ePDGのInitial Attach Success Rate(ATTACH)低下のトラブルシューティング

はじめに

このドキュメントでは、Evolved Packet Data Gateway(ePDG)でのInitial Attach Success Rate(ASR)の低下に関連する問題について説明します。

概要

初期ASRは、セッションセットアップ試行の総数の成功率を示す重要なメトリックです。

Key Performance Indication(KPI)の式には、ePDGセッションの設定試行の総数とePDGセッションの設定成功の総数が含まれます。成功の試行回数が減少すると、KPI全体が低下します。

基本的な事前確認

ePDG機能に関して、インターネットプロトコルセキュリティ(IPsec)はIPsecトランザクションを処理するプロセスです。したがって、ePDGのケースでは、問題のトラブルシューティングに進む前に事前チェックの一部に従う必要があります。

1. これらのカードでipsecmgrが実行されている場合のDPCカードの状態を確認します。DPCカードは、アクティブステートである必要があります（スタンバイカードを除く）。

show card table

2. 同様の各カードのリソースの状態を確認しsessmgr/ipsecmgr  て、各カードごとのセッション数にトラフィックフローの異常なパターンが見られるかどうか、あるいはこれらのプロセスがwarn/over状態sessmgr/ipsecmgr  になっているかどうかを確認します。 たとえば、この出力では、次のようにipsecmgr がover状態であることが分かります。

[local]abc# show task resources | grep -v good Thursday January 19 19:41:15 UTC 2023 task cputime memory files sessions cpu facility inst used allc used alloc used allc used allc S status ----------------------- ----------- ------------- --------- ------------- ------ 3/0 ipsecmgr 261 0.28% 75% 383.4M 300.0M 196 1500 30 6000 - over 3/0 ipsecmgr 262 0.23% 75% 378.0M 300.0M 185 1500 28 6000 - over 3/0 ipsecmgr 263 0.46% 75% 382.7M 300.0M 197 1500 30 6000 - over 3/0 ipsecmgr 264 0.22% 75% 383.7M 300.0M 212 1500 27 6000 - over ....

セッションの分散が不均等なカード4と5でsessmgrsを実行する例を次に示します。

[local]xyx# show task resources max | grep -i sess Monday February 17 21:52:38 UTC 2023 task cputime memory files sessions 4/0 sessmgr 45 12% 100% 429.9M 2.00G 129 500 4260 26000 I good 4/0 sessmgr 48 12% 100% 428.8M 2.00G 129 500 4267 26000 I good 4/0 sessmgr 49 12% 100% 428.5M 2.00G 129 500 4274 26000 I good 4/0 sessmgr 52 12% 100% 428.3M 2.00G 129 500 4258 26000 I good 5/0 sessmgr 5002 2.34% 50% 87.46M 190.0M 89 500 -- -- S good 5/0 sessmgr 2 12% 100% 458.5M 2.00G 107 500 9279 26000 I good 5/0 sessmgr 3 13% 100% 459.9M 2.00G 106 500 9281 26000 I good

3. IPSecレベルで廃棄が発生した場合の暗号統計情報を確認します。

show crypto managers detail     ----------------- this command shows statistics per ipsec so we can check if any drops
show crypto statistics ikev2    ----------------- this command shows overall ikev2 statistics for EPDGs for different msg flows

注：特定のカードのIPSec/sessmgrがユーザセッション/トラフィックを受信できず、前述の統計情報でIPSecレベルでの廃棄が明確に確認できる問題が、カードレベルで発生する場合があるため、事前チェックは重要です。

必要なログ


問題をより適切にトラブルシューティングするためのポイント：

• 問題が発生した時点（問題が発生した正確な日時を参照）
• ネットワークまたは設定に変更を加えましたか。
• ePDGのASRに使用される数式
• 影響を受けるサークル内にePDGがいくつあり、その中には、すべてのePDGまたは1つの特定のEPDで見られる問題があります

収集するログを次に示します。

• 問題が開始する前、問題が発生している間、および問題が発生した後（問題が発生しなくなった場合）に、ノードからサポートの詳細(SSD)を表示します。
• 問題の発生前（比較検討）と発生後（問題が発生していない場合）の1週間のsyslog。
• Simple Network Management Protocol(SNMP)トラップを問題発生前（比較用）と問題発生後（問題が発生しなくなった場合）の1週間にわたってトラップし、問題発生時刻と問題発生後に対処します。
• 問題の1週間前のバルクステータス（比較調査）。問題発生時刻と問題発生後（問題が発生していない場合）を対象としています。
• Monsubは、次のオプションに従って収集されます。

monitor subscriber with options S, X, A, Y, 19, 33, 34, 35, 26, 37, 40, 50, 88, 89. Collect traces at verbosity 5 for problematic and non-problematic number.

• 3 SSDを30 ～ 45分間隔で使用して、拒否の理由を見つけます。

注：切断理由519 ～ 533は、ePDGセッション拒否用です。

• 問題のあるノードと問題のないノードの設定を比較する必要があります。

show configuration

show configuration verbose

• ログのデバッグに必要：

logging filter active facility sessmgr level <critical/error> logging filter active facility ipsec level <critical/error> logging filter active facility ikev2 level <critical/error> logging filter active facility epdg level <critical/error> logging filter active facility diameter level<critical/error> logging filter active facility egtpc level<critical/error> logging active ------------------- to enable debug logs no logging active --------------- to disable debug logs Note :: Above mentioned debug logs are taken considering debug logs at the level of critical/error but we can capture at debug level also as per need basis e.g logging filter active facility egtpc level debug

• トラブルシューティングに役立つコマンドの出力：

show epdg-service all counters   
-> View ePDG service information and statistics

show epdg-service statistics     
-> View ePDG service statistics

show epdg-service session all    
-> View ePDG service session information

show egtpc statistics interface edpg-egress debug-info    
-> View egtpc statistics for  ePD-egress

show session [ disconnect-reasons | duration | progress | setuptime | subsystem ] 
-> iew additional session statistics.

show crypto statistics ikev2     
-> View IKEv2 statistics

show diameter aaa-statistics all 
->View Diameter AAA server statistics.

show subscribers epdg-only [ [ all ] | [ callid call_id ]]   
-> View a list of ePDG subscribers currently accessing the system.

show subscribers epdg-service service_name [ [ all ] | [ callid call_id ]] 
 ->View a list of ePDG subscribers currently accessing the system per ePDG service.

show crypto managers summary ipsec-sa-stats 
---Need to collect with some iterations to check ipsec associations stats

警告：デバッグログ、logging monitor、mon-sub、mon proなどのログの収集を求められた場合は、必ずメンテナンスウィンドウで収集を行い、CPUの負荷を常に監視してください。

分析 

次に、ePDG初期加入セッション成功率の式の例を示します。

Initial Attach Sessions Success Rate ==((totsetupsuccess / totsetupattempt )*100)

「統計情報とカウンタのリファレンス：バルク統計情報の説明」では、その意味を知るために式で使用されるカウンタを確認できます。

epdg totsetup-attempt- Total number of epdg session setup attempts. Increments upon receiving IKE_AUTH (CFG_REQ) for ePDG session creation.

epdg totsetup-success Total number of epdg session setup success. Increments upon successful IPv4/IPv6/Dual Stack ePDG session call setup.                

SSDから出力を確認して、KPI低下の原因となるクラッシュが連続しているか、またはクラッシュの数が多いかを確認できますshow crash list。

SSDでshow license infoおよびshow resourceの出力を調べて、ライセンスが期限切れでないか、セッションカウントが制限内かどうかを確認できます。

******** show resources ******* Wednesday December 07 16:58:25 IST 2022 EPDG Service: In Use : 1118147 Max Used : 1450339 ( Tuesday November 29 00:06:00 IST 2022 ) Limit : 1600000 License Status : Within Acceptable Limits >>>>>

show epdg-service statisticsコマンドの出力から、増加している障害原因を確認できます。

******** show epdg-service statistics ******* Session Disconnect reason: Remote disconnect: 580994781 Admin disconnect: 168301 Idle timeout: 0 Absolute timeout: 0 Long duration timeout: 0 Session setup timeout: 169445470 No resource: 185148 Auth failure: 7634409 Flow add failure: 0 Invalid dest-context: 0 Source address violation: 42803 LMA Revocations(non-HO): 0 Duplicate Request: 19973167 Addr assign failure: 0 LTE/Other handoff: 1310701444 Miscellaneous reasons: 456928065 MIP-reg-timeout : 0 Invalid-APN : 0 ICSR Procedure : 0 Local PGW Res. Failed : 10424 Invalid QCI : 0 UE Redirected : 0 Roaming Mandatory : 0 Invalid IMEI : 3 

問題のあるトレースから、拒否の理由を見つけ、不一致の問題のないトレースと比較できます。

トレースから得られるシナリオの一部を次に示します。

ケース1(diameter-no-subscription)では、トレースを分析した後、Diameter EAP要求がAAAサーバに送信されることが確認されます。ただし、受信した応答は原因コードの障害を示します。その結果、Serving Packet Data Gateway(SPGW) DIAMETER_ERROR_USER_NO_APN_SUBSCRIPTION. は同じ障害を切断理由で登録します。diameter-no-subscription. この動作は、サブスクリプションのないユーザでは通常と見なされ、プロセス時に認証、認可、およびアカウンティング(AAA)サーバによって拒否されます。

注:AAA/HSSでテスト番号についてAPNサブスクリプションをチェックし、可能であれば同じ番号についてオンラインテストを手配してください。

ケース2(Session-setup-timeout)では、トレースの分析時に、セッションセットアップが切断の理由で拒否されていることが確認できます。Session-setup-timeout. さらに調査した結果、ePDGからSPGWにEGTP_CREATE_SESSION_REQUESTが送信されているものの、応答が受信されていないことがわかりました。応答を受信することなく、要求が3回連続して送信されていることが確認できます。

Solution : In such cases mostly need to check why SPGW is not sending any response towards EPDG because EPDG maintains this setup timer within which it needs to have the response

ケース3では、特定のアクセスポイント名(APN)の要求がPGWに送信されていますが、原因コードで拒否されています  EGTP_CAUSE_USER_AUTHENTICATION_FAILED.

Solution : Here the issue can be either at HSS or EPDG itself need to check the authentication parameters being exchanged between EPDG/HSS/AAA          

前述のすべてのケースを調査するには、より詳細な分析のためにデバッグログをキャプチャする必要があります。これらのログは3GPP標準に従って検査され、その結果に基づいて適切なアクションプランや回避策を決定できます。アクションのコースは、特定のシナリオによって異なる可能性があることに注意してください。