Resolución de problemas de túneles IPsec y planos de control comunes con capturas de paquetes

Opciones de descarga

  • PDF     (2.6 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (2.5 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:5 de diciembre de 2023
ID del documento:221221

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo las capturas de paquetes, otras herramientas, ayudan con los problemas del plano de control cuando se negocia la VPN de sitio a sitio en los routers Cisco IOS® XE.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Conocimiento básico de la configuración CLI de Cisco IOS®.
    • Conocimientos fundamentales de IKEv2 e IPsec.

    Componentes Utilizados

    La información que contiene este documento se basa en estas versiones de software:

    • CSR1000V: software Cisco IOS XE con versión 16.12.0.

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    Las capturas de paquetes son una potente herramienta que le ayuda a verificar si los paquetes se están enviando o recibiendo entre dispositivos de pares VPN. También confirman si el comportamiento observado con las depuraciones IPSec se alinea con el resultado obtenido en las capturas, ya que las depuraciones son una interpretación lógica y la captura representa la interacción física entre los pares. Debido a esto, puede confirmar o descartar problemas de conectividad.

    Herramientas útiles

    Hay herramientas útiles que le ayudan a configurar las capturas, extraer el resultado y analizarlo más a fondo. Algunos de ellos son:

    • Wireshark: se trata de un analizador de paquetes de código abierto conocido y utilizado.
    • Supervisar capturas: la función Cisco IOS XE en los routers le ayuda a recopilar capturas y le proporciona una salida ligera del aspecto del flujo de tráfico, el protocolo recopilado y sus marcas de tiempo.

    Cómo Configurar Capturas en el Router IOS XE

    Configure Captures on IOS XE Router

    Una captura utiliza una lista de acceso ampliada (ACL) que define el tipo de tráfico que se va a recopilar, así como las direcciones de origen y destino de los pares VPN o los segmentos del tráfico interesante. Una negociación de túnel utiliza el puerto UDP 500 y el puerto 4500 si NAT-T está habilitado a lo largo de la trayectoria. Una vez que se completa la negociación y se establece el túnel, el tráfico interesante utiliza el protocolo IP 50 (ESP) o UDP 4500 si NAT-T está habilitado.

    Para resolver problemas relacionados con el plano de control, se deben utilizar las direcciones IP de los pares VPN para capturar cómo se negocia el túnel.

    VPN Peers IP Addresses Must be Used

    config terminal
    ip access-list extended <ACL name>
    permit udp host <local address> host <peer address>
    permit udp host <peer address> host <source address>
    exit
    exit

    La ACL configurada se utiliza para restringir el tráfico capturado y se coloca en la interfaz utilizada para negociar el túnel.

    Configured ACL Used to Narrow the Captured Traffic

    Side-A and Side-B

    monitor capture <capture name> access-list <ACL name> buffer size <custom buffer size in MB> interface <source interface of teh router> both

    Una vez configurada la captura, se puede manipular para detenerla, borrarla o extraer el tráfico recopilado con los siguientes comandos:

    • Verifique la información general de captura: show monitor capture
    • Iniciar/detener la captura: supervisar inicio/detención del límite de captura
    • Verifique que la captura esté recopilando paquetes: show monitor capture cap buffer
    • Vea una breve salida del tráfico: show monitor capture cap buffer brief
    • Borrar la captura: monitor capture cap clear
    • Extraiga el resultado de la captura:
      • monitor cap buff dump                             
      • monitor capture cap export bootflash:capture.pcap

    Análisis del establecimiento del túnel con capturas de paquetes

    Como se mencionó anteriormente, para negociar el túnel IPSec, los paquetes se envían a través de UDP con el puerto 500 y el puerto 4500 si NAT-T está habilitado. Con las capturas, se puede ver más información de esos paquetes, como la fase que se está negociando (fase 1 o fase 2), la función de cada dispositivo (iniciador o respondedor) o los valores SPI que se acaban de crear.

    Analyze Tunnel Establishment with Packet Captures

    Al mostrar el resultado breve de la captura del router, se observa la interacción entre los pares, que envían paquetes UDP.

    Output of Capture from the Router

    Después de extraer el volcado y exportar el archivo pcap del router, se puede ver más información de los paquetes mediante wireshark.

    Information from the Packets is Visible Using Wireshark

    En la sección Internet Protocol (Protocolo de Internet) del primer paquete de intercambio IKE_SA_INIT enviado, se encuentran las direcciones de origen y destino del paquete UDP. En la sección User Datagram Protocol , se ven los puertos utilizados y la sección Internet Security Association and Key Management Protocol , la versión del protocolo, el tipo de mensaje que se intercambia y la función del dispositivo, así como el SPI creado. Cuando se recopilan depuraciones IKEv2, se presenta la misma información en los registros de depuración.

    Internet Protocol Section Sent

    Internet Protocol Section Sent

    Cuando se lleva a cabo la negociación de intercambio IKE_AUTH, la carga útil se cifra, pero se ve cierta información sobre la negociación, como el SPI creado anteriormente y el tipo de transacción que se está realizando.

    Payload is Encrypted but Some Information about the Negotiation is Visible

    Una vez que se recibe el último paquete de intercambio IKE_AUTH, se completa la negociación del túnel.

    Tunnel Negotiation Completed

    Transacción Cuando NAT está entre

    Transaction When NAT is in Between

    Nat-transversal es otra característica que se puede ver cuando se lleva a cabo la negociación de túnel. Si un dispositivo intermedio está navegando una o ambas direcciones utilizadas para el túnel, los dispositivos cambian el puerto UDP de 500 a 4500 cuando se negocia la fase 2 (IKE_AUTH Exchange).

    Captura tomada en el lado A:

    Capture Taken on Side-A

    Captura tomada en el lado B:

    Capture Taken on Side-B

    Problemas comunes del plano de control

    Puede haber factores locales o externos que afecten a la negociación del túnel y que también se puedan identificar con capturas. Los siguientes escenarios son los más comunes.

    Discordancia de configuración

    Este escenario se puede resolver observando cada configuración de fase 1 y fase 2 del dispositivo. Sin embargo, puede haber escenarios en los que no haya acceso al extremo remoto. Captura ayuda identificando qué dispositivo envía NO_PROPOSAL_CHOSEN dentro de los paquetes de la fase 1 o 2. Esa respuesta indica que algo puede estar mal con la configuración y qué fase debe ajustarse.

    Configuration Mismatch

    Retransmisiones

    Una negociación de túnel IPSec puede fallar debido a que los paquetes de negociación se descartan a lo largo de la trayectoria entre los dispositivos finales. Los paquetes descartados pueden ser paquetes de fase 1 o fase 2. Cuando este es el caso, el dispositivo que espera un paquete de respuesta retransmite el último paquete, y si no hay respuesta después de 5 intentos, el túnel se concluye y se reinicia desde el principio.

    Las capturas a cada lado del túnel ayudan a identificar qué podría bloquear el tráfico y en qué dirección se ve afectado.

    Retransmissions

    UDP Packets from Side-A are Blocked

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    05-Dec-2023
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Ángel Sánchez García
      Ingeniero de consultoría técnica

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos