المقدمة
يصف هذا وثيقة كيف أن يعين ويجمع معطيات عندما حركة المرور يتلقى فقدان عبر ال WAN غير أن لا يرى قطرة على ال SD-WAN حافة.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- شبكة منطقة واسعة معرفة بالبرامج من Cisco (SD-WAN)
- التقاط حزمة مضمن أو التقاط حزمة vManage
- Wireshark
- مايكروسوفت إكسل
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- C8000v، الإصدار 17.03.04
- vManage، الإصدار 20.3.4
- Wireshark، الإصدار 2.6.3
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الخلفية
للمساعدة في هذا التحدي، توضح الخطوات الموضحة في هذا المستند كيفية تمييز حركة مرور معينة بنقطة رمز الخدمات المميزة (DSCP) للمساعدة في تحديد الحزم المطلوبة. يمكن إستخدام DSCP لتعريف حركة المرور نظرا لنسخ هذه القيمة من رأس الحزمة الداخلية إلى رأس IPsec. بمجرد تحديد الحزم المرغوب فيها، فإنها تظهر كيفية مطابقة حركة المرور عبر اختراطي WAN لضمان حركة المرور التي تمت من المصدر إلى الوجهة.
يتم إستخدام موقعين فرديين من مواقع الموجهات لتوضيح تقنية أستكشاف الأخطاء وإصلاحها هذه. في هذه الحالة، حركة مرور ICMP من 10.0.0.10 إلى 10.0.2.10 في شكل 100 إختبار اتصال كما هو موضح في الصورة. لا توجد خسارة في هذا المثال ولكن يتم إستخدام أسلوب أستكشاف الأخطاء وإصلاحها نفسه في الحالة التي يكون هناك فقد لتحديده.
عملية أستكشاف الأخطاء وإصلاحها
عملية نظرة عامة
- بالنسبة لحركة المرور التي يتم تتبعها عبر شبكة الاتصال واسعة النطاق (WAN)، يلزم وجود قائمة وصول (ACL) (أو سياسة مركزية) لوضع علامة على حركة المرور ببعض قيمة DSCP غير المستخدمة. في هذا المثال، يتم إستخدام بروتوكول DSCP 27.
- بمجرد تمييز حركة المرور، يتم إستخدام التقاط الحزمة المضمنة لالتقاط الحزم على واجهة النقل للمصدر وموجه الوجهة.
ملاحظة: يمكن إستخدام التقاط حزمة vManage أيضا على الرغم من وجود حد للبيانات يبلغ 5 ميجابايت أو 5 دقائق من وقت التشغيل.
- بعد التقاط الصور، افتحها في Wireshark للعرض.
- يتم تطبيق المرشح في Wireshark لإظهار الحزم المرغوبة ثم يتم مقارنتها.
- يتم إستخدام Microsoft Excel لالتقاط الصور الكبيرة لضمان الدقة.
تمييز حركة المرور المطلوبة باستخدام DSCP
يتم تكوين قائمة الوصول مثل المثال على الموجه المصدر (cEdge1 في هذا المثال) ويتم تطبيقها على الواجهة في جزء SD-WAN من تكوين الموجه كما هو موضح.
يتم تطبيق عداد إختياري للتحقق من أن حركة المرور تصل إلى النهج كما هو متوقع. يمكن التحقق من هذا باستخدام الأمر show sdwan policy access-list-counters.
policy
access-list mark_dscp_27
sequence 10
match
source-ip 10.0.0.10/32
destination-ip 10.0.2.10/32
!
action accept
count MARK_DSCP_27_COUNT (optional counter to verify packets that hit the policy)
set
dscp 27
!
!
!
default-action accept
sdwan
interface GigabitEthernet3
access-list mark_dscp_27 in
التقط حركة المرور باستخدام الالتقاط المدمج
ملاحظة: كيفية تكوين التقاط حزمة مضمنة في Cisco IOS XE لالتقاط الحزم المشفرة التي تجتاز شبكة WAN، انتقل إلى التقاط الحزمة المضمنة لمثال تكوين Cisco IOS و Cisco IOS XE
ملاحظة: يجب إستخدام قائمة تحكم في الوصول (ACL) لتحديد EPC على شبكة WAN حيث قد يكون هناك أكثر من حد معدل 1000 PPS ل EPC.
مثال
يتم تكوين قائمة تحكم في الوصول (ACL) على cEdge1 و cEdge3 نظرا لأنه يتم تحديد حركة المرور فقط في إتجاه المصدر إلى الوجهة في هذا المثال.
ملاحظة: يتم إستخدام عناوين IP لشبكة WAN لتصفية الالتقاط. هناك العديد من المخرجات التي يمكن إستخدامها لتحديد المسار الذي تسلكه حركة المرور حتى يمكن تحديد عناوين IP الصحيحة لشبكة WAN لعامل تصفية قائمة التحكم في الوصول. الأوامر التي يمكن إستخدامها لإنشاء هذا الإخراج هي show sdwan app-fwd flow وshow sdwan policy policy service path. الرجاء الانتقال إلى تتبع الحزمة الشرطي لشرط تصحيح الأخطاء.
ip access-list extended CAP-Filter
10 permit ip host 192.168.23.149 host 192.168.28.240
عند هذه النقطة، يتم بدء عمليات الالتقاط على كلا الموجهين ويتم إرسال 100 إختبار اتصال عبر التغشية.
#ping vrf 10 10.0.2.10 rep 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/1/4 ms
بعد إيقاف عمليات الالتقاط وتجميعها من كلا الموجهين، يجب فتحها في Wireshark لعرضها.
التحليل عبر Wireshark
بمجرد فتح التقاط cEdge1 في Wireshark، يظهر أن كل حركة المرور مشفرة وليس من السهل فك أي الحزم هي إختبارات الاتصال التي تم إرسالها.
قم بتصفية هذا الالتقاط باستخدام عامل تصفية العرض ip.dsfield.dscp == 27، ويلاحظ أن 100 حزمة فقط يتم عرضها في أسفل الشاشة ويرى أن قيمة عمود DSCP كلها تعرض 27.
في بعض الحالات التي يتم فيها الحفاظ على قيمة DSCP عبر شبكة الاتصال واسعة النطاق، يمكن إستخدام نفس عامل التصفية على التقاط الوجهة.
وفي حالات أخرى، لا يكون ذلك ممكنا مثل حالة يتم فيها مسح قيمة DSCP عبر اتصال عام بالإنترنت.
تصفية حركة المرور المطلوبة بواسطة تسلسل ESP
في كلتا الحالتين، يمكن تعريف حركة المرور بأرقام تسلسل ESP.
لترى أرقام تسلسل ESP في الحزمة، انقر بزر الماوس الأيمن على الالتقاط واختر فك التشفير كما هو موضح.
حدد القائمة المنسدلة للحقل الحالي وفي ذلك الحقل نوع UDPENCAP أو حدده من القائمة المنسدلة.
حدد OK بمجرد اكتمال ذلك.
ضمن قسم تفاصيل حزمة Wireshark، قم بتوسيع جزء حمولة أمان التضمين من الحزمة للاطلاع على تسلسل ESP.
انقر بزر الماوس الأيمن على تسلسل ESP واختر تطبيق كعمود حتى يمكن رؤية تسلسل ESP كعمود في قسم قائمة الحزم في الجزء العلوي من شاشة Wireshark.
ملاحظة: يكون ESP SPI للحزم على cEdge1هو 0x040001dc. يتم إستخدام هذا لعامل تصفية على التقاط الوجهة.
افتح التقاط الوجهة، وكرر الخطوات التي يتم فك ترميزها على هيئة UDPENCAP، وعرض أرقام تسلسل ESP في الحزم.
بمجرد أن تعرض الحزم رقم تسلسل ESP، يمكن إستخدام ESP SPI من الالتقاط الأول كمرشح على الالتقاط الثاني لعرض حركة المرور فقط داخل SPI التي تطابق حركة المرور المطلوبة.
لاحظ أن أرقام تسلسل الحزم التي تطابق كلا العنصرين تحتوي على DSCP 27 معلمة.
يمكن إجراء هذه المقارنة في Wireshark يدويا أو يمكن إستخدام Microsoft Excel لإجراء هذه المقارنة.
لاستخدام Microsoft Excel للمقارنة، من الضروري تقسيم كلا الالتقاط إلى شرائح لاحتواء الحزم الموجودة في كلا الالتقاط فقط.
في التقاط المصدر، تحتوي الحزمة الأولى ذات الصلة على تسلسل ESP 306 وذلك يتوافق مع رقم الحزمة 451.
تحتوي الحزمة الأخيرة ذات الصلة في التقاط المصدر على تسلسل ESP رقم 405 وهي حزمة رقم 550.
في التقاط الوجهة، تتطابق الحزمة الأولى ذات الصلة مع التقاط المصدر مع تسلسل ESP 306 ولكن في هذا التقاط هو الحزمة 463.
تتوفر الحزمة الأخيرة ذات الصلة أيضا مع تسلسل ESP رقم 405 وهي الحزمة 564.
يجب تقسيم عملية الالتقاط الأولى الآن إلى أجزاء لتضمين الحزم ذات الصلة فقط.
انتقل إلى ملف > تصدير تقسيمات الحزم > ك CSV...
حدد Capture والنطاق وفي النطاق اكتب الحقل النطاق النطاق من الحزمة الأولى ذات الصلة إلى آخر حزمة ذات صلة.
أدخل اسم ملف في الحقل اسم الملف وانقر على حفظ.
كرر نفس العملية على التقاط 2 للحزم ذات الصلة.
افتح كلا من ملفي CSV في Microsoft Excel.
في CSV لالتقاط المصدر، احفظ بتنسيق XLSX.
في أسفل الشاشة، حدد + الرمز لإضافة فرخ آخر. سموها CAP2_SLICE.
افتح ملف CAP2 CSV واضغط CTRL+ a لتحديد الكل وCTRL + c لنسخه.
انتقل إلى ملف CAP1_Slice.xlsx وعلى علامة التبويب الثانية ل CAP2_Slice، الصق (CTRL + V) المعلومات المنسوخة في الخلية A1.
انتقل مرة أخرى إلى ورقة CAP1_SLICE واعمل عمودا جديدا يسمى COMPARE_ESP_SEQUENCE.
بما أن رقم تسلسل ESP موجود في العمود G، قم بتأليف أمر VLOOKUP كما هو موضح لمقارنة الصفحتين لضمان أن كل شيء في العمود G على المصدر موجود في العمود G على الوجهة.
=IF(ISNA(vlookup(G2،CAP2_Slice!G:G،1،FALSE)،"Missing"،"Current")
بعد تحديد "إدخال"، يتم عرض الكلمة "موجود". هذا يعني أن الحزمة ذات تسلسل ESP 306 موجودة في الورقة الثانية. هذا مهم لأن هو يعني أن الربط جعله من المصدر إلى الغاية.
حدد عمود أو صف 2 وقم بالمرور فوق الزاوية اليمنى السفلى من المربع الأخضر حول تلك الخلية.
حدد وابق، واسحب الماوس لأسفل لنسخ هذه الصيغة إلى أسفل الخلايا التي لها قيم.
قم بالتمرير للخلف إلى أعلى الورقة وانقر فوق COMPARE_ESP_SEQUENCE. ثم حدد فرز وتصفية.
أختر مرشح من القائمة المنسدلة.
تظهر قائمة منسدلة في عمود COMPARE_ESP_SEQUENCE.
انقر فوق القائمة المنسدلة في عنوان COMPARE_ESP_SEQUENCE. لاحظ أنه في هذا المثال، القيمة الوحيدة الموضحة هي CURRENT. هذا يعني أن جميع الحزم موجودة في كلا الالتقاط.
لإنشاء مثال إشكالي، احذف 10 حزم من CAP2_SLICE، لتوضيح كيفية عمل ذلك في إختبار حيث تكون بعض الحزم المفقودة مفقودة مفقودة مفقودة.
انتقل للخلف إلى ورقة CAP1_Slice والآن يرى أن هناك 10 حزم مفقودة.
عندما يتم تحديد القائمة المنسدلة في عمود COMPARE_ESP_SEQUENCE، فإنه يتم الآن ملاحظة وجود حزم مفقودة أيضا. يمكن تغيير هذا الإجراء لعرض الحزم المفقودة فقط.
يتم الآن عرض الحزم المفقودة فقط في ورقة Excel.
يختلف بروتوكول DSCP عن المستقبل
في بعض السيناريوهات، يتم مسح مجموعة قيم DSCP بواسطة مزود خدمة الإنترنت (ISP)، حتى لا تتطابق في جانب المستقبل مع مجموعة DSCP الخاصة بالمرسل. هناك أداة مفيدة أخرى لإكمال هذا السيناريو وتعقب الحزم وهي ESP SPI ورقم تسلسل ESP.
يجب إستخدام بروتوكول DSCP لتحديد الحزم المفيدة من المرسل. ثم يمكن بعد ذلك مقارنة رقم تسلسل ESP من تلك الحزم المحددة بالتقاط المستقبل. بخلاف تمييز DSCP، لا يمكن تعديل رقم تسلسل ESP لأنه مضمن في وظيفة IPsec ل SD-WAN. وهذا يجعل رقم تسلسل ESP مفيدا في تعقب الحزم المثيرة للاهتمام (التي تقابلها DSCP على المرسل) عبر الجزء السفلي.
لمقارنة أرقام تسلسل ESP، يمكن إضافة رقم تسلسل ESP كعمود في Wireshark ومقارنته بين مجموعات الالتقاط الصادرة والواردة.
عند فتح معرف فئة المورد (PCAP) في Wireshark، للتمكن من رؤية ESP SPI والرقم التسلسلي، قم بتوسيع حزمة واحدة، وانقر بزر الماوس الأيمن وحدد تفضيلات البروتوكول، ثم ابحث عن UDPENCAP وقم بتغيير المنفذ الافتراضي إلى منفذ SD-WAN (منفذ المصدر) كما هو موضح في الصورة.
بعد أن يكون UDPENCAP في موضعه مع المنفذ الأيمن، يتم عرض معلومات ESP الآن كما هو موضح في الصورة.
ملاحظة: لمعرفة المزيد حول ESP على SD-WAN، يرجى الرجوع إلى أستكشاف أخطاء SD-WAN CEdge IPsec المضادة لإعادة التشغيل وإصلاحها
معلومات ذات صلة