المقدمة
يوضح هذا المستند كيفية أستكشاف أخطاء واجهة تضمين التوجيه العام (GRE) وإصلاحها في بيئة SD-WAN.
معلومات أساسية
في حل Cisco Viptela، تتضمن حالات الاستخدام لواجهات GRE:
- إرسال حركة مرور البيانات إلى ZScaler (HTTP-Proxy) من خلال vSmart Data-Policy أو محليا.
- واجهة GRE للخدمة الأساسية مع النسخ الاحتياطي الافتراضي لمركز البيانات.
- سلسلة الخدمات
في بعض الحالات، قد لا تظهر واجهة GRE و/أو لا تعمل.
في تلك الحالات، تحقق من
- واجهة GRE قيد التشغيل/التشغيل من خلال: show interface gre*
- GRE Keepalives عبر: show tunnel gre-keepalives
منهجية
إذا كانت هناك مشكلة، فقم بتكوين قائمة تحكم في الوصول (ACL أو قائمة الوصول) لمعرفة ما إذا كانت حزم GRE (47) تخرج/تدخل.
لا يمكنك رؤية حزم GRE عبر تفريغ TCP، نظرا لأنه يتم إنشاء الحزم بواسطة المسار السريع.
أحيانا، بسبب ترجمة عنوان الشبكة (NAT)، يمكن إسقاط رسائل تنشيط الاتصال GRE. في هذه الحالة، أعجزت keepalive وانظر إن النفق يظهر.
أيضا، إذا كان نفق GRE يرفرف ويعجز keepalives باستمرار، هذا يبقي القارن up/up.
إلا أن لها سلبا، حيث إذا كانت هناك قضية مشروعة، فمن الصعب أن نتعرف على أن إستراتيجية الاستجابة السريعة لا تعمل.
انظر هنا في الوثيقة التي تعرض مثالا.
هذا تكوين واجهة GRE عاملة
في VPN0
vpn 0
interface gre1
ip address 192.0.2.1/30
tunnel-source
tunnel-destination
tcp-mss-adjust 1300
no shutdown
!
interface gre2
ip address 192.0.2.5/30
tunnel-source
tunnel-destination
tcp-mss-adjust 1300
no shutdown
!
!
جانب الخدمة
vpn
service FW interface gre1 gre2
في حل Cisco SD-WAN القائم على مسارات vEdge، تعمل واجهات GRE كواجهات نشطة وغير نشطة.
وفي أي وقت، لا يوجد سوى واجهة GRE التي تكون في حالة التشغيل/التشغيل.
ممارسة
إنشاء سياسة لقوائم الوصول
vEdge# show running-config policy access-list
policy
access-list GRE-In
sequence 10
match
protocol 47
!
action accept
count gre-in
!
!
default-action accept
!
access-list GRE-Out
sequence 10
match
protocol 47
!
action accept
count gre-out
!
!
default-action accept
!
!
vEdge#
قم بإنشاء إدخال وإخراج العدادات ثم تحتاج إلى تطبيق قائمة التحكم في الوصول (ACL) على الواجهة (يمر النفق عبر GE0/0).
يمكن تطبيق قائمة التحكم في الوصول (ACL) الواردة أعلاه مع عنوان المصدر للواجهة المادية وعنوان الوجهة لنقطة نهاية GRE.
vEdge# show running-config vpn 0 interface ge0/0
vpn 0
interface ge0/0
ip address 198.51.100.1/24
tunnel-interface
encapsulation ipsec
max-control-connections 1
allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
!
no shutdown
access-list GRE-In in
access-list GRE-Out out
!
!
vEdge#
يمكنك الآن رؤية عدادات حزم GRE من الداخل والخارج لأن هذه الحزم موجودة في المسار السريع، ولا يمكن للمرء رؤيتها باستخدام الأداة المساعدة tcpdump.
vEdge# show policy access-list-counters
COUNTER
NAME NAME PACKETS BYTES
----------------------------------
GRE-In gre-in 176 10736
GRE-Out gre-out 88 2112
vEdge#
هذا هو نفق GRE الخاص بنا.
vEdge# show interface gre1
IF IF IF TCP
AF ADMIN OPER TRACKER ENCAP PORT SPEED MSS RX TX
VPN INTERFACE TYPE IP ADDRESS STATUS STATUS STATUS TYPE TYPE MTU HWADDR MBPS DUPLEX ADJUST UPTIME PACKETS PACKETS
---------------------------------------------------------------------------------------------------------------------------------------------------------
0 gre1 ipv4 192.0.2.1/30 Up Up NA null service 1500 05:05:05:05:00:00 1000 full 1420 0:07:10:28 2968 2968
vEdge#
vEdge# show running-config vpn 0 interface gre1
vpn 0
interface gre1
ip address 192.0.2.1/30/30
tunnel-source-interface ge0/0
tunnel-destination 192.0.2.5/30
no shutdown
!
!
vEdge#
يمكنك التحقق مما إذا كانت حركة المرور على واجهة GRE عبر الأمر show app cflow flow.
هذا مثال مثال يبدي ثنائي إتجاه حركة مرور (كلا من مدخل ومخرج):
vEdge# show app cflowd flows
TCP TIME EGRESS INGRESS
SRC DEST IP CNTRL ICMP TOTAL TOTAL MIN MAX TO INTF INTF
VPN SRC IP DEST IP PORT PORT DSCP PROTO BITS OPCODE NHOP IP PKTS BYTES LEN LEN START TIME EXPIRE NAME NAME
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10 203.0.113.1 203.0.113.11 61478 443 0 6 16 0 203.0.113.254 3399 286304 60 1339 Sun Apr 8 10:23:05 2018 599 gre1 ge0/6
10 203.0.113.11 203.0.113.1 443 61478 0 6 24 0 203.0.113.1262556 192965 40 1340 Sun Apr 8 10:23:05 2018 592 ge0/6 gre1
مثال على تعطيل رسائل تنشيط الاتصال (KA) على واجهة GRE:
KA الافتراضي هو 10 (hello-interval) و 3 (tolerance)
يعطل A 0، KA الخاص ب 0، KA على واجهة GRE.
vEdge# show running-config vpn 0 interface gre* | details
vpn 0
interface gre1
description "Primary ZEN"
ip address <ip/mask>
keepalive 0 0
tunnel-source
tunnel-destination
no clear-dont-fragment
mtu 1500
tcp-mss-adjust 1300
no shutdown
!
تظهر واجهة GRE التي تكون لأعلى/لأسفل على هيئة up/up (من خلال تمرير شيك KA).
انظر، عداد TX هنا كلما زاد عندما يكون KA متوقف. وهذا يعني أن vEdge هي tx الحزم، ولكنك لا ترى الزيادة في عداد RX، والذي يشير إلى مشكلة عن بعد.
vEdge# show interface gre*
IF IF TCP
ADMIN OPER ENCAP PORT SPEED MSS RX TX
VPN INTERFACE IP ADDRESS STATUS STATUS TYPE TYPE MTU HWADDR MBPS DUPLEX ADJUST UPTIME PACKETS PACKETS
---------------------------------------------------------------------------------------------------------------------------------------------------
### With KA ON
0 gre1 192.0.2.1/30 Up Down null service 1500 cb:eb:98:02:00:00 - - 1300 - 413218129 319299248
### With KA OFF
0 gre1 192.0.2.1/30 Up Up null service 1500 cb:eb:98:02:00:00 100 half 1300 0:00:01:19 413218129 319299280
التعليقات