Introduzione
Questo documento descrive come identificare e raccogliere i dati quando il traffico sulla WAN è in perdita ma sul perimetro SD-WAN non si osservano cadute.
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Software Cisco Defined Wide Area Network (SD-WAN)
- Embedded Packet Capture o vManage Packet Capture
- Wireshark
- Microsoft Excel
Componenti usati
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
- C800V versione 17.03.04
- vManage versione 20.3.4
- Wireshark versione 2.6.3
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Introduzione
Per raccogliere questa sfida, la procedura descritta in questo documento mostra come contrassegnare il traffico specifico con DSCP (Differentiated Services Code Point) per aiutare a identificare i pacchetti desiderati. Il protocollo DSCP può essere utilizzato per identificare il traffico, in quanto questo valore viene copiato dall'intestazione del pacchetto interno all'intestazione IPsec. Una volta identificati i pacchetti desiderati, viene mostrato come far corrispondere il traffico su due WAN acquisite per garantire il traffico tra l'origine e la destinazione.
Per dimostrare questa tecnica di risoluzione dei problemi, vengono usati due singoli siti router. In questo caso, il traffico ICMP da 10.0.0.10 a 10.0.2.10 sotto forma di 100 ping, come mostrato nell'immagine. In questo esempio non vi è alcuna perdita, ma viene utilizzata la stessa tecnica di risoluzione dei problemi nel caso in cui vi sia una perdita per identificarla.
Risoluzione dei problemi del processo
Processo di panoramica
- Per il traffico tracciato sulla WAN, è necessario un elenco degli accessi (ACL) (o criterio centralizzato) per contrassegnare il traffico con un valore DSCP inutilizzato. Nell'esempio viene utilizzato DSCP 27.
- Dopo aver contrassegnato il traffico, l'acquisizione dei pacchetti incorporata viene utilizzata per acquisire i pacchetti sull'interfaccia di trasporto del router di origine e di destinazione.
Nota: è possibile utilizzare anche vManage packet capture, sebbene sia previsto un limite di 5 MB di dati o 5 minuti di runtime.
- Una volta acquisite le immagini, aprirle in Wireshark per visualizzarle.
- Il filtro viene applicato in Wireshark per mostrare quali pacchetti sono desiderati e quindi vengono confrontati.
- Microsoft Excel viene utilizzato per le acquisizioni di grandi dimensioni per garantirne l'accuratezza.
Contrassegnare il traffico desiderato con DSCP
Un elenco degli accessi, come nell'esempio, è configurato sul router di origine (cEdge1 nell'esempio) e applicato all'interfaccia nella parte SD-WAN della configurazione del router, come mostrato.
Viene applicato un contatore facoltativo per verificare che il traffico raggiunga il criterio come previsto. Per verificare questa condizione, usare il comando show sdwan policy access-list-counters.
policy
access-list mark_dscp_27
sequence 10
match
source-ip 10.0.0.10/32
destination-ip 10.0.2.10/32
!
action accept
count MARK_DSCP_27_COUNT (optional counter to verify packets that hit the policy)
set
dscp 27
!
!
!
default-action accept
sdwan
interface GigabitEthernet3
access-list mark_dscp_27 in
Acquisire il traffico con l'acquisizione integrata
Nota: Come configurare un'acquisizione di pacchetti incorporata in Cisco IOS XE per acquisire i pacchetti crittografati che attraversano la WAN, passare all'esempio di configurazione di Embedded Packet Capture per Cisco IOS e Cisco IOS XE
Nota: È necessario utilizzare un ACL per limitare l'EPC sulla WAN, in quanto potrebbe essere superiore al limite di velocità di 1000 PPS per l'EPC.
Esempio
Un ACL è configurato su cEdge1 e cEdge3 poiché nell'esempio riportato il traffico viene controllato solo nella direzione da origine a destinazione.
Nota: Gli indirizzi IP della WAN sono usati per filtrare l'acquisizione. Per identificare il percorso del traffico e identificare gli IP WAN corretti per il filtro ACL, è possibile usare più output. I comandi che possono essere utilizzati per generare questo output sono i flussi cflowd show sdwan app-fwd e il percorso del servizio criteri sdwan. Passare alla traccia del pacchetto condizionale per la condizione di debug.
ip access-list extended CAP-Filter
10 permit ip host 192.168.23.149 host 192.168.28.240
A questo punto, le riprese vengono avviate su entrambi i router e vengono inviati 100 ping attraverso la sovrapposizione.
#ping vrf 10 10.0.2.10 rep 100
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 10.0.2.10, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 100 percent (100/100), round-trip min/avg/max = 1/1/4 ms
Dopo aver interrotto le clip e averle raccolte da entrambi i router, occorre aprirle in Wireshark per visualizzarle.
Analisi tramite Wireshark
Una volta aperta l'acquisizione cEdge1 in Wireshark, si osserverà che tutto il traffico è crittografato e non è facile decifrare i pacchetti che sono stati inviati.
Filtrare questa acquisizione con un filtro di visualizzazione ip.dsfield.dscp == 27, si osserverà che nella parte inferiore dello schermo vengono visualizzati solo 100 pacchetti e che il valore della colonna DSCP mostra tutti 27.
In alcuni casi in cui il valore DSCP viene mantenuto sulla WAN, lo stesso filtro può essere utilizzato sull'acquisizione di destinazione.
In altri casi, ciò non è possibile, ad esempio in una situazione in cui il valore DSCP viene cancellato attraverso una connessione Internet pubblica.
Filtra il traffico desiderato per sequenza ESP
In entrambi i casi, il traffico può essere identificato con i numeri di sequenza ESP.
Per visualizzare i numeri di sequenza ESP nel pacchetto, fare clic con il pulsante destro del mouse sull'acquisizione e scegliere Decodifica come mostrato.
Selezionare il menu a discesa Campo corrente e in tale campo digitare UDPENCAP o selezionarlo dall'elenco a discesa.
Al termine, selezionare OK.
All'interno della sezione Wireshark Packet Details, espandere la parte Encapsulating Security Payload del pacchetto per visualizzare la sequenza ESP.
Fare clic con il pulsante destro del mouse su ESP Sequence e scegliere apply as column in modo che la sequenza ESP possa essere visualizzata come una colonna nella sezione Packet List nella parte superiore della schermata Wireshark.
Nota: L'SPI ESP per i pacchetti su cEdge1 è 0x040001dc. Utilizzato per un filtro sull'acquisizione di destinazione.
Aprire l'acquisizione di destinazione, ripetere i passaggi per decodificarla come UDPENCAP e visualizzare i numeri di sequenza ESP nei pacchetti.
Una volta che i pacchetti visualizzano il numero di sequenza ESP, lo SPI ESP della prima acquisizione può essere utilizzato come filtro sulla seconda acquisizione per visualizzare solo il traffico all'interno di tale SPI che corrisponde al traffico desiderato.
I numeri di sequenza dei pacchetti che corrispondono a entrambi hanno il contrassegno DSCP 27.
Questo confronto può essere eseguito manualmente in Wireshark oppure può essere utilizzato per eseguire questo confronto.
Per poter utilizzare Microsoft Excel per il confronto, è necessario suddividere in porzioni entrambe le clip in modo che contengano solo i pacchetti che si trovano in entrambe le clip.
Nell'acquisizione di origine, il primo pacchetto rilevante ha la sequenza ESP 306 e corrisponde al numero di pacchetto 451.
L'ultimo pacchetto rilevante nell'acquisizione di origine ha la sequenza ESP 405 ed è il numero di pacchetto 550.
Nell'acquisizione di destinazione, il primo pacchetto rilevante corrisponde all'acquisizione di origine con sequenza ESP 306, ma in questa acquisizione è il pacchetto 463.
L'ultimo pacchetto rilevante è presente anche con la sequenza ESP 405 ed è il pacchetto 564.
A questo punto, la prima acquisizione deve essere suddivisa in porzioni in modo da includere solo i pacchetti rilevanti.
Passare a File > Esporta dissezioni pacchetti > Come CSV...
Selezionare Acquisito e Intervallo e nel campo Intervallo digitare l'intervallo dal primo pacchetto rilevante all'ultimo pacchetto rilevante.
Immettere un nome file nel campo Nome file e fare clic su Salva.
Ripetere la stessa procedura sull'acquisizione 2 per i pacchetti interessati.
Aprire entrambi i file CSV in Microsoft Excel.
Sul file CSV di acquisizione di origine, salvare come formato XLSX.
Nella parte inferiore dello schermo, selezionare il simbolo + per aggiungere un altro foglio. Denominatela CAP2_slice.
Aprire il file CSV CAP2 e premere CTRL + a per selezionare tutto e CTRL + c per copiarlo.
Passare al file CAP1_slice.xlsx e nella seconda scheda di CAP2_slice incollare (CTRL + v) le informazioni copiate nella cella A1.
Tornate al foglio CAP1_slice e create una nuova colonna denominata COMPARE_ESP_SEQUENCE.
Poiché il numero di sequenza ESP si trova nella colonna G, comporre un comando CERCA.VERT come mostrato per confrontare i due fogli per assicurarsi che tutto nella colonna G sull'origine si trovi nella colonna G sulla destinazione.
=SE(VAL.NON.DISP(CERCA.VERT(G2;CAP2_slice!G:G;1;FALSO));"MANCANTE";"PRESENTE")
Dopo aver selezionato Invio, viene visualizzata la parola PRESENTE. Ciò significa che il pacchetto con sequenza ESP 306 è presente nel secondo foglio. Questo è significativo perché significa che il pacchetto è stato creato tra l'origine e la destinazione.
Selezionare Colonna O Riga 2 e posizionare il puntatore del mouse sull'angolo inferiore destro della casella verde intorno a tale cella.
Selezionare e tenere premuto e trascinare il mouse verso il basso per copiare la formula nella parte inferiore delle celle contenenti valori.
Scorrete il foglio fino alla parte superiore e fate clic su COMPARE_ESP_SEQUENCE. Quindi selezionare Ordina e filtra.
Scegliere Filtro dal menu a discesa.
Nella colonna COMPARE_ESP_SEQUENCE viene visualizzato un menu a discesa.
Fare clic sul menu a discesa nell'intestazione COMPARE_ESP_SEQUENCE. Si noti che in questo esempio l'unico valore visualizzato è PRESENCE. Ciò significa che tutti i pacchetti sono presenti in entrambe le clip.
Per creare un esempio problematico, eliminare 10 pacchetti dalla slice CAP2_slice, per dimostrare come questa operazione funzionerebbe in un test in cui mancano alcuni pacchetti.
Tornate al foglio CAP1_slice e ora sono 10 i pacchetti mancanti.
Quando si seleziona il menu a discesa nella colonna COMPARE_ESP_SEQUENCE, si noterà che anche vi sono pacchetti MANCANTI. Questa opzione può essere attivata e disattivata per visualizzare solo i pacchetti MANCANTI.
Ora solo i pacchetti mancanti vengono visualizzati nel foglio di Excel.
DSCP è diverso sul ricevitore
In alcuni scenari, il valore DSCP impostato viene cancellato dall'ISP, quindi non corrisponde sul lato ricevente con il valore DSCP impostato sul mittente. Un altro strumento utile per integrare questo scenario e tenere traccia dei pacchetti è l'ESP SPI e il numero di sequenza ESP.
Il DSCP deve essere usato per identificare i pacchetti interessanti dal mittente. Il numero di sequenza ESP di tali pacchetti specifici può quindi essere confrontato con l'acquisizione del destinatario. A differenza del contrassegno DSCP, il numero di sequenza ESP non può essere modificato in quanto è incorporato nella funzionalità IPSEC SD-WAN. Ciò rende il numero di sequenza ESP utile nel tracciare i pacchetti interessanti (abbinati da DSCP sul mittente) attraverso la struttura sottostante.
Per confrontare i numeri di sequenza ESP, è possibile aggiungere il numero di sequenza ESP come colonna in Wireshark e confrontare le acquisizioni in entrata e in uscita.
Quando si apre la cattura di pcap in Wireshark, per poter visualizzare ESP SPI e il numero di sequenza, espandere un pacchetto, fare clic con il pulsante destro del mouse e selezionare le preferenze di protocollo, cercare UDPENCAP e modificare la porta predefinita sulla porta SD-WAN (porta di origine), come mostrato nella figura.
Dopo aver installato UDPENCAP con la porta corretta, le informazioni ESP vengono visualizzate come mostrato nell'immagine.
Nota: Per ulteriori informazioni su ESP su SD-WAN, fare riferimento alla sezione Risoluzione dei problemi relativi ai guasti di SD-WAN cEdge IPsec Anti Replay
Informazioni correlate