排除ePDG中初始连接成功率降低故障

下载选项

  • PDF     (447.0 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2023 年 6 月 22 日
文档 ID:220529

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍与演进分组数据网关(ePDG)中的初始连接成功率(ASR)降低有关的问题

    概述

    初始ASR是指示会话建立尝试总数的成功率的重要指标。

    关键性能指示(KPI)的公式包含ePDG会话设置尝试的总数和ePDG会话设置成功的总数。如果成功尝试的次数减少,则整个KPI降级。

    基本预检查

    对于ePDG功能,互联网协议安全(IPsec)是处理IPsec事务的流程。因此,对于任何ePDG情况,在您继续排查问题之前,应执行一些预检查。

    1. 检查DPC卡状态,因为在这些卡上运行ipsecmgr。DPC卡必须处于活动状态(备用卡除外)。

    show card table

    2. 检查每个类似卡的资源状态,sessmgr/ipsecmgr  以便从每个卡的会话数量方面检查是否观察到任何异常的流量模式,或者这些进程是否处sessmgr/ipsecmgr  于警告/超时状态。 例如,在此输出中,您看到ipsecmgr 处于over状态,如下所示。

    [local]abc# show task resources | grep -v good Thursday January 19 19:41:15 UTC 2023 task cputime memory files sessions cpu facility inst used allc used alloc used allc used allc S status ----------------------- ----------- ------------- --------- ------------- ------ 3/0 ipsecmgr 261 0.28% 75% 383.4M 300.0M 196 1500 30 6000 - over 3/0 ipsecmgr 262 0.23% 75% 378.0M 300.0M 185 1500 28 6000 - over 3/0 ipsecmgr 263 0.46% 75% 382.7M 300.0M 197 1500 30 6000 - over 3/0 ipsecmgr 264 0.22% 75% 383.7M 300.0M 212 1500 27 6000 - over ....

    以下是卡4和5上运行的sessmgrs示例,其中会话分布不均匀:

    [local]xyx# show task resources max | grep -i sess Monday February 17 21:52:38 UTC 2023 task cputime memory files sessions 4/0 sessmgr 45 12% 100% 429.9M 2.00G 129 500 4260 26000 I good 4/0 sessmgr 48 12% 100% 428.8M 2.00G 129 500 4267 26000 I good 4/0 sessmgr 49 12% 100% 428.5M 2.00G 129 500 4274 26000 I good 4/0 sessmgr 52 12% 100% 428.3M 2.00G 129 500 4258 26000 I good 5/0 sessmgr 5002 2.34% 50% 87.46M 190.0M 89 500 -- -- S good 5/0 sessmgr 2 12% 100% 458.5M 2.00G 107 500 9279 26000 I good 5/0 sessmgr 3 13% 100% 459.9M 2.00G 106 500 9281 26000 I good

    3. 如果IPsec级别有任何丢弃,请检查加密统计信息:

    show crypto managers detail     ----------------- this command shows statistics per ipsec so we can check if any drops
    show crypto statistics ikev2    ----------------- this command shows overall ikev2 statistics for EPDGs for different msg flows
    注释图标

    注意:预检查非常重要,因为有时会在卡级别发现问题,特定卡的IPsec/sessmgr无法接收用户会话/流量,并且您可在前面提到的统计信息中清楚地看到IPsec级别的丢弃。

    所需的日志

    要更好地解决此问题,需要注意以下几点:

    • 自发现问题以来(指问题的确切开始日期和时间)
    • 网络中是否有任何更改或任何配置更改?
    • 用于ePDG中的ASR的公式
    • 受影响圈中有多少个ePDG,其中之一就是所有ePDG或一个特定EPD中观察到的问题
      •

    以下是要收集的日志:

    • 在问题开始之前、问题期间和问题之后(如果不再发生问题),显示来自节点的支持详细信息(SSD)。
    • 系统日志在问题前1周(用于比较研究),涵盖问题时间和问题后(如果问题不再发生)。
    • 简单网络管理协议(SNMP)陷阱在问题发生前1周(用于比较研究),涵盖问题发生时间和问题发生后(如果问题不再发生)。
    • 批量统计数据在问题前1周(用于比较研究),涵盖问题时间和问题后(如果问题不再发生)。
    • 将根据以下选项收集monsub:
      •  
    monitor subscriber with options S, X, A, Y, 19, 33, 34, 35, 26, 37, 40, 50, 88, 89. Collect traces at verbosity 5 for problematic and non-problematic number.
    • 3 SSD,间隔30-45分钟,查找拒绝原因。
      •
    注释图标

    注意:Disconnect-reason 519至533用于ePDG会话拒绝。
    • 您需要比较有问题和无问题节点的配置。
      •  
    show configuration

    show configuration verbose
    • 调试日志时需要:
      •  
    logging filter active facility sessmgr level <critical/error> logging filter active facility ipsec level <critical/error> logging filter active facility ikev2 level <critical/error> logging filter active facility epdg level <critical/error> logging filter active facility diameter level<critical/error> logging filter active facility egtpc level<critical/error> logging active ------------------- to enable debug logs no logging active --------------- to disable debug logs Note :: Above mentioned debug logs are taken considering debug logs at the level of critical/error but we can capture at debug level also as per need basis e.g logging filter active facility egtpc level debug
    • 对故障排除有用的命令输出:
      •  
    show epdg-service all counters   
-> View ePDG service information and statistics

show epdg-service statistics     
-> View ePDG service statistics

show epdg-service session all    
-> View ePDG service session information

show egtpc statistics interface edpg-egress debug-info    
-> View egtpc statistics for  ePD-egress

show session [ disconnect-reasons | duration | progress | setuptime | subsystem ] 
-> iew additional session statistics.

show crypto statistics ikev2     
-> View IKEv2 statistics

show diameter aaa-statistics all 
->View Diameter AAA server statistics.

show subscribers epdg-only [ [ all ] | [ callid call_id ]]   
-> View a list of ePDG subscribers currently accessing the system.

show subscribers epdg-service service_name [ [ all ] | [ callid call_id ]] 
 ->View a list of ePDG subscribers currently accessing the system per ePDG service.

show crypto managers summary ipsec-sa-stats 
---Need to collect with some iterations to check ipsec associations stats
    警告图标

    警告:当要求您收集调试日志、日志记录监视器、mon-sub和mon pro等日志时,请始终在维护窗口中收集,并始终监控CPU上的负载。

    分析 

    以下是ePDG初始连接会话成功率的公式示例:

    Initial Attach Sessions Success Rate ==((totsetupsuccess / totsetupattempt )*100)

    从Statistics and Counters Reference - Bulkstatistics Descriptions,您可以找到公式中使用的计数器,了解其含义。

    epdg totsetup-attempt- Total number of epdg session setup attempts. Increments upon receiving IKE_AUTH (CFG_REQ) for ePDG session creation.

    epdg totsetup-success Total number of epdg session setup success. Increments upon successful IPv4/IPv6/Dual Stack ePDG session call setup.                

    从SSD中,您可以看到show crash list输出,以查看是否存在任何持续/大量的崩溃来导致KPI dip。

    从SSD中,您可以检查show license info和show resource输出,以查看许可证未到期或会话计数在限制内。

    ******** show resources ******* Wednesday December 07 16:58:25 IST 2022 EPDG Service: In Use : 1118147 Max Used : 1450339 ( Tuesday November 29 00:06:00 IST 2022 ) Limit : 1600000 License Status : Within Acceptable Limits >>>>>

    show epdg-service statistics命令的输出中,可以检查递增的故障原因。

    ******** show epdg-service statistics ******* Session Disconnect reason: Remote disconnect: 580994781 Admin disconnect: 168301 Idle timeout: 0 Absolute timeout: 0 Long duration timeout: 0 Session setup timeout: 169445470 No resource: 185148 Auth failure: 7634409 Flow add failure: 0 Invalid dest-context: 0 Source address violation: 42803 LMA Revocations(non-HO): 0 Duplicate Request: 19973167 Addr assign failure: 0 LTE/Other handoff: 1310701444 Miscellaneous reasons: 456928065 MIP-reg-timeout : 0 Invalid-APN : 0 ICSR Procedure : 0 Local PGW Res. Failed : 10424 Invalid QCI : 0 UE Redirected : 0 Roaming Mandatory : 0 Invalid IMEI : 3

    从有问题的跟踪中可以找到拒绝的原因,并可以与无问题的跟踪进行比较,以确定是否存在任何差异。

    您可以从跟踪获得的一些场景:

    在Case-1(diameter-no-subscription)中,通过分析跟踪可以发现,Diameter EAP请求已发送到AAA服务器。但是,收到的响应表明存在原因代码故障。因此,服务数据包数据网关(SPGW) DIAMETER_ERROR_USER_NO_APN_SUBSCRIPTION. 会使用断开原因注册同一故障。diameter-no-subscription. 对于没有订阅的用户来说,此行为是正常的,因为身份验证、授权和记帐(AAA)服务器在进程时拒绝了该行为。

    注释图标

    注意:检查测试编号的AAA/HSS上的APN订用,如果可能,安排进行相同的在线测试。

    在案例2中(Session-setup-timeout),在分析跟踪时,发现会话建立被拒绝,并显示断开原因。Session-setup-timeout. 进一步调查发现,ePDG正在向SPGW发送EGTP_CREATE_SESSION_REQUEST消息,但它没有收到相同的任何响应。可以观察到,连续发送三个请求时未收到任何响应。

    Solution : In such cases mostly need to check why SPGW is not sending any response towards EPDG because EPDG maintains this setup timer within which it needs to have the response

    在案例3中,具有特定接入点名称(APN)的请求被发送到PGW,但被拒绝的原因代码为  EGTP_CAUSE_USER_AUTHENTICATION_FAILED.

    Solution : Here the issue can be either at HSS or EPDG itself need to check the authentication parameters being exchanged between EPDG/HSS/AAA          

    要调查上述所有情况,必须捕获调试日志以便进行更详细的分析。根据3GPP标准检查这些日志,并根据调查结果确定适当的行动计划或解决方法。请注意,具体操作过程可能因具体场景而异,这一点非常重要。

    修订历史记录

    版本 发布日期 备注
    1.0
    22-Jun-2023
    初始版本
    TAC Authored

    由思科工程师提供

    • 高拉夫·萨坎
      思科TAC工程师
    • 卡鲁纳·贾
      思科TAC工程师
    • 纳文·桑帕斯
      思科技术领导者

    此文档是否有帮助?

    Feedback反馈

    联系我们