对数据包捕获的IPsec隧道和常见控制平面问题进行故障排除

下载选项

PDF (2.8 MB)
在各种设备上使用 Adobe Reader 查看
ePub (2.5 MB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (1.8 MB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2023 年 12 月 5 日

文档 ID:221221

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍在协商Cisco IOS® XE路由器上的站点到站点VPN时，数据包捕获、其他工具如何帮助解决控制平面问题。

先决条件

要求

Cisco 建议您了解以下主题：

Cisco IOS® CLI配置的基本知识。
IKEv2和IPsec的基础知识。

使用的组件

本文档中的信息基于以下软件版本：

CSR1000V — 运行版本16.12.0的Cisco IOS XE软件。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

数据包捕获是一个强大的工具，可帮助您验证数据包是否在VPN对等设备之间发送/接收。它们还确认IPsec调试中看到的行为是否与捕获上收集的输出一致，因为调试是一种逻辑解释，而捕获表示对等体之间的物理交互。因此，您可以确认或丢弃连接问题。

有用的工具

有一些有用的工具可帮助您配置捕获、提取输出并进一步分析输出。其中包括：

Wireshark：这是一款广为人知且使用的开源数据包分析器。
监控器捕获：路由器上的Cisco IOS XE功能，可帮助您收集捕获，并提供流量外观、收集的协议及其时间戳的简单输出。

如何在IOS XE路由器上配置捕获

Configure Captures on IOS XE Router

捕获使用扩展访问列表(ACL)，定义要收集的流量类型以及VPN对等体或相关流量段的源地址和目标地址。如果沿路径启用NAT-T，则隧道协商使用UDP端口500和端口4500。一旦协商完成并建立了隧道，如果启用NAT-T，相关流量将使用IP协议50(ESP)或UDP 4500。

为了排除与控制平面相关的问题，必须使用VPN对等体IP地址捕获如何协商隧道。

VPN Peers IP Addresses Must be Used

config terminal
ip access-list extended <ACL name>
permit udp host <local address> host <peer address>
permit udp host <peer address> host <source address>
exit
exit

配置的ACL用于缩小捕获的流量，并放置在用于协商隧道的接口上。

Configured ACL Used to Narrow the Captured Traffic

Side-A and Side-B

monitor capture <capture name> access-list <ACL name> buffer size <custom buffer size in MB> interface <source interface of teh router> both

配置捕获后，可以通过操作将其停止、清除或提取使用以下命令收集的流量：

检查常规捕获信息：show monitor capture
开始/停止捕获：监控捕获上限开始/停止
验证捕获正在收集数据包：show monitor capture cap buffer
请参阅流量的简要输出:show monitor capture cap buffer brief
清除捕获：monitor capture cap clear
提取捕获输出：
- monitor cap cap buff dump
- monitor capture cap export bootflash:capture.pcap

使用数据包捕获分析隧道建立

如前所述，要协商IPSec隧道，如果启用了NAT-T，数据包将通过UDP与端口500和端口4500发送。通过捕获，可以看到来自这些数据包的更多信息，例如正在协商的阶段（阶段1或阶段2）、每个设备的角色（发起方或响应方），或者刚刚创建的SPI值。

Analyze Tunnel Establishment with Packet Captures

显示路由器捕获的简要输出，可以看到对等体之间的交互，发送UDP数据包。

Output of Capture from the Router

提取转储并从路由器导出pcap文件后，可以使用wireshark查看数据包的更多信息。

Information from the Packets is Visible Using Wireshark

在发送的第一个IKE_SA_INIT Exchange数据包的Internet Protocol部分上，找到UDP数据包的源地址和目的地址。在用户数据报协议(User Datagram Protocol)部分中，显示使用的端口、互联网安全关联和密钥管理协议(Internet Security Association and Key Management Protocol)部分显示协议的版本、所交换的消息类型、设备的角色以及创建的SPI。收集IKEv2调试时，调试日志中会显示相同的信息。

Internet Protocol Section Sent