帶原因代碼  EGTP_CAUSE_USER_AUTHENTICATION_FAILED.

    Solution : Here the issue can be either at HSS or EPDG itself need to check the authentication parameters being exchanged between EPDG/HSS/AAA          

    要調查所有上述情況,必須捕獲調試日誌才能進行更詳細的分析。根據3GPP標準檢查這些日誌,並根據這些發現可以確定適當的行動計畫或解決方法。必須注意的是,行動方針可能因具體情況的不同而不同。

    修訂記錄

    修訂 發佈日期 意見
    1.0
    22-Jun-2023
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Gaurav Sachan
      Cisco TAC Engineer
    • Karuna Jha
      Cisco TAC Engineer
    • Naveen Sampath
      Cisco Technical Leader

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您