使用EEM和IP SLA對VPN隧道中的IGP擺動、資料包丟失或隧道反彈進行故障排除

下載選項

  • PDF     (229.7 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (100.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (88.8 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2022 年 6 月 14 日
文件 ID:113696

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹通過DMVPN/GRE/sVTI/FlexVPN隧道體驗EIGRP/OSPF/BGP擺動時應採取的步驟。

    背景資訊

    為了排除此問題,需要回答的第一個問題是「這是VPN、路由協定還是ISP問題?」 為了回答此問題,必須在翻動/中斷期間執行整個底層(通常為網際網路或專用WAN)和重疊(通常為VPN隧道)的連線測試。遺憾的是,這些翻動事件可能是臨時和間歇性的,因此,在問題發生期間難以執行這些測試。本文提供使用IP服務等級協定(SLA)、追蹤對象和嵌入式事件管理器(EEM)的指南,以便在發生問題時自動收集此資訊。

    功能資訊

    IP SLA是在路由器後台運行的進程,用於測試多種網路條件。在本文檔中,一般IP連通性通過 "icmp-echo" 測試.

    然後,跟蹤對象可以跟蹤IP SLA的狀態。然後,使用EEM小程式,當跟蹤對象更改時,網路狀態可以記錄在syslog緩衝區中。

    利用系統日誌歷史記錄中記錄的網路狀態來瞭解翻動/中斷期間網路的狀態,並確定是否存在加密、傳輸或內部網關協定(IGP)問題。

    方法

    Tunnel diagram

    步驟1.定義SLA以跟蹤底層(Internet連線)

    • 選項A
      公有IP地址到公有IP地址(172.18.3.52 > 172.20.5.43)。 由於遠端對等體通常回覆ICMP,因此只需在一個裝置上定義此SLA。
      ip sla 100
    icmp-echo 172.20.5.43 source-interface FastEthernet4
    frequency 5
ip sla schedule 100 life forever start-time now
    • 選項B

      附註:在某些環境中,網際網路控制訊息通訊協定(ICMP)封包會在底層/傳輸網路中遭到封鎖。在這些環境中, udp-echo 可以使用資料包代替 icmp-echo 用於IP SLA。


      IP SLA啟動器(左路由器)
      ip sla 100
 udp-echo 172.20.5.43 1501 source-ip 172.18.3.52 source-port 1501 control disable
 frequency 5
ip sla schedule 100 life forever start-time now
      IP SLA響應器(右路由器)
      ip sla responder
ip sla responder udp-echo ipaddress 172.20.5.43 port 1501

    步驟2.定義SLA以跟蹤重疊(隧道連線)

    • 隧道IP地址到隧道IP地址(10.1.12.100 > 10.1.12.1) 
      ip sla 200
    icmp-echo 10.1.12.1 source-interface Tunnel100
    frequency 5
ip sla schedule 200 life forever start-time now

    這些SLA每五秒向已定義的對等方傳送一個資料包。如果對等體響應,則SLA標籤為「」OK"。 如果沒有響應,則標籤為「」Timeout"。 跟蹤對象監控SLA的狀態。

    步驟3.定義跟蹤對象以監視SLA狀態

    • 底層連線跟蹤對象
      track 100 ip sla 100
   delay down 15 up 15
    • 覆蓋連線跟蹤對象
      track 200 ip sla 200
   delay down 15 up 15

    軌道對象更改時,可在系統日誌中插入消息。

    步驟4.定義EEM小程式,以便在跟蹤對象發生更改時進行記錄

    • 為底層傳輸失敗建立EEM小程式,為恢復時建立另一個EEM小程式
      event manager applet ipsla100down 
    event track 100 state down
    action 1.0 syslog msg "Underlay SLA probe failed!"
event manager applet ipsla100up 
   event track 100 state up
   action 1.0 syslog msg "Underlay SLA probe came up!"
    • 為重疊傳輸失敗時建立一個EEM小程式,為重疊傳輸恢復時建立另一個EEM小程式
      event manager applet ipsla200down 
    event track 200 state down
    action 1.0 syslog msg "Overlay SLA probe failed!"
event manager applet ipsla200up 
   event track 200 state up
   action 1.0 syslog msg "Overlay SLA probe came up!"

    資料分析

    發生中斷時,收集 show log 命令。查詢上一節中顯示的SLA消息。

    有三種可能的情形:

    1. 兩個SLA都失敗。這意味著:
      1. 兩個對等點之間的整個襯底(Internet/MPLS)的第3層連線中斷。這需要進一步調查。
      2. 通道沒有問題。它失敗是因為它是襯底中斷的受害者。
    2. 物理SLA不會失敗,但隧道SLA會失敗。這意味著:
      1. 兩個對等點之間通過Internet的第3層連線正常工作。
      2. 通道有問題。有必要進一步調查隧道。
    3. 兩個SLA均未失敗。這意味著:
      1. 兩個對等點之間通過Internet的第3層連線正常工作。
      2. 兩個對等點之間的通道的第3層單播連線正常工作。
      3. 通道的第3層多點傳送連線未知。為了測試此情況,請對IGP使用的多點傳送位址執行ping。
      4. 如果測試成功,則表明存在應用問題(EIGRP/OSFP/BGP)。 有必要進行進一步的方案調查。

    修訂記錄

    修訂 發佈日期 意見
    1.0
    14-Sep-2012
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Jay Young
      Cisco TAC工程師

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品