أستكشاف أخطاء إتصالات التحكم في SD-WAN وإصلاحها

المقدمة

يصف هذا المستند بعض الأسباب المحتملة التي تؤدي إلى حدوث مشكلة في إتصالات التحكم وكيفية أستكشاف الأخطاء وإصلاحها.

معلومات أساسية

ملاحظة: معظم مخرجات الأمر المقدمة في هذا المستند هي من موجهات vEdge. ومع ذلك، فإن النهج هو نفسه للموجهات التي تشغل برنامج Cisco IOS^® XE SD-WAN. أدخل sdwan الكلمة الأساسية للحصول على نفس المخرجات على برنامج Cisco IOS XE SD-WAN. على سبيل المثال، show sdwan control connections بدلا من show control connections .

قبل أستكشاف الأخطاء وإصلاحها، تأكد من تكوين حافة WAN قيد البحث بشكل صحيح. 

ويتضمن هذا النهج ما يلي:

• شهادة صالحة تم تثبيتها.
• يتم وضع هذه التكوينات في مكانها ضمن system المجموعة:
• System-IP
• معرف الموقع
• اسم المؤسسة
• عنوان vBond
• واجهة نقل VPN 0 التي تم تكوينها باستخدام خيار النفق وعنوان IP.
• ساعة النظام التي تم تكوينها بشكل صحيح على الطراز vEdge وتلك التي تتطابق مع الأجهزة/وحدات التحكم الأخرى:

يؤكد show clock الأمر المجموعة الزمنية الحالية.

أدخل clock set الأمر لتعيين الوقت الصحيح على الجهاز.

فيما يتعلق بجميع الحالات المشار إليها سابقا، تأكد من أن محدد موقع النقل (TLOC) قد تم إنشاؤه. تحقق من ذلك باستخدام show control local-properties الأمر.

يتم عرض مثال على الإخراج الصحيح هنا:

branch-vE1# show control local-properties personality                  vedge organization-name            vIPtela Inc Regression certificate-status           Installed root-ca-chain-status         Installed certificate-validity         Valid certificate-not-valid-before Sep 06 22:39:01 2018 GMT certificate-not-valid-after  Sep 06 22:39:01 2019 GMT dns-name                     vbond-dns-name.cisco.com site-id                      10 domain-id                    1 protocol                     dtls tls-port                     0 system-ip                    10.1.10.1 chassis-num/unique-id        66cb2a8b-2eeb-479b-83d0-0682b64d8190 serial-num                   12345718 vsmart-list-version          0 keygen-interval              1:00:00:00 retry-interval               0:00:00:17 no-activity-exp-interval     0:00:00:12 dns-cache-ttl                0:00:02:00 port-hopped                  TRUE time-since-last-port-hop     20:16:24:43 number-vbond-peers           2  INDEX   IP                 PORT ------------------------------- 0       10.3.25.25          12346   1       10.4.30.30          12346   number-active-wan-interfaces 2    PUBLIC      PUBLIC  PRIVATE     PRIVATE                                   RESTRICT/   LAST         MAX   SPI TIME    LAST-RESORT   INTERFACE  IPv4        PORT    IPv4        PORT     VS/VM COLOR       CARRIER  STATE CONTROL     CONNECTION   CNTRL REMAINING   INTERFACE --------------------------------------------------------------------------------------------------------------------------------------------- ge0/1      10.1.7.11    12346   10.1.7.11    12346     2/1  gold        default  up      no/yes    0:00:00:16   2     0:07:33:55  No ge0/2      10.2.9.11    12366   10.2.9.11    12366     2/0  silver      default  up      no/yes    0:00:00:12   2     0:07:35:16  No 

في الإصدار 16. 3 من برنامج vEdge والإصدارات الأحدث، يحتوي الإخراج على بعض الحقول الإضافية:

number-vbond-peers           1 number-active-wan-interfaces 1 
 NAT TYPE: E -- indicates End-point independent mapping           A -- indicates Address-port dependent mapping           N -- indicates Not learned           Note: Requires minimum two vbonds to learn the NAT type           PUBLIC        PUBLIC PRIVATE      PRIVATE                PRIVATE                        MAX   RESTRICT/           LAST         SPI TIME    NAT  VM INTERFACE  IPv4          PORT   IPv4         IPv6                   PORT   VS/VM COLOR         STATE CNTRL CONTROL/     LR/LB  CONNECTION   REMAINING   TYPE CON                                                                                              STUN                                              PRF ---------------------------------------------------------------------------------------------------------------------------------------------------- ge0/4  172.16.0.20   12386  192.168.0.20  2601:647:4380:ca75::c2  12386  2/1  public-internet  up   2  no/yes/no   No/Yes 0:10:34:16  0:03:03:26  E    5  

سيناريوهات المشاكل

فشل اتصال DTLS (DCONFAIL)

هذه إحدى المشكلات الشائعة المتعلقة بإمكانية اتصال عنصر التحكم التي لا تظهر. تتضمن الأسباب المحتملة جدار حماية أو بعض مشاكل الاتصال الأخرى.

قد يتم إسقاط/تصفية بعض الحزم أو جميعها في مكان ما. المثال الخاص بالكبيرة يعطي tcpdump  نتائج هنا.

• الموجه التالي (NH) غير قابل للوصول.
• لم يتم تثبيت البوابة الافتراضية في قاعدة معلومات التوجيه (RIB).
• لا يتم فتح منفذ Datagram Transport Layer Security (DTLS) في وحدات التحكم.

يمكن إستخدام أوامر العرض التالية:

#Check that Next hop
show ip route vpn 0
#Check ARP table for Default GW
show arp
#Ping default GW
ping <...>
#Ping Google DNS
ping 8.8.8.8
#Ping vBond if ICMP is allowed on vBond
ping <vBond IP>
#Traceroute to vBond DNS
traceroute <...>

عندما يكون لديك فشل في اتصال DTLS، يمكنك رؤيته في إخراج show control connections-history الأمر.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart tls 10.0.1.5 160000000 1 10.0.2.73 23456 10.0.2.73 23456 default trying DCONFAIL NOERR 10407 2019-04-07T22:03:45+0000

هذا ما يحدث عندما لا تصل الحزم الكبيرة إلى vEdge عند إستخدامها، tcpdump على سبيل المثال على جانب SD-WAN (vSmart):

tcpdump vpn 0 interface eth1 options "host 198.51.100.162 -n" 13:51:35.312109 IP 198.51.100.162.9536 > 172.18.10.130.12546: UDP, length 140 <<<< 1 (packet number) 13:51:35.312382 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 <<< not reached vEdege 13:51:35.318654 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 <<< not reached vEdege 13:51:35.318726 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 853 <<< not reached vEdege 13:51:36.318087 IP 198.51.100.162.9536 > 172.18.10.130.12546: UDP, length 140 <<<< 5 13:51:36.318185 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 79 <<<< 6 13:51:36.318233 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 1024 << not reached vEdege 13:51:36.318241 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 879 << not reached vEdege 13:51:36.318257 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 804 << not reached vEdege 13:51:36.318266 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 65 <<<< 10 13:51:36.318279 IP 172.18.10.130.12546 > 198.51.100.162.9536: UDP, length 25 <<<< 11 

ويتم توضيح مثال على جانب VEdge هنا:

tcpdump vpn 0 interface ge0/1 options "host 203.0.113.147 -n"
 13:51:35.250077 IP 198.51.100.162.12426 > 203.0.113.147.12746: UDP, length 140 <<<< 1 13:51:36.257490 IP 198.51.100.162.12426 > 203.0.113.147.12746: UDP, length 140 <<<< 5 13:51:36.325456 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 79 <<<< 6 13:51:36.325483 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 65 <<<< 10 13:51:36.325538 IP 203.0.113.147.12746 > 198.51.100.162.12426: UDP, length 25 <<<< 11 

ملاحظة: في برنامج Cisco IOS XE SD-WAN، يمكنك إستخدام التقاط الحزم المضمن (EPC) بدلا من tcpdump.

يمكنك إستخدام traceroute أو nping أدوات مساعدة أيضا لإنشاء حركة مرور ذات أحجام حزم مختلفة وعلامات نقطة كود الخدمات المميزة (DSCP) للتحقق من الاتصال لأن موفر الخدمة يمكن أن يواجه مشاكل في تسليم حزم UDP الأكبر، وحزم UDP المجزأة (وخاصة الأجزاء الصغيرة من UDP) أو الحزمة المميزة DSCP. هنا مثال مع nping عندما يكون الاتصال ناجحا.

من vSmart:

vSmart# tools nping vpn 0 198.51.100.162 options "--udp -p 12406 -g 12846 --source-ip 172.18.10.130 --df --data-length 555 --tos 192" Nping in VPN 0 Starting Nping 0.6.47 ( http://nmap.org/nping ) at 2019-05-17 23:28 UTC SENT (0.0220s) UDP 172.18.10.130:12846 > 198.51.100.162:12406 ttl=64 id=16578 iplen=583 SENT (1.0240s) UDP 172.18.10.130:12846 > 198.51.100.162:12406 ttl=64 id=16578 iplen=583 

يتم عرض مثال من vEdge هنا:

vEdge# tcpdump vpn 0 interface ge0/1 options "-n host 203.0.113.147 and udp" tcpdump -i ge0_1 -s 128 -n host 203.0.113.147 and udp in VPN 0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ge0_1, link-type EN10MB (Ethernet), capture size 128 bytes 18:29:43.492632 IP 203.0.113.147.12846 > 198.51.100.162.12406: UDP, length 555 18:29:44.494591 IP 203.0.113.147.12846 > 198.51.100.162.12406: UDP, length 555

وفيما يلي مثال على الاتصال غير الناجح باستخدام traceroute الأمر (الذي يعمل من vShell) على vSmart:

vSmart$ traceroute 198.51.100.162 1400 -F -p 12406 -U -t 192 -n -m 20 traceroute to 198.51.100.162.162 (198.51.100.162.162), 20 hops max, 1400 byte packets 1 * * * 2 * * * 3 * * * 4 * * * 5 * * * 6 10.65.14.177 0.435 ms 10.65.13.225 0.657 ms 0.302 ms 7 10.10.28.115 0.322 ms 10.93.28.127 0.349 ms 10.93.28.109 1.218 ms 8 * * * 9 * * * 10 * 10.10.114.192 4.619 ms * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 10.68.72.61 2.162 ms * * 17 * * *
18 * * *
19 * * *
20 * * *
21 * * *
22 * * *
23 * * *
24 * * *
25 * * *
26 * * *
27 * * *
28 * * *
29 * * *
30 * * *

لا يستقبل vEdge الحزم المرسلة من vSmart (فقط بعض حركات المرور أو الأجزاء الأخرى):

vEdge# tcpdump vpn 0 interface ge0/1 options "-n host 203.0.113.147 and udp" tcpdump -i ge0_1 -s 128 -n host 203.0.113.147 and udp in VPN 0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ge0_1, link-type EN10MB (Ethernet), capture size 128 bytes 18:16:30.232959 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 65
18:16:30.232969 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 25
18:16:33.399412 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16
18:16:34.225796 IP 198.51.100.162.12386 > 203.0.113.147.12846: UDP, length 140
18:16:38.406256 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16
18:16:43.413314 IP 203.0.113.147.12846 > 198.51.100.162.12386: UDP, length 16

تم تعطيل TLOC (DISTLOC)

يمكن أن تكون المشغلات الخاصة برسائل TLOC المعطلة ترجع إلى الأسباب المحتملة التالية:

• مسح إتصالات عنصر التحكم.
• تغيير اللون على TLOC.
• التغيير في IP النظام.

قم بتغيير أي من التكوينات المذكورة في كتلة النظام أو في خصائص النفق في show control connections-historyإخراج الأمر.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vmanage dtls 192.168.30.101 1 0 192.168.20.101 12346 192.168.20.101 12346 biz-internet tear_down DISTLOC NOERR 3 2019-06-01T14:43:11+0200 vsmart dtls 192.168.30.103 1 1 192.168.20.103 12346 192.168.20.103 12346 biz-internet tear_down DISTLOC NOERR 4 2019-06-01T14:43:11+0200 vbond dtls 0.0.0.0 0 0 192.168.20.102 12346 192.168.20.102 12346 biz-internet tear_down DISTLOC NOERR 4 2019-06-01T14:43:11+0200

لم تتم تهيئة معرف اللوحة (BIDNTPR)

في شبكة غير مستقرة للغاية، حيث ترفرف إتصالات الشبكة بشكل مستمر، يمكنك أن ترى TXCHTOBD - failed to send a challenge to Board ID failed و/أو RDSIGFBD - Read Signature from Board ID failed. أيضا، في بعض الأحيان، بسبب مشاكل القفل، يفشل التحدي المرسل إلى معرف اللوحة وعندما يحدث ذلك، أعد تعيين معرف اللوحة وحاول مرة أخرى. ولا يحدث هذا غالبا، كما أنه يؤخر شكل إتصالات التحكم. يتم إصلاح هذا في الإصدارات الأحدث.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.109 12346 203.0.113.109 12346 silver challenge TXCHTOBD NOERR 2 2019-05-22T05:53:47+0000 vbond dtls - 0 0 203.0.113.56 12346 203.0.113.56 12346 silver challenge TXCHTOBD NOERR 0 2019-05-21T09:50:41+0000 

BDSGVERFL - فشل توقيع معرف اللوحة

وهذا يشير إلى أن رقم هيكل vEdge/الفريد-id/الرقم التسلسلي تم رفضه بواسطة vBond. عندما يحدث ذلك، قم بتأكيد معلومات vEdge الموضحة في إخراج show control local-properties الأمر وقارن هذا الإخراج show orchestrator valid-vedges ب vBond.

إذا لم يكن هناك إدخال موجود ل vEdge، فتأكد من أن لديك:

• تمت إضافة vEdge إلى الحساب الذكي.
• تم تحميل هذا الملف بشكل صحيح إلى vManage.

طقطقت Send to Controllers  تحت Configuration > Certificates.

إذا كان موجودا، فتحقق من الإدخالات المكررة في جدول vEdge الصحيح واشترك مع مركز المساعدة التقنية (TAC) من Cisco لاستكشاف أخطاء هذا الأمر وإصلاحها

التصق في 'Connect': مشاكل التوجيه

لا تظهر إتصالات التحكم إذا كانت هناك مشاكل في التوجيه في الشبكة.  تأكد من وجود مسار صالح في RIB مع NH/TLOC الصحيح.

الأمثلة تتضمن:

• ويشير المسار الأكثر تحديدا إلى vBond في مجموعة توصيل واجهة الشبكة (RIB) إلى وحدة NH/TLOC لا تستخدم لإنشاء إتصالات التحكم.
• يتم تسريب TLOC IP بين موفر خدمة تدفق البيانات مما يتسبب في توجيه غير صحيح.

دخلت هذا أمر للتحقق:

show ip route
show ip routes vpn 0 <prefix/mask>
ping <vBond IP>

ابحث عن قيمة المسافة وبروتوكول بادئة IP.

يحاول vEdge إنشاء اتصال عنصر تحكم بدون نجاح أو لا توجد إتصالات بوحدات التحكم التي تستمر في التدفق.

دققت مع ال show control connections و/أو show sdwan control connections-history الأمر.

vedge1# show control connections PEER PEER CONTROLLER PEER PEER PEER SITE DOMAIN PEER PRIV PEER PUB GROUP TYPE PROT SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR PROXY STATE UPTIME ID ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls 0.0.0.0 0 0 192.168.20.102 12346 192.168.20.102 12346 biz-internet - connect 0 

أخطاء مأخذ التوصيل (LISFD)

إذا كان هناك IP مكرر في الشبكة، فلن تظهر إتصالات التحكم. ترى LISFD - Listener Socket FD Error الرسالة. وهذا يمكن أن يحدث لأسباب أخرى أيضا، مثل تلف الحزمة، وإعادة ضبط، وعدم تطابق بين vEdge ووحدات التحكم على TLS مقابل منافذ DTLS، إذا لم تكن منافذ FW مفتوحة، وهكذا.

السبب الأكثر شيوعا هو تكرار نقل IP. تحقق من الاتصال وتأكد من أن العناوين فريدة.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.21 12346 203.0.113.21 12346 default up LISFD NOERR 0 2019-04-30T15:46:25+0000 

إصدار مهلة النظير (VM_TMO)

يتم تشغيل شرط مهلة النظير عندما يفقد vEdge إمكانية الوصول إلى وحدة التحكم المعنية.

في هذا المثال، فإنه يلتقط صورةvManage Timeout msg (peer VM_TMO). ومن بين الأمثلة الأخرى فترات انتهاء المهلة الزمنية للطراز vBond و/أو vSmart و/أو vEdge (VB_TMO, VP_TMO, VS_TMO).

كجزء من أستكشاف الأخطاء وإصلاحها، تأكد من توفر إمكانية الاتصال بوحدة التحكم. أستخدم بروتوكول رسائل التحكم في الإنترنت (ICMP) و/أو traceroute  إلى عنوان IP المعني. الحالات التي يكون فيها عدد حالات هبوط حركة المرور كبيرا (الفقدان مرتفع). بسرعة ping وضمان أن يكون جيدا.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vmanage tls 10.0.1.3 3 0 10.0.2.42 23456 203.0.113.124 23456 default tear_down VM_TMO NOERR 21 2019-04-30T15:59:24+0000

بالإضافة إلى ذلك، تحقق من إخراج show control connections-history detail الأمر للنظر في إحصائيات التحكم في TX/RX لمعرفة ما إذا كان هناك أي أختلاف كبير في العدادات. لاحظت في الإنتاج فرق بين RX و TX مرحبا ربط رقم.

---------------------------------------------------------------------------------------- LOCAL-COLOR- biz-internet SYSTEM-IP- 192.168.30.103 PEER-PERSONALITY- vsmart ---------------------------------------------------------------------------------------- site-id 1 domain-id 1 protocol dtls private-ip 192.168.20.103 private-port 12346 public-ip 192.168.20.103 public-port 12346 UUID/chassis-number 4fc4bf2c-f170-46ac-b217-16fb150fef1d state tear_down [Local Err: ERR_DISABLE_TLOC] [Remote Err: NO_ERROR] downtime 2019-06-01T14:52:49+0200 repeat count 5 previous downtime 2019-06-01T14:43:11+0200 Tx Statistics- -------------- hello 597 connects 0 registers 0 register-replies 0 challenge 0 challenge-response 1 challenge-ack 0 teardown 1 teardown-all 0 vmanage-to-peer 0 register-to-vmanage 0 Rx Statistics- -------------- hello 553 connects 0 registers 0 register-replies 0 challenge 1 challenge-response 0 challenge-ack 1 teardown 0 vmanage-to-peer 0 register-to-vmanage 0

الرقم (الأرقام) التسلسلي غير موجود (Crtrejser، Bidntvrfd)

إذا لم يكن الرقم التسلسلي موجودا على وحدات التحكم لجهاز معين، فسيفشل اتصال التحكم.

ويمكن التحقق منه show controllers [ valid-vsmarts | valid-vedges ] بالنواتج وحددوا معظم الوقت. انتقل إلى Configuration > Certificates > Send to Controllers or Send to vBond الأزرار من علامات التبويب vManage. عند إستخدام vBond، تحقق show orchestrator valid-vedges / show orchestrator valid-vsmarts.

في السجلات على vBond، يمكنك مراقبة هذه الرسائل مع وجود سبب لذلك ERR_BID_NOT_VERIFIED:

messages:local7 info: Dec 21 01:13:31 vBond-1 VBOND[1677]: %Viptela-vBond-1-vbond_0-6-INFO-1400002: Notification: 12/21/2018 1:13:31 vbond-reject-vedge-connection severit y-level:major host-name:"vBond-1" system-ip:10.0.1.11 uuid:"11OG301234567" organization-name:"Example_Orgname" sp-organization-name:"Example_Orgname"" reason:"ERR_BID_NOT_VERIFIED"

عند أستكشاف هذه المشكلة وإصلاحها، تأكد من تكوين الرقم التسلسلي الصحيح وطراز الجهاز وإمدادهما على مدخل PnP (software.cisco.com) و vManage.

للتحقق من رقم الهيكل والرقم التسلسلي للشهادة، يمكن إستخدام هذا الأمر على موجهات vEdge:

vEdge1# show control local-properties | include "chassis-num|serial-num" chassis-num/unique-id 11OG528180107 serial-num 1001247E

دخلت على مسحاج تخديد أن يركض cisco IOS XE SD-WAN برمجية، هذا أمر:

cEdge1#show sdwan control local-properties | include chassis-num|serial-num chassis-num/unique-id C1111-4PLTEEA-FGL223911LK serial-num 016E9999

أو الأمر التالي:

Router#show crypto pki certificates CISCO_IDEVID_SUDI | s ^Certificate Certificate Status: Available Certificate Serial Number (hex): 016E9999 Certificate Usage: General Purpose Issuer: o=Cisco cn=High Assurance SUDI CA Subject: Name: C1111-4PLTEEA Serial Number: PID:C1111-4PLTEEA SN:FGL223911LK cn=C1111-4PLTEEA ou=ACT-2 Lite SUDI o=Cisco serialNumber=PID:C1111-4PLTEEA SN:FGL223911LK Validity Date: start date: 15:33:46 UTC Sep 27 2018 end date: 20:58:26 UTC Aug 9 2099 Associated Trustpoints: CISCO_IDEVID_SUDI

لمعالجة المشكلات المتعلقة بتقنية vEdge/vSmart

هنا كيف يظهر الخطأ على vEdge/vSmart في إخراج show control connections-history الأمر:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 biz-internet challenge_resp RXTRDWN BIDNTVRFD 0 2019-06-01T16:40:16+0200

في vBond في مخرجات show orchestrator connections-history الأمر:

 PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown dtls - 0 0 :: 0 192.168.10.234 12346 default tear_down BIDNTVRFD/NOERR 1 2019-06-01T18:44:34+0200

كما أن الرقم التسلسلي للجهاز على vBond غير موجود في قائمة vEdges الصالحة:

vbond1# show orchestrator valid-vedges | i 11OG528180107

للمشاكل المتعلقة بوحدات التحكم

إذا لم يتطابق الملف التسلسلي بين وحدات التحكم نفسها، فإن الخطأ المحلي في vBond هو الرقم التسلسلي غير الموجود مقابل الشهادة الملغاة ل vSmart/vManage.

عند التشغيل vBond:

 PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown dtls - 0 0 :: 0 192.168.0.229 12346 default tear_down SERNTPRES/NOERR 2 2019-06-01T19:04:51+0200

vbond1# show orchestrator valid-vsmarts SERIAL NUMBER ORG ----------------------- 0A SAMPLE - ORGNAME 0B SAMPLE - ORGNAME 0C SAMPLE - ORGNAME 0D SAMPLE - ORGNAME

حول تقنية vSmart/vManage المتأثرة:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default tear_down CRTREJSER NOERR 9 2019-06-01T19:06:32+0200

vsmart# show control local-properties| i serial-num serial-num 0F

كما يمكنك الاطلاع على رسائل ORPTMO على تقنية vSmart المتأثرة فيما يتعلق بتقنية vEdge:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 unknown tls - 0 0 :: 0 192.168.10.238 54850 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:16+0200 0 unknown tls - 0 0 :: 0 192.168.10.238 54850 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:16+0200 0 unknown tls - 0 0 :: 0 198.51.100.100 55374 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:05+0200 0 unknown tls - 0 0 :: 0 198.51.100.100 59076 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:03+0200 0 unknown tls - 0 0 :: 0 192.168.10.240 53478 default tear_down ORPTMO NOERR 0 2019-06-01T19:18:02+0200

على vEdge المتأثرة vSmart، في show control connections-history الإخراج يظهر خطأ "Serntpres":

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 biz-internet tear_down SERNTPRES NOERR 29 2019-06-01T19:18:51+0200 vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 mpls tear_down SERNTPRES NOERR 29 2019-06-01T19:18:32+0200

خطأ في حجم الهيكل/المعرف الفريد

يمكن ملاحظة مثال آخر لنفس الخطأ "crtrejser/noerr" إذا تم إستخدام معرف المنتج الخطأ (الطراز) على بوابة PnP. على سبيل المثال:

vbond# show orchestrator valid-vedges | include ASR1002 ASR1002-HX-DNA-JAE21050110 014EE30A valid Cisco SVC N1

ومع ذلك، فإن نموذج الجهاز الحقيقي مختلف (لاحظ أن إصلاح بادئة "DNA" ليست في الاسم):

ASR1k#show sdwan control local-properties | include chassis-num chassis-num/unique-id ASR1002-HX-JAE21050110

عدم تطابق المؤسسة (CTORGNMMIS)

يعد "اسم المؤسسة" مكونا هاما لإظهار اتصال التحكم. بالنسبة إلى تغشية معينة، يجب أن يتطابق اسم المؤسسة مع جميع وحدات التحكم وحواف v حتى يمكن أن تظهر إتصالات التحكم.

إذا لم تكن هناك مشكلة في "عدم تطابق اسم مؤسسة الشهادة" كما هو موضح هنا:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vbond dtls - 0 0 203.0.113.197 12346 203.0.113.197 12346 biz-internet tear_down CTORGNMMIS NOERR 14 2019-04-08T00:26:19+0000 vbond dtls - 0 0 198.51.100.137 12346 198.51.100.137 12346 biz-internet tear_down CTORGNMMIS NOERR 13 2019-04-08T00:26:04+0000 

تم إبطال/إبطال شهادة vEdge/vSmart (VSCRTREV/CRTVERFL)

في الحالات التي يتم فيها إبطال الشهادة على وحدات التحكم أو إبطال الرقم التسلسلي لخادم vEdge، يتم عرض رسالة ملغية خاصة باعتماد vSmart أو vEdge، على التوالي.

هنا مثال إخراج لرسائل إبطال شهادة vSmart. هذه هي الشهادة التي يتم إبطالها على vSmart:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default up RXTRDWN VSCRTREV 0 2019-06-01T18:13:22+0200 1 vbond dtls 0.0.0.0 0 0 192.168.0.231 12346 192.168.0.231 12346 default up RXTRDWN VSCRTREV 0 2019-06-01T18:13:22+0200

وبالمثل، على vSmart آخر في نفس التغشية، هكذا ترى vSmart الذي تم إبطال شهادته:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart tls 10.10.10.229 1 1 192.168.0.229 23456 192.168.0.229 23456 default tear_down VSCRTREV NOERR 0 2019-06-01T18:13:24+0200

وهنا ترى شركة vBond هذا:

 PEER PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC REPEAT INSTANCE TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT REMOTE COLOR STATE LOCAL/REMOTE COUNT DOWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- 0 vsmart dtls 10.10.10.229 1 1 192.168.0.229 12346 192.168.0.229 12346 default tear_down VSCRTREV/NOERR 0 2019-06-01T18:13:14+0200

عندما يتعذر التحقق من صحة الشهادة مع تثبيت الشهادة الجذر:

1. تحقق من الوقت باستخدام show clock الأمر. يجب أن يكون على الأقل ضمن نطاق صلاحية شهادة vBond (تحقق من show orchestrator local-properties الأمر).

2. قد يحدث هذا بسبب تلف الشهادة الجذر على vEdge.

ثم show control connections-history يعرض الأمر على موجه VEdge مخرجات مماثلة:

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- vbond dtls - 0 0 203.0.113.82 12346 203.0.113.82 12346 default tear_down CRTVERFL NOERR 32 2018-11-16T23:58:22+0000 vbond dtls - 0 0 203.0.113.81 12346 203.0.113.81 12346 default tear_down CRTVERFL NOERR 31 2018-11-16T23:58:03+0000 

في هذه الحالة، لا يمكن ل vEdge التحقق من شهادة وحدة التحكم أيضا. لإصلاح هذه المشكلة، يمكنك إعادة تثبيت سلسلة الشهادات الجذر. في حالة إستخدام "مرجع شهادات Symantec"، يمكنك نسخ سلسلة الشهادات الجذر من نظام الملفات للقراءة فقط:

vEdge1# vshell vEdge1:~$ cp /rootfs ro/usr/share/viptela/root-ca-sha1-sha2.crt /home/admin/ vEdge1:~$ exit exit vEdge1# request root-cert-chain install /home/admin/root-ca-sha1-sha2.crt Uploading root-ca-cert-chain via VPN 0 Copying ... /home/admin/root-ca-sha1-sha2.crt via VPN 0 Installing the new root certificate chain Successfully installed the root certificate chain

قالب vEdge غير مرفق في vManage

في الوقت الذي يتم فيه عرض الجهاز إذا لم يكن الجهاز مرتبطا بقالب على vManage، يتم عرض NOVMCFG - No Config in vManage for device الرسالة.

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT D OWNTIME ----------------------------------------------------------------------------------------------------------------------------------------------------------------------- ------------------- vmanage dtls 10.0.1.1 1 0 10.0.2.80 12546 203.0.113.128 12546 default up RXTRDWN NOVMCFG 35 2 019-02-26T12:23:52+0000 

الظروف العابرة (DECvbd، SYPchng)

فيما يلي بعض الظروف العابرة حيث ترفرف إتصالات التحكم. وتشمل هذه التدابير ما يلي:

• تم تغيير System-IP على vEdge.
• رسالة قابلة للتقسيم إلى vBond (اتصال التحكم ب vBond مؤقت).

 PEER PEER PEER PEER PEER SITE DOMAIN PEER PRIVATE PEER PUBLIC LOCAL REMOTE REPEAT TYPE PROTOCOL SYSTEM IP ID ID PRIVATE IP PORT PUBLIC IP PORT LOCAL COLOR STATE ERROR ERROR COUNT DOWNTIME ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ vmanage dtls 10.0.0.1 1 0 198.51.100.92 12646 198.51.100.92 12646 default tear_down SYSIPCHNG NOERR 0 2018-11-02T16:58:00+0000

فشل DNS

عندما لا تظهر أي محاولات اتصال في show control connection-history  الأمر، يمكنك التحقق من فشل تحليل DNS تجاه vBond بهذه الخطوات:

• إختبار الاتصال باتجاه عنوان DNS الخاص ب vBond.

ping vbond-dns-name.cisco.com
ping vbond-dns-name.cisco.com: Temporary failure in name resolution

• يتم الآن إختبار اتصال DNS (8.8.8.8) من واجهة المصدر للتحقق من إمكانية الوصول إلى الإنترنت. 

ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:

• التقاط الحزمة المضمنة لحركة مرور DNS على المنفذ 53 للتحقق من حركة مرور DNS المرسلة والمستلمة.

monitor capture mycap interface <interface that forms control>
monitor capture mycap match ipv4 <source IP> <vBond IP>

المستند المرجعي: التقاط الحزمة المضمنة.

قم بتشغيل التقاط الشاشة ثم قم بتشغيلها لبضع دقائق ثم قم بإيقاف الالتقاط. قم بالمتابعة لفحص التقاط الحزمة لمعرفة ما إذا تم إرسال استعلامات DNS واستقبالها.

معلومات ذات صلة

• تكوين المعلمات الأساسية لتكوين إتصالات التحكم على cEdge
• الدعم التقني والمستندات - Cisco Systems