أستكشاف أخطاء أنفاق IPsec ومشكلات مستوى التحكم الشائعة مع عمليات التقاط الحزم وإصلاحها

خيارات التنزيل

  • PDF     (2.6 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.5 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٥ ديسمبر ٢٠٢٣
معرّف المستند:221221

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند كيفية التقاط الحزمة، والأدوات الأخرى، والمساعدة في مشاكل مستوى التحكم عند التفاوض على شبكة VPN من موقع إلى موقع على موجهات Cisco IOS® XE.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • معرفة أساسية بتكوين Cisco IOS® CLI.
    • معرفة أساسية ب IKEv2 و IPsec.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:

    • CSR1000V - برنامج Cisco IOS XE الإصدار 16.12.0.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    لقطات الحزم هي أداة قوية لمساعدتك في التحقق مما إذا كانت الحزم يتم إرسالها/استقبالها بين أجهزة نظير VPN. كما أنها تؤكد ما إذا كان السلوك الذي يتم مشاهدته مع تصحيح أخطاء IPsec يتوافق مع الإخراج الذي يتم تجميعه على عمليات الالتقاط نظرا لأن عمليات تصحيح الأخطاء هي تفسير منطقي، ويمثل الالتقاط التفاعل المادي بين الأجهزة النظيرة. ولهذا السبب، يمكنك تأكيد مشاكل الاتصال أو تجاهلها.

    الأدوات المفيدة

    هناك أدوات مفيدة تساعدك على تكوين الالتقاط، واستخراج المخرجات، وتحليلها أكثر. بعضها:

    • Wireshark: هذا محلل حزم مفتوح المصدر معروف جيدا ومستخدم.
    • على قبض الشاشة: تساعدك ميزة Cisco IOS XE على الموجهات على جمع الالتقاط وتوفير مخرج ضوئي لما يبدو عليه تدفق حركة المرور، والبروتوكول الذي يتم تجميعه، والطوابع الزمنية الخاصة به.

    كيفية تكوين الالتقاط على موجه IOS XE

    Configure Captures on IOS XE Router

    يستخدم الالتقاط قائمة الوصول الموسعة (ACL) التي تحدد نوع حركة المرور التي سيتم تجميعها، وعناوين المصدر والوجهة الخاصة بنظراء VPN أو مقاطع حركة المرور المفيدة. يستعمل تفاوض نفق ال UDP ميناء 500 وميناء 4500 إن NAT-T يكون مكنت على المسار. بمجرد اكتمال التفاوض وإنشاء النفق، تستخدم حركة المرور المفيدة بروتوكول IP 50 (ESP) أو UDP 4500 إذا تم تمكين NAT-T.

    من أجل أستكشاف أخطاء المشاكل المتعلقة بلوحة التحكم وإصلاحها، يجب إستخدام عناوين IP الخاصة بنظراء VPN لالتقاط كيفية التفاوض حول النفق.

    VPN Peers IP Addresses Must be Used

    config terminal
    ip access-list extended <ACL name>
    permit udp host <local address> host <peer address>
    permit udp host <peer address> host <source address>
    exit
    exit

    يتم إستخدام قائمة التحكم في الوصول (ACL) التي تم تكوينها لتضييق حركة المرور التي تم الاستيلاء عليها، ويتم وضعها على الواجهة المستخدمة للتفاوض على النفق.

    Configured ACL Used to Narrow the Captured Traffic

    Side-A and Side-B

    monitor capture <capture name> access-list <ACL name> buffer size <custom buffer size in MB> interface <source interface of teh router> both

    بمجرد تكوين الالتقاط، يمكن التلاعب به لإيقافه، أو مسحه، أو إستخلاص حركة المرور التي تم تجميعها باستخدام الأوامر التالية:

    • تحقق من معلومات الالتقاط العامة:show monitor capture
    • بدء/إيقاف الالتقاط: بدء/إيقاف التقاط الشاشة
    • تحقق من أن الالتقاط يجمع الحزم: show monitor capture cap buffer
    • راجع إخراج موجز لحركة المرور: show monitor capture cap buffer موجز
    • مسح الالتقاط: مسح حرف التقاط الشاشة
    • إستخراج إخراج الالتقاط:
      • عملية تفريغ غطاء الشاشة                             
      • مدرب التقاط طرف تصدير bootflash:capture.pcap

    تحليل إنشاء النفق باستخدام التقاط الحزم

    وكما تمت الإشارة مسبقا، للتفاوض على نفق IPSec، يتم إرسال الحزم عبر UDP مع المنفذ 500 والمنفذ 4500 إذا تم تمكين NAT-T. مع عمليات الالتقاط، يمكن رؤية مزيد من المعلومات من تلك الحزم مثل المرحلة التي يتم التفاوض عليها (المرحلة 1 أو المرحلة 2)، أو دور كل جهاز (البادئ أو المستجيب)، أو قيم SPI التي تم إنشاؤها للتو.

    Analyze Tunnel Establishment with Packet Captures

    إظهار الإخراج الموجز من الالتقاط من الموجه، يظهر التفاعل بين الأقران، مع إرسال حزم UDP.

    Output of Capture from the Router

    بعد إستخراج التفريغ وتصدير ملف PCAP من الموجه، فإن المزيد من المعلومات من الحزم تكون مرئية باستخدام wireshark.

    Information from the Packets is Visible Using Wireshark

    على قسم بروتوكول الإنترنت من حزمة تبادل IKE_SA_INIT الأولى التي يتم إرسالها، يتم تحديد موقع عناوين المصدر والوجهة لحزمة UDP. في قسم بروتوكول مخطط بيانات المستخدم، تظهر المنافذ المستخدمة وقسم اقتران أمان الإنترنت وبروتوكول إدارة المفاتيح إصدار البروتوكول، ونوع الرسالة التي يتم تبادلها، ودور الجهاز، بالإضافة إلى SPI الذي تم إنشاؤه. عند تجميع تصحيح أخطاء IKEv2، يتم عرض المعلومات نفسها داخل سجلات تصحيح الأخطاء.

    Internet Protocol Section Sent

    Internet Protocol Section Sent

    عند إجراء مفاوضات تبادل IKE_AUTH، يتم تشفير الحمولة ولكن، تكون بعض المعلومات حول التفاوض مرئية، مثل SPI الذي تم إنشاؤه مسبقا، ونوع الحركة التي يتم إجراؤها.

    Payload is Encrypted but Some Information about the Negotiation is Visible

    بمجرد تلقي آخر حزمة تبادل IKE_AUTH، يتم إكمال تفاوض النفق.

    Tunnel Negotiation Completed

    الحركة عندما يكون NAT بين

    Transaction When NAT is in Between

    nat-transversal هو ميزة أخرى يمكن رؤيتها عندما يتم تفاوض النفق. إذا كان جهاز متوسط يحمل عنوانا أو كلا عنوانين يستخدمان النفق، فإن الأجهزة تغير منفذ UDP من 500 إلى 4500 عند التفاوض على المرحلة 2 (IKE_AUTH Exchange).

    أسر مأخوذ على الجانب أ:

    Capture Taken on Side-A

    أسر مأخوذ على الجانب ب:

    Capture Taken on Side-B

    مشاكل مستوى التحكم الشائعة

    قد تكون هناك عوامل محلية أو خارجية تؤثر على تفاوض النفق ويمكن تحديدها مع التقاط أيضا. السيناريوهات التالية هي الأكثر شيوعا.

    التكوين غير متطابق

    يمكن حل هذا السيناريو من خلال النظر في تكوين كل جهاز في المرحلة 1 والمرحلة 2. ومع ذلك، قد تكون هناك سيناريوهات لا تتوفر فيها إمكانية الوصول إلى الطرف البعيد. على قبض مساعدة عن طريق تحديد الجهاز الذي يرسل NO_PROPOSAL_CHOSEN داخل الحزم إما في المرحلة 1 أو 2. تشير هذه الاستجابة إلى شيء ما يمكن أن يكون خاطئا في التكوين وأي مرحلة يلزم تعديلها.

    Configuration Mismatch

    عمليات إعادة الإرسال

    يمكن أن يفشل تفاوض نفق IPSec بسبب حزم التفاوض التي يتم إسقاطها على المسار بين الأجهزة الطرفية. يمكن أن تكون الحزم التي تم إسقاطها المرحلة 1 أو المرحلة 2. عندما يكون هذا هو الحالة، يرسل الجهاز الذي يتوقع حزمة إستجابة الحزمة الأخيرة، وإذا لم يكن هناك إستجابة بعد 5 محاولات، يتم أختتام النفق وإعادة تشغيله من البداية.

    يلتقط على كل جانب من النفق المساعدة بتحديد ما يمكن ان يعيق حركة المرور وفي أي إتجاه تتأثر.

    Retransmissions

    UDP Packets from Side-A are Blocked

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    05-Dec-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • انخيل سانشيز جارسيا
      مهندس إستشاري تقني

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات