Inleiding
Dit document beschrijft hoe u problemen kunt oplossen bij IP-bronoverschrijding, wat een veelvoorkomend probleem is wanneer Verizon de provider is.
Voorwaarden
Vereisten
Cisco raadt u aan een basiskennis te hebben van deze onderwerpen:
- 5G basisfuncties voor mobiele netwerken
- Cisco mobiele gateway 522-E
- Cisco P-5GS6-GL module
- Cisco IOS-XE
- Cisco IOS-CG router
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- Cellular Gateway 522-E met IOS-CG versie 17.9.5a.
- IR1101 met IOS-XE versie 17.9.5 met een P-5GS6-GL module aangesloten.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Dit is van toepassing op een P-5GS6-GL module die is aangesloten op een router in standalone modus, of een CG522-E in standalone of controllermodus die wordt beheerd door SD-WAN. Dit document is niet van toepassing op een P-5GS6-GL module die is aangesloten op een router in SD-WAN omdat de opdrachtsyntaxis anders is.
Probleem
Verizon wijst een IP-adres toe aan elke klant/SIM en zij verwachten altijd dat zij alleen van die IP afkomstig verkeer ontvangen.
De bronoverschrijding treedt op wanneer Verizon detecteert dat verkeer dat van de client wordt verzonden, afkomstig is van een ander IP dan het IP dat eerder aan deze client is toegewezen.
Als bijvoorbeeld het IP-adres XXX.XXX.4.6 is toegewezen en Verizon verkeer ontvangt van het IP-adres XXX.XXX.8.9, is het probleem aanwezig:
Telkens als Verizon meer dan 10 pakketten van het apparaat met een ander IP-adres ontvangt, knippert de verbinding met het cellulaire netwerk en stopt. Hierdoor wordt een nieuwe verbinding gestart vanaf het mobiele apparaat en kan het hetzelfde IP-adres krijgen als voorheen, of een nieuwe. Het hangt af van de verworven service.
Detecteer het probleem in een P-5GS6-GL module die op een router is aangesloten
Wanneer de getoonde reden voor het verbreken van de verbinding in de uitvoer van de opdracht aanwezig is, is de bronoverschrijding geplaatst:
isr#show cellular 0/X/0 call-history
*
*
[Wed May 8 18:46:26 2024] Session disconnect reason = Regular deactivation (36)
*
*
Als de vorige uitvoer geen informatie geeft (vanwege een bufferproces), kan een NetFlow-pakketopname met deze opdrachten worden genomen:
isr#conf t
isr(config)#flow record NETFLOW_MONITOR
isr(config-flow-record)#match ipv4 protocol
isr(config-flow-record)#match ipv4 source address
isr(config-flow-record)#match ipv4 destination address
isr(config-flow-record)#match transport source-port
isr(config-flow-record)#match transport destination-port
isr(config-flow-record)#collect ipv4 source prefix
isr(config-flow-record)#collect ipv4 source mask
isr(config-flow-record)#collect ipv4 destination prefix
isr(config-flow-record)#collect ipv4 destination mask
isr(config-flow-record)#collect interface output
isr(config-flow-record)#exit
isr(config)#flow monitor NETFLOW_MONITOR
isr(config-flow-monitor)#cache timeout active 60
isr(config-flow-monitor)#record NETFLOW_MONITOR
isr(config-flow-monitor)#exit
isr(config)#interface cellular 0/X/0
isr(config-if)#ip flow monitor NETFLOW_MONITOR output
isr(config-if)#exit
De output van de opname zien:
isr#show flow monitor NETFLOW_MONITOR cache format table
Verizon toegewezen IP-adres aan het apparaat kan worden gezien met de opdracht:
isr#show ip interface brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0/0 unassigned YES NVRAM administratively down down
FastEthernet0/0/1 unassigned YES unset down down
FastEthernet0/0/2 unassigned YES unset down down
FastEthernet0/0/3 unassigned YES unset down down
FastEthernet0/0/4 unassigned YES unset down down
Cellular0/1/0 IP_address YES IPCP up up
Cellular0/1/1 unassigned YES NVRAM administratively down down
Async0/2/0 unassigned YES unset up down
Vlan1 unassigned YES unset up down
Als in de logboeken van de NetFlow verkeer te vangen, wordt het gemeld afkomstig met een ander IP adres dan bevestigd in de cellulaire interface. De bronoverschrijding is aanwezig.
Oplossing voor een P-5GS6-GL module die is aangesloten op een router
Het doel is ervoor te zorgen dat al het verkeer alleen wordt verzonden via de IP die door Verizon is toegewezen. Er zijn verschillende methoden die dit doel bereiken. Hun implementatie hangt af van de implementatie en netwerkvereisten:
isr#conf t
isr(config)#ip access-list extended 196
isr(config-ext-nacl)#permit ip host <IP_Assigned_by_Verizon> any
isr(config-ext-nacl)#deny ip any any
isr(config-ext-nacl)#exit
isr(config)#interface cellular 0/X/0
isr(config-if)#ip access-group 196 out
isr(config-if)#end
-
Optie 2: NAT voor intern verkeer
- Aan deze eisen moet worden voldaan:
- De mobiele interface is ingesteld op "IP NAT buitenkant".
- LAN interface is ingesteld als "ip Nat" binnen.
- NAT-overload (PAT) is geïmplementeerd zodat alle poorten ook worden vertaald.
- Het gebruik van een ACL om verkeer te definiëren als NATed.
Configuratievoorbeeld:
isr#conf t
isr(config)#interface cellular 0/X/0
isr(config-if)#ip nat outside
isr(config-if)#exit
isr(config)#interface vlan 6
isr(config-if)#ip nat inside
isr(config-if)#exit
isr(config)#access-list 20 permit <IPv4_subnet_to_be_NATed> <wildcard>
isr(config)#ip nat inside source list 20 interface cellular 0/1/0 overload
-
Optie 3: Voer een IPsec of een andere tunnelconfiguratie uit
- Deze tunnel wordt uitgevoerd met het aan Verizon toegewezen IP-adres. Aangezien al het verkeer binnen het reist, verandert het externe IP adres nooit.
-
Optie 4: Voer een routekaart uit
- Als er router-gegenereerd verkeer is, kan een routekaart worden geïmplementeerd zodat het verkeer correct afkomstig is. Bijvoorbeeld, blijft pingelen aan DNS, om ervoor te zorgen er "Internet connectiviteit"is, en een routekaart kan worden uitgevoerd zodat het verkeer correct afkomstig is.
Hiermee wordt de procedure voor het oplossen van bronoverschrijdingen beëindigd in een Cisco P-5GS6-GL-module die op een router is aangesloten.
IP-bronschending in een CG522-E
Standaard wordt een functie om dit probleem op te lossen geactiveerd in de code van deze apparaten.
Bevestig dat het apparaat deze uitvoer toont:
CellularGateway#show cellular 1 drop-stats
Ip Source Violation details:
Ipv4 Action = Drop
Ipv4 Packets Drop = 0
Ipv4 Bytes Drop = 0
Ipv6 Action = Drop
Ipv6 Packets Drop = 0
Ipv6 Bytes Drop = 0
De status van de IPv4/IPv6 actie moet worden verlaagd. Dit betekent dat de functie is ingeschakeld.
Opmerking: als in het uitvoerdocument Toestaan staat, is de functie uitgeschakeld.
Met deze opdrachten kan de functie opnieuw worden geactiveerd:
CellularGateway#conf t
CellularGateway(config)# controller cellular 1
CellularGateway(config-cellular-1)# no ip-source-violation-action ipv4-permit
CellularGateway(config-cellular-1)# no ip-source-violation-action ipv6-permit
CellularGateway(config-cellular-1)# commit
Commit complete.
CellularGateway(config-cellular-1)# end
Hiermee beëindigt u de procedure voor het oplossen van bronoverschrijdingen in een Cisco CG522-E.