Inleiding
Dit document beschrijft hoe u de Generic Routing Encapsulation (GRE)-interfacekaarten in een SD-WAN-omgeving kunt oplossen.
Achtergrondinformatie
In Cisco Viptela-oplossing, omvatten de gebruiksgevallen voor GRE-interfaces:
- Verzend verkeer naar ZScaler (HTTP-Proxy) via vSmart Data-Policy of lokaal.
- Primaire GRE-interface voor service met een standaardback-up naar het datacenter.
- Servicebeheer
Er zijn gevallen bekend waarin de GRE-interface niet naar voren komt en/of niet werkt.
In die situaties, dient u te controleren op
- GRE-interface is omhoog/omhoog via: show Interface gre*
- GRE Keepalives via: tonen tunnelgreepalives
Methodologie
Als er een probleem is, moet u een toegangscontrolelijst (ACL of toegangslijst) configureren om te zien of de GRE (47)-pakketten naar buiten gaan.
U kunt de GRE-pakketten niet zien via TCP Dump, aangezien de pakketten gegenereerd worden door het snelle pad.
Soms kunnen GRE-Keepalives wegens netwerkadresomzetting (NAT) worden ingetrokken. In dit geval, maak de keeplevend uit en zie of de tunnel omhoog komt.
Ook, als de GRE Tunnel constant het flappen en het uitschakelen van keepalives aanhoudt dit de interface omhoog/omhoog.
Het heeft echter een nadeel. Als er een legitiem probleem is, is het moeilijk te ontdekken dat GRE niet werkt.
Zie hier in het document dat een voorbeeld toont.
Dit is een werkende GRE-interface
IN VPN0
vpn 0
interface gre1
ip address 192.0.2.1/30
tunnel-source
tunnel-destination
tcp-mss-adjust 1300
no shutdown
!
interface gre2
ip address 192.0.2.5/30
tunnel-source
tunnel-destination
tcp-mss-adjust 1300
no shutdown
!
!
Aan servicekant
vpn
service FW interface gre1 gre2
In Cisco SD-WAN oplossing op basis van vEdge-routes, GRE-interfaces die als actieve-stand-by werken en niet actief-actief.
Op een bepaald moment is er alleen GRE Interface die in de Up/Up-staat is.
Praktijk
Een beleid voor toegangslijsten maken
vEdge# show running-config policy access-list
policy
access-list GRE-In
sequence 10
match
protocol 47
!
action accept
count gre-in
!
!
default-action accept
!
access-list GRE-Out
sequence 10
match
protocol 47
!
action accept
count gre-out
!
!
default-action accept
!
!
vEdge#
Maak tellers gre-in en gre-out en dan moet u ACL op de interface (onze tunnelritten over ge0/0) toepassen.
Bovenstaande ACL kan worden toegepast met het bronadres van de fysieke interface en het doeladres van het GRE-eindpunt.
vEdge# show running-config vpn 0 interface ge0/0
vpn 0
interface ge0/0
ip address 198.51.100.1/24
tunnel-interface
encapsulation ipsec
max-control-connections 1
allow-service all
no allow-service bgp
allow-service dhcp
allow-service dns
allow-service icmp
no allow-service sshd
no allow-service netconf
no allow-service ntp
no allow-service ospf
no allow-service stun
!
no shutdown
access-list GRE-In in
access-list GRE-Out out
!
!
vEdge#
U kunt nu de tellers voor de pakketten GRE in en uit zien omdat deze in de snelle weg zijn, kunt u niet zien met de nut van de pomp.
vEdge# show policy access-list-counters
COUNTER
NAME NAME PACKETS BYTES
----------------------------------
GRE-In gre-in 176 10736
GRE-Out gre-out 88 2112
vEdge#
Dit is onze GRE-tunnel.
vEdge# show interface gre1
IF IF IF TCP
AF ADMIN OPER TRACKER ENCAP PORT SPEED MSS RX TX
VPN INTERFACE TYPE IP ADDRESS STATUS STATUS STATUS TYPE TYPE MTU HWADDR MBPS DUPLEX ADJUST UPTIME PACKETS PACKETS
---------------------------------------------------------------------------------------------------------------------------------------------------------
0 gre1 ipv4 192.0.2.1/30 Up Up NA null service 1500 05:05:05:05:00:00 1000 full 1420 0:07:10:28 2968 2968
vEdge#
vEdge# show running-config vpn 0 interface gre1
vpn 0
interface gre1
ip address 192.0.2.1/30/30
tunnel-source-interface ge0/0
tunnel-destination 192.0.2.5/30
no shutdown
!
!
vEdge#
U kunt controleren of het verkeer via de GRE-interface verloopt via de opdracht stromen van app-stromen.
Dit is een voorbeeldvoorbeeld van tweerichtingsverkeer (zowel vanuit de ingres als vanuit de stress):
vEdge# show app cflowd flows
TCP TIME EGRESS INGRESS
SRC DEST IP CNTRL ICMP TOTAL TOTAL MIN MAX TO INTF INTF
VPN SRC IP DEST IP PORT PORT DSCP PROTO BITS OPCODE NHOP IP PKTS BYTES LEN LEN START TIME EXPIRE NAME NAME
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
10 203.0.113.1 203.0.113.11 61478 443 0 6 16 0 203.0.113.254 3399 286304 60 1339 Sun Apr 8 10:23:05 2018 599 gre1 ge0/6
10 203.0.113.11 203.0.113.1 443 61478 0 6 24 0 203.0.113.1262556 192965 40 1340 Sun Apr 8 10:23:05 2018 592 ge0/6 gre1
Een voorbeeld van het uitschakelen van keepalives (KA) op de GRE-interface:
Standaard KA is 10 (hallo-interval) en 3 (tolerantie)
Een KA van 0 0 schakelt de KA in de GRE-interface.
vEdge# show running-config vpn 0 interface gre* | details
vpn 0
interface gre1
description "Primary ZEN"
ip address <ip/mask>
keepalive 0 0
tunnel-source
tunnel-destination
no clear-dont-fragment
mtu 1500
tcp-mss-adjust 1300
no shutdown
!
Een GRE-interface die omhoog/omlaag is, wordt weergegeven als UP/UP (door de KA-toets door te geven).
Zie, TX teller hier terwijl het stijgt als KA uit is. Het betekent, vEdge is de pakketten gelijk te maken, maar u ziet de toename in RX-teller niet, wat wijst op een probleem op afstand.
vEdge# show interface gre*
IF IF TCP
ADMIN OPER ENCAP PORT SPEED MSS RX TX
VPN INTERFACE IP ADDRESS STATUS STATUS TYPE TYPE MTU HWADDR MBPS DUPLEX ADJUST UPTIME PACKETS PACKETS
---------------------------------------------------------------------------------------------------------------------------------------------------
### With KA ON
0 gre1 192.0.2.1/30 Up Down null service 1500 cb:eb:98:02:00:00 - - 1300 - 413218129 319299248
### With KA OFF
0 gre1 192.0.2.1/30 Up Up null service 1500 cb:eb:98:02:00:00 100 half 1300 0:00:01:19 413218129 319299280
Feedback