Risoluzione dei problemi relativi ai tunnel IPsec e ai Control-Plane comuni con le acquisizioni dei pacchetti

Opzioni per il download

  • PDF     (2.6 MB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (2.5 MB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (1.8 MB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:5 dicembre 2023
ID documento:221221

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

    Introduzione

    Questo documento descrive come acquisire pacchetti, altri strumenti, aiutano con problemi del control plane quando viene negoziata la VPN da sito a sito sui router Cisco IOS® XE.

    Prerequisiti

    Requisiti

    Cisco raccomanda la conoscenza dei seguenti argomenti:

    • Conoscenze base della configurazione della CLI di Cisco IOS®.
    • Conoscenze base di IKEv2 e IPsec.

    Componenti usati

    Le informazioni fornite in questo documento si basano sulle seguenti versioni software:

    • CSR1000V - Software Cisco IOS XE con versione 16.12.0.

    Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.

    Premesse

    Le acquisizioni dei pacchetti sono uno strumento potente per verificare se i pacchetti vengono inviati/ricevuti tra dispositivi peer VPN. Confermano inoltre se il comportamento rilevato con i debug IPsec è allineato all'output raccolto sulle acquisizioni poiché i debug sono un'interpretazione logica e l'acquisizione rappresenta l'interazione fisica tra peer. Per questo motivo, è possibile confermare o eliminare i problemi di connettività.

    Strumenti utili

    Sono disponibili strumenti utili che consentono di configurare le acquisizioni, estrarre l'output e analizzarlo ulteriormente. Alcuni di essi sono:

    • Wireshark: questo è un analizzatore di pacchetti open-source conosciuto e usato.
    • Acquisizioni monitor: funzionalità Cisco IOS XE sui router che consente di raccogliere le acquisizioni e di fornire un output leggero dell'aspetto del flusso di traffico, del protocollo raccolto e dei relativi timestamp.

    Come configurare le acquisizioni sul router IOS XE

    Configure Captures on IOS XE Router

    Un'acquisizione utilizza un elenco degli accessi esteso (ACL) che definisce il tipo di traffico da raccogliere, nonché gli indirizzi di origine e di destinazione dei peer VPN o dei segmenti del traffico interessato. Una negoziazione del tunnel utilizza la porta UDP 500 e la porta 4500 se NAT-T è abilitato lungo il percorso. Una volta completata la negoziazione e stabilito il tunnel, il traffico interessato utilizza il protocollo IP 50 (ESP) o UDP 4500 se NAT-T è abilitato.

    Per risolvere i problemi relativi al control plane, è necessario utilizzare gli indirizzi IP dei peer VPN per acquisire le modalità di negoziazione del tunnel.

    VPN Peers IP Addresses Must be Used

    config terminal
    ip access-list extended <ACL name>
    permit udp host <local address> host <peer address>
    permit udp host <peer address> host <source address>
    exit
    exit

    L'ACL configurato viene usato per limitare il traffico acquisito e viene posizionato sull'interfaccia usata per negoziare il tunnel.

    Configured ACL Used to Narrow the Captured Traffic

    Side-A and Side-B

    monitor capture <capture name> access-list <ACL name> buffer size <custom buffer size in MB> interface <source interface of teh router> both

    Una volta configurata l'acquisizione, è possibile modificarla in modo da arrestarla, cancellarla o estrarre il traffico raccolto con i comandi successivi:

    • Controllare le informazioni generali sull'acquisizione: show monitor capture
    • Avvia/arresta la cattura: avvio/arresto del cappuccio di cattura del monitor
    • Verificare che l'acquisizione stia raccogliendo pacchetti: show monitor capture cap buffer
    • Visualizza un breve output del traffico: show monitor capture cap buffer brief
    • Cancella l'acquisizione: cancella il coperchio di acquisizione del monitor
    • Estrarre l'output di acquisizione:
      • dump buff cap monitor                             
      • monitor capture cap export bootflash:capture.pcap

    Analisi della definizione del tunnel con le acquisizioni dei pacchetti

    Come accennato in precedenza, per negoziare il tunnel IPSec, i pacchetti vengono inviati su UDP con la porta 500 e la porta 4500 se NAT-T è abilitato. Nelle acquisizioni, è possibile ottenere più informazioni dai pacchetti, ad esempio la fase in fase di negoziazione (fase 1 o fase 2), il ruolo di ciascun dispositivo (iniziatore o risponditore) o i valori SPI appena creati.

    Analyze Tunnel Establishment with Packet Captures

    Mostrando il breve output della cattura dal router, viene rilevata l'interazione tra i peer e vengono inviati pacchetti UDP.

    Output of Capture from the Router

    Dopo aver estratto il dump e aver esportato il file pcap dal router, è possibile visualizzare ulteriori informazioni dai pacchetti utilizzando wireshark.

    Information from the Packets is Visible Using Wireshark

    Nella sezione Internet Protocol del primo pacchetto di scambio IKE_SA_INIT inviato, vengono individuati gli indirizzi di origine e di destinazione del pacchetto UDP. Nella sezione User Datagram Protocol sono visualizzate le porte utilizzate e la sezione Internet Security Association and Key Management Protocol la versione del protocollo, il tipo di messaggio scambiato e il ruolo del dispositivo, nonché l'indice SPI creato. Quando si raccolgono i debug IKEv2, le stesse informazioni vengono presentate nei log di debug.

    Internet Protocol Section Sent

    Internet Protocol Section Sent

    Quando viene eseguita la negoziazione di Exchange IKE_AUTH, il payload è crittografato ma alcune informazioni sulla negoziazione sono visibili, ad esempio l'indice SPI creato in precedenza e il tipo di transazione da eseguire.

    Payload is Encrypted but Some Information about the Negotiation is Visible

    Dopo aver ricevuto l'ultimo pacchetto di scambio IKE_AUTH, la negoziazione del tunnel è completata.

    Tunnel Negotiation Completed

    Transazione se NAT è compreso tra

    Transaction When NAT is in Between

    La funzionalità Nat-Transversal è un'altra funzionalità che può essere rilevata quando viene eseguita la negoziazione del tunnel. Se un dispositivo intermedio specifica uno o entrambi gli indirizzi utilizzati per il tunnel, i dispositivi modificano la porta UDP da 500 a 4500 durante la negoziazione della fase 2 (IKE_AUTH Exchange).

    Acquisizione sul lato A:

    Capture Taken on Side-A

    Acquisizione sul lato B:

    Capture Taken on Side-B

    Problemi comuni relativi al Control Plane

    La negoziazione del tunnel potrebbe essere influenzata da fattori locali o esterni che possono essere identificati anche con le acquisizioni. Gli scenari successivi sono i più comuni.

    Configurazione non corrispondente

    Questo scenario può essere risolto esaminando la configurazione di ogni dispositivo di fase 1 e 2. Tuttavia, potrebbero verificarsi scenari in cui non è possibile accedere all'estremità remota. Cattura l'aiuto identificando quale dispositivo invia un NO_PROPOS_CHOSEN all'interno dei pacchetti nella fase 1 o 2. Questa risposta indica che la configurazione può presentare dei problemi e quale fase deve essere modificata.

    Configuration Mismatch

    Ritrasmissioni

    La negoziazione di un tunnel IPSec può avere esito negativo perché i pacchetti di negoziazione vengono scartati lungo il percorso tra i dispositivi terminali. I pacchetti scartati possono essere pacchetti di fase 1 o 2. In questo caso, il dispositivo che prevede un pacchetto di risposta trasmette nuovamente l'ultimo pacchetto e, se non c'è risposta dopo 5 tentativi, il tunnel viene concluso e riavviato dall'inizio.

    Le clip su entrambi i lati del tunnel aiutano a identificare cosa potrebbe bloccare il traffico e in quale direzione questo viene influenzato.

    Retransmissions

    UDP Packets from Side-A are Blocked

    Cronologia delle revisioni

    Revisione Data di pubblicazione Commenti
    1.0
    05-Dec-2023
    Versione iniziale
    TAC Authored

    Contributo dei tecnici Cisco

    • Angel Sanchez Garcia
      Tecnico di consulenza

    Questo documento ti è stato utile?

    FeedbackFeedback

    Contattaci

    Questo documento si applica a questi prodotti