IP-bronschending oplossen wanneer Verizon de carriers is

Inleiding

Dit document beschrijft hoe u problemen kunt oplossen bij IP-bronoverschrijding, wat een veelvoorkomend probleem is wanneer Verizon de provider is.

Voorwaarden

Vereisten

Cisco raadt u aan een basiskennis te hebben van deze onderwerpen:

• 5G basisfuncties voor mobiele netwerken
• Cisco mobiele gateway 522-E
• Cisco P-5GS6-GL module
• Cisco IOS-XE
• Cisco IOS-CG router

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cellular Gateway 522-E met IOS-CG versie 17.9.5a.
• IR1101 met IOS-XE versie 17.9.5 met een P-5GS6-GL module aangesloten.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Dit is van toepassing op een P-5GS6-GL module die is aangesloten op een router in standalone modus, of een CG522-E in standalone of controllermodus die wordt beheerd door SD-WAN. Dit document is niet van toepassing op een P-5GS6-GL module die is aangesloten op een router in SD-WAN omdat de opdrachtsyntaxis anders is.

Probleem

Verizon wijst een IP-adres toe aan elke klant/SIM en zij verwachten altijd dat zij alleen van die IP afkomstig verkeer ontvangen.

De bronoverschrijding treedt op wanneer Verizon detecteert dat verkeer dat van de client wordt verzonden, afkomstig is van een ander IP dan het IP dat eerder aan deze client is toegewezen.

Als bijvoorbeeld het IP-adres XXX.XXX.4.6 is toegewezen en Verizon verkeer ontvangt van het IP-adres XXX.XXX.8.9, is het probleem aanwezig:

Telkens als Verizon meer dan 10 pakketten van het apparaat met een ander IP-adres ontvangt, knippert de verbinding met het cellulaire netwerk en stopt. Hierdoor wordt een nieuwe verbinding gestart vanaf het mobiele apparaat en kan het hetzelfde IP-adres krijgen als voorheen, of een nieuwe. Het hangt af van de verworven service.

Detecteer het probleem in een P-5GS6-GL module die op een router is aangesloten

Wanneer de getoonde reden voor het verbreken van de verbinding in de uitvoer van de opdracht aanwezig is, is de bronoverschrijding geplaatst:

isr#show cellular 0/X/0 call-history
                           *                           
                           *
[Wed May    8  18:46:26   2024]   Session disconnect reason = Regular deactivation (36)
                           *
                           *

Als de vorige uitvoer geen informatie geeft (vanwege een bufferproces), kan een NetFlow-pakketopname met deze opdrachten worden genomen:

isr#conf t
isr(config)#flow record NETFLOW_MONITOR
isr(config-flow-record)#match ipv4 protocol
isr(config-flow-record)#match ipv4 source address
isr(config-flow-record)#match ipv4 destination address
isr(config-flow-record)#match transport source-port
isr(config-flow-record)#match transport destination-port
isr(config-flow-record)#collect ipv4 source prefix
isr(config-flow-record)#collect ipv4 source mask
isr(config-flow-record)#collect ipv4 destination prefix
isr(config-flow-record)#collect ipv4 destination mask
isr(config-flow-record)#collect interface output
isr(config-flow-record)#exit

isr(config)#flow monitor NETFLOW_MONITOR
isr(config-flow-monitor)#cache timeout active 60
isr(config-flow-monitor)#record NETFLOW_MONITOR
isr(config-flow-monitor)#exit

isr(config)#interface cellular 0/X/0
isr(config-if)#ip flow monitor NETFLOW_MONITOR output
isr(config-if)#exit

De output van de opname zien:

isr#show flow monitor NETFLOW_MONITOR cache format table

Verizon toegewezen IP-adres aan het apparaat kan worden gezien met de opdracht:

isr#show ip interface brief
Interface              IP-Address      OK? Method Status                Protocol
GigabitEthernet0/0/0   unassigned      YES NVRAM  administratively down down 
FastEthernet0/0/1      unassigned      YES unset  down                  down 
FastEthernet0/0/2      unassigned      YES unset  down                  down 
FastEthernet0/0/3      unassigned      YES unset  down                  down 
FastEthernet0/0/4      unassigned      YES unset  down                  down 
Cellular0/1/0          IP_address      YES IPCP   up                    up 
Cellular0/1/1          unassigned      YES NVRAM  administratively down down 
Async0/2/0             unassigned      YES unset  up                    down 
Vlan1                  unassigned      YES unset  up                    down 

Als in de logboeken van de NetFlow verkeer te vangen, wordt het gemeld afkomstig met een ander IP adres dan bevestigd in de cellulaire interface. De bronoverschrijding is aanwezig.

Oplossing voor een P-5GS6-GL module die is aangesloten op een router

Het doel is ervoor te zorgen dat al het verkeer alleen wordt verzonden via de IP die door Verizon is toegewezen. Er zijn verschillende methoden die dit doel bereiken. Hun implementatie hangt af van de implementatie en netwerkvereisten:

• Optie 1: ACL voor uitgaand verkeer

• Met een toegangscontrolelijst kunt u ervoor zorgen dat het verkeer dat vanaf het apparaat wordt verzonden, alleen afkomstig is van Verizon IP-adres:

isr#conf t
isr(config)#ip access-list extended 196
isr(config-ext-nacl)#permit ip host <IP_Assigned_by_Verizon> any
isr(config-ext-nacl)#deny ip any any
isr(config-ext-nacl)#exit

isr(config)#interface cellular 0/X/0
isr(config-if)#ip access-group 196 out
isr(config-if)#end

• Optie 2: NAT voor intern verkeer

• Aan deze eisen moet worden voldaan:
  1. De mobiele interface is ingesteld op "IP NAT buitenkant".
  2. LAN interface is ingesteld als "ip Nat" binnen.
  3. NAT-overload (PAT) is geïmplementeerd zodat alle poorten ook worden vertaald.
  4. Het gebruik van een ACL om verkeer te definiëren als NATed.

Configuratievoorbeeld:

isr#conf t
isr(config)#interface cellular 0/X/0
isr(config-if)#ip nat outside
isr(config-if)#exit

isr(config)#interface vlan 6
isr(config-if)#ip nat inside
isr(config-if)#exit

isr(config)#access-list 20 permit <IPv4_subnet_to_be_NATed> <wildcard>
isr(config)#ip nat inside source list 20 interface cellular 0/1/0 overload

• Optie 3: Voer een IPsec of een andere tunnelconfiguratie uit

• Deze tunnel wordt uitgevoerd met het aan Verizon toegewezen IP-adres. Aangezien al het verkeer binnen het reist, verandert het externe IP adres nooit.

• Optie 4: Voer een routekaart uit

• Als er router-gegenereerd verkeer is, kan een routekaart worden geïmplementeerd zodat het verkeer correct afkomstig is. Bijvoorbeeld, blijft pingelen aan DNS, om ervoor te zorgen er "Internet connectiviteit"is, en een routekaart kan worden uitgevoerd zodat het verkeer correct afkomstig is.

Hiermee wordt de procedure voor het oplossen van bronoverschrijdingen beëindigd in een Cisco P-5GS6-GL-module die op een router is aangesloten.

IP-bronschending in een CG522-E

Standaard wordt een functie om dit probleem op te lossen geactiveerd in de code van deze apparaten.

Bevestig dat het apparaat deze uitvoer toont:

CellularGateway#show cellular 1 drop-stats
Ip Source Violation details:
  Ipv4 Action = Drop
  Ipv4 Packets Drop = 0
  Ipv4 Bytes Drop   = 0
  Ipv6 Action = Drop
  Ipv6 Packets Drop = 0
  Ipv6 Bytes Drop   = 0

De status van de IPv4/IPv6 actie moet worden verlaagd. Dit betekent dat de functie is ingeschakeld.

Opmerking: als in het uitvoerdocument Toestaan staat, is de functie uitgeschakeld.

Met deze opdrachten kan de functie opnieuw worden geactiveerd:

CellularGateway#conf t
CellularGateway(config)# controller cellular 1
CellularGateway(config-cellular-1)# no ip-source-violation-action ipv4-permit
CellularGateway(config-cellular-1)# no ip-source-violation-action ipv6-permit
CellularGateway(config-cellular-1)# commit
Commit complete.
CellularGateway(config-cellular-1)# end

Hiermee beëindigt u de procedure voor het oplossen van bronoverschrijdingen in een Cisco CG522-E.