أستكشاف أخطاء معدل نجاح الإرفاق الأولي وإصلاحها في ePDG

المقدمة

يصف هذا المستند المشاكل المتعلقة بتدهور معدل نجاح الإرفاق الأولي (ASR) في عبارة بيانات الحزم المطورة (ePDG).

نظرة عامة

يمثل ASR الأولي مقياسا حيويا يشير إلى معدل نجاح العدد الإجمالي لمحاولات إعداد جلسة العمل.

تحتوي صيغة مؤشر الأداء الأساسي (KPI) على العدد الإجمالي لمحاولات إعداد جلسة عمل ePDG والعدد الإجمالي للنجاحات التي حققتها عملية إعداد جلسة عمل ePDG. إذا انخفض عدد المحاولات الناجحة، فسيتراجع مؤشر الأداء الرئيسي بالكامل.

عمليات تمهيدية أساسية

لوظائف ePDG، فإن أمان بروتوكول الإنترنت (IPsec) هي العملية التي تهتم بحركات IPsec. لذلك، بالنسبة لأي حالة ePDG، يجب اتباع بعض التحققات المسبقة قبل المتابعة لاستكشاف المشكلة وإصلاحها.

1. تحقق من حالة بطاقة DPC أثناء ipsecmgr تشغيلها على هذه البطاقات. يجب أن تكون بطاقات DPC في حالة نشطة (باستثناء بطاقات الاستعداد).

show card table

2. تحقق من حالة الموارد لكل بطاقة sessmgr/ipsecmgr  من أجل مراجعة ما إذا تم ملاحظة أي نمط غير طبيعي لتدفق حركة المرور من حيث عدد الجلسات لكل بطاقة sessmgr/ipsecmgr  أو إذا كانت هذه العمليات في حالة التحذير/التجاوز. على سبيل المثال، في هذا الإخراج، ترى ipsecmgr الحالة over كما هو موضح هنا.

[local]abc# show task resources | grep -v good Thursday January 19 19:41:15 UTC 2023 task cputime memory files sessions cpu facility inst used allc used alloc used allc used allc S status ----------------------- ----------- ------------- --------- ------------- ------ 3/0 ipsecmgr 261 0.28% 75% 383.4M 300.0M 196 1500 30 6000 - over 3/0 ipsecmgr 262 0.23% 75% 378.0M 300.0M 185 1500 28 6000 - over 3/0 ipsecmgr 263 0.46% 75% 382.7M 300.0M 197 1500 30 6000 - over 3/0 ipsecmgr 264 0.22% 75% 383.7M 300.0M 212 1500 27 6000 - over ....

هنا مثال على sessmgrs التشغيل على البطاقة 4 و 5 مع توزيع غير متكافئ للجلسات:

[local]xyx# show task resources max | grep -i sess Monday February 17 21:52:38 UTC 2023 task cputime memory files sessions 4/0 sessmgr 45 12% 100% 429.9M 2.00G 129 500 4260 26000 I good 4/0 sessmgr 48 12% 100% 428.8M 2.00G 129 500 4267 26000 I good 4/0 sessmgr 49 12% 100% 428.5M 2.00G 129 500 4274 26000 I good 4/0 sessmgr 52 12% 100% 428.3M 2.00G 129 500 4258 26000 I good 5/0 sessmgr 5002 2.34% 50% 87.46M 190.0M 89 500 -- -- S good 5/0 sessmgr 2 12% 100% 458.5M 2.00G 107 500 9279 26000 I good 5/0 sessmgr 3 13% 100% 459.9M 2.00G 106 500 9281 26000 I good

3. تحقق من إحصائيات التشفير إذا كان هناك أي انخفاض في مستوى IPsec:

show crypto managers detail     ----------------- this command shows statistics per ipsec so we can check if any drops
show crypto statistics ikev2    ----------------- this command shows overall ikev2 statistics for EPDGs for different msg flows

ملاحظة: تعد عمليات التحقق السابقة مهمة لأنه في بعض الأحيان يتم العثور على مشاكل على مستوى البطاقة حيث لا يتمكن IPsec/serviceMgr الخاص ببطاقة معينة من أخذ جلسات عمل/حركة مرور المستخدم ويمكنك بوضوح رؤية حالات السقوط على مستوى IPsec في الإحصائيات المذكورة سابقا.

السجلات المطلوبة


نقاط قليلة يمكنك طلبها لاستكشاف المشكلة وإصلاحها بشكل أفضل:

• منذ متى يتم النظر في المسألة (مع الإشارة إلى التاريخ والوقت المحددين لبدء الإصدار)
• هل تم إجراء أي تغييرات على الشبكة أو أي تغييرات في التكوين؟
• الصيغ المستخدمة ل ASR في ePDG
• عدد الأهداف الإنمائية للألفية الموجودة في الدائرة المتأثرة، ومن بينها القضية التي لوحظت في جميع الأهداف الإنمائية للألفية أو في وثيقة واحدة محددة من وثائق البرنامج الإنمائي

فيما يلي السجلات التي سيتم تجميعها:

• إظهار تفاصيل الدعم (SSD) من العقدة قبل وقت بدء المشكلة وخلال الإصدار وبعد الإصدار (إذا لم تعد المشكلة تحدث بعد ذلك).
• Syslogs لمدة أسبوع قبل الإصدار (للدراسة المقارنة)، يغطي وقت الإصدار وبعد الإصدار (إذا لم تعد المشكلة تحدث بعد ذلك).
• بروتوكول إدارة الشبكة البسيط (SNMP) ملائمات لمدة أسبوع قبل المشكلة (للدراسة المقارنة)، يغطي وقت المشكلة وبعد المشكلة (إذا لم تعد المشكلة تحدث بعد ذلك).
• Bulkstats قبل القضية بأسبوع (للدراسة المقارنة)، تغطي وقت القضية وبعد القضية (إذا لم تعد القضية تحدث بعد ذلك).
• يتم تجميع برنامج MONSUB وفقا لهذه الخيارات:

monitor subscriber with options S, X, A, Y, 19, 33, 34, 35, 26, 37, 40, 50, 88, 89. Collect traces at verbosity 5 for problematic and non-problematic number.

• 3 محركات أقراص مزودة بذاكرة مصنوعة من مكونات صلبة (SSD) في فترة تتراوح من 30 إلى 45 دقيقة للعثور على سبب الرفض.

ملاحظة: سبب عدم الاتصال من 519 إلى 533 هو لرفض جلسة عمل ePDG.

• تحتاج إلى مقارنة التكوينات من العقد التي لا تتسبب في أية مشكلات ولا تتسبب في أية مشكلات.

show configuration

show configuration verbose

• مطلوب لتصحيح أخطاء السجلات:

logging filter active facility sessmgr level <critical/error> logging filter active facility ipsec level <critical/error> logging filter active facility ikev2 level <critical/error> logging filter active facility epdg level <critical/error> logging filter active facility diameter level<critical/error> logging filter active facility egtpc level<critical/error> logging active ------------------- to enable debug logs no logging active --------------- to disable debug logs Note :: Above mentioned debug logs are taken considering debug logs at the level of critical/error but we can capture at debug level also as per need basis e.g logging filter active facility egtpc level debug

• مخرجات الأوامر التي يمكن أن تكون مفيدة لاستكشاف الأخطاء وإصلاحها:

show epdg-service all counters   
-> View ePDG service information and statistics

show epdg-service statistics     
-> View ePDG service statistics

show epdg-service session all    
-> View ePDG service session information

show egtpc statistics interface edpg-egress debug-info    
-> View egtpc statistics for  ePD-egress

show session [ disconnect-reasons | duration | progress | setuptime | subsystem ] 
-> iew additional session statistics.

show crypto statistics ikev2     
-> View IKEv2 statistics

show diameter aaa-statistics all 
->View Diameter AAA server statistics.

show subscribers epdg-only [ [ all ] | [ callid call_id ]]   
-> View a list of ePDG subscribers currently accessing the system.

show subscribers epdg-service service_name [ [ all ] | [ callid call_id ]] 
 ->View a list of ePDG subscribers currently accessing the system per ePDG service.

show crypto managers summary ipsec-sa-stats 
---Need to collect with some iterations to check ipsec associations stats

تحذير: عند مطالبتك بجمع سجلات مثل سجلات تصحيح الأخطاء ومراقبة التسجيل و mon-sub و mon pro، يمكنك دائما التجميع في نافذة الصيانة ومراقبة الحمل على وحدة المعالجة المركزية (CPU) دائما.

تحليل 

هذا مثال على صيغة لمعدل نجاح جلسات عمل الإرفاق الأولي ل ePDG:

Initial Attach Sessions Success Rate ==((totsetupsuccess / totsetupattempt )*100)

من مرجع الإحصائيات والعدادات - أوصاف Bulkstatistic، يمكنك العثور على العدادات المستخدمة في الصيغة لمعرفة معناها.

epdg totsetup-attempt- Total number of epdg session setup attempts. Increments upon receiving IKE_AUTH (CFG_REQ) for ePDG session creation.

epdg totsetup-success Total number of epdg session setup success. Increments upon successful IPv4/IPv6/Dual Stack ePDG session call setup.                

من محرك الأقراص المزود بذاكرة مصنوعة من مكونات صلبة (SSD)، يمكنك الاطلاع show crash list على الإخراج لمعرفة ما إذا كان هناك أي عدد كبير/مستمر من الأعطال التي تؤدي إلى انخفاض مؤشر الأداء الأساسي (KPI).

من SSD، يمكنك التحقق من show license info وإخراجshow resource لمعرفة ما إذا كان الترخيص غير منتهي الصلاحية أو أن عدد جلسات العمل يقع ضمن الحد المسموح به.

******** show resources ******* Wednesday December 07 16:58:25 IST 2022 EPDG Service: In Use : 1118147 Max Used : 1450339 ( Tuesday November 29 00:06:00 IST 2022 ) Limit : 1600000 License Status : Within Acceptable Limits >>>>>

من مخرجات الأمر show epdg-service statistics ، يمكن التحقق من سبب الفشل الذي يتم زيادته.

******** show epdg-service statistics ******* Session Disconnect reason: Remote disconnect: 580994781 Admin disconnect: 168301 Idle timeout: 0 Absolute timeout: 0 Long duration timeout: 0 Session setup timeout: 169445470 No resource: 185148 Auth failure: 7634409 Flow add failure: 0 Invalid dest-context: 0 Source address violation: 42803 LMA Revocations(non-HO): 0 Duplicate Request: 19973167 Addr assign failure: 0 LTE/Other handoff: 1310701444 Miscellaneous reasons: 456928065 MIP-reg-timeout : 0 Invalid-APN : 0 ICSR Procedure : 0 Local PGW Res. Failed : 10424 Invalid QCI : 0 UE Redirected : 0 Roaming Mandatory : 0 Invalid IMEI : 3 

ومن بين الآثار الإشكالية، يمكن العثور على سبب الرفض ويمكن مقارنته مع المسار غير الإشكالي لأي تباين.

بعض السيناريوهات التي يمكنك الحصول عليها من الآثار:

في الحالة 1 (القطر دون الاشتراك)، بعد تحليل المسارات، يلاحظ أن طلب EAP بالقطر يتم إرساله إلى خادم AAA. ومع ذلك، تشير الاستجابة المتلقاة إلى حدوث فشل مع رمز السبب DIAMETER_ERROR_USER_NO_APN_SUBSCRIPTION. كنتيجة لذلك، حيث تسجل عبارة بيانات حزمة الخدمة (SPGW) نفس الفشل بسبب قطع الاتصال يعتبر diameter-no-subscription. هذا السلوك طبيعيا للمستخدم دون اشتراك، نظرا لأنه يتم رفضه بواسطة خادم المصادقة والتفويض والمحاسبة (AAA) في وقت العملية.

ملاحظة: احصل على التحقق من اشتراك APN في AAA/HSS للحصول على رقم الاختبار، وقم بالترتيب للاختبار عبر الإنترنت، إن أمكن، لنفس الشيء.

في الحالة 2 (جلسة-setup-timeout)، عند تحليل الآثار، يلاحظ أن إعداد الجلسة يتم رفضه بسبب قطع الاتصال Session-setup-timeout. كشف المزيد من التحقيق أن ePDG يرسل رسالةEGTP_CREATE_SESSION_REQUEST إلى SPGW، ولكنه لا يتلقى أي إستجابة لنفس الشيء. ويمكن ملاحظة أن ثلاثة طلبات متتالية أرسلت دون تلقي أي رد.

Solution : In such cases mostly need to check why SPGW is not sending any response towards EPDG because EPDG maintains this setup timer within which it needs to have the response

في CASE-3، يتم إرسال طلب باسم نقطة وصول (APN) محدد إلى PGW، لكن يتم رفضه مع رمز السبب  EGTP_CAUSE_USER_AUTHENTICATION_FAILED.

Solution : Here the issue can be either at HSS or EPDG itself need to check the authentication parameters being exchanged between EPDG/HSS/AAA          

للتحقيق في جميع الحالات المذكورة، من الضروري التقاط سجلات تصحيح الأخطاء للحصول على تحليل أكثر تفصيلا. وتتم دراسة هذه السجلات وفقا لمعيار 3GPP، واستنادا إلى النتائج، يمكن تحديد خطة عمل أو حل بديل مناسب. ومن المهم ملاحظة أن مسار العمل يمكن أن يختلف تبعا للسيناريو المحدد.