WAAS - WAAS Express故障排除
章節:WAAS Express故障排除
本文描述如何對WAAS Express運行進行故障排除。
指南目錄
主要文章
瞭解WAAS架構和流量
WAAS初步故障排除
故障排除最佳化
應用加速故障排除
排除CIFS AO故障
排除HTTP AO故障
排除EPM AO故障
排除MAPI AO故障
排除NFS AO故障
排除SSL AO故障
影片AO故障排除
通用AO故障排除
過載故障排除
WCCP故障排除
AppNav故障排除
磁碟和硬體故障排除
串列內聯群集故障排除
vWAAS故障排除
WAAS Express故障排除
排除NAM整合故障
主要文章
瞭解WAAS架構和流量
WAAS初步故障排除
故障排除最佳化
應用加速故障排除
排除CIFS AO故障
排除HTTP AO故障
排除EPM AO故障
排除MAPI AO故障
排除NFS AO故障
排除SSL AO故障
影片AO故障排除
通用AO故障排除
過載故障排除
WCCP故障排除
AppNav故障排除
磁碟和硬體故障排除
串列內聯群集故障排除
vWAAS故障排除
WAAS Express故障排除
排除NAM整合故障
目錄
- 1 驗證WAAS Express映像版本
- 2 驗證WAAS Express許可證
- 3 檢驗啟用WAAS的介面
- 4 檢驗WAAS最佳化連線
- 5 檢驗WAAS最佳化資料
- 6 檢驗WAAS Express警報
- 7 驗證WAAS Express對等體
- 8 離線警報
- 9 驗證WAAS Express HTTPS配置
- 10 WAAS-Express - WAE - WAAS CM相容性
- 11 意外的WAAS-Express許可證過期
- 12 WAAS-Express和WAAS CM互動問題
- 13 連線未最佳化
- 14 連線未達到所需的最佳化級別
- 15 症狀:意外的連線重置
- 16 路由器崩潰/回溯
- 17 連線速度慢/效能降低
- 18 掛起的連線
- 19 SSL-Express加速器問題:
- 20 在CM上的裝置組之間移動WAAS-Express裝置
- 21 其他有用資訊
WAAS Express是IOS中內建的WAAS功能,在路由器等裝置上運行。WAAS Central Manager可以管理WAAS Express裝置以及WAAS網路中的其他WAAS裝置。本文描述如何對WAAS Express裝置運行進行故障排除。
附註:WAAS Express中央管理器支援是在WAAS版本4.3.1中引入的。本節不適用於較早的WAAS版本。
驗證WAAS Express映像版本
要驗證WAAS Express映像版本,請在WAAS Express路由器上使用show waas status命令。要從WAAS Central Manager檢視WAAS Express映像版本,請選擇My WAN > Manage Devices。
waas-express# show waas status IOS Version: 15.1(20101018:232707) <----- IOS version WAAS Express Version: 1.1.0 <----- WAAS Express version . . .
驗證WAAS Express許可證
WAAS Express許可證分為兩種型別:考評許可證(有效期為12年)和永久許可證。在WAAS Express裝置上使用show waas status命令顯示許可證資訊。
waas-express# show waas status IOS Version: 15.1(20101018:232707) WAAS Express Version: 1.1.0 . . . WAAS Feature License License Type: Evaluation <----- Indicates an evaluation license Evaluation total period: 625 weeks 0 day Evaluation period left: 622 weeks 6 days
檢驗啟用WAAS的介面
在WAAS Express裝置上使用show waas status命令列出啟用WAAS的一組介面。此命令還會顯示裝置支援的最佳化型別。某些WAAS Express路由器型號不支援DRE。
waas-express# show waas status IOS Version: 15.1(20101018:232707) WAAS Express Version: 1.1.0 WAAS Enabled Interface Policy Map GigabitEthernet0/1 waas_global <----- Interfaces on which optimization is enabled GigabitEthernet0/2 waas_global Virtual-TokenRing1 waas_global Virtual-TokenRing2 waas_global GigabitEthernet0/0 waas_global Virtual-TokenRing10 waas_global WAAS Feature License License Type: Evaluation Evaluation total period: 625 weeks 0 day Evaluation period left: 622 weeks 6 days DRE Status : Enabled <----- Indicates DRE is supported LZ Status : Enabled + Entropy Maximum Flows : 50 <----- Number of optimized connections supported Total Active connections : 0 <----- Total number of connections active Total optimized connections : 0 <----- Total number of optimized connections
附註:應僅在WAN介面上啟用WAAS。如果要最佳化的連線是通過多個WAN介面路由的,則應該在所有這些WAN介面上應用WAAS。
附註:如果在邏輯或虛擬介面上啟用WAAS,則不需要在相應的物理介面上實施。
檢驗WAAS最佳化連線
在WAAS Express裝置上,使用show waas connection命令列出最佳化連線集。不包括直通連線。
waas-express# show waas status ConnID Source IP:Port Dest IP:Port PeerID Accel 1999 64.103.255.217 :59211 192.168.4.2 :1742 0021.5e57.a768 TLD <----- TFO, LZ and DRE are applied 1910 64.103.255.217 :56860 192.168.4.2 :61693 0021.5e57.a768 TLD 1865 64.103.255.217 :59206 192.168.4.2 :23253 0021.5e57.a768 TLD
要檢視Central Manager中的類似資訊,請選擇WAAS Express裝置,然後選擇Monitor > Optimization > Connections Statistics以檢視連線摘要表。
- 圖1.連線摘要表
檢驗WAAS最佳化資料
在WAAS Express裝置上,使用show waas statistics application命令列出分類到每個應用程式的最佳化資料。WAAS Express裝置不顯示直通資料。此資料用於在WAAS Central Manager中生成TCP相關的圖表。
waas-express# show waas statistics application Number of applications : 1 Application: waas-default TCP Data Volumes Connection Type Inbound Outbound Opt TCP Plus 53001765483 41674120 Orig TCP Plus 0 87948683030 Opt TCP Only 1165 863 Orig TCP Only 60 0 Internal Client 0 0 Internal Server 0 0 TCP Connection Counts Connection Type Active Completed Opt TCP Plus 50 126 Opt TCP Only 0 71 Internal Client 0 0 Internal Server 0 0 Pass Through Connection Counts Connection Type Completed PT Asymmetric 0 PT Capabilities 0 PT Intermediate 0 PT_Other 0 Connection Reset: 0 Cleared connections 0
檢驗WAAS Express警報
在WAAS Express裝置上,使用show waas alarms命令列出裝置中出現的警報及其狀態。
waas-express# show waas alarms WAAS status: enabled Alarms Connection limit exceeded: on <----- on indicates this alarm is active. off indicates inactive Too many peers discovered: off WAAS license expired: off WAAS license revoked: off WAAS license deleted: off High CPU: off
要從中央管理器檢視所有裝置的警報,請選擇My WAN > Alerts。除了上面列出的警報外,如果WAAS Express和WAAS Central Manager裝置的時鐘不同步,也會發出警報。
驗證WAAS Express對等體
在WAAS Express裝置上,使用show waas statistics peer命令列出WAAS Express裝置的對等裝置。
waas-express# show waas statistics peer
Number of Peers : 1
Peer: 0021.5e57.a768
TCP Data Volumes
Connection Type Inbound Outbound
Opt TCP Plus 597068158 5212151
Orig TCP Plus 0 6867128187
Opt TCP Only 0 0
Orig TCP Only 0 0
Internal Client 0 0
Internal Server 0 0
TCP Connection Counts
Connection Type Active Completed
Opt TCP Plus 50 0
Opt TCP Only 0 0
Internal Client 0 0
Internal Server 0 0
Pass Through Connection Counts
Connection Type Completed
PT Asymmetric 0
PT Capabilities 0
PT Intermediate 0
PT_Other 0
Connection Reset: 0
Cleared connections 0
Router#show waas statistics aoim
Total number of peer syncs: 1
Current number of peer syncs in progress: 0
Number of peers: 1
Number of local application optimizations (AO): 3
Number of AO discovery successful: 1
Number of AO discovery failure: 0
Local AO statistics
Local AO: TFO
Total number of incompatible connections: 0
Version: 0.11
Registered: Yes
Local AO: HTTP
Total number of incompatible connections: 0
Version: 1.1
Registered: Yes
Local AO: SSL
Total number of incompatible connections: 0
Version: 1.0
Registered: Yes
Peer AOIM Statistics
Number of Peers : 1
Peer: 0027.0d79.c215 <--- Peer ID
Peer IP: 20.0.0.2 <--- Peer IP
Peer Expiry Time: 00:00:02
Peer Compatible: Yes
Peer active connections: 0
Peer Aoim Version: 1.0
Peer sync in progress: No
Peer valid: Yes
Peer Software Version: 4.4.3(b4)
Peer AOs:
Peer AO: TFO
Compatible: Yes
Version: 0.20
Peer AO: HTTP
Compatible: Yes
Version: 1.4
Peer AO: SSL
Compatible: Yes
Version: 1.0
Router#show waas statistics dre peer
DRE Status: Enabled
Current number of connected peers 0
Current number of active peers 1
Peer-ID 0027.0d79.c215 <--- Peer ID
Hostname waasx1-b-wae.cisco.com <--- Peer hostname
IP reported from peer 20.0.0.2 <--- Peer IP
Peer version 4.4.3(b4)
Cache:
Cache in storage 0 B
Age 00:00:00
AckQ:
AckQ in storage 0 B
WaitQ:
WaitQ in storage 0 B
WaitQ size 0 B
Sync-clock:
Local-head 0 ms
Local-tail 0 ms
Remote-head 18609143000 ms
Curr-sync-clock 24215235228 ms
Encode Statistics
DRE msgs: 1
R-tx total: 0
R-tx chunk-miss: 0
R-tx collision: 0
Bytes in: 0
Bytes out: 0
Bypass bytes: 178
Compression gain: 0%
Decode Statistics
DRE msgs: 4
Bytes in: 299
Bytes out: 277
Bypass bytes: 51
Compression gain: 0%
Nacks generated: 0
要從中央管理器檢視類似資訊,請選擇Monitor > Topology。
離線警報
由於以下問題,WAAS Express裝置可能會在中央管理器中進入離線狀態:
- Central Manager沒有WAAS Express裝置憑證。
- 未在中央管理器中為此WAAS Express裝置配置憑證。WAAS Central Manager需要WAAS Express使用者名稱和密碼來與WAAS Express裝置進行通訊。您可以通過選擇 My WAN(或WAAS Express裝置或裝置組)> Admin > WAAS Express Credentials,在中央管理器中配置憑證。
- 與WAAS Express裝置通訊時身份驗證失敗。
- 由於配置了錯誤的憑證,Central Manager無法與WAAS Express通訊。您可以通過選擇 My WAN(或WAAS Express裝置或裝置組)> Admin > WAAS Express Credentials,在中央管理器中配置憑證。
- 與WAAS Express裝置通訊時,SSL握手失敗。
- WAAS Express裝置證書已更改,並且不會在Central Manager中為此裝置匯入同一證書。要重新匯入WAAS Express裝置證書,請選擇WAAS Express裝置,然後選擇 Admin > Certificate。
- 沒有到WAAS Express裝置的路由。
- Central Manager無法訪問WAAS Express裝置。通過選擇WAAS Express裝置,然後選擇 DeviceName >啟用,配置正確的WAAS Express管理IP地址。
- WAAS Express裝置拒絕連線。
- 在WAAS Express裝置上配置的HTTPS伺服器埠與Central Manager DeviceName > Activation頁面中顯示的端 口 不相同。在此頁面中配置正確的WAAS Express HTTPS伺服器埠。
- WAAS Express裝置不支援WAAS。
- WAAS Express裝置降級為沒有WAAS支援的IOS映像版本。安裝支援WAAS的IOS映像。
- 與WAAS Express裝置通訊時連線超時。
- WAAS Express裝置響應中央管理器需要超過30秒。這可能是由於WAAS Express裝置過載或網路速度緩慢。
- WAAS Express裝置上的許可證已過期。
- WAAS Express裝置上的評估許可證已過期。使用WAAS Express許可證安裝命令安裝永 久許可證。
- 與WAAS Express裝置通訊時,SSL連線關閉不正確。
- WAAS Express裝置和中央管理器使用密碼rc4-128-md5進行SSL通訊。有時,中央管理器無法解密由WAAS Express傳送的SSL資料。使用WAAS Express命令 ip http secure-ciphersuite 3des-ede-cbc-sha des-cbc-sha-rc4-128配置密碼3des-ede-cbc-sha、des-cbc-sha和rc4-128。
- 無法檢查WAAS Express裝置的狀態。
- Central Manager沒有從WAAS Express裝置接收配置狀態。如需疑難排解協助,請聯絡Cisco TAC。
- 管理狀態為離線。
- 如果您看到此錯誤訊息,請聯絡Cisco TAC以取得疑難排解協助。
驗證WAAS Express HTTPS配置
要驗證WAAS Express裝置上的HTTPS伺服器配置,請使用show ip http server secure status命令。
waas-express# show ip http server secure status HTTP secure server status: Enabled HTTP secure server port: 443 HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-sha HTTP secure server client authentication: Disabled HTTP secure server trustpoint: local HTTP secure server active session modules: ALL
WAAS-Express - WAE - WAAS CM相容性
WAAS-Express版本1.0、1.5
此版本的WAAS-Express支援包括TFO、LZ和DRE在內的傳輸最佳化。
WAAS-Express版本1.0在IOS軟體版本15.1(3)T1中引入
WAAS-Express版本1.5是在IOS軟體版本15.1(4)M中引入的。除了最佳化之外,此版本還增加了對嵌入式監控功能(稱為Performance Agent(PA))的支援。 有關PA的詳細資訊,請參閱CCO上的PA頁面
Recommended WAAS-Express IOS image: 15.1(3)T1 Recommended WAE version: >= 4.3.1 Recommended WCM version: 4.4.5a
已知的問題
| IOS版本 | WAE版本 | WAAS CM版本 | 已知的問題 |
|---|---|---|---|
| 15.1(3)T1 | 5.0.1 | 4.4.5安 | 源自資料中心端的連線將不會得到最佳化:CSCtz82646 |
WAAS-Express版本2.0.0
此版本的WAAS-Express除了支援傳輸最佳化外,還支援選定的應用程式最佳化,具體就是HTTP Express、SSL Express和CIFS Express AO。
Recommended WAAS-Express IOS image: 15.2(4)M1 Recommended WAE version: 5.0.1 Recommended WCM version: 5.0.1
已知的問題
| IOS版本 | WAE版本 | WAAS CM版本 | 已知的問題 |
|---|---|---|---|
| 15.2(4)M1 | < 4.4.3c | < 5.0.1 | HTTP-Express加速器需要4.4.3c或更高版本。連線不會進行http最佳化,但會進行TDL。 |
| 15.2(4)M1 | < 5.0.1 | < 4.4.5a | 在WCM上看到的連線統計資訊中缺少分類器名稱。 |
| 15.2(4)M1 | < 5.0.1 | < 5.0.1 | CSCub21189:策略對映更改未與WAAS-Express裝置正確同步 CSCtw50988:SMB:下載檔案時連線重置 CSCtr07216:在WAAS-X <-> WAE案例中無法正確處理具有無效hdr的事務 CSCua49764:Https建立了WExp證書 — 升級後WExp進入離線狀態 |
| 15.2(3)T1 | < 5.0.1 | < 5.0.1 | CSCub21189:策略對映更改未與WAAS-Express裝置正確同步 CSCtw50988:SMB:下載檔案時連線重置 CSCtr07216:在WAAS-X <-> WAE案例中無法正確處理具有無效hdr的事務 CSCua49764:Https建立了WExp證書 — 升級後WExp進入離線狀態 |
| 15.2(3)公噸 | < 5.0.1 | < 5.0.1 | CSCtx82427:IOS-WAAS:傳輸結束時重置SSL連線(EOT) CSCtz08485:HTTP-AO檢測失敗(%WAAS-3-WAAS_LZ_CONN_ABORT) CSCtu19564:在使用Waas+VPN+ZBFW+NAT+NETFLOW的dt21中觀察到崩潰 CSCtz85134:WAAS Express SSL-Express在重新載入後更改自簽名信任點 CSCua22313:WAAS Express 2.0無法使用IE6連線選項顯示HTTPS頁面 CSCtw50988:SMB:下載檔案時連線重置 CSCty04359:手動建立的WExp證書 — 升級後Wexp進入離線狀態 CSCtr07216:在WAAS-X <-> WAE案例中無法正確處理具有無效hdr的事務 |
意外的WAAS-Express許可證過期
- WAAS-Express許可證在show license中處於活動狀態。但是,WAAS-Express許可證在show waas status中過期。這可能是已知錯誤CSCtw86624。請發出以下show命令進行驗證。WAAS CM認為許可證已過期,並將裝置顯示為離線。但是,連線應進行最佳化,因為根據許可證,該功能處於活動狀態。
- 解決方案:升級至建議的WAAS-Express版本2映像 — 15.2(4)M1或安裝永久許可證。
Router#sh license | beg WAAS_Express
Index 12 Feature: WAAS_Express
Period left: Life time
License Type: RightToUse
License State: Active, In Use <---- License is Active
License Count: Non-Counted
License Priority: Low
Router#show waas status
IOS Version: 15.2(2.9)T
WAAS Express Version: 2.0.0
WAAS Enabled Interface Policy Map
GigabitEthernet0/1 waas_global
WAAS Feature License
License Type: Evaluation
Evaluation total period: 0 seconds <---- License is expired.
Evaluation period left: 0 seconds
WAAS-Express和WAAS CM互動問題
有關詳細的WAAS-Express註冊過程的逐步資訊,請檢視以下文檔:WAAS Express部署指南
症狀:WAAS-Express無法向WAAS CM註冊
可能原因#1:連線問題
- WAAA-Express路由器能否到達WAAS CM?
- 故障排除步驟:檢驗WAAS CM是否可以從路由器執行ping。此外,如果WAAS-Express路由器位於NAT和/或防火牆之後,則需要靜態NAT條目和/或防火牆允許規則,以允許WAAS CM連線到WAAS-Express HTTPS伺服器。要管理NAT/防火牆後的WAAS-Express裝置,WAAS CM允許使用者手動更改/指定WAAS-Express裝置的地址以供WAAS CM使用。使用者可以從裝置啟用頁面更改地址。
- 解決方案:檢查路由和網路拓撲以確保可以從路由器訪問WAAS CM,反之亦然,請在WAAS-Express裝置上啟用以下調試。
- 如果需要,請檢查以下調試以確定註冊期間的SSL握手是否失敗:
debug ip http all debug ssl openssl errors debug ssl openssl ext debug ssl openssl msg debug ssl openssl states
-
附註:以上的ssl調試是詳細的。
- 路由器重新載入後憑證是否變更?
-
通過比較WAAS CM上儲存的WAAS-Express路由器證書到期日期來驗證這一點。從WAAS-Express裝置頁面Admin->Certificate導航到此頁面。將證書資訊與WAAS-Express路由器上的
show crypto pki certificate輸出的輸出進行比較。如果存在任何不相符的情況,很有可能會重新產生憑證。
- 解決方案:升級到15.2(3)T1或15.2(4)M1及更高版本
症狀:WAAS CM顯示WAAS-Express在成功註冊後離線
可能原#1:WAAS-Express裝置證書更改
- 通過比較WAAS CM上儲存的WAAS-Express路由器證書到期日期來驗證這一點。從WAAS-Express裝置頁面Admin->Certificate導航到此頁面。將證書資訊與WAAS-Express路由器上的show crypto pki certificate輸出的輸出進行比較。如果存在任何不相符的情況,很有可能會重新產生憑證。
- 發出 show run |包括加密pki信任點。非持久信任點命名採用 TP-self-signed-xxxxxxxx格式。
router#show run | include crypto pki trustpoint crypto pki trustpoint TP-self-signed-4046801426 <-- Indicate this is non-persistent trustpoint
-
解決方案:按照以下
連結建立持久信任點。
- 在幾個例項中,可以重新生成證書,但主要原因是信任被建立為非永續性。如果使用15.2(3)T啟用SSL Express AO,也可能命中CSCtz85134。
-
解決方案:升級到15.2(4)M1並重新建立持久信任點。從WAAS CM中刪除證書並重新註冊。
- 這是從15.1(3)T升級到15.2(3)T嗎?
- 在15.2(3)T中,crypto pki trustpoint內有一個強制配置,要求配置rsa-keypair。如果在升級前不存在此配置,則可能導致路由器無法檢測到信任點。這將導致HTTPS連線失敗。此問題記錄在CSCty04359中。
-
解決方案:刪除信任點並重新建立。從WAAS CM中刪除證書並重新註冊。
可能原#2:使用的證書或信任點不正確
- 路由器是否配置了多個信任點?
- 在WAAS CM註冊期間,WAAS-Express路由器選擇用於向WAAS CM傳送證書的信任點。此信任點可能與WAAS-Express路由器上的本地HTTPS伺服器使用的信任點不同。
- 解決方案:驗證在ip http secure-trustpoint <trustpoint_name>和ip http-client secure-trustpoint <trustpoint_name>中是否配置了相同的信任點
可能原#3:裝置身份驗證問題
- 身份驗證是否失敗?
-
使用HTTPS將瀏覽器定向到WAAS-Express路由器,並嘗試手動進行身份驗證,以此驗證您是否可以登入到WAAS-Express路由器。
- 解決方案:驗證手動身份驗證是否成功。
偵錯資訊
-
如果您認為遇到了與證書相關的問題,請向支援團隊提供以下資訊。
Router#show crypto pki trustpoints status State: Keys generated ............. Yes (General Purpose, non-exportable) <--- check if this shows “No” for the self-signed certificate Issuing CA authenticated ....... Yes <--- check if this shows “No” for the self-signed certificate Certificate request(s) ..... Yes <--- check if this shows “No” for the self-signed certificate Router#show crypto pki trustpoints status Trustpoint TP-self-signed-2330253483: Issuing CA certificate configured: Subject Name: cn=IOS-Self-Signed-Certificate-2330253483 Fingerprint MD5: 3F5E9EB4 6BD680FE 8A1C1664 0939ADCB <--- Check fingerprints before and after upgrade Fingerprint SHA1: DFF10AF4 83A90CAD 71528B3C CCD4EF0C E338E501 Router General Purpose certificate configured: Subject Name: cn=IOS-Self-Signed-Certificate-2330253483 Fingerprint MD5: 3F5E9EB4 6BD680FE 8A1C1664 0939ADCB Fingerprint SHA1: DFF10AF4 83A90CAD 71528B3C CCD4EF0C E338E501 State: Keys generated ............. Yes (General Purpose, non-exportable) Issuing CA authenticated ....... Yes Certificate request(s) ..... Yes Router#show crypto pki certificates … Validity Date: start date: 20:16:14 UTC May 26 2011 <--- Check whether these dates are valid end date: 20:16:14 UTC May 24 2016 … Provide outputs for following commands: show crypto pki certificates storage show crypto pki trustpoints show crypto key storage show crypto key pubkey-chain rsa show crypto key mypubkey all show crypto key mypubkey rsa show ip http server all
症狀:WAAS CM和WAAS-Express之間缺少匹配統計資訊
可能的原因#1:時鐘未同步
WAAS CM和WAAS-Express時鐘需要同步,因此強烈建議將NTP伺服器配置為同步時鐘。
- WAAS CM上是否出現時鐘不匹配消息?
- 驗證路由器時鐘與UTC格式的WAAS CM時鐘相同。刪除所有時區和夏時制配置,並比較WAAS CM和WAAS-Express路由器之間的UTC時間。
- 已知DDTS:CSCtz32667、CSCtz97973、CSCtk74707、CSCtl24210。確定您的問題是否與這些DDT中的任何一個類似,並遵循DDT中建議的解決方法。
- 驗證路由器時鐘與UTC格式的WAAS CM時鐘相同。刪除所有時區和夏時制配置,並比較WAAS CM和WAAS-Express路由器之間的UTC時間。
- 解決方案:配置NTP並驗證所有裝置的時鐘是否已同步。請遵循上述DDTS中的解決方法,或升級到最新的15.2(4)M1或更高版本。
連線未最佳化
症狀:連線正在通過
使用show waas statistics pass-through驗證傳遞統計資訊/原因。查詢連線獲得傳遞的原因。
Router#show waas statistics pass-through Pass Through Statistics: Overall: 0 No Peer: 0 Rejected due to Capabilities: 0 Rejected due to Resources: 0 Interface Application config: 0 <---- Traffic classified for pass-through? Interface Global config: 0 <---- Asymmetric route in the setup? Assymmetric setup: 0 Peer sync was in progress: 0 IOS WAAS is intermediate router: 0 Internal error: 0 Other end is in black list: 0 AD version mismatch: 0 Incompatable AO: 0 <---- Incompatible peer? Connection limit exceeded: 0 AOIM peertable full: 0 AOIM multiple sync request passthrough: 0 Others: 0
檢查自動發現統計資訊(和/或使用自動發現調試)。
Use the following command to check the reason '''show waas statistics auto-discovery''' Enable following debugs for more information: debug waas infra error debug waas infra events debug waas auto-discovery error debug waas auto-discovery event debug waas auto-discovery op <---- Verbose debug
- 如果Interface Application配置增量的計數器,則您的策略可能配置為通過該微粒連線。檢查WAAS-Express及其對等路由器上的WAAS策略。
-
解決方案:檢查並驗證您的最佳化策略。使用下面的調試來發現策略中是否將流量標籤為通過。
show policy-map type waas interface debug waas infra events
- 如果Interface Global Config的計數器遞增,則這可能是由網路中的非對稱路由引起的。在這種情況下,WAAS-Express或其對等體不會同時看到TCP流量的兩個方向。這可能是由於網路中的真正非對稱路由所造成,也可能是因為流量路徑(ACL、防火牆等)中的裝置捨棄了某些封包
- 解決方案:檢查網路中丟棄的資料包的非同步路由。請參閱下 面網路中可能導致非同步路由或丟棄的資料包的內容。
- 如果對等點彼此不相容,連線也可以是傳遞的。如果您在WAAS-Express和WAE之間運行不相容的版本,可能會發生這種情況。檢視上述相容性表,瞭解建議的軟體版本。
- 解決#1案: 使用show waas statistics aom檢查對等體是否不相容
-
解決#2案:如果您認為您的網路中存在不對稱路由情況,請檢查以下內容。
可能導致網路中出現非同步路由或丟包的原因
- WAAS-Express路由器或對等路由器中有多個WAN鏈路。請注意,主用/主用或主用/備用路由器不支援WAAS-Express,因為離開和進入WAN的流量都需要位於同一個WAAS-Express路由器上。如果有多個WAN鏈路,請確保所有WAN鏈路都啟用了config(配置)。確保對等路由器上的所有WAN鏈路和路由器都配置將流量重定向到WAAS。
- 控制資料包(SYN、SYN-ACK、ACK)未使用WAAS選項進行標籤。如果流量沒有重定向到對等端的WAAS,則可能發生這種情況。檢查WCCP ACL。
將向開發團隊提供的資訊:
Network topology IOS version Configuration Following debugs and show commands: debug waas auto-discovery error debug waas auto-discovery event debug waas auto-discovery operation debug waas infra error debug waas infra event show waas statistics auto-disc show waas statistics pass show waas statistics aoim
-
附註:直通連線不計入每個平台的連線限制。WAAS-Express不跟蹤直通連線,因此沒有與直通流相關的統計資訊。不過,有些計數器會指出有多少流量被輸入了傳遞以及原因。
連線未達到所需的最佳化級別
這通常是由組態錯誤所導致。WAAS-Express版本2映像中預設禁用HTTP-Express加速器和CIFS-Express加速器。檢查是否已全域性啟用Express加速器。
症狀:已建立的連線無法獲得使用CIFS、SSL或HTTP-Express AO的所需策略或配置的策略
- 驗證CIFS、SSL或HTTP-Express AO是否已全域性啟用
router#show waas status IOS Version: 15.2(4)M1 WAAS Express Version: 2.0.0 WAAS Enabled Interface Policy Map FastEthernet8 waas_global WAAS Feature License License Type: EvalRightToUse Evaluation total period: 8 weeks 4 days Evaluation period left: 7 weeks 4 days DRE Status : Enabled LZ Status : Enabled + Entropy CIFS-Express AO Status : Disabled SSL-Express AO Status : Enabled HTTP-Express AO Status : Disabled <---- HTTP Express AO is disabled by default Maximum Flows : 75 Total Active connections : 4 Total optimized connections : 4
症狀:預期連線最佳化為THDL,但已建立的連線具有TDL
- 這通常是由策略配置錯誤造成的。
附註:預設情況下未啟用HTTP-Express AO。
- 解決#1案:檢查核心WAAS裝置是否相容。可以使用 show waas statistics aoim完成此檢查
- 解決#2案:檢查在使用自動發現調試的自動發現期間是否正在協商HTTP-Express加速器。這可能是因為全域性禁用了加速器(注意,預設情況下未啟用HTTP加速器),或者操作中缺少「加速http」HTTP類。
class HTTP
optimize tfo dre lz application Web accelerate http-express
- 檢查show waas connection detail下的Configured、Derived和Applied Accelerator欄位
Router#show waas connection detail ... Negotiated Policy: TFO, LZ, DRE Configured Accelerator: HTTP-Express Derived Accelerator: HTTP-Express Applied Accelerator: HTTP-Express Hist. Accelerator: None Bytes Read Orig: 174 ...
- 檢查show waas statistics accelerator http-express [https|debug]中的切換統計資訊/原因
症狀:預期連線最佳化為TCDL,但已建立的連線具有TDL
- 這可能是因為加速器已禁用,或者CIFS/WAFS類在操作中缺少加速cifs。
附註:預設情況下,CIFS-Express AO處於禁用狀態。
class CIFS
optimize tfo dre lz application CIFS accelerate cifs-express
- 檢查show waas statistics accelerator cifs-express中的切換統計資訊/原因
Router#show waas statistics accelerator cifs-express CIFS-Express AO Statistics ... Unsupported dialects / CIFS version: 0 Currently active unsupported dialects / CIFS version: 0 Unsupported due to signing: 0 ...
症狀:預期連線最佳化為TSDL,但已建立的連線具有TDL
- 使用SSL-Express加速器時,核心WAE SSL-AO可能未啟動並運行。檢查:思科廣域應用服務SSL應用最佳化程式部署指南
- 連線也可能被管道堵住了。可以使用show waas statistics accelerator ssl檢查此問題
Router#show waas statistics accelerator ssl SSL-Express: Global Statistics ----------------- Time Accelerator was started: 16:31:37 UTC Jul 26 2012 ... Pipe through due to C2S cipher mismatch: 0 Pipe through due to C2S version mismatch: 0 Pipe through due to W2W cipher mismatch: 0 Pipe through due to W2W version mismatch: 0 Pipe through due to detection of non-SSL traffic: 0 Pipe through due to unknown reasons: 0 Total pipe through connections: 0 ...
預期連線最佳化為TSHDL,但已建立的連線只有TSDL或THDL
SSL-Express加速器在路徑中引入了HTTP-Express加速器。確保SSL-Express和HTTP-Express加速器都已全域性啟用。
- 連線通過管道,顯示為TG。如上所述,檢查show waas statistics accelerator ssl中的reason
- 如果連線顯示為TSDL,可能是由於以下原因之一
- HTTP-Express加速器已禁用。
- HTTP-Express加速器與核心WAAS裝置上的HTTP AO不相容。
- 未啟用HTTP-Express加速器的至少3個最佳化功能。
- 第一個資料包不包含HTTP內容。
- 如果連線顯示為THDL可能是由於以下原因之一
- 邊緣裝置上未啟動並運行SSL-Express加速器。
- SSL AO未在核心裝置上啟動並運行。
- AOIM中未協商SSL-AO。
- 對於Proxy,HTTP CONNECT請求將發往443以外的埠。
- 邊緣裝置和核心裝置在將SSL-AO新增到此連線的最佳化中時互相通知的三向DATA-INSPECT握手失敗。
- DATA-INSPECT握手後,邊緣裝置和核心裝置都同意將SSL-AO新增到此連線的最佳化的三次TFO握手失敗。
Provide following show command outputs for debugging: show waas status show waas alarms show waas accelerator detail show waas accelerator http show waas accelerator smb show waas accelerator ssl show waas statistic global show waas statistic auto-discovery show waas statistic aoim show waas statistic pass-through
症狀:意外的連線重置
通常還會出現錯誤消息,指示錯誤型別以及正在重置的流。例如,
Aug 18 03:02:52.861: %WAAS-3-WAAS_TFO_DEC_FRAME_FAILED: IOS-WAAS failed to decode TFO frame for connection 100.2.0.107:50118--200.0.0.12:1494 (Unknown TFO frame rcvd, RST connection.)
故障排除步驟
- 開啟錯誤調試,具體取決於模組,debug waas <module_name> error。
- 檢查show waas connection detail中的End-Reason
- 檢查show waas statistics error以瞭解可能的原因。
- 看到連線重置時,是否會在核心WAE上生成核心轉儲?
- WAAS-Express傳送的格式錯誤的TCP報頭導致WAE上的核心轉儲。
- DDTS捕獲此問題:CSCto59459、CSCua61097。搜尋這些DDT,然後檢查發現的問題是否與其列出的問題相似。
- 如果這是SSL-Express加速器連線,重置是否由W2W握手失敗所導致?
將向開發團隊提供的資訊:
Debug logs Show命令日誌show-tech show-running config網路拓撲客戶端和伺服器詳細資訊,以及用於連線的應用程式(和版本,例如IE6)。
debug waas infra error debug waas auto-discovery error debug waas aoim error debug waas tfo error debug waas lz error debug waas dre error debug waas accelerator ssl error debug waas accelerator http error debug waas accelerator cifs error
路由器崩潰/回溯
在測試期間可能會看到路由器崩潰和回溯。搜尋以前的案例和DDTS以瞭解類似的已知問題。此外,我們還需要隔離導致崩潰的功能。如果ios-waas或layer4-forwarding以外的IOS功能導致崩潰/回溯,則應相應地聯絡該特定功能開發團隊/路由器TAC。
- 在topic.cisco.com執行主題搜尋
- 檢查以前的客戶案例中類似/已知的問題。
將向開發團隊提供的資訊:
- show tech or if notpossibleshow running-config output
- 精確的IOS版本。
- 重現問題的確切步驟。
- 在崩潰時解碼回溯或crashinfo。
- 網路拓撲
- 有助於在內部重現問題的任何相關資訊。
連線速度慢/效能降低
效能降低可能是由於以下各種原因造成的:流量的性質、路由器上的負載、網路中的網路拓撲或資料包丟棄。為了處理慢速連線,我們需要確定相對於直通或未最佳化連線的相對降級。
故障排除步驟
- 連線的最佳化操作是什麼?
- 檢查show waas connection中的Accel欄位。是TDL、THDL、TSDL等嗎?
- 如果使用的是特定加速器,關閉該加速器是否能從效能不佳中恢復?
- 如果有上傳流量,請嘗試在WAAS-Express引數對映中禁用上行鏈路DRE。
- 如果將連線置於僅使用TFO的模式,是否會出現與直通模式相關的降級?
- 路由器上的負載是多少,使用下列命令檢查cpu利用率:show proc cpu history
- 檢查日誌中是否出現CPU限制消息。當CPU過高時,WAAS-Express會降低最佳化速度,以保護CPU不會過載
- 檢查介面統計資訊的輸出以確定是否存在丟包情況。
- 檢查是否有任何ACL正在丟棄資料包。要瞭解哪種功能會丟棄任何資料包,一個好的調試是debug ip cef drop。
- 檢查中間是否有裝置正在丟棄資料包。
- WAE預設會開啟ECN,並傳送已設定ECT位元的封包。舊裝置可能不喜歡已設定ECT位的資料包,因此可能會丟棄這些資料包,導致重新傳輸,從而降低效能。在特定客戶案例中,中間裝置(具有舊IOS映像)正在丟棄在TCP報頭中設定ECT位的資料包。
- 在配置模式下使用以下命令可在核心WAE上關閉ECN:no tcp ecn enable
- 在多個WAN鏈路上是否啟用了WAAS-Express?如果是,是否支援使用負載共用選項?
- 不支援每資料包負載共用選項。
- 支援按目標負載共用。此負載共用應該不會對效能造成影響。
- 網路中的非對稱路由,導致資料包丟棄和重新傳輸。
- 如果路由器沒有看到特定流的所有資料包,則可能會導致連線緩慢/掛起。
- 與uplink-dre的連線緩慢
- 由於NACK而重新傳輸:選中show waas statistics dre。檢查R-tx ..字段
- ACK-queue full:選中show waas statistics dre。檢查AckQ full和AckQ high欄位
- 啟用CIFS-Express/SSL-Express/HTTP-Express加速器後,連線速度減慢。
- 不支援的版本/方言。
- 低壓縮比。
- 檢查show waas connection detail、show waas statistic lz、show waas statistic dre下的統計資訊
- 檢查連線切換/直通管道。
附註:不支援按資料包負載共用部署。這不是預設負載共用模式。
掛起的連線
掛起連線不存在已知問題,請向開發團隊提供以下資訊以幫助RCA解決問題。
故障排除和收集資訊的步驟
- 使用show waas connection搜尋WAAS-Express連線表中的流。
Router#show waas connection ConnID Source IP:Port Dest IP:Port PeerID Accel 3336 192.168.22.99 :37797 192.168.42.99 :80 0016.9d39.20bd THDL Router#
- 顯示有關連線的詳細資訊
Router#show waas connection client-port 37797 detail connection ID: 3336 Peer Id: 0016.9d39.20bd Connection Type: External Start Time: 19:45:34 UTC Dec 21 2011 Source IP Address: 192.168.22.99 Source Port Number: 37797 <------ Unique port number required for next step Destination IP Address: 192.168.42.99 Destination Port Number: 80 Application Name: Web Classifier Name: HTTP Peer Policy: TFO, LZ, DRE Configured Policy: TFO, LZ, DRE Negotiated Policy: TFO, LZ, DRE Configured Accelerator: HTTP-Express Derived Accelerator: HTTP-Express Applied Accelerator: HTTP-Express Hist. Accelerator: None Bytes Read Orig: 43056412 Bytes Written Orig: 25 Bytes Read Opt: 162 Bytes Written Opt: 43359878 Auto-discovery information: ---<snip>---
- 使用show l4f flows在L4F表中查詢等效流。
Router#show l4f flows | include 37797 F4DF6EA0 Proxy TCP 192.168.22.99:37797 192.168.42.99:80 Router#
- 從第一列收集L4F流ID並使用資訊獲取詳細的L4F連線資訊。
Router#show l4f flow detail F4DF6EA0
Flow Address : F4DF6EA0
Index : 11
Idle Time : 0.004
Family : IPv4
Protocol : TCP
VRF ID : 0
Address1 : 192.168.22.99:37797
Address2 : 192.168.42.99:80
State : L4F_STATE_PROXYING
Flags : 0x00012000
App Context : 0x41D4728C
CEF pak : 0x0
Endpoint1 FD 1073748479
State : EP-ESTAB
Flags : 0x00000001
Client : L4F_FEATURE_WAAS
Association : OUTPUT
CEF Fwd State : 0xC20D2C74
Proc Fwd State: 0xC1E36EA8
TCB Address : 0xC01F0D9C <------ Address required for next step
Endpoint2 FD 1073748480
State : EP-ESTAB
Flags : 0x00000001
Client : L4F_FEATURE_WAAS
Association : INPUT
CEF Fwd State : 0xC20D2248
Proc Fwd State: 0xC1E36F20
TCB Address : 0x4002AB6C <------ Address required for next step
- show l4f flow detail <flow_id>的輸出顯示兩個TCP TCB。使用show tcp tdb <tcb_info>中的TCB資訊
Router#show tcp tcb 0xC01F0D9C Connection state is ESTAB, I/O status: 1, unread input bytes: 31504 Connection is ECN Disabled, Mininum incoming TTL 0, Outgoing TTL 255 Local host: 192.168.42.99, Local port: 80 Foreign host: 192.168.22.99, Foreign port: 37797 Connection tableid (VRF): 0 Maximum output segment queue size: 50 Enqueued packets for retransmit: 0, input: 22 mis-ordered: 0 (0 bytes) Event Timers (current time is 0x85115B0): Timer Starts Wakeups Next Retrans 2 0 0x0 TimeWait 0 0 0x0 AckHold 10192 0 0x0 SendWnd 0 0 0x0 KeepAlive 20129 0 0x851FFF4 GiveUp 2 0 0x0 PmtuAger 0 0 0x0 DeadWait 0 0 0x0 Linger 0 0 0x0 ProcessQ 1 1 0x0 iss: 688070906 snduna: 688070932 sndnxt: 688070932 irs: 684581592 rcvnxt: 713368125 sndwnd: 6144 scale: 9 maxrcvwnd: 32767 rcvwnd: 1263 scale: 7 delrcvwnd: 0 SRTT: 6687 ms, RTTO: 59312 ms, RTV: 52625 ms, KRTT: 0 ms minRTT: 0 ms, maxRTT: 2857348 ms, ACK hold: 200 ms Status Flags: passive open, Timestamp echo present Option Flags: keepalive running, SACK option permitted, non-blocking reads non-blocking writes, win-scale, 0x200000, 0x1000000, 0x10000000 0x20000000 IP Precedence value : 0 Datagrams (max data segment is 1432 bytes): Rcvd: 20129 (out of order: 0), with data: 20127, total data bytes: 28786532 Sent: 30017 (retransmit: 0, fastretransmit: 0, partialack: 0, Second Congestion: 0), with data: 1, total data bytes: 25 Packets received in fast path: 53559, fast processed: 2, slow path: 21294 fast lock acquisition failures: 7, slow path: 0 Router# Router#show tcp tcb 0x4002AB6C Connection state is ESTAB, I/O status: 1, unread input bytes: 0 Connection is ECN Disabled, Mininum incoming TTL 0, Outgoing TTL 255 Local host: 192.168.22.99, Local port: 37797 Foreign host: 192.168.42.99, Foreign port: 80 Connection tableid (VRF): 0 Maximum output segment queue size: 50 Enqueued packets for retransmit: 50, input: 0 mis-ordered: 0 (0 bytes) Event Timers (current time is 0x8519A48): Timer Starts Wakeups Next Retrans 27124 0 0x8519D3B TimeWait 0 0 0x0 AckHold 2 0 0x0 SendWnd 0 0 0x0 KeepAlive 28560 0 0x85284A4 GiveUp 27121 0 0x8545964 PmtuAger 0 0 0x0 DeadWait 0 0 0x0 Linger 0 0 0x0 ProcessQ 19975 19975 0x0 iss: 2832065240 snduna: 2867154917 sndnxt: 2867205953 irs: 2835554554 rcvnxt: 2835554717 sndwnd: 261120 scale: 7 maxrcvwnd: 65535 rcvwnd: 65535 scale: 7 delrcvwnd: 0 bic_last_max_cwnd: 8388480 SRTT: 1000 ms, RTTO: 1003 ms, RTV: 3 ms, KRTT: 0 ms minRTT: 80 ms, maxRTT: 1000 ms, ACK hold: 200 ms Status Flags: active open Option Flags: keepalive running, SACK option permitted, Timestamp option used, non-blocking reads, non-blocking writes win-scale, 0x200000, 0x1000000, 0x10000000, 0x20000000 IP Precedence value : 0 Datagrams (max data segment is 1432 bytes): Rcvd: 28560 (out of order: 0), with data: 2, total data bytes: 162 Sent: 28672 (retransmit: 0, fastretransmit: 28, partialack: 3, Second Congestion: 0), with data: 28671, total data bytes: 35176602 Packets received in fast path: 21244, fast processed: 21240, slow path: 29668 fast lock acquisition failures: 21374, slow path: 0 Router#
- 以下命令輸出可用於調試WAAS-Express AO。
show waas statistics errors show waas statistics accelerator http-express show waas statistics accelerator cifs-express show waas statistics accelerator ssl-express show waas statistics accelerator ssl-express debug
- 以下是service-internal命令(僅用於調試)
show waas connection conn-id [id] debug show waas statistics accelerator http-express debug show waas statistics accelerator ssl-express debug
- 可以使用以下命令清除掛起的連線。
clear waas connection conn-id [id] Router(config-if)#no waas enable forced
SSL-Express加速器問題:
啟用或禁用SSL-Express加速器時出現問題
- 檢查是否啟用了安全許可證
Router#show waas status | include SSL-Express AO Status
SSL-Express AO Status : Unavailable (security license not enabled)
Router#show license detail securityk9
Index: 1 Feature: securityk9 Version: 1.0
License Type: RightToUse
…
- 檢查您是否有NPE映像(此映像不支援SSL-Express加速器)
Router#show waas status | include SSL-Express AO Status SSL-Express AO Status : Unsupported Router#show license detail securityk9 % Error: No license for securityk9 found - License feature not found
- 在啟用/禁用操作期間啟用ssl、aoim和infra調試,並提供調試日誌。
- 由於W2W握手失敗,連線被重置
- 使用show waas statistics errors檢查SSL-Express加速器錯誤統計資訊 | i SSL-Express
- 檢查證書:
Router#show running-config all | include waas-ssl-trustpoint Router#show crypto pki trustpoints <trustpoint-name> status WAAS#show crypto certificates WAAS#show crypto certificate-detail WORD
- 檢查警報:
Router#show waas alarms ... WAAS SSL-Express CA enrolled trustpoint deleted: off WAAS SSL-Express router certificate deleted: off ...
- 檢查邊緣和核心裝置上的配置。檢查它們是否與密碼清單、SSL版本以及證書驗證和吊銷檢查同步。
- 如果使用自簽名證書,則應禁用撤銷檢查和證書驗證。
- 啟用debug waas accelerator ssl error
- 由於C2S不支援的密碼導致連線通過管道
- 使用show waas statistics errors檢查SSL-Express加速器錯誤統計資訊 | i SSL-Express
- 啟用debug waas accelerator ssl
- 檢查在核心WAAS裝置上的accelerated-svc中配置的密碼清單。
- 無SSL最佳化(直通電纜)
- 檢查WAAS Express裝置上的SSL-Express狀態:show waas accelerator ssl-express
- 檢查對等WAAS裝置上的SSL AO狀態:show accelerator ssl
- 檢查SSL-Express統計資訊:show waas statistics accelerator ssl-express | i管道
- 無法從Internet訪問HTTPS頁面
- 由於伺服器位於Internet中,其私鑰和證書無法安裝在核心WAAS裝置上。即使接受了瀏覽器中證書的警告,頁面上的某些對象也可能不會顯示。
- 這些對象可以從CDN(內容交付網路)提供。 此問題並非WAAS-Express獨有。也就是說,當最佳化兩個WAAS裝置之間的連線時,也會發生這種情況。
- 使用者需要在瀏覽器中新增例外來忽略CDN URL中的證書。
- 可以在頁面源中找到CDN URL。
Show commands used for further debugging and RCA: show waas statistics accelerator ssl show waas statistics accelerator ssl debug show waas statistics accelerator ssl ciphers show waas statistics accelerator ssl peering
在CM上的裝置組之間移動WAAS-Express裝置
如果WAAS-Express裝置在WCM上的裝置組之間移動,有時會看到新裝置組下的策略定義不起作用。當從裝置組取消分配裝置時,它從裝置上次擁有的備份策略集中獲取策略。
在裝置組之間流動裝置時,請執行以下步驟:
* Go to the Policy Definitions page of that device and select the new device-group and click on Submit. OR * Go to device-group-1 -> Assign Devices page and unassign the device from this DG. * Go to device-group-2 -> Assign Devices page and assign the device to this DG. * Go to device-group-2 -> Policy Definitions page and click on 'Force DG settings' button.
其他有用資訊
WAAS-Express和WCM/WAE上的統計資訊不匹配:
在此領域沒有已知問題。請使用以下過程收集日誌,並將其提供給開發團隊。
* Disable waas on Waas-Express device * Clear statistics on WAAS-Express and core WAE * Enable waas on Waas-Express device * Let traffic run, disable waas on Waas-Express device * Collect statistics * Present screen-shots and show command outputs.
除了調試和show命令外,還需要向開發團隊提供資訊:
show tech-support show ip interface show ip virtual-reassembly show ip route show ip cef detail show ip cef internal show ip cef switching statistics show process cpu history
路由器崩潰故障排除
http://www.cisco.com/en/US/products/hw/iad/ps397/products_tech_note09186a00800b4447.shtml
在路由器上捕獲資料包
要調試連線問題,您可能需要捕獲WAAS Express裝置上的資料包。
有關IOS資料包捕獲的詳細資訊,請參閱文檔:IP流量匯出。
Example to configure packet capture: ip traffic-export profile waas_wan mode capture bidirectional interface Serial0/0/0 ip virtual-reassembly out encapsulation frame-relay ip traffic-export apply waas_wan size 20000000 frame-relay map ip 10.0.0.2 557 broadcast no frame-relay inverse-arp frame-relay local-dlci 557 Use following commands to start, stop, copy and clear the buffer: traffic-export int s0/0/0 start traffic-export int s0/0/0 stop traffic-export int s0/0/0 copy ftp://username:password@192.168.1.116//tftpboot/ngwo.pcap traffic-export int s0/0/0 clear
意見